¿Qué es la “Ciberseguridad Jarno Baselier” y a qué te dedicas?
Jarno Baselier Ciberseguridad es una empresa educativa y de pruebas de seguridad de alta calidad. Nos especializamos en realizar pruebas de penetración (pentests) en entornos industriales y entornos de oficinas corporativas.
Jarno Baselier Cybersecurity fue fundada en 2022 por (no es de extrañar) Jarno Baselier. La empresa nació después de muchos años de experiencia en el campo y porque la demanda de pentests de alta calidad es importante, especialmente en entornos industriales.
Asegurar los componentes de TI dentro de los entornos industriales es algo que se vuelve cada vez más crítico y no muchos especialistas tienen el conocimiento para realizar estas pruebas correctamente y con el cuidado adecuado. Como he estado trabajando en estos entornos (los llamamos entornos "OT" o "Tecnología operativa") durante años y he dado mucha capacitación, decidí que era hora de ayudar a más organizaciones ofreciéndoles mis servicios.
la historia de jarno
Cuando comencé en el mundo de la ciberseguridad, esto no era tan convencional como lo es hoy. Estamos hablando de 2010/2011. En ese momento trabajaba como ingeniero de sistemas para una gran empresa dental en los Países Bajos. Los ciberdelincuentes estaban aumentando y también lo estaba la aplicación de la ley. Piense en GDPG (llamado AVG en los Países Bajos). Como me ocupaba de la seguridad del sistema, tenía muchas ganas de saber y aprender cómo funcionan los atacantes. Porque, solo podemos proteger lo que conocemos, ¿verdad?
En ese momento no había muchas certificaciones sobre “hacking ético”. El que se destacó en ese momento fue el Hacking Ético Certificado de ECCouncil. Así que decidí que necesitaba ese certificado para saber en profundidad cómo funcionan los ciberdelincuentes. Bueno, un pequeño spoiler… esto no era tan cierto. Porque esto resultó ser solo el comienzo. Sin embargo, fue un buen certificado para comenzar en este negocio. Mi maestro en ese momento era Tim Pearson. Tim era una persona muy inspiradora y más tarde se hizo amigo mío. Después del curso (que duró una semana) llevé a Tim al aeropuerto y me ofreció un “puesto de interno”. Básicamente estaba diciendo "haz el trabajo desagradable gratis y te aprenderé los trucos del oficio". Y así lo hice. Posteriormente participé en la redacción del curso v9 para el curso Certified Ethical Hacking.
Aprendí mucho estos primeros años. No solo técnicamente, sino que también me divertí tanto practicando y ayudando que supe que esto era lo que quería hacer en el futuro. En los años que siguieron, la "seguridad cibernética" se convirtió en un tema candente. Más y más violaciones fueron reveladas al público (con la ayuda de los medios). La conciencia de las empresas y los empleados aumentó y los atacantes se volvieron cada vez más sofisticados. La piratería hoy en día no se parece en nada a la piratería de principios de 2000. Los ataques ya no suelen ser tan fáciles y requieren una planificación adecuada y un alto nivel de habilidad. Debido a que los atacantes se vuelven más sofisticados, los defensores también deben seguir evolucionando en conocimientos y habilidades. Ese es el eterno juego del “gato y el ratón” que es similar a lo que sucede entre los delincuentes y la policía.
Así que eso fue lo que hice en los años siguientes. Traté de aprender y practicar tanto como pude. comencé el mío blog en 2014 y recientemente comencé mi propio Canal de Youtube. Ambos canales son holandeses pero enfocados en entregar contenido de gran calidad especialmente para especialistas en seguridad ofensiva. Creo que tenemos un esfuerzo compartido para hacer del mundo un lugar mejor y más seguro. Al compartir mi conocimiento, espero ayudar a otros para que puedan crecer y compartir nuevos conocimientos por su cuenta. Esa es la belleza del mundo de la ciberseguridad. Hay tanto que aprender que seguiré aprendiendo todos los días.
Mi padre siempre me dijo que no importa lo que haga en la vida sino ser el mejor en lo que he elegido hacer. Entonces, después de adquirir más conocimientos, comencé a trabajar en un CERT holandés, también realizando múltiples pruebas de penetración y aprendiendo más sobre las capacidades de defensa/supervisión.
