Што такое «Кібербяспека Ярно Базеліера» і чым вы займаецеся?
Ярна Базелье Кібербяспека з'яўляецца высакаякаснай кампаніяй па тэсціраванні бяспекі і адукацыі. Мы спецыялізуемся на правядзенні тэстаў на пранікненне (пентэсты) у прамысловых умовах і карпаратыўных офісах.
Кампанія Jarno Baselier Cybersecurity была заснавана ў 2022 годзе Ярна Базеліе (тут не дзіўна). Кампанія пачала працу пасля шматгадовага вопыту ў гэтай галіне і таму, што попыт на высакаякасныя пентэсты значны, асабліва ў прамысловых умовах.
Забеспячэнне бяспекі ІТ-кампанентаў у прамысловых умовах становіцца ўсё больш і больш важным, і не многія спецыялісты валодаюць ведамі, каб правесці гэтыя тэсты правільна і з належнай дбайнасцю. Паколькі я шмат гадоў працаваў у гэтых асяроддзях (мы называем іх «OT» або «Aperational Technology») і шмат трэніраваўся, я вырашыў, што прыйшоў час дапамагчы большай колькасці арганізацый, прапаноўваючы ім свае паслугі.
Гісторыя Ярно
Калі я пачынаў у свеце кібербяспекі, гэта не было такім мэйнстрымам, як сёння. Гаворка ідзе пра 2010/2011 гг. У той час я працаваў сістэмным інжынерам у буйной стаматалагічнай кампаніі ў Нідэрландах. Узмацніліся кіберзлачынцы і праваахоўныя органы. Падумайце аб GDPG (у Нідэрландах называецца AVG). Так як я меў справу з бяспекай сістэмы, мне вельмі хацелася ведаць і даведацца, як працуюць зламыснікі. Таму што мы можам абараніць толькі тое, што ведаем?
У той час не так шмат сертыфікатаў адносна «этычнага хакерства». Той, які вылучаўся ў той час, быў сертыфікаваным этычным хакерствам ECCouncil. Таму я вырашыў, што мне патрэбны гэты сертыфікат, каб ведаць, як працуюць кіберзлачынцы. Што ж, невялікі спойлер… гэта было не так. Бо гэта аказалася толькі пачаткам. Тым не менш, гэта было добрае сведчанне для пачатку ў гэтай справе. Маім настаўнікам у той час быў Цім Пірсан. Цім быў вельмі натхняльным чалавекам і пазней стаў маім сябрам. Пасля курса (які доўжыўся тыдзень) я адвёз Ціма ў аэрапорт, і ён прапанаваў мне «ўнутраную пасаду». Па сутнасці, ён казаў: «рабі непрыемную працу бясплатна, і я навучу цябе трукам». Так я і зрабіў. Пазней я ўдзельнічаў у напісанні курса v9 для сертыфікаванага курса этычнага хакерства.
Я шмат чаму навучыўся за гэтыя першыя гады. Не толькі тэхнічна, я таксама атрымліваў такое задавальненне ад трэніровак і дапамогі, што ведаў, што гэта тое, чым я хачу займацца ў будучыні. У наступныя гады «кібербяспека» стала гарачай тэмай. Усё больш і больш парушэнняў раскрываюцца грамадскасці (з дапамогай СМІ). Інфармаванасць кампаній і супрацоўнікаў павысілася, а зламыснікі станавіліся ўсё больш дасканалымі. У наш час хакерства зусім не падобна на хакерства ў пачатку 2000-х гадоў. Атакі звычайна ўжо не такія лёгкія і патрабуюць належнага планавання і высокага ўзроўню майстэрства. Паколькі нападаючыя становяцца больш дасканалымі, абаронцы таксама павінны працягваць развівацца ў сваіх ведах і навыках. Гэта вечная гульня ў «кошкі-мышкі», падобная да таго, што адбываецца паміж злачынцамі і паліцыяй.
