Què és "Jarno Baselier Cybersecurity" i què feu?
Jarno Baselier Ciberseguretat és una empresa educativa i de proves de seguretat d'alta qualitat. Som especialistes en la realització de proves de penetració (pentests) en entorns industrials i entorns d'oficines corporatives.
Jarno Baselier Cybersecurity es va fundar l'any 2022 per (no és una sorpresa aquí) Jarno Baselier. L'empresa va néixer després de molts anys d'experiència en el sector i perquè la demanda de pentests d'alta qualitat és important, especialment en entorns industrials.
La seguretat dels components informàtics en entorns industrials és una cosa que cada cop és més crítica i pocs especialistes tenen els coneixements per realitzar aquestes proves correctament i amb la cura adequada. Com que he estat treballant en aquests entorns (els anomenem entorns "OT" o "Tecnologia operativa") durant anys i he donat molta formació, vaig decidir que era hora d'ajudar a més organitzacions oferint-los els meus serveis.
La història de Jarno
Quan vaig començar al món de la ciberseguretat, això no era tan corrent com ho és avui. Estem parlant del 2010/2011. En aquell moment treballava com a enginyer de sistemes per a una gran empresa dental als Països Baixos. Els ciberdelinqüents van augmentar i també ho va ser l'aplicació de la llei. Penseu en GDPG (anomenat AVG als Països Baixos). Com que estava tractant amb la seguretat del sistema, tenia moltes ganes de saber i aprendre com funcionen els atacants. Perquè només podem protegir el que sabem, oi?
Aleshores no hi havia moltes certificacions sobre "pirateria ètica". El que va destacar en aquell moment va ser el Certified Ethical Hacking d'ECCouncil. Així que vaig decidir que necessitava aquest certificat per conèixer en profunditat com funcionen els ciberdelinqüents. Bé, un petit spoiler... això no era tan cert. Perquè això va resultar ser només el principi. No obstant això, va ser un bon certificat començar en aquest negoci. El meu professor en aquell moment era Tim Pearson. Tim era una persona molt inspiradora i més tard es va fer amic meu. Després del curs (que va durar una setmana) vaig portar en Tim a l'aeroport i em va oferir una "posició interna". Bàsicament deia "fes el treball desagradable gratis i t'aprendré els trucs de l'ofici". I així ho vaig fer. Més tard vaig participar en l'escriptura del curs v9 per al curs Certified Ethical Hacking.
He après molt aquests primers anys. No només tècnicament, sinó que també em vaig divertir tant practicant i ajudant que sabia que això era el que volia fer en el futur. En els anys següents, la "ciberseguretat" es va convertir en un tema candent. Cada cop més incompliments es van revelar al públic (amb l'ajuda dels mitjans de comunicació). La consciència de les empreses i els empleats va augmentar i els atacants es van fer cada cop més sofisticats. La pirateria avui dia no s'assembla gens a la pirateria informàtica a principis de l'any 2000. Normalment, els atacs ja no són tan fàcils i requereixen una planificació adequada i un alt nivell d'habilitat. Com que els atacants es tornen més sofisticats, els defensors també han de seguir evolucionant en coneixements i habilitats. Aquest és l'etern joc del "gat i el ratolí" que és similar al que està passant entre els criminals i la policia.
Així que això va ser el que vaig fer els anys següents. Vaig intentar aprendre i practicar tant com vaig poder. Vaig començar el meu bloc el 2014 i fa poc vaig començar el meu Canal de YouTube. Tots dos canals són holandesos, però enfocats a oferir contingut de gran qualitat especialment per a l'especialista en seguretat ofensiva. Crec que tenim un esforç compartit per fer del món un lloc millor i més segur. En compartir els meus coneixements espero ajudar els altres perquè puguin créixer i compartir-hi nous coneixements. Aquesta és la bellesa del món de la ciberseguretat. Hi ha tant per aprendre que seguiré aprenent cada dia.
El meu pare sempre em va dir que no importa el que faré a la vida sinó ser el millor en allò que he triat fer. Així, després d'haver adquirit més coneixements, vaig començar a treballar en un CERT holandès, realitzant també múltiples proves de penetració i aprenent més sobre les capacitats de defensa/vigilància.
