আধুনিক সাইবার নিরাপত্তা: Zero Trust, গোপনীয়তা ও AI নিরাপত্তা কোর্স

আধুনিক সাইবার নিরাপত্তা হল প্রকৌশলী ও নিরাপত্তা অনুশীলনকারীদের জন্য একটি প্রিমিয়াম, প্রায় ৫.৭ ঘণ্টার সাইবার নিরাপত্তা কোর্স — Zero Trust, passkeys, গোপনীয়তা প্রকৌশল, threat detection, AI/LLM নিরাপত্তা এবং software supply-chain প্রতিরক্ষার উপর একটি গভীর, আপ-টু-ডেট গাইড। এটি সেই মানসিক মডেল যা Google, Microsoft, Apple এবং Cloudflare-এর প্রকৌশলীরা আসলে কোটি কোটি ব্যবহারকারীকে সুরক্ষিত করার নিয়ন্ত্রণ তৈরি করতে ব্যবহার করে।

২০২২ সালের সেপ্টেম্বরে, একজন ১৮ বছর বয়সী একটি পাসওয়ার্ড দিয়ে Uber-এর নেটওয়ার্কে লগ ইন করেছিল যা সে একটি স্যান্ডউইচের দামেরও কম দামে কিনেছিল। পনেরো বছরের সোনার মান — মাল্টি-ফ্যাক্টর অথেন্টিকেশন — একটি মাত্র হোয়াটসঅ্যাপ মেসেজের কাছে হার মানে। কোনো জিরো-ডে নয়। কোনো রাষ্ট্র-অভিনেতা নয়। একজন কিশোর এবং একজন ক্লান্ত ঠিকাদার।

এই ব্রিচটি দিয়েই এই কোর্স শুরু হয়, কারণ এটি সেই প্রশ্ন উত্থাপন করে যা এখন প্রতিটি নিরাপত্তা স্থপতি লড়াই করছে: যদি নিখুঁত MFA এখনও একটি ফোন কলের কাছে হার মানে, তবে ভালো নিরাপত্তা আসলে কেমন দেখায়?

এটি সার্টিফিকেশন প্রস্তুতি নয়, এবং এটি শিক্ষানবিস তত্ত্বও নয়। এটি হল বিশ্বের সবচেয়ে বেশি আক্রান্ত কোম্পানিগুলি বাস্তবে কীভাবে প্রতিরক্ষা করে — বিপণনের ডেকের চেয়ে এক স্তর গভীরে, প্রকৃত ব্রিচগুলির মাধ্যমে যা প্রতিটি প্রতিরক্ষাকে অস্তিত্বে আসতে বাধ্য করেছিল।

---

এই সাইবার নিরাপত্তা কোর্সটি কার জন্য

এই সিরিজটি সফটওয়্যার প্রকৌশলী, নিরাপত্তা প্রকৌশলী এবং অনুশীলনকারীদের জন্য তৈরি যারা ইতিমধ্যে বোঝেন যে HTTPS কী করে এবং MFA কী বোঝায়, এবং সিনিয়র-স্তরের আর্কিটেকচার জ্ঞান চান যা শিরোনামগুলিকে বোঝাপড়ায় পরিণত করে।

শেষ পর্যন্ত, আপনি আপনার দলের সেই ব্যক্তি হবেন যিনি একটি নতুন ব্রিচ প্রকাশ পড়তে পারেন এবং তৎক্ষণাৎ দেখতে পারেন যে রক্ষাকারীরা কী মিস করেছেন।

এই কোর্সটি আপনার জন্য সঠিক যদি আপনি:

• প্রোডাকশন সিস্টেম তৈরি, পরিচালনা বা রক্ষা করেন এবং একজন স্থপতির মতো নিরাপত্তা সম্পর্কে যুক্তি দিতে চান
• Scattered Spider, Volt Typhoon, prompt injection, বা XZ backdoor সম্পর্কে পড়তে থাকেন এবং সত্যিই সেগুলি বুঝতে চান
• বিমূর্ত ফ্রেমওয়ার্ক নয় — সোমবার সকালে বাস্তবায়নযোগ্য কংক্রিট পদক্ষেপ চান

এটি সঠিক নয় (এখনও) যদি আপনার একেবারে শিক্ষানবিস-স্তরের পরিচিতি বা সার্টিফিকেশন ক্র্যাম প্রয়োজন হয়। আমরা মৌলিক বিষয়গুলি ধরে নিয়ে সরাসরি গভীরতায় যাই।

---

আপনি কী শিখবেন

তিনটি শক্তভাবে সংযুক্ত ভিডিও, প্রতিটি একটি বাস্তব নামকৃত ঘটনা দিয়ে শুরু, আর্কিটেকচারের শিক্ষা বের করে আনে, এবং এটি সম্পর্কে ঠিক কী করতে হবে তা দিয়ে শেষ হয়।

