"जरनो बेसेलियर साइबर सुरक्षा" क्या है और आप क्या करते हैं?
जर्नो बेसेलियर साइबर सुरक्षा एक उच्च गुणवत्ता वाली सुरक्षा परीक्षण और शैक्षिक कंपनी है। हम औद्योगिक वातावरण और कॉर्पोरेट कार्यालय वातावरण में पैठ परीक्षण (पेंटेस्ट) करने में विशेषज्ञ हैं।
जर्नो बेसेलियर साइबरस्पेस की स्थापना 2022 में जर्नो बेसेलियर द्वारा (यहाँ कोई आश्चर्य नहीं) द्वारा की गई है। कंपनी इस क्षेत्र में कई वर्षों के अनुभव के बाद शुरू हुई और क्योंकि उच्च गुणवत्ता वाले पेंटेस्ट की मांग महत्वपूर्ण है, विशेष रूप से औद्योगिक वातावरण में।
औद्योगिक वातावरण के भीतर आईटी घटकों को सुरक्षित करना एक ऐसी चीज है जो अधिक से अधिक महत्वपूर्ण हो जाती है और बहुत से विशेषज्ञों के पास इन परीक्षणों को सही ढंग से और सही मात्रा में देखभाल करने का ज्ञान नहीं होता है। चूंकि मैं वर्षों से इन वातावरणों में काम कर रहा हूं (हम उन्हें "ओटी" या "ऑपरेशनल टेक्नोलॉजी" वातावरण कहते हैं) और बहुत सारे प्रशिक्षण छोड़ दिए हैं, मैंने फैसला किया कि यह मेरी सेवाओं की पेशकश करके और अधिक संगठनों की मदद करने का समय है।
जर्नो की कहानी
जब मैंने साइबर सुरक्षा की दुनिया में शुरुआत की थी तब यह इतनी मुख्यधारा नहीं थी जितनी आज है। हम बात कर रहे हैं 2010/2011 की। उस समय मैं नीदरलैंड की एक बड़ी डेंटल कंपनी के लिए सिस्टम इंजीनियर के रूप में काम कर रहा था। साइबर अपराधी जहां बढ़ रहे हैं और कानून प्रवर्तन भी। GDPG (नीदरलैंड्स में AVG कहा जाता है) के बारे में सोचें। चूंकि मैं सिस्टम सुरक्षा से निपट रहा था, इसलिए मैं वास्तव में जानना और सीखना चाहता था कि हमलावर कैसे काम करते हैं। क्योंकि, हम उसी की रक्षा कर सकते हैं जिसे हम सही जानते हैं?
उस समय जहां "एथिकल हैकिंग" के संबंध में कई प्रमाणपत्र नहीं थे। उस समय जो सबसे अलग था वह ईसीसी काउंसिल की सर्टिफाइड एथिकल हैकिंग थी। इसलिए मैंने फैसला किया कि साइबर अपराधी कैसे काम करते हैं, यह जानने के लिए मुझे उस सर्टिफिकेट की जरूरत है। खैर, थोड़ा स्पॉइलर... यह इतना सच नहीं था। क्योंकि यह तो शुरुआत भर निकली। फिर भी इस व्यवसाय में शुरुआत करना एक अच्छा प्रमाणपत्र था। उस समय मेरे शिक्षक टिम पियर्सन थे। टिम बहुत ही प्रेरक व्यक्ति थे और बाद में मेरे मित्र बन गए। कोर्स के बाद (जो एक सप्ताह तक चला) मैंने टिम को हवाई अड्डे तक पहुँचाया और उन्होंने मुझे "आंतरिक स्थिति" की पेशकश की। मूल रूप से वह कह रहा था "मुफ्त में बुरा काम करो और मैं तुम्हें व्यापार के गुर सीखूंगा"। और इसलिए मैंने किया। बाद में मैंने सर्टिफाइड एथिकल हैकिंग कोर्स के लिए v9 कोर्स लिखने में भाग लिया।
