Wat is "Jarno Baselier Cybersecurity" en wat doen jy?
Jarno Baselier Kuberveiligheid is 'n hoë-gehalte sekuriteit toets en opvoedkundige maatskappy. Ons spesialiseer in die uitvoering van penetrasietoetse (pentests) in industriële omgewings en korporatiewe kantooromgewings.
Jarno Baselier Cybersecurity is in 2022 gestig deur (geen verrassing hier nie) Jarno Baselier. Die maatskappy het begin na baie jare se ondervinding in die veld en omdat die vraag na hoë kwaliteit pentests beduidend is, veral binne industriële omgewings.
Die beveiliging van IT-komponente binne industriële omgewings is iets wat al hoe meer krities raak en nie baie spesialiste het die kennis om hierdie toetse korrek en met die regte mate van sorg uit te voer nie. Aangesien ek al jare in hierdie omgewings (ons noem hulle "OT" of "Operasionele Tegnologie" omgewings) werk en baie opleiding gegee het, het ek besluit dit is tyd om meer organisasies te help deur my dienste aan hulle aan te bied.
Jarno se storie
Toe ek in die kuberveiligheidswêreld begin het, was dit nie so hoofstroom soos vandag nie. Ons praat 2010/2011. Ek het destyds as 'n stelselingenieur by 'n groot tandheelkundige maatskappy in Nederland gewerk. Kubermisdadigers het toegeneem en so ook wetstoepassing. Dink aan GDPG (genoem AVG in Nederland). Aangesien ek met stelselsekuriteit te doen gehad het, wou ek regtig weet en leer hoe aanvallers werk. Want, ons kan net beskerm wat ons weet, reg?
Destyds was daar nie baie sertifisering oor “etiese inbraak” nie. Die een wat destyds uitgestaan het, was ECCouncil's Certified Ethical Hacking. So ek het besluit ek het daardie sertifikaat nodig om in diepte te weet hoe kubermisdadigers werk. Wel, 'n bietjie bederf ... dit was nie so waar nie. Want dit blyk net die begin te wees. Dit was nietemin 'n lekker sertifikaat om in hierdie besigheid te begin. My onderwyser destyds was Tim Pearson. Tim was 'n baie inspirerende mens en het later 'n vriend van my geword. Na die kursus (wat 'n week geduur het) het ek vir Tim lughawe toe gery en hy het my 'n "internale pos" aangebied. Basies het hy gesê "doen die nare werk gratis en ek sal jou die truuks van die handel leer". En so het ek gedoen. Later het ek deelgeneem aan die skryf van die v9-kursus vir die Certified Ethical Hacking-kursus.
Ek het baie geleer hierdie eerste paar jaar. Nie net tegnies nie, maar ek het ook soveel pret gehad om te oefen en te help dat ek geweet het dit is wat ek in die toekoms wou hê. In die daaropvolgende jare het "kubersekuriteit" 'n hot-item geword. Meer en meer oortredings is aan die publiek bekend gemaak (met hulp van die media). Die bewustheid van maatskappye en werknemers het verhoog en aanvallers het meer-en-meer gesofistikeerd geword. Inbraak lyk deesdae niks soos inbraak in die vroeë 2000 nie. Aanvalle is gewoonlik nie meer so maklik nie en verg 'n behoorlike beplanning en 'n hoë vlak van vaardigheid. Omdat aanvallers meer gesofistikeerd raak, moet verdedigers ook aanhou ontwikkel in kennis en vaardigheid. Dit is die ewigdurende "kat en muis"-speletjie wat soortgelyk is aan wat tussen misdadigers en die polisie gebeur.
So dit was wat ek gedoen het in die jare wat gevolg het. Ek het probeer om soveel as moontlik te leer en te oefen. Ek het my eie begin blog terug in 2014 en onlangs het ek my eie begin YouTube-kanaal. Albei kanale is Nederlands, maar fokus op die lewering van inhoud van hoë gehalte spesiaal vir aanstootlike sekuriteitspesialiste. Ek glo ons het 'n gedeelde poging om die wêreld 'n beter en veiliger plek te maak. Deur my kennis te deel hoop ek om ander te help sodat hulle kan groei en nuwe kennis op hul eie kan deel. Dit is die skoonheid van die kuberveiligheidswêreld. Daar is soveel om te leer dat ek elke dag sal aanhou leer.
My pa het altyd vir my gesê dit maak nie saak wat ek in die lewe sal doen nie, maar om die beste te wees in die ding wat ek gekies het om te doen. So nadat ek meer kennis opgedoen het, het ek by 'n Nederlandse CERT begin werk en ook verskeie penetrasietoetse uitgevoer en meer geleer oor verdediging/monitering van vermoëns.
