অনেক মানুষের ই সাইবার সিকিউরিটি নিয়ে স্বপ্ন থাকে সেই সাথে সাইবার সিকিউরিটিতে ক্যারিয়ার বিল্ড আপ করতে চায়, কিন্তু প্রয়োজনীয় ধারণা সেই সাথে স্পষ্ট জ্ঞান না থাকার কারণে তারা পিছিয়ে পড়ে। আজকে সাইবার সিকিউরিটি মূলত কি.? সেই সাথে এই ব্যাপারে কিছু বেসিক জিনিষ যেগুলো জানা জরুরী সেগুলো জেনে নিব। ইনশাআল্লাহ্ আস্তে আস্তে ধাপে ধাপে আরও পার্ট আসবে।
প্রশ্ন ১। সাইবার সিকিউরিটি কি.?
উত্তর : সাইবার বলতে বুঝায় কম্পিউটার, কম্পিউটার নেটওয়ার্ক, তথ্য প্রযুক্তি এবং ভার্চুয়াল বাস্তবতার সংস্কৃতি আর “সিকিউরিটি” বলতে বুঝায় নিরাপত্তা। মূলত কম্পিউটার, কম্পিউটার নেটওয়ার্ক, ডাটা ইত্যাদির নিরাপত্তা নিশ্চিত করাই হল সাইবার সিকিউরিটি এর কাজ। সাইবার সিকিউরিটি বলতে বুঝায় আমরা যেসকল প্রযুক্তি , কর্মকান্ড ও মেশিন দিয়ে বিভিন্ন নেটওয়ার্ক, ডিভাইস, প্রোগ্রাম এবং তথ্য সুরক্ষা দিয়ে থাকি । মূলত ডিজিটাল ওয়ার্ল্ড এ আমরা যেসব কর্মকান্ডের মাধ্যমে তথ্য এবং নেটওয়ার্কের নিরাপত্তা ভ্যালিডেট করি তাই হল সাইবার সিকিউরিটি। প্রতি সেকেন্ডে অনেক প্রতিষ্ঠান ও অনেক মানুষ এই সাইবার সিকিউরিটির অভাবে তাদের গুরুত্বপুর্ন তথ্য , বিপুল অর্থ ও রেপুটেশন হারাচ্ছে। এমনকি অনেক কোম্পানি বাধ্য হয়েছে তাদের পুরো ব্যবসা বন্ধ করতে তাই বর্তমান যুগে এই ধরনের চাকরির অনেক বেশি প্রাধান্য পেয়েছে শুধু তাই নয় অনেক কোম্পানি লোভনীয় সার্কুলার দিয়েও এসব নিয়ে যারা কাজ করছে তাদের পাচ্ছে না কারন হল স্কিল ডেভেলপ করা সময়সাপেক্ষ আর অনেক কম লোকই এটাকে ক্যারিয়ার হিসেবে নেয় যার কারণে পুরো পৃথিবীতে স্কিল্ডড সাইবার সিকিউরিটি প্রফেশনালদের অভাব।
সাইবার সিকিউরিটিতে যে সব পপুলার ফিল্ডের চাকরি থাকে তা নিম্নে আলোচনা করা হলো :
শুরুতেই জেনে রাখা ভালো তথ্যপ্রযুক্তিতে নিরাপত্তার ক্ষেত্রে প্রধানত দুই ধরনের প্রফেশনাল জব সেক্টর আছে। ১. ট্যাকনিকাল এবং ২. নন-টেকনিক্যাল।
নন-ট্যাকনিকাল সাইবার সিকিউরিটি প্রফেশনাল হিসেবে বলতে গেলে সাধারনত সাইবার সিকিউরিটি আইনজীবি, কন্টেন্ট রাইটার, বিভিন্ন রকম সিকিউরিটি অডিটর, সিকিউরিটি অপারেশন সেন্টার এনালিস্ট, সিকিউরিটি এওয়ারনেস ট্রেইনার, রিস্ক ম্যানেজমেন্ট, প্রাইভেসি এবং সিকিউরিটি ম্যানেজমেন্ট অফিসার হিসেবে কাজ করে থাকেন। বিভিন্ন রকমের সার্টিফিকেশন কোর্স করেই এই ধরনের জব-মার্কেটে ঢুকার বেশ ভালো অপারচুনিটি আছে, যেমন