मैंने इन पहले कुछ वर्षों में बहुत कुछ सीखा है। न केवल तकनीकी रूप से बल्कि मुझे अभ्यास करने और मदद करने में इतना मज़ा आया कि मुझे पता था कि मैं भविष्य में यही करना चाहता था। "साइबर सुरक्षा" के बाद के वर्षों में एक हॉट-आइटम बन गया। अधिक से अधिक उल्लंघनों का जनता के सामने खुलासा (मीडिया की मदद से)। कंपनियों और कर्मचारियों की जागरूकता बढ़ी और हमलावर अधिक से अधिक परिष्कृत हो गए। हैकिंग आजकल 2000 की शुरुआत में हैकिंग जैसा कुछ नहीं दिखता है। हमले आमतौर पर अब उतने आसान नहीं होते हैं और इसके लिए एक उचित योजना और उच्च स्तर के कौशल की आवश्यकता होती है। क्योंकि हमलावर अधिक परिष्कृत हो जाते हैं, रक्षकों को भी ज्ञान और कौशल में विकसित होने की आवश्यकता होती है। यह हमेशा चलने वाला "बिल्ली और चूहे" का खेल है जो अपराधियों और पुलिस के बीच होने वाले समान है।
इसके बाद के वर्षों में मैंने यही किया। मैंने जितना हो सके सीखने और अभ्यास करने की कोशिश की। मैंने अपनी शुरुआत की ब्लॉग 2014 में वापस और हाल ही में मैंने अपना खुद का शुरू किया यूट्यूब चैनल. दोनों चैनल डच हैं लेकिन विशेष रूप से आपत्तिजनक सुरक्षा विशेषज्ञ के लिए अच्छी गुणवत्ता वाली सामग्री देने पर केंद्रित हैं। मेरा मानना है कि दुनिया को एक बेहतर और सुरक्षित जगह बनाने के लिए हमारा साझा प्रयास है। अपने ज्ञान को साझा करके मैं दूसरों की मदद करने की आशा करता हूं ताकि वे विकसित हो सकें और नए ज्ञान को साझा कर सकें। यही साइबर सुरक्षा की दुनिया की खूबसूरती है। सीखने के लिए इतना कुछ है कि मैं हर दिन सीखता रहूंगा।
मेरे पिता ने हमेशा मुझसे कहा कि इससे कोई फर्क नहीं पड़ता कि मैं जीवन में क्या करूँगा बल्कि उस चीज़ में सर्वश्रेष्ठ होना है जिसे मैंने करने के लिए चुना है। इसलिए अधिक ज्ञान प्राप्त करने के बाद मैंने एक डच सीईआरटी में काम करना शुरू कर दिया, जिसमें कई पैठ परीक्षण भी किए गए और बचाव/निगरानी क्षमताओं के बारे में अधिक सीखा।
मेरे द्वारा किया जाने वाला प्रत्येक परीक्षण न केवल कंपनी के लिए बल्कि मेरे लिए भी मूल्यवान है। कभी-कभी ये परीक्षण आपत्तिजनक होते हैं और कभी-कभी हम तथाकथित "ब्लू टीम" के साथ सहयोग करते हैं। ब्लू टीम "डिफेंडिंग पार्टी" है जो निगरानी, प्रतिक्रिया, थ्रेड हंटिंग आदि जैसे कार्य करती है। जब रेड टीम (मैं, आक्रामक पार्टी) और ब्लू टीम एक साथ काम करती है तो हम इसे "पर्पल टीमिंग" कहते हैं। हाल ही में हम देखते हैं कि "बैंगनी टीमिंग" अच्छी सुरक्षा रणनीति का एक महत्वपूर्ण हिस्सा है। आमतौर पर हम एक रेड-टीम दृष्टिकोण के साथ जुड़ाव शुरू करते हैं और बाद में हम ब्लू टीम के साथ मिलकर सीखे गए पाठों को "फिर से चलाते" हैं ताकि वे सीख सकें और देख सकें कि हमने क्या किया और हम उन्हें सही कलाकृतियों को खोजने और कार्यात्मक ट्रिगर बनाने में मदद कर सकते हैं।
अलग-अलग स्कोप (ऑन-प्रिमाइसेस इंफ्रास्ट्रक्चर, वेबएप, क्लाउड इंफ्रास्ट्रक्चर, ऑपरेशनल टेक्नोलॉजी) से अलग-अलग कई पैठ परीक्षण करने के बाद और खुद को क्वालिफाई करने के लिए अधिक सर्टिफिकेट हासिल करने के बाद (OCSE, OSEP, OSWE, CSA) मैंने अपने चैनलों का इस्तेमाल न केवल जानकारी साझा करने के लिए किया बल्कि वास्तव में सिखाने के लिए भी। मेरे YouTube चैनल में बहुत सारे "शैक्षिक" वीडियो हैं जो विशेष रूप से मेरे सहयोगियों को मुफ्त में प्रशिक्षित करने के लिए बनाए गए हैं। चैनल को इस साल 100 शैक्षिक वीडियो मिलेंगे जिनमें विभिन्न विषयों को शामिल किया जाएगा और 75 घंटे के प्रशिक्षण के लिए अच्छा होगा। इसलिए जब वह परियोजना पूरी हो जाएगी तो मैं "सशुल्क" प्रशिक्षण बनाने पर विचार कर सकता हूं।