Elke toets wat ek uitvoer is nie net waardevol vir die maatskappy nie, maar ook vir myself. Soms is hierdie toetse aanstootlik en soms werk ons saam met die sogenaamde “blou span”. Die blou span is die "verdedigende party" wat take verrig soos monitering, reaksie, draadjag, ens. Wanneer die rooi span (ek, die aanvallende party) en die blou span saamwerk, noem ons dit "pers span". Ons sien die afgelope tyd dat "pers span" 'n belangrike deel van goeie sekuriteitstrategie is. Gewoonlik begin ons 'n betrokkenheid met 'n rooispan-benadering en later "speel" ons die lesse wat geleer is saam met die blou span, sodat hulle kan leer en sien wat ons gedoen het en ons kan hulle help om die regte artefakte te vind en funksionele snellers te bou.
Nadat ek baie penetrasietoetse uitgevoer het wat van verskillende omvang verskil (infrastruktuur op die perseel, webtoepassings, wolkinfrastruktuur, bedryfstegnologie) en nadat ek meer sertifikate verwerf het om myself te kwalifiseer (OCSE, OSEP, OSWE, CSA), het ek my kanale nie net gebruik om inligting te deel nie, maar ook om werklik te onderrig. My YouTube-kanaal bevat baie “opvoedkundige” video's wat spesiaal geskep is om my kollegas gratis op te lei. Die kanaal sal vanjaar 100 opvoedkundige video's kry wat 'n verskeidenheid onderwerpe dek en goed is vir 75 uur se opleiding. So wanneer daardie projek klaar is, kan ek oorweeg om 'n "betaalde" opleiding te skep.
Om so lank 'n sosiale kanaal te hê, hou baie voordele in as dit kom by "vertroue" en mense wat bereid is om jou aan te stel. Omdat die groot aanvraag na penetrasietoetsdienste en opleiding verlang, het ek besluit om my eie firma te stig. Dit gee my die vermoë om die werke te neem wat ek baie interessant vind en om te onderrig op die manier wat ek glo die doeltreffendste is. Soms is my meesterklasse 2-4 uur en soms is dit meer intens en word dit oor 'n paar dae versprei. Dit hang af van die vaardigheidsvlak en die aantal deelnemers.
Die uitdagings wat die besigheid/mark in die gesig staar
Uit my oogpunt staar die mark baie uitdagings in die gesig. Van gevorderde aanvalle, stygende koste tot die tekort aan gekwalifiseerde persone. Vir 2023/2024 sien ek 3 hoofuitdagings.
1. Sekuriteit Operasionele Tegnologie in Industriële Omgewings
Vir jare was kuberveiligheid gefokus op alle gereelde IKT-komponente soos Windows-bedryfstelsels, Active Directory-gebruikersorkestrasie, WebApps en algemene protokolle soos TCP/IP. En hoewel baie bates van "gewone" IKT binne industriële outomatisering gevind word, bly hierdie veld heeltemal anders. Dink aan:
· Die gebruik van gespesialiseerde protokolle (soos Modbus, Profinet, DNP3 ens.);
· Die gebruik van gespesialiseerde sagteware;
· Die gebruik van gespesialiseerde hardeware;
Nog belangriker, alle IT-komponente bestuur gespesialiseerde hardeware-beheermasjiene. En soms is hierdie masjiene noodsaaklik. Die stilstand van hierdie masjiene kan dus groot finansiële verliese, ongelukke en selfs die verlies van menselewens tot gevolg hê.
Die ding is dat al hierdie masjiene baie duur is en 'n lang lewensiklus het. Sommige masjiene werk vir 20-40 jaar. As gevolg van hierdie lang lewensiklusse is die masjiene en die beheersagteware nie gebou met die nuutste veiligheidspraktyke nie. Daarbenewens is dit ook moeilik om geskeduleerde onderhoudstydraamwerke in 'n lopende omgewing te beplan. Dit maak dit baie moeilik om die stelsels te herstel en op te dateer. So in industriële omgewings is die belange hoog en die sekuriteit is gewoonlik verouderd. Hackers weet dit. Industriële omgewings is hackbaar en as gevolg van die hoë insette is dit ideaal vir kwaadwillige aanvallers wat bereid is om hul slagoffers af te pers. Die behoefte om hierdie omgewings te toets en te beveilig was dus nooit groter as vandag nie. As 'n pentester moet jy weet wat jy in hierdie gespesialiseerde omgewings doen, want 1 klein foutjie kan stilstand en groot finansiële verliese tot gevolg hê. Dit vra vir gekwalifiseerde toetsers wat weet hoe om sekuriteitstoetse veilig uit te voer in hierdie sensitiewe omgewings.
2. Ransomware-afpersing
Afpersing, soos beskryf in die vorige paragraaf, kan op hierdie oomblik die grootste kuberveiligheidsdraad wees. Tradisioneel enkripteer ransomware sensitiewe lêers op die rekenaar en vra vir 'n losprys om hierdie lêers weer te ontsluit. Die proses om elke lêer op 'n stelsel te enkripteer is egter 'n tydrowende proses. Dit gee die slagoffer tyd om in te gryp en sommige data te stoor deur die wanware te beëindig voordat data geënkripteer word. Daarbenewens het maatskappye die potensiaal om van rugsteun te herstel sonder om die losprys te betaal. Die nuwe hype is om slegs data te eksfiltreer en die besigheid af te pers deur te dreig om die data in die openbaar vry te stel. Hierdie tipe aanval is vinniger om uit te voer, moeiliker om op te spoor en kan nie met rugsteun reggemaak word nie.