পার্ট ১ — স্কেলে আইডেন্টিটি: Zero Trust ও passkeys (≈৯৬ মিনিট)

সামনের দরজা: কে প্রবেশ করে, এবং কেন প্রতিটি অন্য প্রতিরক্ষা আইডেন্টিটির উপরে বসে।

• Zero Trust একটি স্লোগান নয়, একটি আর্কিটেকচার হিসেবে আসলে কী বোঝায় (NIST 800-207, CISA-র স্তম্ভ এবং কেন এটি আসলে নিরবচ্ছিন্ন, প্রমাণ-ভিত্তিক বিশ্বাস বোঝায়)
• Google BeyondCorp — প্রথম প্রোডাকশন Zero Trust, এছাড়াও ALTS, Binary Authorization, এবং gVisor
• Microsoft Entra ও Secure Future Initiative — এতটাই গুরুতর ব্রিচ যে মাইক্রোসফট প্রকাশ্যে পুনর্গঠিত হয়েছিল, এবং প্রতিক্রিয়ার পিছনের Conditional Access মডেল
• Cloudflare One — ঠিক যে ক্রিপ্টোগ্রাফিক কারণে FIDO2 হার্ডওয়্যার কীগুলি ১৩০টি অন্যান্য কোম্পানিকে ভেঙে দেওয়া ফিশিং ক্যাম্পেইনকে হার মানিয়েছিল
• passkeys এবং WebAuthn, সঠিকভাবে ব্যাখ্যা করা — অরিজিন বাইন্ডিং, সিঙ্কড বনাম ডিভাইস-বাউন্ড, এবং পাসওয়ার্ড চুরির আসল শেষ
• Okta ব্রিচ, Scattered Spider, এবং Snowflake তরঙ্গ — কীভাবে আধুনিক আক্রমণকারীরা ক্রিপ্টোগ্রাফি এড়িয়ে সরাসরি হেল্প ডেস্কে কল করে
• ফেডারেল ফিশিং-প্রতিরোধী MFA আদেশ, WebAuthn Level 3, OAuth 2.1, এবং AI-এজেন্ট যুগে আইডেন্টিটির ভবিষ্যৎ

পার্ট ২ — বিলিয়ন সুরক্ষিত করা: গোপনীয়তা প্রকৌশল ও threat detection (≈১২২ মিনিট)

যখন আক্রমণকারী ইতিমধ্যে ভিতরে থাকে তখন কী হয় — এবং আপনি যে ডেটা দেখতেও পান না তা কীভাবে সুরক্ষিত করবেন।

• Apple Private Cloud Compute — কীভাবে একটি সার্ভার প্রমাণ করতে পারে যে এটি কখনই আপনার AI প্রম্পট পড়েনি, এবং কেন Apple ভুল প্রমাণ করতে পারে এমন যে কেউকে $1M পর্যন্ত দিয়েছিল
• differential privacy এবং federated learning — ডেটা ব্যবহার করে তা কখনই না দেখে
• end-to-end encryption — Signal Protocol, Advanced Data Protection এবং ব্যাকডোরের রাজনীতি
• threat intelligence — Microsoft কীভাবে ৩০০+ রাষ্ট্র-সমর্থিত হ্যাকিং গ্রুপের নাম দেয় এবং ট্র্যাক করে
• Volt Typhoon এবং Salt Typhoon — জটিল অবকাঠামোর ভিতরে প্রি-পজিশনিংয়ের নতুন যুগ
• ITDR, modern SOC, detection-as-code, এবং security data lake
• CrowdStrike বিভ্রাট — যেদিন একটি আপডেট ৮.৫ মিলিয়ন মেশিনকে নামিয়ে দিয়েছিল, এবং রক্ষার আসল দাম কী

পার্ট ৩ — নতুন সীমান্ত: AI নিরাপত্তা ও software supply chain (≈১২৪ মিনিট)

যে দুটি ক্ষেত্র যেখানে আক্রমণকারী এবং রক্ষাকারীরা এখনও নিয়ম লিখছে — লাইভ, প্রোডাকশনে।

• EchoLeak — একটি প্রোডাকশন AI এজেন্টের বিরুদ্ধে প্রথম জিরো-ক্লিক prompt injection: একটি ইমেইল, জিরো ক্লিক, আপনার সম্পূর্ণ শেয়ারপয়েন্ট
• LLM অ্যাপ্লিকেশনের জন্য OWASP Top 10 (2025) এবং কেন prompt injection হল নতুন SQL injection
• কীভাবে বড় AI ল্যাবগুলি আসলে তাদের মডেল রক্ষা করে — সুরক্ষা ফ্রেমওয়ার্ক, red teams এবং MITRE ATLAS
• Agentic AI নিরাপত্তা — যখন সহকারীরা কাজ করা শুরু করল তখন অ্যাটাক সারফেস দ্বিগুণ হয়ে গেল
• model theft and distillation
• software supply chain নিরাপত্তা — SolarWinds, Log4Shell এবং XZ backdoor-এর সম্পূর্ণ গল্প, পৃথিবীর প্রায় প্রতিটি সার্ভারকে আপস করার কয়েকদিনের মধ্যে যে প্রায়-মিস
• আসল প্রতিরক্ষা: SLSA, Sigstore, SBOM এবং reproducible builds