इतने लंबे समय तक एक सोशल चैनल होने के कई फायदे हैं जब "भरोसा" और आपको काम पर रखने के इच्छुक लोगों की बात आती है। पैठ परीक्षण सेवाओं और प्रशिक्षण इच्छाओं की उच्च मांग के कारण मैंने अपनी खुद की फर्म स्थापित करने का फैसला किया। यह मुझे उन नौकरियों को लेने की क्षमता देता है जो मुझे अत्यधिक दिलचस्प लगती हैं और जिस तरह से मुझे विश्वास है कि यह सबसे प्रभावी है। कभी-कभी मेरे मास्टरक्लास 2-4 घंटे के होते हैं और कभी-कभी यह अधिक तीव्र होते हैं और वे कुछ दिनों में फैले होते हैं। यह कौशल-स्तर और उपस्थित लोगों की संख्या पर निर्भर करता है।
व्यवसाय/बाजार जिन चुनौतियों का सामना कर रहा है
मेरे विचार से बाजार कई चुनौतियों का सामना कर रहा है। उन्नत हमलों से, बढ़ती लागतों से योग्य कर्मियों की कमी तक। 2023/2024 के लिए मुझे 3 मुख्य चुनौतियाँ दिखाई देती हैं।
1. औद्योगिक वातावरण में सुरक्षा संचालन प्रौद्योगिकी
वर्षों से साइबर सुरक्षा सभी नियमित आईसीटी घटकों जैसे विंडोज ऑपरेटिंग सिस्टम, सक्रिय निर्देशिका उपयोगकर्ता ऑर्केस्ट्रेशन, वेबएप्स और टीसीपी/आईपी जैसे सामान्य प्रोटोकॉल पर केंद्रित थी। और यद्यपि "नियमित" ICT की कई संपत्तियाँ औद्योगिक स्वचालन के भीतर पाई जाती हैं, यह क्षेत्र पूरी तरह से अलग है। के बारे में सोचो:
· विशेष प्रोटोकॉल का उपयोग (जैसे मोडबस, प्रोफिनेट, डीएनपी3 आदि);
· विशेष सॉफ्टवेयर का उपयोग;
· विशेष हार्डवेयर का उपयोग;
इससे भी महत्वपूर्ण बात यह है कि सभी आईटी घटक विशेष हार्डवेयर नियंत्रण मशीनों का प्रबंधन करते हैं। और कभी-कभी ये मशीनें महत्वपूर्ण होती हैं। इसलिए इन मशीनों के डाउनटाइम के परिणामस्वरूप भारी वित्तीय नुकसान, दुर्घटनाएं और यहां तक कि मानव जीवन की हानि भी हो सकती है।
बात यह है कि ये सभी मशीनें बहुत महंगी हैं और इनका जीवन चक्र लंबा है। कुछ मशीनें 20-40 साल से चल रही हैं। इन लंबे जीवनचक्रों के कारण मशीनें और नियंत्रक सॉफ्टवेयर नवीनतम सुरक्षा सर्वोत्तम प्रथाओं के साथ निर्मित नहीं होते हैं। इसके अलावा चल रहे वातावरण में निर्धारित रखरखाव समय-सीमा की योजना बनाना भी कठिन है। इससे सिस्टम को पैच करना और अपडेट करना बहुत कठिन हो जाता है। इसलिए औद्योगिक वातावरण में दांव ऊंचे होते हैं और सुरक्षा आमतौर पर पुरानी होती है। हैकर्स यह जानते हैं। औद्योगिक वातावरण हैक करने योग्य हैं और वहां उच्च-दांव के कारण वे दुर्भावनापूर्ण हमलावरों के लिए आदर्श हैं जो अपने पीड़ितों को निकालने के इच्छुक हैं। इसलिए इन वातावरणों का परीक्षण करने और उन्हें सुरक्षित करने की आवश्यकता आज जितनी अधिक है उतनी पहले कभी नहीं थी। एक पेंटेस्टर के रूप में आपको यह जानने की आवश्यकता है कि आप इन विशेष वातावरणों में क्या कर रहे हैं क्योंकि एक छोटी सी गलती के परिणामस्वरूप डाउनटाइम और भारी वित्तीय नुकसान हो सकता है। यह योग्य परीक्षकों के लिए पूछता है जो जानते हैं कि इन संवेदनशील वातावरणों में सुरक्षित रूप से सुरक्षा परीक्षण कैसे करें।
