Co je to „kybernetická bezpečnost Jarno Baselier“ a co děláte?
Kybernetická bezpečnost Jarno Baselier je vysoce kvalitní bezpečnostní testovací a vzdělávací společnost. Specializujeme se na provádění penetračních testů (pentestů) v průmyslovém prostředí a prostředí firemních kanceláří.
Cybersecurity Jarno Baselier založil v roce 2022 (není překvapením) Jarno Baselier. Společnost začala po mnohaletých zkušenostech v oboru a protože poptávka po vysoce kvalitních pentestech je značná, zejména v průmyslovém prostředí.
Zabezpečení IT komponent v průmyslových prostředích je něco, co se stává stále důležitějším a málokterý specialista má znalosti, aby tyto testy provedl správně a se správnou dávkou péče. Vzhledem k tomu, že v těchto prostředích (říkáme jim „OT“ nebo „prostředí provozních technologií“) pracuji roky a absolvoval jsem mnoho školení, rozhodl jsem se, že je čas pomoci více organizacím tím, že jim nabídnu své služby.
Jarnův příběh
Když jsem začínal ve světě kybernetické bezpečnosti, nebyl to tak mainstream jako dnes. Mluvíme o letech 2010/2011. V té době jsem pracoval jako systémový inženýr pro velkou zubní společnost v Nizozemsku. Kyberzločinci stoupali, stejně jako vymáhání práva. Zamyslete se nad GDPG (v Nizozemí nazývané AVG). Protože jsem se zabýval zabezpečením systému, opravdu jsem chtěl vědět a naučit se, jak útočníci pracují. Protože, můžeme chránit jen to, co dobře víme?
V té době nebylo mnoho certifikací týkajících se „etického hackování“. Ten, který v té době vyčníval, byl certifikovaný etický hacking ECCouncil. Tak jsem se rozhodl, že ten certifikát potřebuji, abych věděl do hloubky, jak kyberzločinci fungují. No, malý spoiler... tohle nebyla až tak pravda. Protože se ukázalo, že to byl jen začátek. Přesto to byl pěkný certifikát začít v tomto oboru. Mým učitelem byl tehdy Tim Pearson. Tim byl velmi inspirativní člověk a později se stal mým přítelem. Po kurzu (který trval týden) jsem odvezl Tima na letiště a on mi nabídl „interní pozici“. V podstatě říkal „dělejte tu ošklivou práci zdarma a já vás naučím obchodní triky“. A tak jsem to udělal. Později jsem se podílel na psaní kurzu v9 pro kurz Certified Ethical Hacking.
Během prvních let jsem se hodně naučil. Nejen po technické stránce, ale také mě to bavilo cvičit a pomáhat, že jsem věděl, že tohle je to, co chci v budoucnu dělat. V následujících letech se „kybernetická bezpečnost“ stala žhavou položkou. Stále více porušení bylo odhaleno veřejnosti (s pomocí médií). Zvyšovalo se povědomí firem a zaměstnanců a útočníci byli stále sofistikovanější. Hackování v dnešní době nevypadá jako hackování na začátku roku 2000. Útoky už obvykle nejsou tak snadné a vyžadují řádné plánování a vysokou úroveň dovedností. Protože útočníci jsou sofistikovanější, obránci se také musí neustále vyvíjet ve znalostech a dovednostech. To je věčná hra „kočka a myš“, která je podobná tomu, co se děje mezi zločinci a policií.
Takže to bylo to, co jsem dělal v následujících letech. Snažil jsem se učit a cvičit, jak jen to šlo. Začal jsem svůj vlastní blog v roce 2014 a nedávno jsem si založil vlastní YouTube kanál. Oba kanály jsou holandské, ale zaměřují se na poskytování vysoce kvalitního obsahu speciálně pro ofenzivní bezpečnostní specialisty. Věřím, že máme společné úsilí o to, aby byl svět lepší a bezpečnější. Doufám, že sdílením svých znalostí pomůžu ostatním, aby mohli sami růst a sdílet nové znalosti. To je krása světa kybernetické bezpečnosti. Je toho tolik k učení, že se budu učit každý den.
Můj otec mi vždycky říkal, že nezáleží na tom, co budu v životě dělat, ale na tom, abych byl nejlepší v tom, co jsem se rozhodl dělat. Takže poté, co jsem získal více znalostí, začal jsem pracovat v holandském CERTu, kde jsem také prováděl několik penetračních testů a učil se více o schopnostech obrany/monitorování.
