ক্লাউডফ্লেয়ারের হুমকি সূচককে রিয়েল-টাইম WAF নিয়মে পরিণত করা

একটি হুমকি সূচক সিস্টেমে প্রবেশ করার সাথে সাথেই নিয়মগুলি ট্র্যাফিক ব্লক করা শুরু করে। এই কর্ম খুব ঝরঝরে দেখায়. গতি দ্রুত, প্রতিক্রিয়া দ্রুত, এবং রিপোর্ট সুন্দর. কিন্তু একবার এই জিনিসটি উৎপাদনে রাখা হলে, আসল অসুবিধা আর নির্দেশককে একটি নিয়মে পরিণত করা নয়, বরং এই নিয়মটিকে ট্রাফিক, মিথ্যা ইতিবাচক এবং রোলব্যাকের সাথে দাঁড়ানো।

আমি যখন রিয়েল-টাইম WAF নিয়মে ক্লাউডফ্লেয়ারের হুমকি সূচকগুলি পড়ি, তখন আমার মনে যা এসেছিল তা ছিল অভিনব শব্দ “বুদ্ধিমত্তা অ্যাক্সেস অটোমেশন” নয়, বরং বেশ কিছু ব্যবহারিক ছবি: একটি আইপি লাল চিহ্নিত করা হয়েছিল এবং দশ মিনিট পরে আটকানো হয়েছিল; একটি ASN উচ্চ ঝুঁকি চিহ্নিত করা হয়েছিল, এবং ফলস্বরূপ, একটি সম্পূর্ণ ভাগ করা প্রস্থান জড়িত ছিল; একটি স্বল্পস্থায়ী আক্রমণের নমুনা সবেমাত্র নিয়ম বেসে প্রবেশ করেছে, এবং আক্রমণের ট্র্যাফিক কেটে দেওয়া হয়েছে, একটি পুরানো নিয়ম যা কার্যকর হতে চলেছে। রিয়েল-টাইম এখানে কেবল গতির বিষয় নয়, এটি নিয়ম জীবনচক্র, ডেটা বিশ্বাসযোগ্যতা এবং স্বভাব দায়িত্বগুলিকে একই উইন্ডোতে সংকুচিত করে।

নিয়মগুলি দ্রুত হতে পারে, তবে প্রত্যাহার করা যেতে পারে

যখন একটি হুমকি নির্দেশক একটি WAF এ প্রবেশ করে, প্রথমে ধৈর্য হারায় সাধারণত আক্রমণকারী নয়, কিন্তু দায়িত্বরত ব্যক্তি। কারণ একবার একটি নিয়ম কার্যকর হয়ে গেলে, যা অনুসরণ করে তা বিমূর্ত “নিরাপত্তা উন্নতি” নয়, তবে নির্দিষ্ট দুর্ঘটনাজনিত আঘাত, আবেদন, রোলব্যাক এবং অডিট। আইপি-স্তরের সূচকগুলি প্রতিনিধিত্ব করা সবচেয়ে সহজ। তাদের একক-পয়েন্ট হিট, সংক্ষিপ্ত বেঁচে থাকার সময় এবং কম পুনরুদ্ধারের খরচ রয়েছে। ASN, নেটওয়ার্ক সেগমেন্ট, TLS ফিঙ্গারপ্রিন্ট এবং অনুরোধ সংমিশ্রণের মতো সূচকগুলি অনেক বেশি সতর্ক। তারা একটি বৃহত্তর এলাকা আবরণ এবং আঘাত যখন আরো কঠিন পার্শ্ব প্রতিক্রিয়া আছে.

এর সত্যিই মূল্যবান অংশ হল যে নিয়মগুলি একবারে লেখা হয় না এবং তারপরে করা হয়, তবে TTL, উত্স, হিট রেঞ্জ এবং পূর্বাবস্থার সাথে প্রদর্শিত হয়। এই ক্ষেত্রগুলি ছাড়া, রিয়েল-টাইম নিয়মগুলি দ্রুত মেয়াদোত্তীর্ণ নিষেধাজ্ঞার রেকর্ডগুলির একটি গুচ্ছে পরিণত হবে৷ আপনি যদি আজ একটি আক্রমণ ব্লক করেন, তাহলে আপনি আগামীকাল সাধারণ ব্যবহারকারীদের ব্লক করা শুরু করবেন। উৎপাদনে সবচেয়ে সাধারণ খারাপ গন্ধ হল যে নিয়মের ভিত্তি ঘন এবং ঘন হচ্ছে, এবং যা ধরে রাখা হয়েছে তা কার্যকর বিচার নয়, কিন্তু ঐতিহাসিক আবেগ।