Cada prova que faig no només és valuosa per a l'empresa sinó també per a mi. A vegades aquestes proves són ofensives i de vegades col·laborem amb l'anomenat “equip blau”. L'equip blau és el "partit defensor" que realitza tasques com el seguiment, la resposta, la recerca de fils, etc. Quan l'equip vermell (jo, el partit ofensiu) i l'equip blau treballen junts, anomenem a això "equip morat". Darrerament veiem que "l'equip morat" és una part vital d'una bona estratègia de seguretat. Normalment comencem un compromís amb un enfocament de l'equip vermell i més tard "reproduïm" les lliçons apreses juntament amb l'equip blau perquè puguin aprendre i veure què hem fet i els podem ajudar a trobar els artefactes adequats i crear activadors funcionals.
Després de realitzar moltes proves de penetració de diferents àmbits (infraestructura on-premise, aplicacions web, infraestructura de núvol, tecnologia operativa) i després d'obtenir més certificats per qualificar-me (OCSE, OSEP, OSWE, CSA), vaig utilitzar els meus canals no només per compartir informació sinó també per ensenyar realment. El meu canal de YouTube conté molts vídeos "educatius" creats especialment per formar els meus companys de forma gratuïta. El canal rebrà 100 vídeos educatius aquest any que cobreixen una varietat de temes i són adequats per a 75 hores de formació. Per tant, quan aquest projecte estigui acabat, podria plantejar-me crear una formació "pagada".
Tenir un canal social durant tant de temps té molts beneficis pel que fa a la "confiança" i la gent disposada a contractar-te. Com que l'alta demanda de serveis de proves de penetració i formació desitja, vaig decidir establir la meva pròpia empresa. Això em dóna la capacitat d'assumir les feines que trobo molt interessants i d'ensenyar de la manera que crec que és més eficaç. De vegades les meves classes magistrals són de 2-4 hores i de vegades són més intenses i s'estenen en un parell de dies. Això depèn del nivell d'habilitat i del nombre d'assistents.
Els reptes als quals s'enfronta l'empresa/mercat
Des del meu punt de vista, el mercat s'enfronta a molts reptes. Des d'atacs avançats, l'augment dels costos fins a l'escassetat de personal qualificat. Pel 2023/2024 veig 3 reptes principals.
1. Tecnologia operativa de seguretat en entorns industrials
Durant anys, la ciberseguretat es va centrar en tots els components TIC habituals com els sistemes operatius Windows, l'orquestració d'usuaris de Active Directory, les aplicacions web i protocols comuns com TCP/IP. I encara que molts actius de les TIC "normals" es troben dins de l'automatització industrial, aquest camp segueix sent completament diferent. Pensar sobre:
· L'ús de protocols especialitzats (com Modbus, Profinet, DNP3, etc.);
· L'ús de programari especialitzat;
· L'ús de maquinari especialitzat;
Més important encara, tots els components informàtics gestionen màquines especialitzades de control de maquinari. I de vegades aquestes màquines són vitals. Així, el temps d'inactivitat d'aquestes màquines pot provocar grans pèrdues financeres, accidents i fins i tot la pèrdua de vides humanes.
El cas és que totes aquestes màquines són molt cares i tenen un llarg cicle de vida. Algunes màquines funcionen durant 20-40 anys. A causa d'aquests llargs cicles de vida, les màquines i el programari de control no es construeixen amb les últimes pràctiques recomanades de seguretat. A més d'això, també és difícil planificar períodes de manteniment programats en un entorn en funcionament. Això fa que pedagar i actualitzar els sistemes sigui molt difícil. Així, en entorns industrials, l'aposta és alta i la seguretat sol estar desfasada. Els hackers ho saben. Els entorns industrials són piratejables i, a causa de l'alt risc, són ideals per als atacants maliciosos disposats a extorsionar les seves víctimes. Per tant, la necessitat de provar i protegir aquests entorns mai va ser més gran que avui. Com a pentester, heu de saber què feu en aquests entorns especialitzats perquè un petit error pot provocar temps d'inactivitat i grans pèrdues financeres. Això demana verificadors qualificats que sàpiguen com realitzar proves de seguretat de manera segura en aquests entorns sensibles.
2. Extorsió de ransomware
L'extorsió, tal com es descriu al paràgraf anterior, podria ser el fil de ciberseguretat més important en aquest moment. Tradicionalment, el ransomware xifra fitxers sensibles a l'ordinador i demana un rescat per desbloquejar aquests fitxers de nou. Tanmateix, el procés de xifrar tots els fitxers d'un sistema és un procés que requereix molt de temps. Això dóna temps a la víctima per intervenir i desar algunes dades acabant el programari maliciós abans que les dades es xifrin. A més d'això, les empreses tenen el potencial de restaurar a partir de còpies de seguretat sense pagar el rescat. El nou bombo és només exfiltrar les dades i extorsionar el negoci amenaçant de publicar les dades públicament. Aquest tipus d'atac és més ràpid de dur a terme, més difícil de detectar i no es pot solucionar mitjançant còpies de seguretat.
