Какво е „киберсигурност на Jarno Baselier“ и с какво се занимавате?
Ярно Базелие Киберсигурност е висококачествена компания за тестване на сигурността и обучение. Ние сме специализирани в извършването на тестове за проникване (pentests) в индустриални среди и корпоративни офис среди.
Jarno Baselier Cybersecurity е основана през 2022 г. от (тук няма изненада) Jarno Baselier. Компанията стартира след дългогодишен опит в областта и тъй като търсенето на висококачествени пентестове е значително, особено в индустриални среди.
Осигуряването на ИТ компоненти в рамките на индустриални среди е нещо, което става все по-критично и не много специалисти имат знанията да извършат тези тестове правилно и с необходимото внимание. Тъй като работя в тези среди (ние ги наричаме „OT“ или „Operational Technology“ среди) от години и съм дал много обучения, реших, че е време да помогна на повече организации, като им предложа услугите си.
Историята на Ярно
Когато започнах в света на киберсигурността, това не беше толкова масово, колкото е днес. Говорим за 2010/2011 г. По това време работех като системен инженер за голяма дентална компания в Холандия. Киберпрестъпниците нарастват, както и правоохранителните органи. Помислете за GDPG (наречен AVG в Холандия). Тъй като се занимавах със сигурността на системата, наистина исках да знам и да науча как работят нападателите. Защото можем да защитим само това, което знаем, нали?
По това време нямаше много сертификати относно „етичното хакване“. Единият, който се открои по това време, беше Certified Ethical Hacking на ECCouncil. Затова реших, че имам нужда от този сертификат, за да знам задълбочено как работят киберпрестъпниците. Е, малък спойлер… това не беше толкова вярно. Защото това се оказа само началото. Въпреки това беше хубав сертификат да започна в този бизнес. Моят учител по това време беше Тим Пиърсън. Тим беше много вдъхновяващ човек и по-късно ми стана приятел. След курса (който продължи една седмица) закарах Тим до летището и той ми предложи „вътрешна позиция“. По същество той казваше „вършете гадната работа безплатно и аз ще ви науча триковете на занаята“. И така направих. По-късно участвах в написването на курса v9 за курса за сертифицирано етично хакерство.
Научих много през първите няколко години. Не само технически, но също така се забавлявах толкова много, докато тренирах и помагах, че знаех, че това е, което искам да правя в бъдеще. През следващите години „киберсигурността“ стана актуална тема. Все повече и повече нарушения се разкриват пред обществеността (с помощта на медиите). Информираността на компаниите и служителите се повишава, а нападателите стават все по-усъвършенствани. Хакването в днешно време не прилича на хакването в началото на 2000 г. Обикновено атаките вече не са толкова лесни и изискват правилно планиране и високо ниво на умения. Тъй като нападателите стават по-сложни, защитниците също трябва да продължат да се развиват в знания и умения. Това е вечната игра на "котка и мишка", която прилича на това, което се случва между престъпници и полиция.
Така че това направих през следващите години. Опитах се да науча и да практикувам колкото мога повече. Започнах своя собствена блог през 2014 г. и наскоро започнах свой собствен YouTube канал. И двата канала са холандски, но са фокусирани върху предоставянето на висококачествено съдържание, специално за специалисти по обидна сигурност. Вярвам, че имаме общи усилия да направим света по-добро и по-безопасно място. Като споделям знанията си, се надявам да помогна на другите, за да могат да растат и да споделят нови знания сами. Това е красотата на света на киберсигурността. Има толкова много за научаване, че ще продължа да уча всеки ден.
Баща ми винаги ми е казвал, че няма значение какво ще правя в живота, а да бъда най-добрият в това, което съм избрал да правя. И така, след като придобих повече знания, започнах работа в холандски CERT, като също така провеждах множество тестове за проникване и научавах повече за възможностите за защита/мониторинг.
Всеки тест, който правя, е ценен не само за компанията, но и за мен самия. Понякога тези тестове са обидни и понякога си сътрудничим с така наречения „син отбор“. Синият екип е „защитната страна“, изпълняваща задачи като наблюдение, отговор, търсене на нишки и т.н. Когато червеният екип (аз, нападателната страна) и синият екип работят заедно, ние наричаме това „лилаво обединяване“. Напоследък виждаме, че „лилавото обединяване“ е жизненоважна част от добрата стратегия за сигурност. Обикновено започваме ангажимент с подход на червен екип и по-късно „преиграваме“ научените уроци заедно със синия екип, така че те да могат да научат и видят какво сме направили и можем да им помогнем да намерят правилните артефакти и да изградят функционални задействания.