Такім чынам я і займаўся ў наступныя гады. Я стараўся вучыцца і практыкавацца столькі, колькі мог. Я пачаў свой блог яшчэ ў 2014 годзе, і нядаўна я пачаў свой уласны YouTube канал. Абодва каналы з'яўляюцца галандскімі, але сканцэнтраваны на прадастаўленні якаснага кантэнту спецыяльна для спецыялістаў па бяспецы. Я лічу, што мы прыкладаем агульныя намаганні, каб зрабіць свет лепшым і бяспечнейшым. Дзелячыся сваімі ведамі, я спадзяюся дапамагчы іншым, каб яны маглі самастойна расці і дзяліцца новымі ведамі. Гэта прыгажосць свету кібербяспекі. Ёсць так шмат чаму навучыцца, што я буду вучыцца кожны дзень.
Мой бацька заўсёды казаў мне, што не важна, чым я буду займацца ў жыцці, а быць лепшым у той справе, якую я выбраў. Такім чынам, атрымаўшы больш ведаў, я пачаў працаваць у галандскай CERT, праводзячы некалькі тэстаў на пранікненне і даведваючыся больш пра магчымасці абароны/маніторынгу.
Кожны тэст, які я праводжу, каштоўны не толькі для кампаніі, але і для мяне самога. Часам гэтыя тэсты крыўдныя, а часам мы супрацоўнічаем з так званай «сіняй камандай». Сіняя каманда - гэта "абаронца", якая выконвае такія задачы, як маніторынг, рэагаванне, пошук патокаў і г. д. Калі чырвоная каманда (я, наступальны бок) і сіняя каманда працуюць разам, мы называем гэта "фіялетавым аб'яднаннем". У апошні час мы бачым, што «фіялетавае аб'яднанне» з'яўляецца жыццёва важнай часткай добрай стратэгіі бяспекі. Звычайна мы пачынаем узаемадзеянне з падыходу чырвонай каманды, а пазней мы «прайграваем» атрыманыя ўрокі разам з сіняй камандай, каб яны маглі даведацца і ўбачыць, што мы зрабілі, а мы можам дапамагчы ім знайсці правільныя артэфакты і стварыць функцыянальныя трыгеры.
Пасля выканання мноства тэстаў на пранікненне ў розных аб'ёмах (лакальная інфраструктура, вэб-прыкладанні, воблачная інфраструктура, аперацыйная тэхналогія) і пасля атрымання большай колькасці сертыфікатаў для кваліфікацыі (OCSE, OSEP, OSWE, CSA) я выкарыстаў свае каналы не толькі для абмену інфармацыяй, але таксама сапраўды вучыць. На маім канале YouTube ёсць шмат «адукацыйных» відэа, спецыяльна створаных для бясплатнага навучання маіх калег. Канал атрымае 100 навучальных відэа ў гэтым годзе, якія ахопліваюць розныя тэмы і разлічаны на 75 гадзін навучання. Такім чынам, калі гэты праект будзе зроблены, я мог бы падумаць аб стварэнні "платнага" навучання.
Наяўнасць сацыяльнага канала так доўга дае шмат пераваг, калі справа даходзіць да «даверу» і людзей, якія жадаюць вас наняць. З-за высокага попыту на паслугі тэсціравання на пранікненне і жаданні навучання я вырашыў заснаваць уласную фірму. Гэта дае мне магчымасць браць працу, якая мне здаецца вельмі цікавай, і выкладаць так, як я лічу найбольш эфектыўным. Часам мае майстар-класы доўжацца 2-4 гадзіны, часам больш інтэнсіўныя і расцягваюцца на пару дзён. Гэта залежыць ад узроўню кваліфікацыі і колькасці ўдзельнікаў.
Праблемы, з якімі сутыкаецца бізнес/рынак
З майго пункту гледжання, рынак сутыкаецца са шматлікімі праблемамі. Ад прасунутых нападаў, росту коштаў да недахопу кваліфікаванага персаналу. На 2023/2024 гады я бачу 3 асноўныя задачы.
1. Аперацыйная тэхналогія бяспекі ў прамысловых умовах
На працягу многіх гадоў кібербяспека была сканцэнтравана на ўсіх звычайных кампанентах ІКТ, такіх як аперацыйныя сістэмы Windows, аркестрацыя карыстальнікаў Active Directory, вэб-праграмы і агульныя пратаколы, такія як TCP/IP. І хаця многія актывы «звычайных» ІКТ знаходзяцца ў прамысловай аўтаматызацыі, гэтая сфера застаецца зусім іншай. Думаць аб:
· Выкарыстанне спецыялізаваных пратаколаў (напрыклад, Modbus, Profinet, DNP3 і інш.);
· Выкарыстанне спецыялізаванага праграмнага забеспячэння;
· Выкарыстанне спецыялізаванага абсталявання;
Што яшчэ больш важна, усе ІТ-кампаненты кіруюць спецыялізаваным абсталяваннем, якія кіруюць машынамі. А часам гэтыя машыны жыццёва неабходныя. Такім чынам, прастой гэтых машын можа прывесці да велізарных фінансавых страт, аварый і нават гібелі людзей.