Security+, CEH, CISA, CISO, CISSP, CRISC সার্টিফিকেশন গুলো এইসব ক্যারিয়ারের জন্য বেশ ভালো সুযোগ সৃষ্টি করে। একটা কোম্পানির সিকিউরিটি ইনফ্রাস্ট্রাকচার প্ল্যানিং থেকে শুরু করে সিকিউরিটি প্রসিডিউর ফলো করে বিভিন্ন সিকিউরিটি কমপ্লায়েন্স মিট করার ক্ষেত্রে এই ধরনের প্রফেশনালের বিকল্প নেই। এই ক্ষেত্রে ভেন্ডর ভেদে সিকিউরিটি প্রসিডিওর ভিন্ন হতে পারে বলে অনেক ক্ষেত্রে ভেন্ডর সার্টিফায়েড সিকিউরিটি প্রফেশনালেও ইনফ্রাস্ট্রাকচার ডেভেলপমেন্টের পার্ট হিসেবে কাজ করেন। যেমন CCSP সার্টিফিকেশন হচ্ছে সিসকো’র (CISCO) একটি প্রফেশনাল সার্টিফিকেশন তাদের ডিভাইসের জন্যেই বিশেষ ভাবে ডিজাইন করা। এরকম অন্যান্য ভেন্ডরেরও তাদের নিজস্ব বিশেষায়িত কিছু সার্টিফিকেশন আছে যা কেউ চাইলে করতে পারেন।
ট্যাকনিকাল সাইবার সিকিউরিটি এক্সপার্ট হিসেবে কাজ করা বেশিরভাগ ক্ষেত্রেই বেশ কঠিন হয়। এইখানে সার্টিফিকেশনের চেয়ে ব্যাক্তিগত অভিজ্ঞতা, স্কিল এবং প্রায়োগিক ক্ষেত্রের সাফল্য বেশি গ্রহনযোগ্য। তবে এইখানেও বেশ কিছু এক্সেপ্টেড সার্টিফিকেশনও আছে যেগুলা অফেন্সিভ সিকিউরিটি, ই-লার্ন সিকিউরিটির সার্টিফিকেশন গুলো ওয়াইডলি এক্সেপ্টেড।
চলুন এবারে দেখা যাক কি ধরনের ক্যারিয়ার অপেক্ষা করছে আপনার জন্য।
A. Security Analyst ( সিকিউরিটি এনালিস্ট ) :
এটি মূলত সব কিছুরই একটা মিশ্রণ বলা যেতে পারে । কিন্তু সবাই মূলত পেনিট্রেশন টেস্টার / বাগ হান্টিং ব্যাকগ্রাউন্ড থেকেই হয়। এরা অনেক ফ্লেক্সিবল হয় কাজের ক্ষেত্রে তাই যেকোনো সিকিউরিটি কাজেই এদের টুকটাক ব্যাবহার করা হয় কিন্তু প্রধান কাজই থাকে কোম্পানির সিকিউরিটি। এরা আবার বিভিন্ন পলিসি এবং থ্রেট হান্টিং এসব সম্পর্কেও ধারনা রাখে। তাছাড়া নানান ধরনের নেটওয়ার্ক মনিটরিং ও এরা করে থাকে।
এভেরেজ স্যালারি – আন্তর্জাতিক কোম্পানিগুলুতে – $65,042 / প্রতি বছরে ( প্রায় ৪.৫ লক্ষ্য টাকা প্রতি মাসে )
B. Security Engineer (সিকিউরিটি ইঞ্জিনিয়ার ) :
সিকিউরিটি ইঞ্জিনিয়ার মুলত অর্গানাইজেশনের সিকিউরিটি সফটওয়্যার টেস্টিং এবং স্ক্রীনিং করা, নেটওয়ার্ক মনিটরিং করা, আইডিএস/ আইপিএস মনিটরিং এর কাজ করে। তারা সিস্টেমকে এবং তার সাথে রিলেটেড যাবতীয় স্থাপনা, সফটওয়্যার, সার্ভার সহ সমগ্র ইনফ্রাস্ট্রাকচার সিকিউরিটির দৃষ্টিকোণ থেকে পর্যবেক্ষন করেন সম্ভাব্য সিকিউরিটি হোল খুঁজে বের করার জন্য এবং সেই অনুযায়ী ব্যবস্থা গ্রহন করেন।
