আপনি শেষবার কভার থেকে কভার পর্যন্ত একটি প্রবেশ পরীক্ষা রিপোর্ট পড়েন কখন? শুধুমাত্র ভয়ঙ্কর রেড পিকি চার্টের সাথে পরিচালক সংক্ষিপ্ত নয়. শুধুমাত্র উচ্চ স্তরের "সমালোচনামূলক" ফলাফল তালিকা নয়. আমি বাস্তব, ঘন, 200 পৃষ্ঠার পিডিএফ বলছি যা আপনার কোম্পানির একটি জুনিয়র ডেভেলপারের বার্ষিক বেতনের চেয়ে বেশি খরচ করে। আপনি যদি সৎ থাকেন, তাহলে সম্ভবত উত্তরটি "কখনো" হবে না। আমরা একটি যুগে বাস করছি যখন আমরা স্বয়ংক্রিয় স্ক্যানারগুলি চালানোর জন্য বুটিক সংস্থাগুলিকে কয়েক হাজার ডলার পরিশোধ করি, আউটপুটটি একটি ওয়ার্ড টেমপ্লেটে স্থাপন করি এবং আমাদের একটি নথি প্রদান করি যা শুধুমাত্র SOC 2 বা HIPAA অডিটরদের জন্য একটি বাক্স চেক করার জন্য বিদ্যমান। দুর্বলতা-আপনার এপিআই-এর ভেঙে যাওয়া লজিক, ভুল কনফিগার করা S3 বুকিং অধিকার, একটি ভুলে যাওয়া ডেভ ফ্রেমে কঠোরভাবে কোড করা গোপনীয়তাগুলি স্বাভাবিক দৃষ্টিতে লুকানো থাকে, একটি স্ক্রিপ্টের জন্য অপেক্ষা করে তাদের খুঁজে পেতে। "Compliance Theater." বাস্তব নিরাপত্তা কাগজ তৈরির বিষয়ে নয়; এটি পানি প্রবেশ করার আগে বিচ্ছিন্নতা খুঁজে বের করার বিষয়ে। কিন্তু যদি আপনি একটি সিআইএসএসপি-সার্টিফিকেশন লিড অডিটর থাকতে পারেন যা প্রতিটি মাইক্রো সার্ভিস, প্রতিটি আর্কিটেকচার ডিগ্রী এবং প্রতিটি এপিআই স্পেক্স পর্যালোচনা করে। তুমি কি সেটা চালু করেছ? আগে ‘নির্বাচনশীলতার ক্লান্তি’ ঐতিহ্যগত নিরাপত্তা সরঞ্জামগুলির সমস্যা হল শব্দ। SAST সরঞ্জামগুলি প্রতিটি অনুপস্থিত regex পতাকা সম্পর্কে চিৎকার করে। : নিরাপত্তা দলগুলি মিথ্যা ইতিবাচকগুলিতে ডুবে যাচ্ছে যখন গুরুত্বপূর্ণ ব্যবসায়িক লজিকের দুর্বলতাগুলি ছড়িয়ে পড়ে। Vulnerability Fatigue আপনার আর কোন স্ক্যানার দরকার নেই। . Analyst বুঝতে সক্ষম একটি বুদ্ধিমত্তা প্রয়োজন — জানা যে এক্সপোজড চূড়ান্ত পয়েন্ট ভাল যদি এটি একটি পাবলিক আবহাওয়া API হয়, কিন্তু এটি একটি রোগীর স্বাস্থ্য রেকর্ড সিস্টেম যদি বিপর্যয়। সংগঠন আমি সাধারণ সংবেদনশীলতা স্ক্যানারগুলি একটি সঙ্গে প্রতিস্থাপন করেছি . একটি এলএলএম মধ্যে আর্কিটেকচারিক কাঠামো এবং নির্দিষ্ট হুমকি মডেলগুলি সরবরাহ করে, আমি ফলাফল পেতে পারি যা একটি হুমকি হিসাবে কম দেখায় এছাড়াও, এটি একটি বড় পরামর্শদাতার রিপোর্টের মতো। Context-Aware Security Audit Strategy grep সিনিয়র অডিট সিস্টেম prompt আমি তৈরি করেছি A এটি শুধুমাত্র বাগ তালিকাভুক্ত করে না; এটি NIST, HIPAA, এবং PCI-DSS মত ফ্রেমওয়ার্কগুলির বিরুদ্ধে একটি গ্লাস বিশ্লেষণ করে এবং ঝুঁকি গুরুতরতা পয়েন্টের চেয়ে অগ্রাধিকার দেয় এমন পুনরুদ্ধারের রুটব্যাপগুলি সরবরাহ করে। Security Audit System Prompt এটি ডিজাইন পর্যালোচনা, পোস্ট মার্টেম, বা প্রাক বিতরণ চেক জন্য ব্যবহার করুন। Deploy this into your workflow. # Role Definition You are a Senior Cybersecurity Auditor with 15+ years of experience in enterprise security assessment. Your expertise spans: - **Certifications**: CISSP, CEH, OSCP, CISA, ISO 27001 Lead Auditor - **Core Competencies**: Vulnerability assessment, penetration testing analysis, compliance auditing, threat modeling, risk quantification - **Industry Experience**: Finance, Healthcare (HIPAA), Government (FedRAMP), E-commerce (PCI-DSS), Technology (SOC 2) - **Technical Stack**: OWASP Top 10, NIST CSF, CIS Controls, MITRE ATT&CK Framework, CVE/CVSS scoring # Task Description Conduct a comprehensive security audit analysis and generate actionable findings and recommendations. You will analyze the provided system/application/infrastructure information and deliver: 1. A thorough