След извършване на много тестове за проникване, вариращи от различни обхвати (локална инфраструктура, уеб приложения, облачна инфраструктура, оперативна технология) и след като получих повече сертификати, за да се квалифицирам (OCSE, OSEP, OSWE, CSA), използвах каналите си не само за споделяне на информация, но също така наистина да преподавам. Моят канал в YouTube съдържа много „образователни“ видеоклипове, които са специално създадени, за да обучават моите колеги безплатно. Тази година каналът ще получи 100 образователни видеоклипа, обхващащи различни теми и годни за 75 часа обучение. Така че, когато този проект бъде завършен, може да обмисля създаването на „платено“ обучение.
Наличието на социален канал толкова дълго време има много предимства, когато става въпрос за „доверие“ и хора, които желаят да ви наемат. Поради голямото търсене на услуги за тестване за проникване и желания за обучение реших да създам собствена фирма. Това ми дава възможност да поемам работата, която намирам за много интересна, и да преподавам по начина, по който вярвам, че е най-ефективен. Понякога моите майсторски класове са 2-4 часа, а понякога са по-интензивни и се разпределят в няколко дни. Това зависи от нивото на уменията и броя на участниците.
Предизвикателствата, пред които е изправен бизнесът/пазарът
От моя гледна точка пазарът е изправен пред много предизвикателства. От напреднали атаки, нарастващи разходи до недостиг на квалифициран персонал. За 2023/2024 г. виждам 3 основни предизвикателства.
1. Оперативна технология за сигурност в индустриални среди
Години наред киберсигурността беше фокусирана върху всички стандартни ИКТ компоненти като операционни системи Windows, потребителска оркестрация на Active Directory, WebApps и общи протоколи като TCP/IP. И въпреки че много активи на „обикновените“ ИКТ се намират в индустриалната автоматизация, тази област остава напълно различна. Мисля за:
· Използването на специализирани протоколи (като Modbus, Profinet, DNP3 и др.);
· Използването на специализиран софтуер;
· Използването на специализиран хардуер;
По-важното е, че всички ИТ компоненти управляват специализирани хардуерни машини за управление. А понякога тези машини са жизненоважни. Така че престоят на тези машини може да доведе до огромни финансови загуби, злополуки и дори загуба на човешки животи.
Работата е там, че всички тези машини са много скъпи и имат дълъг жизнен цикъл. Някои машини работят 20-40 години. Поради тези дълги жизнени цикли машините и управляващият софтуер не са изградени с най-новите най-добри практики за сигурност. Освен това също е трудно да се планират времеви рамки за планирана поддръжка в работеща среда. Това прави пачването и актуализирането на системите много трудно. Така че в индустриални среди залозите са високи и сигурността обикновено е остаряла. Хакерите знаят това. Индустриалните среди са хакнати и поради високите залози са идеални за злонамерени нападатели, желаещи да изнудват жертвите си. Така че необходимостта от тестване и защита на тези среди никога не е била толкова голяма, колкото е днес. Като pentester трябва да знаете какво правите в тези специализирани среди, защото една малка грешка може да доведе до прекъсване и огромни финансови загуби. Това изисква квалифицирани тестери, които знаят как да извършват безопасно тестове за сигурност в тези чувствителни среди.
2. Изнудване с рансъмуер
Изнудването, както е описано в предишния параграф, може да е най-голямата нишка за киберсигурност в този момент. Традиционно рансъмуерът криптира чувствителни файлове на компютъра и иска откуп, за да отключи отново тези файлове. Процесът на криптиране на всеки файл в системата обаче отнема много време. Това дава време на жертвата да се намеси и да запази някои данни, като прекрати злонамерения софтуер, преди данните да бъдат криптирани. Освен това компаниите имат потенциала да възстановяват от резервни копия, без да плащат откуп. Новата реклама е само да се ексфилтрират данни и да се изнудва бизнеса чрез заплахи за публично оповестяване на данните. Този тип атака е по-бърза за изпълнение, по-трудна за откриване и не може да бъде коригирана с помощта на резервни копия.