3. (Núvol) Amenaces de tercers
Un altre gran canvi en el món de la ciberseguretat és la ràpida adopció de la computació en núvol. Les eines SaaS s'estan adoptant a una velocitat ràpida, però també s'està implementant IaaS (Infraestructura com a servei) a gran escala i sol existir a més de la infraestructura on-premise. En general, aquests entorns són relativament segurs, però el desconeixement de les millors pràctiques de seguretat al núvol, el model de seguretat compartida al núvol i altres factors poden fer que els entorns del núvol de vegades siguin més vulnerables als atacs que la infraestructura local. Els atacants tenen l'avantatge que poden provar aquests entorns a escala global. Una gran tendència és que, a més dels usuaris del servei al núvol, també s'està dirigint als proveïdors de serveis al núvol. D'aquesta manera, un cibercriminal pot accedir a les dades sensibles dels seus clients i, potencialment, a la seva infraestructura informàtica. D'aquesta manera, l'impacte d'un atac pot ser molt més gran i beneficiós per a un atacant.
Les oportunitats a les quals s'enfronta el negoci/mercat
Com que ens enfrontem a atacs avançats a gran escala en un entorn TIC en constant expansió, el treball dels equips blaus i vermells mai va ser tan important. A tall d'exemple, uns mesos després que la pandèmia de la COVID-19 va afectar el 2020, el nombre d'atacs cibernètics va augmentar un 63%. I el 2021 va ser encara pitjor. El nombre d'incompliments fins a finals de setembre de 2021 ja havia superat el nombre total de 2020 en un 17%. El 2023 no serà diferent. L'augment alarmant del nombre d'incompliments i ciberatacs s'afegeix a una altra tendència preocupant: l'augment del cost de les infraccions.
Aquest coneixement i el fet que hi hagi una gran escassetat de personal qualificat fa que hi hagi una gran demanda de quasi tot tipus de professionals de la ciberseguretat. Equip vermell, equip blau i feines de direcció. Pensar sobre:
· Enginyers de ciberseguretat
· Analistes de ciberseguretat
· Hackers ètics
· Analistes de programari maliciós
· CISO i ISO
Això vol dir que hi ha prou feina en aquesta branca, hi ha moltes oportunitats de formació i es pot guanyar un bon sou.
Assessorament a altres sobre negocis
Com que la indústria de la ciberseguretat està en auge, hi ha moltes startups (com jo). En una indústria "en auge" es guanyen molts diners mentre que la qualitat no sempre està garantida. Tothom intenta aconseguir-ne la part. Veiem que calen auditors dels proveïdors de seguretat que emetin un segell de qualitat després d'una auditoria reeixida. D'aquesta manera, les empreses saben que almenys els procediments interns estan establerts i s'apliquen.
Oferir la millor qualitat als seus clients és vital en aquesta branca sensible. Els pentesters necessiten consells per fer que l'entorn sigui més segur en lloc de fer-lo més insegur després d'un pentest (he vist que això passa més d'una vegada). Per fer-ho aconsello a les organitzacions que inverteixin en elles mateixes i en el seu personal. Assegureu-vos que l'empresa obtingui almenys un segell de qualitat i que els pentesters estiguin formats per als treballs que han de realitzar. També mostreu als clients que el vostre personal està format perquè el client pugui estar segur que la feina estarà ben feta.
Un altre consell que m'agrada donar és enviar el mateix equip a la mateixa empresa a treballs de seguiment si és possible (si el personal està format per fer-ho). Veure una cara coneguda sempre és agradable. Proporciona al client una sensació de confiança i per al pentester és divertit treballar en un entorn que ja coneix (parcialment). Al final, això també serà beneficiós per a la qualitat final de la prova.
GP
La tasca del metge de família inclou una gran diversitat clínica, que requereix un ampli coneixement i erudició per part d'un especialista. No obstant això, crec que el més important per a un metge de família és ser humà perquè la cooperació i la comprensió entre el metge i el pacient són crucials per garantir l'èxit de la salut. En els meus dies lliures, m'encanta estar a la natura. Des de petita m'apassiona jugar als escacs i al tennis. Sempre que tinc temps lliure, m'agrada viatjar per tot el món.