নির্দেশক স্তর এবং অ্যাকশন স্তরের মধ্যে একটি বাফার রেখে দেওয়া উচিত।

হুমকি সূচকগুলিকে ব্লকের নিয়মে সরাসরি অনুবাদ করা অবশ্যই সবচেয়ে দ্রুত, কিন্তু এই পদক্ষেপটি অনলাইন দুর্ঘটনায় বুদ্ধিমত্তার ত্রুটিগুলিকে প্রসারিত করার জন্যও সবচেয়ে সহজ। একটি আরও স্থিতিশীল পদ্ধতি হল সাধারণত নির্দেশক এবং ক্রিয়াকলাপের মধ্যে বাফারের একটি স্তর রেখে যাওয়া, একই সংকেতকে প্রথমে পর্যবেক্ষণ, চ্যালেঞ্জ এবং গতি সীমার মধ্য দিয়ে যেতে দেয় এবং তারপরে এটিকে সত্যিই ব্লক করতে হবে কিনা তা নির্ধারণ করে। একবার এই বাফার স্তরটি অনুপস্থিত হলে, সূচকগুলি যত দ্রুত আপডেট করা হবে, তত দ্রুত নিয়মগুলি দুর্ঘটনাক্রমে ক্ষতিগ্রস্ত হবে।

যখন বাস্তবে প্রয়োগ করা হয়, নিয়মটি একটি ফ্ল্যাট অন/অফ সুইচ না হওয়াই উত্তম, তবে এমন অবস্থার একটি সেট যা কর্মের তীব্রতা প্রকাশ করতে পারে: প্রথমে রেকর্ড করুন, তারপর চ্যালেঞ্জ করুন, তারপর কারেন্ট সীমিত করুন এবং অবশেষে ইন্টারসেপশনে প্রবেশ করুন। এর সুবিধা সহজবোধ্য, প্রমাণগুলি শক্তিশালী হওয়ার সাথে সাথে নিয়মগুলি ধীরে ধীরে বাড়ানো যেতে পারে এবং প্রমাণগুলি দুর্বল হয়ে গেলে দ্রুত হ্রাস করা যেতে পারে। নিরাপত্তা দলের জন্য, এটি একবারে সমস্ত নিয়ম পূরণ করার চেয়ে বিশ্বাসযোগ্যতা বজায় রাখতে পারে; ব্যবসায়িক দিক থেকে, তারা যখন প্রথম দেখায় তখন তারা অস্বাভাবিক ওঠানামা দেখতে পারে, গ্রাহক পরিষেবার টিকিটগুলি কী ঘটেছে তা খুঁজে বের করার জন্য অপেক্ষা না করে।

{
  "action": "challenge",
  "scope": "path:/login",
  "ttl": "15m",
  "confidence": 0.82
}

এই গঠন সহজ দেখায়, কিন্তু আসলে খুব গুরুত্বপূর্ণ. যখন confidence কম হয়, তখন প্রথমে চ্যালেঞ্জ করা সরাসরি ইন্টারসেপশনের চেয়ে ইঞ্জিনিয়ারিং রায়ের মতো হয়; ttl স্বয়ংক্রিয়ভাবে মেয়াদ শেষ হওয়ার পরে পুরানো তথ্য পাশে ঝুলানো এড়াতে মেয়াদ শেষ হয়ে যায়; scope একটি পাথ বা ট্র্যাফিক সেগমেন্টে ছোট করা হয়েছে যাতে দুর্ঘটনাজনিত ক্ষতির ক্ষেত্রটি অসীমভাবে বাড়ানো না যায়।