Každý test, který provedu, je cenný nejen pro firmu, ale i pro mě samotného. Někdy jsou tyto testy urážlivé a někdy spolupracujeme s tzv. „modrým týmem“. Modrý tým je „obranná strana“ plnící úkoly jako monitorování, odezva, vyhledávání vláken atd. Když červený tým (já, útočná strana) a modrý tým spolupracují, nazýváme to „fialový tým“. V poslední době vidíme, že „fialový tým“ je důležitou součástí dobré bezpečnostní strategie. Obvykle začínáme angažmá s přístupem červeného týmu a později si „přehrajeme“ získané lekce společně s modrým týmem, aby se mohli naučit a vidět, co jsme dělali, a my jim můžeme pomoci najít ty správné artefakty a vytvořit funkční spouštěče.
Po provedení mnoha penetračních testů různých rozsahů (on-premise infrastruktura, webové aplikace, cloudová infrastruktura, provozní technologie) a po získání více certifikátů pro svou kvalifikaci (OCSE, OSEP, OSWE, CSA) jsem své kanály využil nejen ke sdílení informací, ale i také skutečně učit. Můj kanál na YouTube obsahuje spoustu „vzdělávacích“ videí, která jsou speciálně vytvořena pro školení mých kolegů zdarma. Kanál letos získá 100 vzdělávacích videí pokrývajících různá témata a vhodných na 75 hodin školení. Takže až bude projekt hotový, mohl bych zvážit vytvoření „placeného“ školení.
Mít sociální kanál tak dlouho má mnoho výhod, pokud jde o „důvěru“ a lidi ochotné vás zaměstnat. Vzhledem k vysoké poptávce po službách penetračního testování a školení jsem se rozhodl založit vlastní firmu. To mi dává možnost přijímat práce, které považuji za velmi zajímavé, a učit způsobem, který je podle mě nejúčinnější. Někdy moje mistrovské kurzy trvají 2-4 hodiny a někdy jsou intenzivnější a jsou rozložené do několika dnů. To závisí na úrovni dovedností a počtu účastníků.
Výzvy, kterým obchod/trh čelí
Z mého pohledu čelí trh mnoha výzvám. Od pokročilých útoků, rostoucích nákladů až po nedostatek kvalifikovaného personálu. Pro rok 2023/2024 vidím 3 hlavní výzvy.
1. Bezpečnostní operační technologie v průmyslovém prostředí
Kybernetická bezpečnost se léta zaměřovala na všechny běžné součásti ICT, jako jsou operační systémy Windows, orchestrace uživatelů Active Directory, WebApps a běžné protokoly, jako je TCP/IP. A přestože se v průmyslové automatizaci nachází mnoho výhod „běžných“ ICT, zůstává tato oblast zcela odlišná. Přemýšlet o:
· Použití specializovaných protokolů (jako Modbus, Profinet, DNP3 atd.);
· Používání specializovaného softwaru;
· Použití specializovaného hardwaru;
Ještě důležitější je, že všechny IT komponenty spravují specializované hardwarové řídicí stroje. A někdy jsou tyto stroje životně důležité. Takže výpadky těchto strojů mohou mít za následek obrovské finanční ztráty, nehody a dokonce i ztráty na lidských životech.
Jde o to, že všechny tyto stroje jsou velmi drahé a mají dlouhou životnost. Některé stroje běží 20-40 let. Kvůli těmto dlouhým životním cyklům nejsou stroje a řídicí software postaveny podle nejnovějších osvědčených bezpečnostních postupů. Kromě toho je také obtížné plánovat plánované časové rámce údržby v běžícím prostředí. To velmi ztěžuje záplatování a aktualizaci systémů. V průmyslovém prostředí jsou tedy sázky vysoké a zabezpečení je obvykle zastaralé. Hackeři to vědí. Průmyslová prostředí jsou hacknutelná a kvůli vysokým sázkám jsou ideální pro zlomyslné útočníky, kteří chtějí své oběti vydírat. Potřeba testovat a zabezpečit tato prostředí tedy nikdy nebyla vyšší než dnes. Jako pentester musíte vědět, co děláte v těchto specializovaných prostředích, protože jedna malá chyba může mít za následek prostoje a obrovské finanční ztráty. To vyžaduje kvalifikované testery, kteří vědí, jak bezpečně provádět bezpečnostní testy v těchto citlivých prostředích.
2. Ransomware vydírání
Vydírání, jak je popsáno v předchozím odstavci, může být v tuto chvíli největším tématem kybernetické bezpečnosti. Ransomware tradičně zašifruje citlivé soubory v počítači a za opětovné odemknutí těchto souborů požaduje výkupné. Proces šifrování každého souboru v systému je však časově náročný proces. To dává oběti čas zasáhnout a zachránit některá data ukončením malwaru před zašifrováním dat. Kromě toho mají společnosti potenciál obnovit ze záloh bez placení výkupného. Novým humbukem je pouze exfiltrace dat a vydírání podniku vyhrožováním zveřejněním dat. Tento typ útoku je rychlejší na provedení, hůře zjistitelný a nelze jej opravit pomocí záloh.