Справа ў тым, што ўсе гэтыя машыны вельмі дарагія і маюць працяглы тэрмін службы. Некаторыя машыны працуюць 20-40 гадоў. З-за гэтых доўгіх жыццёвых цыклаў машыны і праграмнае забеспячэнне для кіравання не ствараюцца з улікам найноўшых перадавых метадаў бяспекі. Акрамя таго, у запушчаным асяроддзі таксама цяжка спланаваць планавыя тэрміны тэхнічнага абслугоўвання. Гэта робіць выпраўленне і абнаўленне сістэм вельмі цяжкім. Такім чынам, у прамысловых умовах стаўкі высокія, а бяспека звычайна састарэла. Хакеры гэта ведаюць. Прамысловыя асяроддзя паддаюцца ўзлому, і з-за высокіх ставак яны ідэальна падыходзяць для зламыснікаў, якія жадаюць вымагаць грошы ў сваіх ахвяр. Такім чынам, патрэба ў тэставанні і абароне гэтых асяроддзяў ніколі не была такой высокай, як сёння. Як пентэстэр, вы павінны ведаць, што вы робіце ў гэтых спецыялізаваных асяроддзях, таму што адна маленькая памылка можа прывесці да прастою і вялікіх фінансавых страт. Для гэтага патрабуюцца кваліфікаваныя тэсціроўшчыкі, якія ведаюць, як бяспечна выконваць тэсты бяспекі ў гэтых адчувальных асяроддзях.
2. Вымагальніцкія праграмы-вымагальнікі
Вымагальніцтва, як апісана ў папярэднім абзацы, можа быць самай вялікай ніткай кібербяспекі на дадзены момант. Традыцыйна праграмы-вымагальнікі шыфруюць канфідэнцыяльныя файлы на камп'ютары і просяць выкуп, каб зноў разблакіраваць гэтыя файлы. Аднак працэс шыфравання кожнага файла ў сістэме займае шмат часу. Гэта дае ахвяры час умяшацца і захаваць некаторыя даныя, спыніўшы дзеянне шкоднасных праграм да таго, як даныя будуць зашыфраваны. Акрамя таго, у кампаній ёсць патэнцыял для аднаўлення з рэзервовых копій без выплаты выкупу. Новая шуміха заключаецца толькі ў выкраданні дадзеных і вымагальніцтве ў бізнэсе, пагражаючы публічнай публікацыяй дадзеных. Гэты тып атакі хутчэй ажыццяўляецца, яго цяжэй выявіць, і яго нельга выправіць з дапамогай рэзервовых копій.
3. (Воблака) Пагрозы трэціх бакоў
Яшчэ адно вялікае змяненне ў свеце кібербяспекі - хуткае ўкараненне хмарных вылічэнняў. Інструмент SaaS хутка ўкараняецца, але таксама IaaS (інфраструктура як паслуга) укараняецца ў вялікіх маштабах і звычайна існуе акрамя лакальнай інфраструктуры. Звычайна гэтыя асяроддзя адносна бяспечныя, але незнаёмства з перадавымі метадамі бяспекі ў воблаку, мадэллю агульнай бяспекі ў воблаку і іншымі фактарамі могуць зрабіць воблачныя асяроддзя часам больш уразлівымі для нападаў, чым лакальная інфраструктура. Зламыснікі маюць перавагу ў тым, што яны могуць праверыць гэтыя асяроддзя ў глабальным маштабе. Вялікай тэндэнцыяй з'яўляецца тое, што акрамя карыстальнікаў воблачных сэрвісаў мішэнню становяцца таксама пастаўшчыкі воблачных сэрвісаў. Такім чынам кіберзлачынец можа атрымаць доступ да канфідэнцыяльных даных сваіх кліентаў і, магчыма, да іх ІТ-інфраструктуры. Такім чынам уздзеянне атакі можа быць значна большым і больш выгадным для зламысніка.