এভেরেজ স্যালারি – আন্তর্জাতিক কোম্পানিগুলুতে – $90,081 / প্রতি বছর ( প্রায় ৬+ লক্ষ্য টাকা )
C. Penetration Tester ( পেনেট্রেশন টেস্টার ) :
এরা হল একটা কোম্পানির ডেডিকেটেড হ্যাকার বলতে পারেন , কারণ এদের কাজের মোটিভ একটাই থাকে আর তাহলো কোম্পানির রিলিজ হওয়া নতুন কোডে বাগ চেক করা, নতুন প্রোগ্রামের ক্ষেত্রে তা টেস্ট করা, টেস্টের পর একটা চেকলিস্ট মেইন্টেইন করে কোথায় কোথায় টেস্ট করা হয়েছে তা নোট করা, কোম্পানির ইনফ্রাস্ট্রাকচারের সিকিউরিটি ইন্টেগ্রিটি চেক করা আর তা রিপোর্ট আকারে ম্যানেজারের নিকট পাঠানো। মূলত ইনহাউজ পেনটেস্টার সহজে কেউ নেয় না যদি না সেই কোম্পানি অনেক বড় হয় এবং প্রতিদিনই তাদের রিলিজ থাকে প্রোডাকশনে । এরা বেশিরভাগই কাজ করে বিভিন্ন পেন্টেস্ট ফার্ম এ যেখানে প্রতিনিয়ত টেস্টিং করা লাগে নতুন নতুন আসা প্রজেক্টের ।
এরা বিভিন্ন ব্যাকগ্রাঊন্ডের হতে পারে কেউ আসতে পারে বাগ বাউন্টি ব্যাকগ্রাউন্ড থেকে আবার কেউ CTF থেকে।
এভারেজ স্যালারি – আন্তর্জাতিক কোম্পানিগুলুতে – $84,165 / প্রতি বছরে ( প্রায় ৫+ লক্ষ্য টাকা প্রতি মাসে )
D. Red Team professional (রেড টীম প্রফেশনাল) :
রেড টীমিং এর ক্ষেত্রে অত্যন্ত অভিজ্ঞ পেনটেস্টার রা অন্য টিমের সাথে মিলে কাজ করতে পারেন। রেড টিমিং এর ক্ষেত্রে শুধু মাত্র এপলিকেশন ব্রীচই লক্ষ্য থাকেনা, ওটাই প্রথম ধাপ, রেড টিমের কাজ হলো প্রথম ব্রীচের পরে কর্পোরেট ইনফ্রাস্ট্রাকচারের কতোটুকু ভেতর পর্যন্ত যাওয়া যায় সেটা টেস্ট করা। এই কারনে রেড টিমিং এর ক্ষেত্রে এপলিকেশন সিকিউরিটি স্কিলের পাশাপাশি নেটওয়ার্কিং, সিস্টেম ইন্টারনাল সম্পর্কে প্রচুর জানাশোনা এবং সিস্টেম স্ক্রিপ্টিং স্কিল থাকা অত্যন্ত জরুরি।
এভারেজ স্যালারিঃ এভারেজ স্যালারি সাধারনত $80k-$110k প্রতি বছরে হয়। অভিজ্ঞদের ক্ষেত্রে আরো বেশি হয় অনেক ক্ষেত্রে।
E. Chief Information Security Officer ( চিফ ইনফরমেশন সিকিউরিটি অফিসার ) :
Chief Information Security Officer বা সংক্ষেপে বলে (CISO) এরা মূলত বিভিন্ন প্রতিষ্ঠানের সিকিউরিটি টিম ম্যানেজ করে থাকেন। এদের কাঁধে থাকে সব ধরনের সিকিউরিটির দায়িত্ব , এরা সরাসরি কোম্পানির উপরের লেভেলের লোকজন দের সাথে কাজ করে অন্য ভাবে বলা যেতে পারে সিকিউরিটি ম্যানেজার। একজন (CISO) নিশ্চিত করে যেন তার টিম সিকিউরিটি নিয়ে এক্টিভলি কাজ করছে এবং তাদের দেয়া টাস্ক গুলো যেন তারা সময় মত শেষ করে। একজন (CISO) বিভিন্ন ধরনের জ্ঞান রাখে সে শুধু যে তার টিম ম্যানেজ করে তাই নয় বরং নিজেও অনেক কাজে সাহায্য করে কারন সে টেকনিক্যালি অনেক শক্তিশালী হয় এমনকি ম্যানেজমেন্টেও ।