2. रैंसमवेयर जबरन वसूली
जबरन वसूली, जैसा कि पिछले पैराग्राफ में वर्णित है, इस समय सबसे बड़ा साइबर सुरक्षा धागा हो सकता है। परंपरागत रूप से रैंसमवेयर कंप्यूटर पर संवेदनशील फाइलों को एन्क्रिप्ट करता है और इन फाइलों को फिर से अनलॉक करने के लिए फिरौती मांगता है। हालाँकि, सिस्टम पर प्रत्येक फ़ाइल को एन्क्रिप्ट करने की प्रक्रिया एक समय लेने वाली प्रक्रिया है। यह पीड़ित को डेटा एन्क्रिप्ट करने से पहले मैलवेयर को समाप्त करके हस्तक्षेप करने और कुछ डेटा को बचाने का समय देता है। इसके अलावा, कंपनियां फिरौती का भुगतान किए बिना बैकअप से पुनर्स्थापित करने की क्षमता रखती हैं। नया प्रचार केवल डेटा की चोरी करना है और डेटा को सार्वजनिक रूप से जारी करने की धमकी देकर व्यवसाय को लूटना है। इस प्रकार का हमला तेजी से किया जाता है, पता लगाना कठिन होता है, और बैकअप का उपयोग करके इसे ठीक नहीं किया जा सकता है।
3. (बादल) तृतीय-पक्ष की धमकी
साइबर सुरक्षा की दुनिया में एक और बड़ा बदलाव क्लाउड कंप्यूटिंग को तेजी से अपनाना है। SaaS टूलिंग को तीव्र गति से अपनाया जा रहा है, लेकिन IaaS (इन्फ्रास्ट्रक्चर एज ए सर्विस) को भी बड़े पैमाने पर लागू किया जा रहा है और आमतौर पर ऑन-प्रिमाइसेस इन्फ्रास्ट्रक्चर के अलावा मौजूद है। आम तौर पर ये वातावरण अपेक्षाकृत सुरक्षित होते हैं, लेकिन क्लाउड सुरक्षा सर्वोत्तम प्रथाओं, क्लाउड साझा सुरक्षा मॉडल और अन्य कारकों के साथ अपरिचितता क्लाउड वातावरण को कभी-कभी ऑन-प्रिमाइसेस इंफ्रास्ट्रक्चर की तुलना में हमले के लिए अधिक संवेदनशील बना सकते हैं। हमलावरों के पास यह फायदा है कि वे वैश्विक स्तर पर इन वातावरणों का परीक्षण कर सकते हैं। एक बड़ा चलन यह है कि क्लाउड सर्विस यूजर्स के अलावा क्लाउड सर्विस प्रोवाइडर्स को भी निशाना बनाया जा रहा है। इस तरह एक साइबर अपराधी अपने ग्राहकों के संवेदनशील डेटा और संभावित रूप से उनके आईटी बुनियादी ढांचे तक पहुंच प्राप्त कर सकता है। इस तरह हमले का प्रभाव हमलावर के लिए बहुत बड़ा और अधिक फायदेमंद हो सकता है।
व्यवसाय/बाजार जिन अवसरों का सामना कर रहा है
चूंकि हम लगातार बढ़ते आईसीटी वातावरण में बड़े पैमाने पर उन्नत हमलों का सामना कर रहे हैं, इसलिए नीली टीमों और लाल टीमों का काम इतना महत्वपूर्ण कभी नहीं था। एक उदाहरण के रूप में, 19 में COVID-2020 महामारी के आने के कुछ महीनों बाद साइबर हमलों की संख्या में 63% की वृद्धि हुई। और 2021 और भी बुरा था। सितंबर 2021 के अंत तक उल्लंघनों की संख्या पहले ही 2020 की कुल संख्या को 17% से अधिक कर चुकी थी। 2023 अलग नहीं होगा। उल्लंघनों और साइबर हमलों की संख्या में खतरनाक वृद्धि एक और चिंताजनक प्रवृत्ति से जुड़ी हुई है: उल्लंघनों की बढ़ती लागत।
