Što je "Jarno Baselier Cybersecurity" i čime se bavite?
Jarno Baselier Kibernetička sigurnost je visokokvalitetna tvrtka za sigurnosno testiranje i edukaciju. Specijalizirani smo za provođenje penetracijskih testova (pentestova) u industrijskim okruženjima i poslovnim uredima.
Jarno Baselier Cybersecurity osnovao je 2022. godine (ovdje nema iznenađenja) Jarno Baselier. Tvrtka je započela s radom nakon dugogodišnjeg iskustva na tom području i zato što je potražnja za visokokvalitetnim pentestovima značajna, posebno u industrijskim okruženjima.
Osiguranje IT komponenti unutar industrijskih okruženja nešto je što postaje sve kritičnije i malo stručnjaka ima znanje za pravilno izvođenje ovih testova s pravom količinom pažnje. Budući da već godinama radim u tim okruženjima (nazivamo ih "OT" ili "Operational Technology") okruženjima i da sam dao otkaz, odlučio sam da je vrijeme da pomognem većem broju organizacija tako što ću im ponuditi svoje usluge.
Jarnova priča
Kad sam počeo raditi u svijetu kibernetičke sigurnosti, to nije bilo tako mainstream kao danas. Govorimo o 2010./2011. U to sam vrijeme radio kao sistemski inženjer za veliku stomatološku tvrtku u Nizozemskoj. Cyberkriminalci su bili u porastu, kao i provođenje zakona. Razmislite o GDPG-u (u Nizozemskoj se zove AVG). Budući da sam se bavio sigurnošću sustava, stvarno sam želio znati i naučiti kako funkcioniraju napadači. Jer, možemo zaštititi samo ono što znamo, zar ne?
U to vrijeme nije bilo mnogo certifikata u vezi s "etičkim hakiranjem". Ono što se u to vrijeme istaknulo bilo je ECCouncilovo Certified Ethical Hacking. Stoga sam odlučio da mi treba taj certifikat kako bih detaljno znao kako rade kibernetički kriminalci. Pa, mali spojler... ovo nije bilo tako točno. Jer pokazalo se da je ovo tek početak. Ipak, bila je to lijepa potvrda za početak bavljenja ovim poslom. Moj učitelj u to vrijeme bio je Tim Pearson. Tim je bio vrlo inspirativna osoba i kasnije mi je postao prijatelj. Nakon tečaja (koji je trajao tjedan dana) odvezao sam Tima na aerodrom i on mi je ponudio "interno mjesto". Uglavnom je govorio "radi gadan posao besplatno i naučit ću te trikove zanata". I tako sam i učinio. Kasnije sam sudjelovao u pisanju tečaja v9 za tečaj Certified Ethical Hacking.
Puno sam naučio ovih prvih nekoliko godina. Ne samo tehnički, već sam se i toliko zabavljao vježbajući i pomažući da sam znao da je to ono što želim raditi u budućnosti. U godinama koje su uslijedile "kibernetička sigurnost" postala je vruća tema. Sve više kršenja se otkriva javnosti (uz pomoć medija). Podigla se svijest tvrtki i zaposlenika, a napadači su postajali sve sofisticiraniji. Hakiranje danas ne izgleda kao hakiranje ranih 2000-ih. Napadi obično više nisu tako laki i zahtijevaju odgovarajuće planiranje i visoku razinu vještine. Budući da napadači postaju sofisticiraniji, i braniči moraju stalno napredovati u znanju i vještini. To je vječna igra "mačke i miša" koja je slična onome što se događa između kriminalaca i policije.
To je ono što sam radio u godinama koje su uslijedile. Pokušao sam učiti i vježbati što sam više mogao. Pokrenuo sam svoj blog još 2014. godine, a nedavno sam pokrenuo vlastiti YouTube kanal. Oba su kanala nizozemska, ali usmjerena na isporuku sadržaja izvrsne kvalitete posebno za stručnjake za napadnu sigurnost. Vjerujem da imamo zajednički napor da svijet učinimo boljim i sigurnijim mjestom. Dijeleći svoje znanje nadam se da ću pomoći drugima kako bi sami mogli rasti i dijeliti novo znanje. To je ljepota svijeta kibernetičke sigurnosti. Ima toliko toga za naučiti da ću učiti svaki dan.
