Some recommendation about password from NIST SP 800-63B
What is Domain Takedown Service?
Facebook, Instagram, Twitter/X စတဲ့ Social Media Platform မှာပဲ ဖြစ်ဖြစ် သတင်းမီဒီယာ Website တွေ မှာပဲ ဖြစ်ဖြစ် တခါတလေ ပို့စ် တွေ တက်လာပြီး ပြန် ပျောက်သွားတာမျိုး၊ ကိုယ်တိုင် Social Media Page ရှိတဲ့ သူတွေ ဆို Post ပျက်သွားတာမျိုး ကြုံ ဖူးကြမှာပါ။
အဲ့ဒါမျိုး ဟာ တခုက Platform ရဲ့ ပေါ်လစီနဲ့ ငြိ လို့ ၊ တခုကတော့ ကိုယ်တင်လိုက်တဲ့ Content ဟာ လူတယောက် သို့မဟုတ် အဖွဲ့ အစည်းတခုရဲ့ မူပိုင်ပစ္စည်း ဖြစ်နေတဲ့ အခါ မျိုးမှာ ဖြုတ်ချခံရတာပါ။
အခု ကျတော် ပြောချင်တဲ့ အကြောင်း အရာက ဒုတိယတခု ဖြစ်တဲ့ အဖွဲ့ အစည်းတွေ ရဲ့ မူပိုင်ပစ္စည်းကို ခွင့်ပြုချက်မရထားပဲ တရားမဝင်ခိုးယူ အသုံးပြု နေမှုကို ဘယ်လို နည်းပညာတွေ နဲ့ တားဆီးလဲ ဆိုတာပါပဲ။
"Building a brand may take 10 years, but it can be brought down within 5 minutes" ဆိုတဲ့ စကားကို ကမ္ဘာကျော် သူဌေးကြီး Warren Buffett က ပြောဖူးတယ်လို့ မှတ်ဖူးတာပဲ။
Digital အင်တာနက် ခေတ်မှာ Logo, Photo, Software, Video တွေ ကို မူရင်း ဖန်တီးထားသူ၊ ပိုင်ဆိုင်ထားသူတွေ ရဲ့ ခွင့်ပြု ချက် မရယူပဲ အလွယ်တကူ ကူးယူပြီး အသုံးပြု ကြပါတယ်။
ဒီအခါမှာ မူရင်း ဖန်တီးသူ၊ ပိုင်ဆိုင်ထားသူ တွေ ဟာ သူတို့ Customer Trust ကျဆင်းခြင်း ၊ ရသင့်တဲ့ အကျိုးအမြတ် များ ဆုံးရှံးခြင်း၊ Reputation ကျဆင်းခြင်း စတဲ့ နစ်နာမှုတွေ တသီတတန်းကြီး ခံစားရပါတယ်။
ဒါမျိုး အလွဲသုံးစားလုပ်မှု၊ တရားမဝင်ခိုးယူသုံးစွဲမှု တွေ ကို ကာကွယ်တားဆီးဖို့ ဆိုရင် AI ခေတ်မှာ Automatic Domain Takedown Service ဆိုတာမျိုးတွေ ရှိပါတယ်။
အဲ့ဒီ Service က ဘာတွေ လုပ်ပေးလဲ ဆိုတော့
1) Monitoring and Detection
အဆင့်မြင့် Algorithms နဲ့ Automatic Web Crawler တွေ၊ မူပိုင် ပစ္စည်း တွေ နဲ့ သင်ကြားထားတဲ့ Machine Learning တွေ ၊ Real-time monitoring တွေ သုံးပြီး အင်တာနက်ကို စဉ်ဆက်မပြတ် scan လုပ်ပါတယ်။
2) Evidence Accumulation
Trained Machine Learning နဲ့ Train ထားတဲ့ AI ကနေ ပြီးတော့ တရားမဝင် ခိုးယူ အသုံးပြု ထားတဲ့ Content တွေ ကို တွေ့ တာနဲ့ Screenshot, Video Recording, Audio Recording, Content ရဲ့ URL အစရှိတာတွေ နဲ့ သက်သေ မှတ်တမ်းယူပါတယ်။
3) Stakeholder Identification and Automated Engagement
ရယူထားတဲ့ သက်သေ မှတ်တမ်းများကို သက်ဆိုင်ရာ Stakeholder များကို တင်ပြ အကြောင်းကြား ခြင်း နဲ့ လိုအပ်သလို လုပ်ဆောင်ဖို့ အသိပေးခြင်း ကို လုပ်ပါတယ်။