3. (Wolk) Derdeparty-bedreigings
Nog 'n groot verandering in die kuberveiligheidswêreld is die vinnige aanvaarding van wolkrekenaars. SaaS-gereedskap word vinnig aangeneem, maar ook IaaS (Infrastruktuur as 'n Diens) word op groot skaal geïmplementeer en bestaan gewoonlik behalwe infrastruktuur op die perseel. Gewoonlik is hierdie omgewings relatief veilig, maar onbekendheid met die beste praktyke vir wolksekuriteit, die wolk-gedeelde sekuriteitsmodel en ander faktore kan wolkomgewings soms meer kwesbaar maak vir aanvalle as infrastruktuur op die perseel. Aanvallers het die voordeel dat hulle hierdie omgewings op wêreldskaal kan toets. 'n Groot tendens is dat behalwe wolkdiensgebruikers ook wolkdiensverskaffers geteiken word. Op hierdie manier kan 'n kubermisdadiger toegang kry tot hul kliënte se sensitiewe data en moontlik hul IT-infrastruktuur. Op hierdie manier kan die impak van 'n aanval baie groter en voordeliger vir 'n aanvaller wees.
Die geleenthede wat die besigheid/mark in die gesig staar
Aangesien ons gevorderde aanvalle op groot skaal in 'n steeds groeiende IKT-omgewing in die gesig staar, was die werk van blou spanne en rooi spanne nooit so belangrik nie. Byvoorbeeld, 'n paar maande nadat die COVID-19-pandemie in 2020 getref het, het die aantal kuberaanvalle met 63% toegeneem. En 2021 was nog erger. Die aantal oortredings tot einde September 2021 het reeds die totale 2020-getal met 17% oorskry. 2023 sal nie anders wees nie. Die kommerwekkende toename in die aantal oortredings en kuberaanvalle word vererger deur nog 'n kommerwekkende neiging: die stygende koste van oortredings.
Hierdie kennis en die feit dat daar 'n groot tekort aan geskoolde persone is, maak dat daar 'n groot aanvraag is vir byna alle soorte kuberveiligheidspersoneel. Rooi span, blou span en bestuursposte. Dink aan:
· Kuberveiligheidsingenieurs
· Kuberveiligheidsontleders
· Etiese kuberkrakers
· Wanware-ontleders
· CISO's en ISO's
Dit beteken daar is genoeg werk in hierdie tak, daar is baie opleidingsgeleenthede en 'n goeie salaris kan verdien word.
Raad aan ander oor besigheid
Aangesien die kuberveiligheidsbedryf floreer, is daar baie nuwe ondernemings (soos ek). In 'n "booming" bedryf word baie geld verdien terwyl die kwaliteit nie altyd gewaarborg word nie. Almal probeer om dit te deel. Ons sien daar is 'n behoefte aan ouditeure van sekuriteitsverskaffers wat 'n kwaliteitseël uitreik na 'n suksesvolle oudit. Op hierdie manier weet maatskappye dat ten minste interne prosedures in plek is en afgedwing word.
Om die beste gehalte aan jou kliënte te lewer is noodsaaklik in hierdie sensitiewe tak. Pentesters moet raad gee om die omgewing veiliger te maak in plaas daarvan om dit na 'n pentest meer onseker te maak (ek het dit meer as een keer gesien gebeur). Om dit te doen raai ek organisasies aan om in hulself en in hul personeel te belê. Maak seker dat die maatskappy ten minste 'n kwaliteitseël kry en dat die pentesters opgelei is vir die werk wat hulle moet verrig. Wys ook vir die kliënte jou personeel is opgelei sodat die kliënt verseker kan wees dat die werk goed gedoen sal word.
Nog 'n wenk wat ek graag wil gee, is om, indien moontlik, dieselfde span na dieselfde maatskappy by opvolgwerk te stuur (indien die personeel opgelei is om dit te doen). Om 'n bekende gesig te sien is altyd lekker. Dit gee die klant 'n gevoel van vertroue en vir die pentester is dit lekker om in 'n omgewing te werk wat hulle reeds (gedeeltelik) ken. Op die ou end sal dit ook voordelig wees vir die finale kwaliteit van die toets.
GP
Die werk van 'n huisdokter sluit 'n wye reeks kliniese diversiteit in, wat uitgebreide kennis en geleerdheid van 'n spesialis vereis. Ek glo egter dat die belangrikste ding vir 'n huisdokter is om mens te wees omdat die samewerking en begrip tussen die dokter en die pasiënt deurslaggewend is om suksesvolle gesondheidsorg te verseker. Op my afdae hou ek daarvan om in die natuur te wees. Van kleintyd af is ek passievol daaroor om skaak en tennis te speel. Wanneer ek ook al tyd af het, geniet ek dit om oor die wêreld te reis.
- Mal seksposisies wat sy altyd sal probeer - April 7, 2023
- Hoekom moet jy haanringe met butt plugs koop? - April 7, 2023
- Top tien stertboudproppe vir jou wilde fetisj - April 6, 2023