Cada prueba que realizo no solo es valiosa para la empresa sino también para mí. A veces estas pruebas son ofensivas y a veces colaboramos con el llamado “equipo azul”. El equipo azul es la "parte defensora" que realiza tareas como monitoreo, respuesta, búsqueda de hilos, etc. Cuando el equipo rojo (yo, la parte ofensiva) y el equipo azul trabajan juntos, lo llamamos "equipo púrpura". Últimamente vemos que el “equipo púrpura” es una parte vital de una buena estrategia de seguridad. Por lo general, comenzamos un compromiso con un enfoque de equipo rojo y luego "reproducimos" las lecciones aprendidas junto con el equipo azul para que puedan aprender y ver lo que hicimos y podemos ayudarlos a encontrar los artefactos correctos y construir disparadores funcionales.
Después de realizar muchas pruebas de penetración que varían de diferentes alcances (infraestructura local, aplicaciones web, infraestructura en la nube, tecnología operativa) y después de obtener más certificados para calificarme (OCSE, OSEP, OSWE, CSA), utilicé mis canales no solo para compartir información sino también para enseñar de verdad. Mi canal de YouTube contiene muchos videos "educativos" creados especialmente para capacitar a mis colegas de forma gratuita. El canal obtendrá 100 videos educativos este año que cubren una variedad de temas y son válidos para 75 horas de capacitación. Entonces, cuando termine ese proyecto, podría considerar crear una capacitación "pagada".
Tener un canal social durante tanto tiempo tiene muchos beneficios cuando se trata de “confianza” y personas dispuestas a contratarte. Debido a la gran demanda de servicios de pruebas de penetración y deseos de capacitación, decidí establecer mi propia empresa. Esto me da la capacidad de tomar los trabajos que encuentro muy interesantes y enseñar de la manera que creo que es más eficaz. A veces mis masterclasses son de 2-4 horas ya veces son más intensas y se reparten en un par de días. Esto depende del nivel de habilidad y el número de asistentes.
Los retos a los que se enfrenta la empresa/el mercado
Desde mi punto de vista, el mercado se enfrenta a muchos desafíos. Desde ataques avanzados, aumento de costos hasta escasez de personal calificado. Para 2023/2024 veo 3 desafíos principales.
1. Tecnología Operacional de Seguridad en Entornos Industriales
Durante años, la ciberseguridad se centró en todos los componentes habituales de las TIC, como los sistemas operativos Windows, la orquestación de usuarios de Active Directory, las aplicaciones web y los protocolos comunes como TCP/IP. Y aunque muchos activos de las TIC “normales” se encuentran dentro de la automatización industrial, este campo sigue siendo completamente diferente. Pensar en:
· El uso de protocolos especializados (como Modbus, Profinet, DNP3, etc.);
· El uso de software especializado;
· El uso de hardware especializado;
Más importante aún, todos los componentes de TI administran máquinas de control de hardware especializadas. Y a veces estas máquinas son vitales. Por lo tanto, el tiempo de inactividad de estas máquinas puede provocar enormes pérdidas financieras, accidentes e incluso la pérdida de vidas humanas.
Lo que pasa es que todas estas máquinas son muy caras y tienen un ciclo de vida largo. Algunas máquinas funcionan durante 20-40 años. Debido a estos largos ciclos de vida, las máquinas y el software de control no se construyen con las mejores prácticas de seguridad más recientes. Además de esto, también es difícil planificar plazos de mantenimiento programados en un entorno en ejecución. Esto hace que parchear y actualizar los sistemas sea muy difícil. Entonces, en entornos industriales, hay mucho en juego y la seguridad suele estar desactualizada. Los piratas informáticos lo saben. Los entornos industriales se pueden piratear y, debido a que hay mucho en juego, son ideales para atacantes maliciosos dispuestos a extorsionar a sus víctimas. Por lo tanto, la necesidad de probar y proteger estos entornos nunca fue mayor que en la actualidad. Como pentester, necesita saber lo que está haciendo en estos entornos especializados porque 1 pequeño error puede provocar tiempo de inactividad y enormes pérdidas financieras. Esto requiere evaluadores calificados que sepan cómo realizar pruebas de seguridad de manera segura en estos entornos sensibles.
2. Extorsión de ransomware
La extorsión, como se describe en el párrafo anterior, podría ser el mayor hilo de ciberseguridad en este momento. Tradicionalmente, el ransomware encripta archivos confidenciales en la computadora y solicita un rescate para desbloquear estos archivos nuevamente. Sin embargo, el proceso de cifrar todos los archivos de un sistema requiere mucho tiempo. Esto le da tiempo a la víctima para intervenir y guardar algunos datos al terminar el malware antes de que se cifren los datos. Además de eso, las empresas tienen el potencial de restaurar desde copias de seguridad sin pagar el rescate. La nueva exageración es solo extraer datos y extorsionar a la empresa amenazando con divulgar públicamente los datos. Este tipo de ataque es más rápido de llevar a cabo, más difícil de detectar y no se puede solucionar con copias de seguridad.