Facebook မှာ တင်ထားတာဆို Facebook Team, Blog/Website ပေါ် မှာ တင်ထားတာဆို Hosting Provider, Domain Registrar တို့ကို အကြောင်းကြားပြီး Follow-up action လုပ်ခိုင်းတာပါ။
4) Legal Interventions
တကယ်လို့ ဆိုင်ရာ Stakeholder တွေက follow-up action လုပ်ဖို့ ပျက်ကွက်ခဲ့တာနဲ့ တရားဥပဒေ ဆိုင်ရာ လုပ်ထုံး လုပ်နည်းတွေ နဲ့ ဆက်လက်လုပ်ဆောင် ခြင်း (DMCA (Digital Millennium Copyright Act) လိုမျိူး တွေ သုံးပြီး follow-up action လုပ်ဖို့ notice စာ ပို့တာမျိုး ) ကို လုပ်ပါတယ်။
5) Post-takedown Monitoring
ကိုယ့် ရဲ့ မူပိုင် ပစ္စည်း ကို တရားမဝင်အသုံးပြု နေခြင်း က နေ ဖြုတ်ချ နိုင်ခဲ့ ပြီး တဲ့ နောက်မှာ အလားတူ လုပ်ရပ်မျိုး ထပ် ကျူးလွန်ခြင်း မရှိအောင် ဆက်ပြီး စောင့်ကြည့် ခြင်းကို လုပ်ပါတယ်။
ဒီလို အလုပ်တွေ ကို အရင်ကဆို လူ့ စွမ်းအား အရင်းအမြစ် များစွာ၊ အချိန်များစွာ အသုံးပြု ပြီး မှ လုပ်လို့ရနိုင်တာပါ။
အခု AI ခေတ်မှာတော့ ဒါမျိုးတွေ ကို မိနစ်ပိုင်း နာရီပိုင်း အတွင် အလိုအလျောက် လုပ်ပေးနိုင်တဲ့ Services/Tool တွေ အမြောက်အမြား ရှိနေပါပြီ။
လေ့ လာ ထားမိ သလောက် ထဲက နာမည်ကျော်ကြား လူသုံးများတဲံ Automatic Domain Take Down Service တွေ ကတော့
1. ZeroFOX’s Domain Takedown Service
2.Cloudsek Takedown Service
3.Phishfort
4.Bolster Automated Takedown Service
5.Styx Takedown Service
6.SiteTakeDown Service
7. BrandShield
8. BrandVerity
9. Fortra PhishLabs
10. Recorded Future Brand Intelligence
11. Red Points
တို့ပဲ ဖြစ်ပါတယ်။
ကဲ...သင်ဟာ Cybersecurity Professional တယောက်လဲ ဖြစ်တယ်။ သင့် Organization ရဲ့ Copyrighted Materials, Trade Secret အစရှိတဲ့ မူပိုင်ပစ္စည်းတွေ၊ Brand Impersonation လို Reputation အတွက် အရေးကြီးတာတွေ ကို ကာကွယ်ဖို့ လဲ တာဝန်ရှိနေပြီ ဆိုရင် သင်ရော ဘယ်လို Automatic Domain Takedown Service မျိုးကို ရွေးချယ်သုံးမလဲ။ သုံးနေပြီလဲ။
စျေးကတော့ မသေးဘူးဗျို့ ။
ပျော်ရွှင်ပါစေဗျာ။
(Be knowledgeable, pass it on then)
Blue-Green and Canary Deployment
Continuous Integration, Continuous Development Cloud Computing , DevOps လောကမှာတော့ Blue-Green Deployment နဲ့ Canary Deployment ဆိုတာ မသိမဖြစ်တွေ ပါပဲ။
လူတိုင်း ကွန်ပျူတာကို လက်ပတ်နာရီလို၊ ဖုန်းလို သယ်သွားနေတဲ့ Digital ခေတ်မှာ အသုံးပြု သူတွေ အတွက် No/Low downtime application တွေ ဟာ လိုအပ်လာပါတယ်။
ဒီအတွက် Application တွေ Host လုပ်တဲ့ Infrastructure သမားတွေ ဟာလဲ Application Developer များ အတွက် No/Low downtime Environment တွေ ရှိနေဖို့ လုပ်ဆောင်ထားပေးဖို့ လိုအပ်လာပါတယ်။