পর্যালোচনা ছাড়াই, নিয়মগুলি কেবল দীর্ঘ হবে এবং আবর্জনার স্তূপের মতো দেখাবে৷

রিয়েল-টাইম WAF-এর সবচেয়ে বড় ভয় হল কম হিট রেট নয়, কিন্তু কেউ জানে না যে হিটের পরে কী হয়েছিল। নিয়মগুলি প্রকাশিত হওয়ার পরে, আপনি অবশ্যই তিনটি জিনিসের দিকে ফিরে তাকাতে সক্ষম হবেন: কতগুলি প্রকৃত আক্রমণ অবরুদ্ধ করা হয়েছিল, কতগুলি সাধারণ অনুরোধ দুর্ঘটনাক্রমে নিহত হয়েছিল এবং হিটগুলির পরে নতুন বাইপাস পদ্ধতি ছিল কিনা৷ শুধুমাত্র এই তিনটি জিনিসকে সংযুক্ত করার মাধ্যমেই নিয়মটি কার্যকর ও রক্ষণাবেক্ষণযোগ্য বলে বিবেচিত হতে পারে; তাদের কোনো একটি ছাড়াই, এটি অবশেষে “যেভাবেই হোক প্রথমে এটিকে ব্লক করা” এর একটি জড় কর্মে পরিণত হবে।

এটি হুমকি সূচক অটোমেশনের সবচেয়ে কম অনুমিত অংশ। সূচকের অনেক উত্স থাকতে পারে এবং বুদ্ধিমত্তা আপডেটগুলি ঘন ঘন হতে পারে, তবে একটি স্থিতিশীল প্রতিক্রিয়া লুপ ছাড়াই, নিয়মগুলি সর্বদাই এগিয়ে যাবে৷ একটি সত্যিকারের পরিপক্ক সিস্টেম হিট রেট, রোলব্যাকের সংখ্যা, ম্যানুয়াল রিলিজের সংখ্যা, সম্পর্কিত অ্যালার্ম এবং প্রতিটি নিয়মের ব্যবসায়িক ক্ষতি রেকর্ড করবে। এই মুহুর্তে, নিয়মগুলি আর কেবল সুরক্ষা কনফিগারেশন নয়, তবে একটি প্রমাণ চেইন সহ নিষ্পত্তি রেকর্ড।

টুলের এই সেটটি শুধুমাত্র সেই দলগুলির জন্য উপযুক্ত যাদের ইতিমধ্যে নিষ্পত্তি করার ক্ষমতা রয়েছে৷

রিয়েল টাইমে হুমকি সূচকগুলিকে WAF নিয়মে পরিণত করা সমস্ত পরিস্থিতিতে উপযুক্ত নয়৷ ছোট ট্র্যাফিক, সংকীর্ণ আক্রমণের পৃষ্ঠ এবং দ্রুত যথেষ্ট ম্যানুয়াল অন-ডিউটি ​​সহ সিস্টেমগুলির জন্য, স্ট্যাটিক নিয়ম এবং ম্যানুয়াল আপডেটের উপর নির্ভর করা প্রায়শই আরও বেশি সমস্যাজনক। যাদের সত্যিই এই ক্ষমতা প্রয়োজন তারা সাধারণত ভারী ট্র্যাফিক, উচ্চ আক্রমণের ঘনত্ব, ঘন ঘন নিয়ম পরিবর্তন, এবং ইতিমধ্যেই লগ, পর্যালোচনা এবং দায়িত্ব প্রক্রিয়া আছে।

একবার এই ধরনের সিস্টেম প্রয়োগ করা হলে, মান শুধুমাত্র “দ্রুত থামানো” নয়। আরও গুরুত্বপূর্ণ হল নিরাপত্তা নিষ্পত্তিকে এককালীন ম্যানুয়াল রায় থেকে একটি প্রত্যাহারযোগ্য, পর্যালোচনাযোগ্য এবং গ্রেডেবল এক্সিকিউশন চেইনে রূপান্তর করা। এটি করার ক্ষেত্রে ক্লাউডফ্লেয়ারের মতো একটি প্ল্যাটফর্মের সুবিধা হল যে এটি আরও হুমকির সংকেত পেতে পারে তা নয়, তবে এটি নিয়ম স্তরে সংকেতগুলিকে ঠেলে দেওয়ার ক্ষমতা রাখে এবং তারপরে নিয়ম স্তরটিকে আবার পর্যবেক্ষণ, রোলব্যাক এবং অডিট করার সাথে সংযুক্ত করে। এই চেইন ছাড়া, রিয়েল-টাইম শুধুমাত্র ত্রুটিগুলি দ্রুত ঘটবে; এই চেইন সঙ্গে, নিয়ম সত্যিই উত্পাদন প্রবেশ করতে পারেন.