3. (Nube) Amenazas de terceros
Otro gran cambio en el mundo de la ciberseguridad es la rápida adopción de la computación en la nube. Las herramientas SaaS se están adoptando a gran velocidad, pero también IaaS (Infraestructura como servicio) se está implementando a gran escala y, por lo general, existe además de la infraestructura local. Por lo general, estos entornos son relativamente seguros, pero la falta de familiaridad con las mejores prácticas de seguridad en la nube, el modelo de seguridad compartida en la nube y otros factores pueden hacer que los entornos en la nube a veces sean más vulnerables a los ataques que la infraestructura local. Los atacantes tienen la ventaja de que pueden probar estos entornos a escala global. Una gran tendencia es que, además de los usuarios de servicios en la nube, también se apunta a los proveedores de servicios en la nube. De esta forma, un ciberdelincuente puede obtener acceso a los datos confidenciales de sus clientes y, potencialmente, a su infraestructura de TI. De esta forma, el impacto de un ataque puede ser mucho mayor y más beneficioso para un atacante.
Las oportunidades que enfrenta el negocio/mercado
Dado que nos enfrentamos a ataques avanzados a gran escala en un entorno de TIC en constante expansión, el trabajo de los equipos azul y rojo nunca fue tan importante. A modo de ejemplo, unos meses después de la pandemia de COVID-19 en 2020, la cantidad de ataques cibernéticos aumentó en un 63%. Y 2021 fue aún peor. El número de infracciones hasta finales de septiembre de 2021 ya había superado el número total de 2020 en un 17 %. 2023 no será diferente. El alarmante aumento en el número de infracciones y ciberataques se ve agravado por otra tendencia preocupante: el aumento del costo de las infracciones.
Este conocimiento y el hecho de que existe una gran escasez de personal cualificado hace que exista una gran demanda de casi todo tipo de profesionales de la ciberseguridad. Equipo rojo, equipo azul y trabajos de gestión. Pensar en:
· Ingenieros de ciberseguridad
· Analistas de ciberseguridad
· Hackers éticos
· Analistas de malware
· CISO's e ISO's
Esto significa que hay suficiente trabajo en esta rama, hay muchas oportunidades de capacitación y se puede ganar un buen salario.
Consejos a otros sobre negocios.
Dado que la industria de la ciberseguridad está en auge, hay muchas nuevas empresas (como yo). En una industria “en auge” se gana mucho dinero mientras que la calidad no siempre está garantizada. Todo el mundo trata de conseguir su parte. Vemos que hay una necesidad de auditores de proveedores de seguridad que emitan un sello de calidad después de una auditoría exitosa. De esta manera, las empresas saben que al menos los procedimientos internos están establecidos y se aplican.
Entregar la mejor calidad a sus clientes es vital en esta delicada rama. Los pentesters necesitan consejos para hacer que el entorno sea más seguro en lugar de hacerlo más inseguro después de un pentest (he visto que esto sucede más de una vez). Para ello, aconsejo a las organizaciones que inviertan en sí mismas y en su personal. Asegúrese de que la empresa obtenga al menos un sello de calidad y que los pentesters estén capacitados para los trabajos que deben realizar. También muestre a los clientes que su personal está capacitado para que el cliente pueda estar seguro de que el trabajo estará bien hecho.
Otro consejo que me gusta dar es enviar el mismo equipo a la misma empresa en trabajos de seguimiento si es posible (si el personal está capacitado para hacerlo). Ver una cara familiar siempre es agradable. Da al cliente una sensación de confianza y para el pentester es divertido trabajar en un entorno que ya conocen (parcialmente). Al final, esto también será beneficioso para la calidad final de la prueba.
GP
El trabajo de un médico de familia incluye una amplia gama de diversidad clínica, lo que requiere un amplio conocimiento y erudición por parte de un especialista. Sin embargo, creo que lo más importante para un médico de familia es ser humano porque la cooperación y el entendimiento entre el médico y el paciente son cruciales para garantizar una atención médica exitosa. En mis días libres, me encanta estar en la naturaleza. Desde pequeño me ha apasionado jugar al ajedrez y al tenis. Cuando tengo tiempo libre, disfruto viajando por el mundo.
- De la vivienda pública a la Ivy League: el viaje inspirador de Crystaltharrell.com y su fundador - Junio 7, 2023
- Posiciones sexuales locas que siempre intentará - Abril 7, 2023
- ¿Por qué debería comprar anillos para el pene con tapones anales? - Abril 7, 2023