---

কেন এই সাইবার নিরাপত্তা কোর্স আলাদা

বিমূর্ততার উপর নয়, বাস্তব ঘটনার উপর নির্মিত। প্রতিটি ধারণা একটি নামকৃত ব্রিচ, একটি বাস্তব CVE এবং সুনির্দিষ্ট নিয়ন্ত্রণের সাথে যুক্ত যা এটি বন্ধ করতে পারত।

বর্তমান ও প্রাসঙ্গিক। এটি নিরাপত্তা আজ কোথায় দাঁড়িয়ে আছে তার একটি নির্দিষ্ট স্ন্যাপশট — বর্তমানে কার্যকর নিয়ম, পাঠানো পণ্য এবং এখনই সক্রিয় ক্যাম্পেইনগুলি।

আর্কিটেকচার-গভীর, প্রাথমিক উৎস সহ। NIST 800-207, BeyondCorp পেপার, Cyber Safety Review Board-এর প্রতিবেদন, OWASP এবং MITRE-এর উদ্ধৃতি — যাতে আপনি ভিডিও শেষ হওয়ার পরে শেখা চালিয়ে যেতে পারেন।

তুচ্ছ বিষয়ের চেয়ে পদক্ষেপ। প্রতিটি অংশ শেষ হয় সোমবার সকালে আপনি প্রয়োগ করতে পারেন এমন একটি কংক্রিট কার্যক্রমের ক্রম নিয়ে, আপনি ফরচুন ৫০০ বা একজন-ব্যক্তির SaaS রক্ষা করুন না কেন।

---

কী অন্তর্ভুক্ত

• তিনটি প্রিমিয়াম ভিডিও (~৫.৭ ঘণ্টার গভীর নির্দেশনা)
• এককালীন ক্রয়, আজীবন অ্যাক্সেস — একবার কিনুন, চিরকাল রাখুন
• সম্পূর্ণ সিরিজ, ক্রমানুসারে দেখার জন্য ডিজাইন করা হয়েছে, প্রতিটি ভিডিও আগেরটির উপরে নির্মিত

"শেষ পর্যন্ত, বর্ণমালার স্যুপ — WebAuthn, FIDO2, OAuth, ZTNA, ITDR, SLSA, SBOM — সবকিছু বাস্তব মনে হবে। আপনি জানবেন প্রতিটি কীসের জন্য, এটি স্ট্যাকের কোথায় বসে এবং এর অনুপস্থিতি কী সমস্যা তৈরি করে।"

---

প্রায়শই জিজ্ঞাসিত প্রশ্ন

এই সাইবার নিরাপত্তা কোর্সটি কি শিক্ষানবিসদের জন্য? না। এটি প্রকৌশলী ও অনুশীলনকারীদের জন্য একটি অগ্রসর কোর্স। আমরা ধরে নিই আপনি ইতিমধ্যে HTTPS এবং MFA বোঝেন, তারপর কীভাবে বৃহৎ-স্কেল প্রতিরক্ষা আসলে নির্মিত হয় তার একটি স্তর গভীরে যাই।

আমার কী পটভূমি প্রয়োজন? ওয়েব এবং প্রমাণীকরণ কীভাবে কাজ করে তার একটি কার্যকারী জ্ঞান। আপনি যদি ব্যাখ্যা করতে পারেন HTTPS এবং MFA কী করে, আপনি প্রস্তুত।

উপকরণটি কি আপ-টু-ডেট? হ্যাঁ। সিরিজটি সবচেয়ে সাম্প্রতিক ব্রিচ, নিয়ম ও প্রতিরক্ষা কভার করে, যার মধ্যে AI/LLM নিরাপত্তা এবং software supply-chain অ্যাটাক ২০২৫-২০২৬ পর্যন্ত অন্তর্ভুক্ত।

আমি কি আজীবন অ্যাক্সেস পাই? হ্যাঁ। এটি তিনটি ভিডিওর আজীবন অ্যাক্সেস সহ এককালীন ক্রয়।

এটি কি আমাকে সার্টিফিকেশন পাস করতে সাহায্য করবে? এটি পরীক্ষা-কেন্দ্রিক নয়, তবে Zero Trust, আইডেন্টিটি, গোপনীয়তা প্রকৌশল, detection এবং supply-chain নিরাপত্তার গভীরতা বেশিরভাগ আধুনিক নিরাপত্তা সার্টিফিকেশনের পিছনের ধারণাগুলিকে মজবুত করে।

---

এখনই তিনটি ভিডিও পান → nikandr.com/cybersecurity