Магчымасці, з якімі сутыкаецца бізнес/рынак
Паколькі мы сутыкаемся з пашыранымі атакамі ў вялікіх маштабах у пастаянна пашыраным асяроддзі ІКТ, праца сініх каманд і чырвоных каманд ніколі не была такой важнай. Напрыклад, праз некалькі месяцаў пасля пандэміі COVID-19 у 2020 годзе колькасць кібератак вырасла на 63%. А 2021 год быў яшчэ горшы. Колькасць парушэнняў да канца верасня 2021 года ўжо на 2020% перавысіла агульную колькасць 17 года. 2023 год не будзе іншым. Трывожны рост колькасці ўзломаў і кібератак ускладняецца яшчэ адной трывожнай тэндэнцыяй: ростам кошту ўзломаў.
Гэтыя веды і той факт, што існуе велізарны дэфіцыт кваліфікаваных кадраў, выклікаюць вялікі попыт на практычна ўсіх відаў спецыялістаў у галіне кібербяспекі. Чырвоная каманда, сіняя каманда і кіруючыя пасады. Думаць аб:
· Інжынеры па кібербяспецы
· Аналітыкі кібербяспекі
· Этычныя хакеры
· Аналітыкі шкоднасных праграм
· CISO і ISO
Гэта азначае, што ў гэтай галіне дастаткова працы, ёсць шмат магчымасцей для навучання і можна атрымліваць добры заробак.
Парады іншым аб бізнэсе
Паколькі індустрыя кібербяспекі квітнее, ёсць шмат стартапаў (напрыклад, я). У індустрыі, якая развіваецца, зарабляюцца вялікія грошы, а якасць не заўсёды гарантавана. Кожны стараецца атрымаць сваю долю. Мы бачым, што ёсць патрэба ў аўдытарах пастаўшчыкоў бяспекі, якія пасля паспяховага аўдыту выдаюць знак якасці. Такім чынам кампаніі ведаюць, што, па меншай меры, унутраныя працэдуры дзейнічаюць і выконваюцца.
Забеспячэнне лепшай якасці для вашых кліентаў з'яўляецца жыццёва важным у гэтай далікатнай галіны. Пентэстэрам патрэбныя парады, як зрабіць навакольнае асяроддзе больш бяспечным, а не рабіць яго больш небяспечным пасля пентэста (я бачыў, як гэта адбывалася не раз). Для гэтага я раю арганізацыям інвеставаць у сябе і ў свой персанал. Пераканайцеся, што кампанія атрымала прынамсі знак якасці, а пентэстэры навучаны працы, якую яны павінны выконваць. Таксама пакажыце кліентам, што ваш персанал падрыхтаваны, каб кліент мог быць упэўнены, што праца будзе выканана добра.
Яшчэ адна парада, якую я хачу даць, - па магчымасці адпраўляць тую ж каманду ў тую ж кампанію на наступныя заданні (калі персанал гэтаму навучаны). Бачыць знаёмы твар заўсёды прыемна. Гэта дае кліенту пачуццё даверу, а пентэстэру цікава працаваць у асяроддзі, якое яны ўжо (часткова) ведаюць. У рэшце рэшт, гэта таксама будзе спрыяць канчатковай якасці тэсту.
GP
Праца сямейнага лекара ўключае ў сябе шырокі спектр клінічнай разнастайнасці, што патрабуе ад спецыяліста шырокіх ведаў і эрудыцыі. Аднак я лічу, што самае галоўнае для сямейнага лекара — гэта быць чалавекам, таму што супрацоўніцтва і разуменне паміж лекарам і пацыентам маюць вырашальнае значэнне ў забеспячэнні паспяховай аховы здароўя. У выхадныя я люблю бываць на прыродзе. З дзяцінства я захапляўся шахматамі і тэнісам. Кожны раз, калі ў мяне ёсць вольны час, мне падабаецца падарожнічаць па свеце.
- Ад дзяржаўнага жылля да Лігі плюшчу: натхняльнае падарожжа Crystaltharrell.com і яго заснавальніка - Чэрвеня 7, 2023
- Вар'яцкія позы для сэксу, якія яна заўсёды паспрабуе - April 7, 2023
- Чаму вам варта купляць корынгі з затычкамі? - April 7, 2023