ဒီလို လုပ်ထားပေးဖို့ ဆိုရင် အပေါ် က Blue-Green Deployment နဲ့ Canary Deployment ဆိုတာကို ပြည့်ပြည့် ဝဝ နားလည်ဖို့ လဲ လိုပါတယ်။
Blue-Green Deployment တခု လုပ်ဖို့ ဆိုရင်
Blue နဲ့ Green environment တထပ်တည်း တူတဲ့ Infrastructure ရှိနေရမှာ ဖြစ်ပြီး၊
Developer က Green Environment မှာ New Version release လုပ်ပြီး စမ်း၊
Blue Environment က Production Live Traffic ကို Handle လုပ်။
New version release လုပ်လို့ ရပြီ ဆိုတဲ့ အချိန်မှာ Blue Environment က Traffic ကို Green Environment ကို Transfer လုပ်ပေးခြင်း ဖြင့် no/low dowmtime application တခု ရနိုင်ပါတယ်။
အလားတူ Blue မှာ စမ်း Green မှာ release လုပ်နဲ့ တလှည့်စီ သွားနေတာကို support လုပ်နေရမှာ ပါ။
ဒါကို ပဲ Blue-Green Deployment လို့ ခေါ် တာပါပဲ။
ကျတော်တို့ Facebook သုံးရင်း နဲ့ တချို့ Feature အသစ်တွေ ကိုယ့်ဆီမှာ ပေါ် နေပြီး ကိုယ့် သူငယ်ချင်းဆီမှာ ရ မနေတာမျိုး၊ သူများတွေ ဆီမှာ Feature အသစ်တွေ ရနေပြီး ကိုယ့်မှာ ရ မနေ တာမျိုး ကြုံဖူးကြမှာ ပါ။
အဲ့ဒီလို ဖြစ်အောင် လုပ်ထား တာကို Feature Toggle/ Feature Flag လို့ ခေါ် ပြီး၊ လူတိုင်းမှာ ရမနေပဲ Random user တွေ မှာပဲ ရနေအောင် လုပ်ထားတာကိုတော့ Canary Development လို့ ခေါ် ပါတယ်။
Application Developer တွေ အနေနဲ့ တကယ့် Production မှာ deploy လုပ်စရာ မလိုပဲ
ဒီ Feature Flag ကို on/off လုပ်ပေး နိုင်ခြင်း ဖြင့် application နဲ့ user တွေ ရဲ့ Behaviour ကို အမှားနည်းနည်းနဲ့ အချိန်မကုန်ပဲ လေ့ လာ ပြု ပြင် ထိန်းသိမ်းနိုင်ပါတယ်။
ဒီတော့ အပေါ် က Deployment ၂ မျိုးမှာ
Blue-Green Deployment ကတော့ Live Traffic ကို Environment ၂ ခု ကြားမှာ 100% Switch လုပ်ပေးတာနဲ့ ၊
Canary Deployment မှာကတော့ Random user အနည်းငယ်အတွက် Traffic ကို ခွဲထုတ်ပေးတာ ကွာခြားသွားတာပါ။
တကယ်လို့ သင်ဟာ CICD ကို ရှယ်ပလန်နဲ့ သုံးနေတဲ့ အလုပ်တခုမှာ DevOps သမား၊ Infra သမားတယောက် ဖြစ်နေမယ်ဆိုရင် ဒီ နည်းလမ်းတွေ ကို ရင်းနှီးနေရမှာ ဖြစ်ပြီး လိုအပ်တဲ့ Infra ကို သေချာ support ပေး နိုင်ရမှာပဲဖြစ်ပါတယ်။
AWS မှာ ဆိုရင် Elastic Beanstalk , Azure မှာဆိုရင် App Service, Google မှာ ဆိုရင် App Engine တွေ နဲ့ ဒီနည်း ၂ မျိုးကို စမ်းကြည့် လို့ရပါတယ်။
အားလုံးပဲ မြန်မာနှစ်သစ်မှာ အသိပညာ အသစ်တွေ နဲ့ ကျန်းမာ ချမ်းသာ ကြပါစေ။
ပျော်ရွှင်ပါစေဗျာ။
(Be knowledgeable, pass it on then)