এভেরেজ স্যালারি – আন্তর্জাতিক কোম্পানিগুলুতে – $185,000 / প্রতি বছর ( ১৩ লক্ষ্য টাকা প্রতি মাসে )।
প্রশ্ন ২। সাইবার সিকিউরিটির বাগ ( BUG ) বলতে আমরা কি বুঝি.?
উত্তর : যে কোন কিছু শেখার আগে এক্সপার্টরা সবসময় একটি পরামর্শ দিয়ে থাকে আর তা হচ্ছে “Mind set” জি আপনাকে সবার আগে মানসিক ভাবে নিজেকে প্রস্তুত করতে হবে যেন আপনি এই জায়গাটিতে নিজের একটি অবস্থান তৈরি করে নিতে পারেন ভবিষ্যতে। কারন অনেকের কাছে হয়তবা অন্যের সাফল্য দেখে ব্যাপারটি সোজা লাগতে পারে তার কাছে। আর প্রথম থেকে কোন কিছুকে সোজা ভাবে নেয়াটা যদিও একটা ভাল দিক কিন্তু এই ক্ষেত্রে এটা অনেকটা ভিন্ন বিষয়। সাইবার সিকিউরিটি তে বাগ বাউন্টি আর CTF (capture the flag) এই দুটি ক্ষেত্র অনেকটা ফ্রিল্যান্সিং এর মধ্যে পরে কারন এই ক্ষেত্রে কাজ করে অনেকেই আজকাল নিজের দক্ষতা অর্জনের পাশাপাশি অর্থ উপার্জনের একটি সাময়িক মাধ্যম হয়ে উঠেছে। আজকাল যেকোন বড় বা মাঝারি মানের সাইবার সিকিউরিটি কোম্পানিতে বাগ হান্টিংয়ে দক্ষদের দেয়া হচ্ছে বাড়তি অগ্রাধিকার তাই এই সেক্টরে কর্মরত তরুণরা নিজেদের সিভিতে এই দক্ষতাটি যোগ করে অনেকাংশে পেয়ে যাচ্ছে নিজের কাঙ্ক্ষিত চাকরী।
টেকনিক্যাল কিছু জিনিস নিয়ে আলোচনা করা যাক এই ব্যাপারে :
সাইবার সিকিউরিটি সেক্টরটিতে আপনার একটি সুন্দর ক্যারিয়ার গড়ে তোলার জন্য প্রথমিকভাবে আপনাকে কিছু প্রয়োজনীয় আবশ্যক ধাপ সম্পর্কে বেসিক এবং বিস্তারিত জানতে হবে। কারণ এই প্রয়োজনীয় ধাপ গুলোই ভবিষ্যতে আপনাকে সাইবার সিকিউরিটির একজন এক্সপার্ট হিসেবে গড়ে তুলতে সাহায্য করবে। এখানে আমি কিছু প্রয়োজনীয় ধাপ সম্পর্কে তুলে ধরছি।
বাগ বাউন্টি :
সাইবার সিকিউরিটি সেক্টরটিতে বর্তমানে সবচেয়ে জনপ্রিয় নামটি হচ্ছে বাগ বাউন্টি ! উপরে আমরা জেনেছি বাগ বাউন্টি যে একটি ফ্রিল্যান্সিং মাধ্যম এখন আমরা এই বিষয়ে কিছু বিস্তারিত জানব। এই সেক্টরটি বিশেষ ভাবে তরুণ শিক্ষার্থীদের কাছে খুবই জনপ্রিয়তা লাভ করেছে। এই সেক্টরটিতে একটি মজার ব্যাপার হচ্ছে এখানে যেকোন ব্যাকগ্রাউন্ডের শিক্ষার্থী চাইলে কাজ শিখতে পারে তবে অবশ্যই তাকে আগে ইনফরমেশন সিকিউরিটি সম্পর্কে বেসিক