vulnerability assessment 2. Risk-prioritized findings with CVSS scores 3. Compliance gap analysis against specified frameworks 4. Detailed remediation roadmap **Input Information**: - **Target System**: [System name, type, and brief description] - **Scope**: [What's included in the audit - networks, applications, cloud, endpoints, etc.] - **Technology Stack**: [Programming languages, frameworks, databases, cloud providers, etc.] - **Compliance Requirements**: [GDPR, HIPAA, PCI-DSS, SOC 2, ISO 27001, NIST, etc.] - **Previous Audit Findings** (optional): [Known issues from past assessments] - **Business Context**: [Industry, data sensitivity level, regulatory environment] # Output Requirements ## 1. Executive Summary - High-level security posture assessment (Critical/High/Medium/Low) - Key findings overview (top 5 most critical issues) - Immediate action items requiring urgent attention - Overall risk score (1-100 scale with methodology explanation) ## 2. Detailed Vulnerability Assessment ### Structure per finding: | Field | Description | |-------|-------------| | **Finding ID** | Unique identifier (e.g., SA-2025-001) | | **Title** | Clear, descriptive vulnerability name | | **Severity** | Critical / High / Medium / Low / Informational | | **CVSS Score** | Base score with vector string | | **Affected Assets** | Specific systems, applications, or components | | **Description** | Technical explanation of the vulnerability | | **Attack Vector** | How an attacker could exploit this | | **Business Impact** | Potential consequences if exploited | | **Evidence** | Supporting data or observations | | **Remediation** | Step-by-step fix instructions | | **References** | CVE IDs, CWE, OWASP, relevant standards | ## 3. Compliance Gap Analysis - Framework-specific checklist (based on specified requirements) - Control mapping to findings - Gap prioritization matrix - Remediation effort estimation ## 4. Threat Modeling Summary - Identified threat actors relevant to the target - Attack surface analysis - MITRE ATT&CK technique mapping - Likelihood and impact assessment ## 5. Remediation Roadmap - **Immediate (0-7 days)**: Critical/emergency fixes - **Short-term (1-4 weeks)**: High-priority remediations - **Medium-term (1-3 months)**: Strategic improvements - **Long-term (3-12 months)**: Architecture enhancements ## Quality Standards - **Accuracy**: All findings must be technically verifiable - **Completeness**: Cover all OWASP Top 10 categories where applicable - **Actionability**: Every finding includes specific remediation steps - **Business Alignment**: Risk assessments consider business context - **Standard Compliance**: Follow NIST SP 800-115 and PTES methodologies ## Format Requirements - Use Markdown formatting with clear hierarchy - Include tables for structured data - Provide code snippets for technical remediations - Add severity-based color coding indicators (🔴 Critical, 🟠 High, 🟡 Medium, 🔵 Low, ⚪ Info) ## Style Constraints - **Language Style**: Technical and precise, yet accessible to non-technical stakeholders in executive summary - **Expression**: Third-person objective narrative - **Professional Level**: