Jarno Baselier CyberSecurity hər kəs üçün daha təhlükəsiz rəqəmsal iş yeridir!

Jarno Baselier CyberSecurity, hər kəs üçün daha təhlükəsiz rəqəmsal iş yeri!

“Jarno Baselier Cybersecurity” nədir və siz nə edirsiniz?

Jarno Baselier Kibertəhlükəsizlik yüksək keyfiyyətli təhlükəsizlik testi və təhsil şirkətidir. Biz sənaye mühitlərində və korporativ ofis mühitlərində nüfuz testlərini (pentestlər) həyata keçirmək üzrə ixtisaslaşmışıq.

Jarno Baselier Cybersecurity 2022-ci ildə (burada sürpriz yoxdur) Jarno Baselier tərəfindən təsis edilmişdir. Şirkət bu sahədə uzun illər təcrübəsindən sonra və yüksək keyfiyyətli pentestlərə tələbat xüsusilə sənaye mühitlərində əhəmiyyətli olduğundan fəaliyyətə başlamışdır.

Sənaye mühitlərində İT komponentlərinin təhlükəsizliyinin təmin edilməsi getdikcə daha vacib məsələdir və bir çox mütəxəssis bu testləri düzgün və lazımi qayğı ilə yerinə yetirmək üçün biliyə malik deyil. İllərdir bu mühitlərdə (biz onları “OT” və ya “Əməliyyat Texnologiyası” mühitləri adlandırırıq) işlədiyimdən və bir çox təlimləri tərk etdiyim üçün onlara xidmətlərimi təklif edərək daha çox təşkilata kömək etməyin vaxtı gəldiyinə qərar verdim.

Yarnonun hekayəsi

Mən kibertəhlükəsizlik dünyasına başlayanda bu, indiki kimi əsas deyildi. 2010/2011-dən danışırıq. O vaxt mən Hollandiyada böyük bir stomatoloji şirkətdə sistem mühəndisi işləyirdim. Kibercinayətkarların artdığı yerdə hüquq-mühafizə orqanları da belə idi. GDPG (Hollandiyada AVG adlanır) haqqında düşünün. Mən sistem təhlükəsizliyi ilə məşğul olduğum üçün həqiqətən də təcavüzkarların necə işlədiyini bilmək və öyrənmək istəyirdim. Çünki biz ancaq bildiyimizi qoruya bilərik, elə deyilmi?

Orada "etik hakerlik" ilə bağlı çoxlu sertifikatlar yoxdur. O zaman diqqət çəkən ECCouncil-in Sertifikatlı Etik Hackingi idi. Beləliklə, kibercinayətkarların necə işlədiyini dərindən bilmək üçün bu sertifikata ehtiyacım olduğuna qərar verdim. Yaxşı, bir az spoyler... bu o qədər də doğru deyildi. Çünki bu, sadəcə başlanğıc idi. Buna baxmayaraq, bu işə başlamaq üçün gözəl sertifikat idi. O vaxt mənim müəllimim Tim Pirson idi. Tim çox ruhlandırıcı insan idi və sonradan mənimlə dost oldu. Kursdan sonra (bir həftə davam etdi) mən Timi hava limanına apardım və o, mənə “daxili vəzifə” təklif etdi. Əsasən o deyirdi ki, “pis işləri pulsuz gör, mən sənə ticarətin hiylələrini öyrənərəm”. Mən də belə etdim. Daha sonra Certified Ethical Hacking kursu üçün v9 kursunun yazılmasında iştirak etdim.

Bu ilk illərdə çox şey öyrəndim. Təkcə texniki cəhətdən deyil, həm də məşq etməkdən və kömək etməkdən o qədər əyləndim ki, bilirdim ki, gələcəkdə etmək istədiyim budur. Sonrakı illərdə “kibertəhlükəsizlik” ən aktual mövzuya çevrildi. İctimaiyyətə açıqlanan daha çox pozuntular (medianın köməyi ilə). Şirkətlərin və işçilərin məlumatlılığı yüksəldi və təcavüzkarlar getdikcə daha təkmilləşdi. Hack etmək indiki vaxtda 2000-ci ilin əvvəllərindəki hakerlik kimi görünmür. Hücumlar artıq o qədər də asan deyil və düzgün planlaşdırma və yüksək bacarıq tələb edir. Hücumçular daha təkmilləşdiklərinə görə müdafiəçilər də bilik və bacarıq baxımından inkişaf etməyə davam etməlidirlər. Bu, cinayətkarlarla polis arasında baş verənlərə bənzəyən əbədi “pişik və siçan” oyunudur.