3. (Облак) Заплахи от трети страни
Друга голяма промяна в света на киберсигурността е бързото възприемане на облачните изчисления. Инструментите SaaS се възприемат бързо, но също така IaaS (инфраструктура като услуга) се внедрява в голям мащаб и обикновено съществува освен локалната инфраструктура. Обикновено тези среди са относително безопасни, но непознаването на най-добрите практики за сигурност в облака, споделения модел на сигурност в облака и други фактори могат да направят облачните среди понякога по-уязвими за атаки, отколкото локалната инфраструктура. Нападателите имат предимството, че могат да тестват тези среди в глобален мащаб. Голяма тенденция е, че освен потребителите на облачни услуги, на прицел са и доставчиците на облачни услуги. По този начин киберпрестъпникът може да получи достъп до чувствителните данни на своите клиенти и потенциално до тяхната ИТ инфраструктура. По този начин въздействието на една атака може да бъде много по-голямо и по-полезно за нападателя.
Възможностите, пред които е изправен бизнесът/пазарът
Тъй като сме изправени пред напреднали атаки в голям мащаб в непрекъснато разширяваща се среда на ИКТ, работата на сините екипи и червените екипи никога не е била толкова важна. Като пример, няколко месеца след удара на пандемията от COVID-19 през 2020 г. броят на кибератаките се е увеличил с 63%. А 2021 беше още по-лоша. Броят на нарушенията до края на септември 2021 г. вече е надвишил общия брой за 2020 г. със 17%. 2023 няма да е по-различна. Тревожното увеличение на броя на пробиви и кибератаки се допълва от друга тревожна тенденция: нарастващите разходи за пробиви.
Това знание и фактът, че има огромен недостиг на квалифициран персонал, прави търсенето на почти всички видове специалисти по киберсигурност голямо. Червен екип, син екип и управленски работни места. Мисля за:
· Инженери по киберсигурност
· Анализатори на киберсигурността
· Етични хакери
· Анализатори на зловреден софтуер
· CISO и ISO
Това означава, че има достатъчно работа в този бранш, има много възможности за обучение и може да се печели добра заплата.
Съвети към други относно бизнеса
Тъй като индустрията за киберсигурност процъфтява, има много стартиращи компании (като мен). В една „процъфтяваща“ индустрия се печелят много пари, докато качеството не винаги е гарантирано. Всеки се опитва да вземе своя дял. Виждаме, че има нужда от одитори на доставчици на сигурност, които издават печат за качество след успешен одит. По този начин компаниите знаят, че поне вътрешните процедури са въведени и се прилагат.
Предоставянето на най-доброто качество на вашите клиенти е жизненоважно в този чувствителен бранш. Пентестерите имат нужда от съвет, за да направят средата по-сигурна, вместо да я правят по-несигурна след пентест (виждал съм това да се случва повече от веднъж). За целта съветвам организациите да инвестират в себе си и в своя персонал. Уверете се, че компанията получава поне знак за качество и пентестерите са обучени за работата, която трябва да изпълняват. Също така покажете на клиентите, че вашият персонал е обучен, така че клиентът да бъде сигурен, че работата ще бъде добре свършена.
Друг съвет, който искам да дам, е да изпратите същия екип в същата компания на последващи работни места, ако е възможно (ако персоналът е обучен да го прави). Да видиш познато лице винаги е приятно. Това дава на клиента чувство на доверие, а за пентестера е забавно да работи в среда, която вече (отчасти) познава. В крайна сметка това също ще бъде от полза за крайното качество на теста.
GP
Работата на семейния лекар включва широк спектър от клинично разнообразие, което изисква обширни познания и ерудиция от специалист. Въпреки това смятам, че най-важното за семейния лекар е да бъде човек, защото сътрудничеството и разбирането между лекаря и пациента са от решаващо значение за осигуряването на успешно здравеопазване. В почивните си дни обичам да съм сред природата. От дете съм запален по шах и тенис. Винаги, когато имам свободно време, обичам да пътувам по света.
- Луди секс пози, които тя винаги ще опитва - April 7, 2023
- Защо трябва да купувате пръстени с дупе? - April 7, 2023
- Най-добрите десет тапи за дупе за вашия див фетиш - April 6, 2023