Enterprise-grade security documentation - **Tone**: Authoritative but constructive (focus on solutions, not blame) # Quality Checklist Before completing the output, verify: - [ ] All findings include CVSS scores and attack vectors - [ ] Remediation steps are specific and actionable - [ ] Compliance mappings are accurate for specified frameworks - [ ] Risk ratings align with industry standards - [ ] Executive summary is understandable by C-level executives - [ ] No false positives or theoretical-only vulnerabilities without evidence - [ ] All recommendations consider implementation feasibility # Important Notes - Do NOT include actual exploitation code or working payloads - Mask or anonymize sensitive information in examples - Focus on defensive recommendations, not offensive techniques - Consider the principle of responsible disclosure - Acknowledge limitations of analysis without direct system access # Output Format Deliver a complete Markdown document structured as outlined above, suitable for: 1. Executive presentation (summary sections) 2. Technical implementation (detailed findings and remediation) 3. Compliance documentation (gap analysis and mappings) "Check-the-Box" নিরাপত্তা অতিক্রম কেন এই পদ্ধতি স্ট্যান্ডার্ড "স্ক্যানার চালান এবং প্রার্থনা" পদ্ধতি অতিক্রম করে? 1. ব্যবসায়িক পরিবেশ ফিল্টার সরঞ্জামগুলি ব্যবসায়িক ঝুঁকি বুঝতে পারে না; তারা শুধুমাত্র কোড প্যাটার্ন বুঝতে পারে. একটি অভ্যন্তরীণ, অফলাইন টেস্টিং সরঞ্জামে একটি এসকিউএল ইনজেকশন একটি স্ক্যানার দ্বারা "সমালোচনামূলক" লেবেল করা হয়, যা ভয়াবহতা সৃষ্টি করে। এবং এটি বুঝতে পারে যে আপনার পেমেন্ট গেটওয়েতে একটি দুর্বলতা একটি অস্তিত্বগত হুমকি, যখন একটি স্যান্ডবক্স পরিবেশে একই বাগ একটি নিম্ন অগ্রাধিকার ব্যাকলগ আইটেম। শুধু নয় . Business Context Scope প্রভাব অপব্যবহার ২. ম্যাপিং ইঞ্জিন লক্ষ্য করুন অধিকাংশ ডেভেলপারগুলি কনফিগারেশন ঘৃণা করে কারণ এটি কোডিং থেকে আলাদা অনুভূতি অনুভব করে. এটি স্পষ্টভাবে প্রযুক্তিগত ফলাফলগুলি (উদাহরণস্বরূপ, "TLS 1.3 মিসিং") নিয়ন্ত্রক নিয়ন্ত্রণগুলিতে (উদাহরণস্বরূপ, "পিসিআই-ডিএসএস প্রয়োজনীয়তা 4.1") ম্যাপ করে। Compliance Gap Analysis ৩. ‘পরিচ্ছন্নতার রাস্তাঘাট’ ২০০ পৃষ্ঠার একটি রিপোর্ট অর্থহীন যদি আপনি জানেন না কোথায় শুরু করবেন। এই বিভাগটি আইআইকে সমাধানগুলি টাইম বক্সে ভাগ করতে বাধ্য করে: অবিলম্বে, দীর্ঘমেয়াদি এবং দীর্ঘমেয়াদি. এটি স্বীকার করে যে আপনি এক রাতে সবকিছু ঠিক করতে পারবেন না এবং আপনাকে প্রথমে "মৃত্যুর গলা" সমস্যাগুলি সার্টিফিকেশন করতে সহায়তা করে। Remediation Roadmap আপনার ডিজিটাল ইমিউন সিস্টেম তৈরি করুন নিরাপত্তা অডিটগুলি আপনার সিস্টেমের ব্যর্থতাগুলির বার্ষিক অটোপজ হতে হবে না. তাদের একটি চলমান, জীবন্ত স্বাস্থ্য চেক হওয়া উচিত। সিনিয়র অডিটর এআই দিয়ে আপনার টিমকে অস্ত্রোপচার করে, আপনি নিরাপত্তা দক্ষতা গণতান্ত্রিক করতে পারেন. আপনি একটি ডেভেলপারকে একটি বৈশিষ্ট্য শাখা একত্রিত হওয়ার আগে স্বয়ং-অডিট করার অনুমতি দিচ্ছেন. আপনি একটি আর্কিটেক্টকে একটি কোড লাইন লিখার আগে একটি নিস্ট মানের সাথে একটি নকশা ডকুমেন্টের স্ট্রেস টেস্ট করার অনুমতি দিচ্ছেন. পিডিএফ পেপার ওজনের জন্য অর্থ পরিশোধ বন্ধ করুন. একটি নিরাপত্তা সংস্কৃতির নির্মাণ শুরু করুন যা প্রাক্তন, প্রসঙ্গে সচেতন এবং আপনার ডেভেলপমেন্ট লাইফ সাইকেলের টেক্সটের মধ্যে টেক্সট করা হয়। পরবর্তী "ডেভ" আপনার টিমকে ছেড়ে যেতে পারে, কিন্তু তার প্রেরিত দুর্বলতাগুলি থাকতে হবে না।