Beləliklə, sonrakı illərdə də bunu etdim. Bacardığım qədər öyrənməyə və məşq etməyə çalışdım. Özümü başladım blog 2014-cü ildə və bu yaxınlarda özümü başladım YouTube kanal. Hər iki kanal Hollandiya kanalıdır, lakin xüsusi olaraq hücumçu təhlükəsizlik mütəxəssisi üçün yüksək keyfiyyətli məzmun təqdim etməyə yönəlib. İnanıram ki, dünyanı daha yaxşı və təhlükəsiz yerə çevirmək üçün birgə səylərimiz var. Biliyimi bölüşməklə, başqalarına kömək etməyə ümid edirəm ki, onlar təkbaşına böyüyə və yeni bilikləri paylaşa bilsinlər. Kibertəhlükəsizlik dünyasının gözəlliyi budur. Öyrənməli o qədər çox şey var ki, hər gün öyrənməyə davam edəcəyəm.

Atam həmişə mənə deyirdi ki, həyatda nə edəcəyim önəmli deyil, seçdiyim işdə ən yaxşısı olmaqdır. Beləliklə, daha çox bilik əldə etdikdən sonra Hollandiya CERT-də işləməyə başladım, eyni zamanda çoxsaylı nüfuz testləri keçirdim və müdafiə/nəzarət imkanları haqqında daha çox öyrəndim.

Keçirdiyim hər bir test təkcə şirkət üçün deyil, həm də özüm üçün dəyərlidir. Bəzən bu testlər təhqiramiz olur və bəzən biz “mavi komanda” adlanan komanda ilə əməkdaşlıq edirik. Mavi komanda "müdafiə edən tərəfdir", monitorinq, cavab, ip ovlanması və s. Son zamanlar görürük ki, “bənövşəyi komandalaşma” yaxşı təhlükəsizlik strategiyasının vacib hissəsidir. Biz adətən qırmızı komanda yanaşması ilə nişanlanmağa başlayırıq və sonra mavi komanda ilə birlikdə öyrəndiyimiz dərsləri “təkrar edirik” ki, onlar öyrənib bizim nə etdiyimizi görə bilsinlər və biz onlara düzgün artefaktları tapmaqda və funksional tətiklər yaratmaqda kömək edə bilək.

Fərqli əhatə dairələrindən (yerli infrastruktur, veb proqramlar, bulud infrastrukturu, əməliyyat texnologiyası) bir çox nüfuz testlərini həyata keçirdikdən və özümü təsdiqləmək üçün daha çox sertifikat əldə etdikdən sonra (OCSE, OSEP, OSWE, CSA) kanallarımdan təkcə məlumat paylaşmaq üçün deyil, həm də həm də həqiqətən öyrətmək. YouTube kanalımda həmkarlarımı pulsuz öyrətmək üçün xüsusi olaraq yaradılmış çoxlu “maarifləndirici” videolar var. Kanal bu il müxtəlif mövzuları əhatə edən və 100 saatlıq təlim üçün yaxşı olan 75 maarifləndirici video əldə edəcək. Beləliklə, bu layihə həyata keçirildikdə mən “ödənişli” təlim yaratmağı düşünə bilərəm.

Bu qədər uzun müddətdir sosial kanala sahib olmağın “etibar” və sizi işə götürmək istəyən insanlara gəldikdə bir çox faydası var. Penetrasiya testi xidmətlərinə tələbatın yüksək olması və təlim arzuladığım üçün öz firmamı qurmağa qərar verdim. Bu, mənə çox maraqlı hesab etdiyim işləri götürmək və ən təsirli olduğuna inandığım yolu öyrətmək bacarığı verir. Bəzən mənim ustad dərslərim 2-4 saat, bəzən isə daha intensiv olur və bir neçə günə yayılır. Bu, bacarıq səviyyəsindən və iştirakçıların sayından asılıdır.

Biznesin/bazarın üzləşdiyi problemlər

Mənim fikrimcə, bazar bir çox problemlərlə üzləşir. Qabaqcıl hücumlardan, artan xərclərdən tutmuş ixtisaslı kadr çatışmazlığına qədər. 2023/2024 üçün mən 3 əsas problem görürəm.