জ্ঞান থাকতে হবে আর জানার আগ্রহ থাকতে হবে আর আপনার যদি ব্যাকগ্রাউন্ড Computer Science & Engineering হয়ে থাকে তাহলে এটি আপনাকে এই সেক্টরটিতে কাজ করার ক্ষেত্রে বাড়তি সুবিধা প্রদান করে থাকবে। কারন মূলত যারা Computer Science & Engineering ব্যাকগ্রাউন্ড তাদের এই প্রোগ্রামিং ল্যাঙ্গুয়েজ গুলো জানা থাকে ( Python, PHP, Javascript, C) কারণ এই সেক্টরে আসার পূর্ব শর্তই হল আপনাকে কিছুটা হলেও প্রোগ্রামিং ল্যাঙ্গুয়েজ গুলো সম্পর্কে ধারণা থাকতে হবে। তবে যারা CSE ডিপার্টমেন্ট এর ছাত্র কিংবা ছাত্রী না তাদের টেনশান এর কিছুই নেই, আপনারা চাইলেও এই ব্যাপারে ক্যারিয়ার গড়তে পারবেন যদি আপনাদের মধ্যে প্রোগ্রামিং এর স্কিলস থাকে।
এখন আসা যাক প্রথমত বেসিক কোন কোন বিষয় গুলো আপনাকে জানতে হবে।
১. IP/HOST, Protocol
২. Networking Devices,
৩. Operating Systems
৪. Different types of servers (Windows, Linux) and Database
৫. Basic Command lines
৬. Different types of applications ( Web, Android, IOS And Windows )
৭. Programming Languages ( Python, PHP, Javascript etc )
৮. Common Open Source Tools
বেসিক শেখার ক্ষেত্রে অনেকে অনেক ভাবে শুরু করতে পারেন কারন পুরো ব্যাপারটি নির্ভর করে যার যার ব্যাক্তিগত আগ্রহের উপরে কিন্ত উপরে উল্লেখিত বিষয়গুলো একজন শুরুর দিকে বাগ বাউন্টি হান্টার হিসেবে গুরুত্ব দেয়া আবশ্যক। প্রাথমিক অবস্থায় আপনি একজন বাগ বাউন্টি হান্টার হিসেবে কোন পথটি বেছে নিবেন তা ঠিক করা অনেকের ক্ষেত্রে কঠিন হয়ে পরে কিন্ত এক্সপার্টদের মতে নিজের পছন্দ অনুযায়ী একটি পথ বেছে নেয়া ভাল। বেশিরভাগ ক্ষেত্রে দেখা যায় অনেকে Web application Security testing সেক্টরটি বেছে নেন কারন অন্যান্য সেক্টর থেকে এক্সপার্টদের মতে এই সেক্টরটি অপেক্ষাকৃত সহজ ও বোধগম্য হয়ে থাকে। তারপর আরও দুটি জনপ্রিয় সেক্টর হচ্ছে Mobile application Security testing এবং Network Penetration testing এখন আমরা নিচে এই সেক্টরগুলোর এট্যাক আর শেষে ধাপ সম্পর্কে জানব।
A. Web application Security Basic: OWASP TOP 10 (The Open Web Application Security Project)
1. Injection
2. Broken Authentication
3. Sensitive Data Exposure
4. XML External Entities (XXE)
5. Broken access control
6. Security Misconfiguration
7. Cross-Site Scripting XSS
8. Insecure Deserialization