यह ज्ञान और तथ्य यह है कि कुशल व्यक्तियों की भारी कमी है, लगभग सभी प्रकार के साइबर सुरक्षा पेशेवरों की उच्च मांग है। रेड टीम, ब्लू टीम और प्रबंधन नौकरियां। के बारे में सोचो:
· साइबर सुरक्षा इंजीनियर
· साइबर सुरक्षा विश्लेषक
· एथिकल हैकर्स
· मैलवेयर विश्लेषक
· सीआईएसओ और आईएसओ
इसका मतलब है कि इस शाखा में काफी काम है, प्रशिक्षण के कई अवसर हैं और अच्छा वेतन कमाया जा सकता है।
व्यापार के बारे में दूसरों को सलाह
चूंकि साइबर सुरक्षा उद्योग फलफूल रहा है इसलिए कई स्टार्टअप (जैसे मेरे) हैं। एक "उभरते" उद्योग में बहुत पैसा कमाया जाता है जबकि गुणवत्ता की हमेशा गारंटी नहीं होती है। हर कोई अपना हिस्सा पाने की कोशिश करता है। हम देखते हैं कि सुरक्षा आपूर्तिकर्ताओं के ऑडिटरों की आवश्यकता है जो एक सफल ऑडिट के बाद गुणवत्ता की मुहर जारी करते हैं। इस तरह कंपनियां जानती हैं कि कम से कम आंतरिक प्रक्रियाएं लागू हैं और लागू हैं।
इस संवेदनशील शाखा में अपने ग्राहकों को सर्वोत्तम गुणवत्ता प्रदान करना महत्वपूर्ण है। पेंटेस्टर्स को एक पेंटेस्ट के बाद इसे और अधिक असुरक्षित बनाने के बजाय पर्यावरण को और अधिक सुरक्षित बनाने की सलाह देने की आवश्यकता है (मैंने इसे एक से अधिक बार होते देखा है)। ऐसा करने के लिए मैं संगठनों को सलाह देता हूं कि वे अपने आप में और अपने कर्मियों में निवेश करें। सुनिश्चित करें कि कंपनी को कम से कम गुणवत्ता की मुहर मिलती है और पेंटेस्टर्स को उन नौकरियों के लिए प्रशिक्षित किया जाता है जिन्हें उन्हें करने की आवश्यकता होती है। ग्राहकों को यह भी दिखाएं कि आपके कर्मियों को प्रशिक्षित किया गया है ताकि ग्राहक को आश्वस्त किया जा सके कि काम अच्छी तरह से किया जाएगा।
एक और टिप जो मैं देना चाहता हूं वह है कि यदि संभव हो तो उसी टीम को उसी कंपनी को फॉलो-अप नौकरियों में भेजना है (यदि कर्मियों को ऐसा करने के लिए प्रशिक्षित किया जाता है)। एक जाना-पहचाना चेहरा देखना हमेशा अच्छा लगता है। यह ग्राहक को भरोसे की भावना देता है और पेंटेस्टर के लिए ऐसे माहौल में काम करना मज़ेदार होता है जिसे वे पहले से ही (आंशिक रूप से) जानते हैं। अंत में यह परीक्षण की अंतिम गुणवत्ता के लिए भी फायदेमंद होगा।
GP
एक पारिवारिक चिकित्सक के कार्य में नैदानिक विविधता की एक विस्तृत श्रृंखला शामिल होती है, जिसके लिए किसी विशेषज्ञ से व्यापक ज्ञान और विद्वता की आवश्यकता होती है। हालांकि, मेरा मानना है कि एक पारिवारिक डॉक्टर के लिए सबसे महत्वपूर्ण चीज इंसान होना है क्योंकि सफल स्वास्थ्य देखभाल सुनिश्चित करने में डॉक्टर और मरीज के बीच सहयोग और समझ महत्वपूर्ण है। छुट्टी के दिनों में, मुझे प्रकृति में रहना पसंद है। मुझे बचपन से ही शतरंज और टेनिस खेलने का शौक रहा है। जब भी मेरे पास समय होता है, मैं दुनिया भर में घूमने का आनंद लेता हूं।
- पागल सेक्स पोजीशन वह हमेशा कोशिश करेगी - अप्रैल 7, 2023
- आपको बट प्लग के साथ कॉकरिंग क्यों खरीदना चाहिए? - अप्रैल 7, 2023
- आपके वाइल्ड फेटिश के लिए टॉप टेन टेल बट प्लग्स - अप्रैल 6, 2023