1. Sənaye Mühitlərində Təhlükəsizlik Əməliyyat Texnologiyası

İllər ərzində kibertəhlükəsizlik Windows əməliyyat sistemləri, Active Directory istifadəçi orkestrasiyası, WebApps və TCP/IP kimi ümumi protokollar kimi bütün müntəzəm İKT komponentlərinə yönəldilmişdir. Sənaye avtomatlaşdırmasında “müntəzəm” İKT-nin bir çox aktivləri tapılsa da, bu sahə tamamilə fərqli olaraq qalır. Düşünün:

· Xüsusi protokolların istifadəsi (Modbus, Profinet, DNP3 və s.);

· Xüsusi proqram təminatından istifadə;

· Xüsusi avadanlıqlardan istifadə;

Daha da əhəmiyyətlisi, bütün İT komponentləri xüsusi aparat idarəetmə maşınlarını idarə edir. Və bəzən bu maşınlar həyati əhəmiyyət kəsb edir. Belə ki, bu maşınların dayanması böyük maliyyə itkiləri, qəzalar və hətta insan həyatının itirilməsi ilə nəticələnə bilər.

Məsələ ondadır ki, bu maşınların hamısı çox bahalıdır və uzun ömürlüdür. Bəzi maşınlar 20-40 il işləyir. Bu uzun ömür dövrləri səbəbindən maşınlar və nəzarət proqramları ən son təhlükəsizlik təcrübələri ilə qurulmur. Bundan əlavə, işləyən bir mühitdə planlaşdırılmış texniki xidmət müddətlərini planlaşdırmaq da çətindir. Bu, sistemləri yamaq və yeniləməyi çox çətinləşdirir. Beləliklə, sənaye mühitlərində paylar yüksəkdir və təhlükəsizlik adətən köhnəlmişdir. Hakerlər bunu bilirlər. Sənaye mühitləri sındırıla bilər və yüksək paylara görə qurbanlarını zorla almaq istəyən zərərli təcavüzkarlar üçün idealdır. Beləliklə, bu mühitləri sınaqdan keçirmək və qorumaq ehtiyacı heç vaxt indiki qədər yüksək olmamışdır. Pentester kimi siz bu ixtisaslaşdırılmış mühitlərdə nə etdiyinizi bilməlisiniz, çünki 1 kiçik səhv dayanma vaxtı və böyük maliyyə itkiləri ilə nəticələnə bilər. Bu, bu həssas mühitlərdə təhlükəsizlik testlərini necə təhlükəsiz yerinə yetirəcəyini bilən ixtisaslı testçiləri tələb edir.

2. Ransomware Qəsb

Əvvəlki paraqrafda təsvir olunduğu kimi qəsb hal-hazırda ən böyük kibertəhlükəsizlik mövzusu ola bilər. Ənənəvi olaraq ransomware kompüterdəki həssas faylları şifrələyir və bu faylları yenidən açmaq üçün fidyə istəyir. Bununla belə, sistemdəki hər bir faylın şifrələnməsi prosesi çox vaxt aparan bir prosesdir. Bu, qurbana məlumat şifrələməzdən əvvəl zərərli proqramı dayandıraraq bəzi məlumatlara müdaxilə etmək və saxlamaq üçün vaxt verir. Bundan əlavə, şirkətlərin fidyə ödəmədən ehtiyat nüsxələrindən bərpa etmək potensialı var. Yeni şırınga yalnız məlumatları sındırmaq və məlumatları ictimaiyyətə açıqlamaqla hədələməklə biznesi qoparmaqdır. Bu tip hücumun həyata keçirilməsi daha sürətli, aşkarlanması daha çətindir və ehtiyat nüsxələrdən istifadə etməklə düzəldilə bilməz.


3. (Bulud) Üçüncü Tərəf Təhdidləri

Kibertəhlükəsizlik dünyasında daha bir böyük dəyişiklik bulud hesablamalarının sürətlə mənimsənilməsidir. SaaS alətləri yüksək sürətlə qəbul edilir, eyni zamanda IaaS (Xidmət olaraq İnfrastruktur) geniş miqyasda həyata keçirilir və adətən yerli infrastrukturdan başqa mövcuddur. Adətən bu mühitlər nisbi təhlükəsizdir, lakin bulud təhlükəsizliyinin ən yaxşı təcrübələri, bulud paylaşılan təhlükəsizlik modeli və digər amillərlə tanış olmamaq bulud mühitlərini bəzən yerli infrastrukturdan daha çox hücuma qarşı həssas edə bilər. Hücumçuların üstünlüyü bu mühitləri qlobal miqyasda sınaqdan keçirə bilər. Böyük bir tendensiya ondan ibarətdir ki, bulud xidməti istifadəçiləri ilə yanaşı bulud xidməti təminatçıları da hədəflənir. Bu yolla kibercinayətkar müştərilərinin həssas məlumatlarına və potensial olaraq İT infrastrukturuna çıxış əldə edə bilər. Bu şəkildə hücumun təsiri daha böyük və təcavüzkar üçün daha faydalı ola bilər.