9.Using Components with Known Vulnerabilities
10. Insufficient Logging & Monitoring
B. Mobile application security testing: OWASP Mobile : ( Top 10 )
1. Improper Platform Usage
2. Insecure Data Storage
3. Insecure Communication
4. Insecure Authentication
5. Insufficient Cryptography
6. Insecure Authorization
7. Client Code Quality
8. Code Tampering
9. Reverse Engineering
10. Extraneous Functionality
C. Network Penetration testing
1. Intelligence Gathering
2. Vulnerability Analysis
3. Exploitation
4. Reporting
5. Threat Modeling
এই নাম গুলো ইংরেজীতে জানা খুবই জরুরি আর আপনি যখন অন্য কারোও লেখা পরবেন যা হতে পারে ইংরেজীতে তখন আশা করছি আপনার টেকনিক্যাল টার্মগুলো বুঝতে অনেকাংশে সহজ হয়ে উঠবে। আর এই ক্ষেত্রে সেলফ লার্নিং এর গুরুত্ব অপরিহার্য। এখানে কিছু জনপ্রিয় এবং সেলফ লার্নিং এর সহায়ক এমন কিছু অনলাইন বইয়ের লিংক দিলাম যেটা আপনাদের এই ব্যাপারে ধারণা সেই সাথে শিখাতে কাজে দিবে। আর সেই সাথে এর প্রতিটি বই ই জনপ্রিয় সেই সাথে মূল্যবান ও সহায়ক।
১. Web Application Hacker’s Handbook ( https://www.amazon.in/Web-Application.../dp/8126533404 )
২.Mastering Modern Web Penetration Testing ( https://www.amazon.in/Mastering-Modern-Web.../dp/1785284584 )
৩. The Hacker Playbook 1, 2 and 3 ( https://www.amazon.in/Hacker-Playbook.../dp/1494932636 )
৪. The Mobile Application Hacker’s Handbook ( https://www.amazon.in/Mobile-Application.../dp/8126554916 )
৫. Breaking into Information Security ( https://leanpub.com/ltr101-breaking-into-infosec )
৬. Web Hacking 101 ( https://leanpub.com/web-hacking-101 )
বই গুলো প্রিমিয়াম ভার্ষণ এ আছে, চাইলে এই গুলা কিনে ডাউনলোড করে নিয়ে পড়তে পারেন। এই বই গুলো এই সেকটর এর জন্য অনেক মূল্যবান সেই সাথে কাজের। আমি চেষ্টা করবো এই বই গুলো পরবর্তী কোন একটা সময়ে ফ্রিতে দেওয়ার। আজ এইখানেই থাক, এই আর্টিকেলটা লিখতে নেট থেকে সাহায্য নিতে হয়েছে। অনেক লেখায় নেট থেকে নেওয়া। আশাকরি আজকের এই পার্ট থেকে নতুন অনেক কিছুই জানতে পারলেন। আমি চেয়েছিলাম আরও বিস্তারিত আলোচনা করতে কিন্তু পোস্টটা খুব বেশী বড় হয়ে যাবে বিধায় এই পর্যন্তই রাখলাম।
Comments
Post a Comment