3. (Cloud) Hrozby třetích stran
Další velkou změnou ve světě kybernetické bezpečnosti je rychlé přijetí cloud computingu. Nástroje SaaS jsou přijímány vysokou rychlostí, ale také IaaS (Infrastructure as a Service) je implementováno ve velkém měřítku a obvykle existuje vedle vlastní infrastruktury. Obvykle jsou tato prostředí relativně bezpečná, ale neznalost osvědčených postupů cloudového zabezpečení, cloudového sdíleného bezpečnostního modelu a dalších faktorů může způsobit, že cloudová prostředí jsou někdy zranitelnější vůči útoku než místní infrastruktura. Útočníci mají tu výhodu, že mohou tato prostředí testovat v globálním měřítku. Velkým trendem je, že kromě uživatelů cloudových služeb se cílí i na poskytovatele cloudových služeb. Tímto způsobem může kyberzločinec získat přístup k citlivým datům svých zákazníků a potenciálně k jejich IT infrastruktuře. Tímto způsobem může být dopad útoku mnohem větší a pro útočníka výhodnější.
Příležitosti, kterým obchod/trh čelí
Vzhledem k tomu, že ve stále se rozšiřujícím prostředí ICT čelíme pokročilým útokům ve velkém měřítku, nebyla práce modrých a červených týmů nikdy tak důležitá. Například několik měsíců po vypuknutí pandemie COVID-19 v roce 2020 se počet kybernetických útoků zvýšil o 63 %. A rok 2021 byl ještě horší. Počet porušení do konce září 2021 již překročil celkový počet z roku 2020 o 17 %. 2023 tomu nebude jinak. Alarmující nárůst počtu narušení a kybernetických útoků je umocněn dalším znepokojivým trendem: rostoucími náklady na porušení.
Tyto znalosti a skutečnost, že existuje obrovský nedostatek kvalifikovaných osobních výrobců, je vysoká poptávka po téměř všech druzích odborníků na kybernetickou bezpečnost. Červený tým, modrý tým a manažerské práce. Přemýšlet o:
· Inženýři kybernetické bezpečnosti
· Analytici kybernetické bezpečnosti
· Etičtí hackeři
· Malwaroví analytici
· CISO a ISO
To znamená, že v tomto oboru je dostatek práce, existuje mnoho příležitostí ke školení a dá se vydělat dobrý plat.
Rady o podnikání ostatním
Vzhledem k tomu, že odvětví kybernetické bezpečnosti zažívá boom, existuje mnoho startupů (jako jsem já). V „rozvíjejícím se“ odvětví se vydělává spousta peněz, zatímco kvalita není vždy zaručena. Každý se snaží získat svůj podíl. Vidíme, že jsou potřeba auditoři dodavatelů zabezpečení, kteří po úspěšném auditu vydají pečeť kvality. Společnosti tak vědí, že alespoň interní postupy jsou zavedeny a vynucovány.
Poskytování nejvyšší kvality vašim zákazníkům je v tomto citlivém odvětví životně důležité. Pentesters potřebují poradit, jak udělat prostředí bezpečnější, místo aby bylo po pentestu ještě více nebezpečné (viděl jsem to nejednou). K tomu radím organizacím, aby investovaly do sebe a do svých zaměstnanců. Zajistěte, aby společnost získala alespoň pečeť kvality a aby pentesterové byli vyškoleni pro práci, kterou potřebují vykonávat. Ukažte také zákazníkům, že váš personál je vyškolený, takže si zákazník může být jistý, že jeho práce bude dobře odvedená.
Další tip, který bych rád dal, je poslat pokud možno stejný tým do stejné společnosti na návazné zakázky (pokud je k tomu personál vyškolen). Vidět známou tvář je vždy příjemné. Zákazníkovi to dává pocit důvěry a pro pentestera je to zábava pracovat v prostředí, které již (částečně) znají. V konečném důsledku to bude přínosem i pro výslednou kvalitu testu.
GP
Práce rodinného lékaře zahrnuje širokou klinickou rozmanitost, která vyžaduje rozsáhlé znalosti a erudici specialisty. Domnívám se však, že pro rodinného lékaře je nejdůležitější být lidský, protože spolupráce a porozumění mezi lékařem a pacientem jsou klíčové pro zajištění úspěšné zdravotní péče. Ve dnech volna miluji pobyt v přírodě. Od dětství jsem byl nadšený hraním šachů a tenisu. Kdykoli mám volno, ráda cestuji po světě.
- Bláznivé sexuální polohy, které bude vždy zkoušet - Duben 7, 2023
- Proč byste si měli koupit kohoutky s análními kolíky? - Duben 7, 2023
- Top Ten zátky do ocasu pro váš Wild Fetish - Duben 6, 2023