Biznesin/bazarın qarşılaşdığı imkanlar

Getdikcə genişlənən İKT mühitində geniş miqyasda qabaqcıl hücumlarla üzləşdiyimiz üçün mavi komandaların və qırmızı komandaların işi heç vaxt bu qədər vacib olmamışdır. Məsələn, 19-ci ildə baş verən COVID-2020 pandemiyasından bir neçə ay sonra kiberhücumların sayı 63% artıb. Və 2021 daha pis oldu. 2021-ci ilin sentyabr ayının sonuna qədər pozuntuların sayı artıq 2020-ci ilin ümumi sayını 17% ötüb. 2023 fərqli olmayacaq. Hüquq pozuntularının və kiberhücumların sayının həyəcan verici artması başqa bir narahatedici tendensiya ilə birləşir: pozuntuların artan qiyməti.

Bu bilik və ixtisaslı kadr çatışmazlığının olması demək olar ki, bütün növ kibertəhlükəsizlik mütəxəssislərinə yüksək tələbat yaradır. Qırmızı komanda, mavi komanda və idarəetmə işləri. Düşünün:

· Kibertəhlükəsizlik mühəndisləri

· Kibertəhlükəsizlik üzrə analitiklər

· Etik hakerlər

· Zərərli proqram analitikləri

· CISO və ISO

Bu o deməkdir ki, bu sahədə kifayət qədər iş var, çoxlu təlim imkanları var və yaxşı maaş almaq olar.

Biznes haqqında başqalarına məsləhət

Kibertəhlükəsizlik sənayesi sürətlə inkişaf etdiyi üçün bir çox startap var (mənim kimi). Keyfiyyətə həmişə zəmanət verilmədiyi halda, “böyük inkişaf edən” sənayedə çoxlu pul qazanılır. Hər kəs öz payını almağa çalışır. Uğurlu auditdən sonra keyfiyyət möhürü verən təhlükəsizlik təchizatçılarının auditorlarına ehtiyac olduğunu görürük. Bu yolla şirkətlər bilirlər ki, ən azı daxili prosedurlar mövcuddur və tətbiq edilir.

Müştərilərinizə ən yaxşı keyfiyyəti çatdırmaq bu həssas filialda çox vacibdir. Pentesters, pentestdən sonra ətrafı daha təhlükəsiz etmək əvəzinə onu daha təhlükəsiz etmək üçün məsləhət verməlidirlər (mən bunun bir neçə dəfə baş verdiyini görmüşəm). Bunun üçün mən təşkilatlara özlərinə və kadrlarına investisiya qoymağı tövsiyə edirəm. Şirkətin ən azı keyfiyyət möhürü əldə etdiyinə və pentestersin yerinə yetirməli olduqları işlərə öyrədildiyinə əmin olun. Həmçinin müştərilərə işçi heyətinizin təlim keçdiyini göstərin ki, müştəri işin yaxşı olacağına əmin olsun.

Verməyi xoşladığım başqa bir ipucu, mümkünsə, eyni komandanı eyni şirkətə təqib işlərinə göndərməkdir (əgər işçilər bunu etmək üçün təlim keçmişdirsə). Tanış bir sima görmək həmişə xoşdur. Bu, müştəriyə güvən hissi verir və pentester üçün artıq (qismən) bildiyi mühitdə işləmək əyləncəlidir. Sonda bu, testin son keyfiyyəti üçün də faydalı olacaq.  

Crystal Kadir tərəfindən son yazılar (bütün bax)

Tags:

MS, Durham Universiteti
GP

Ailə həkiminin işi bir mütəxəssisdən geniş bilik və erudisiya tələb edən geniş klinik müxtəlifliyi əhatə edir. Bununla belə, mən hesab edirəm ki, ailə həkimi üçün ən vacib şey insan olmaqdır, çünki uğurlu səhiyyənin təmin olunmasında həkimlə xəstə arasında əməkdaşlıq və anlaşma həlledici rol oynayır. İstirahət günlərimdə təbiət qoynunda olmağı sevirəm. Uşaqlıqdan şahmat və tennis oynamağa həvəsli olmuşam. Nə vaxt boş vaxtım olsa, dünyanı gəzməkdən zövq alıram.

Bütün bax

Biznes xəbərlərindən ən son

Posh Kidz Akademiyası

Posh Kidz Akademiyası

Müəssisə Adı və Nə İşləyir Posh Kidz Academy diqqət mərkəzində olan ibtidai məktəbdir

Havanzer

Havanzer

Biznes adı və nə edir Havanzer daha çox zəmanət verən ROI-yə əsaslanan böyümə marketinq agentliyidir

Balikoral

Balikoral

Təsisçilərin Hekayəsi və Biznesə Başlamaq üçün Motivasiya Bizim Farm Su altındadır