Otac mi je uvijek govorio da nije važno što ću raditi u životu, već da budem najbolji u onome što sam odabrao. Dakle, nakon što sam stekao više znanja, počeo sam raditi u nizozemskom CERT-u također provodeći višestruke testove prodora i učeći više o obrambenim/nadzornim sposobnostima.
Svaki test koji izvedem nije vrijedan samo za tvrtku nego i za mene samog. Ponekad su ti testovi uvredljivi, a ponekad surađujemo s takozvanim “plavim timom”. Plavi tim je "obrambena strana" koja obavlja zadatke kao što su praćenje, odgovor, traženje niti itd. Kada crveni tim (ja, napadačka strana) i plavi tim rade zajedno, to nazivamo "ljubičastim timom". U posljednje vrijeme vidimo da je "ljubičasto udruživanje" vitalni dio dobre sigurnosne strategije. Obično započinjemo angažman s pristupom crvenog tima, a kasnije "ponovno izvodimo" naučene lekcije zajedno s plavim timom kako bi oni mogli naučiti i vidjeti što smo učinili, a mi im možemo pomoći da pronađu prave artefakte i izgrade funkcionalne okidače.
Nakon izvođenja mnogih penetracijskih testova različitih opsega (on-premise infrastrukture, webapps, cloud infrastruktura, operativna tehnologija) i nakon stjecanja više certifikata da se kvalificiram (OCSE, OSEP, OSWE, CSA) koristio sam svoje kanale ne samo za dijeljenje informacija nego također stvarno poučavati. Moj YouTube kanal sadrži puno “edukativnih” videa koji su posebno stvoreni za besplatno obučavanje mojih kolega. Kanal će ove godine dobiti 100 edukativnih videa koji pokrivaju različite teme i dovoljni su za 75 sati obuke. Dakle, kada taj projekt bude gotov, mogao bih razmisliti o stvaranju "plaćene" obuke.
Imati društveni kanal toliko dugo ima mnogo prednosti kada je riječ o "povjerenju" i ljudima koji su vas spremni zaposliti. Zbog velike potražnje za uslugama penetracijskog testiranja i želja za obukom odlučio sam osnovati vlastitu tvrtku. To mi daje mogućnost da prihvatim poslove koje smatram vrlo zanimljivima i podučavam na način za koji vjerujem da je najučinkovitiji. Ponekad moji majstorski tečajevi traju 2-4 sata, a ponekad su intenzivniji i raspoređeni su na nekoliko dana. To ovisi o razini vještina i broju polaznika.
Izazovi s kojima se suočava poslovanje/tržište
S moje točke gledišta, tržište se suočava s mnogim izazovima. Od naprednih napada, rastućih troškova do nedostatka kvalificiranog osoblja. Za 2023./2024. vidim 3 glavna izazova.
1. Sigurnosna operativna tehnologija u industrijskim okruženjima
Godinama je kibernetička sigurnost bila usredotočena na sve redovne ICT komponente kao što su Windows operativni sustavi, Active Directory korisnička orkestracija, WebApps i uobičajeni protokoli poput TCP/IP. I premda se mnoga sredstva "običnog" ICT-a nalaze unutar industrijske automatizacije, ovo polje ostaje potpuno drugačije. Misli o:
· Korištenje specijaliziranih protokola (kao što su Modbus, Profinet, DNP3 itd.);
· Korištenje specijaliziranog softvera;
· Korištenje specijaliziranog hardvera;
Što je još važnije, sve IT komponente upravljaju specijaliziranim strojevima za kontrolu hardvera. A ponekad su ti strojevi vitalni. Stoga zastoj ovih strojeva može rezultirati velikim financijskim gubicima, nesrećama, pa čak i gubitkom ljudskih života.
Stvar je u tome što su svi ovi strojevi vrlo skupi i imaju dug vijek trajanja. Neki strojevi rade 20-40 godina. Zbog ovih dugih životnih ciklusa strojevi i upravljački softver nisu izrađeni prema najnovijim sigurnosnim standardima. Osim toga, također je teško planirati planirane vremenske okvire održavanja u radnom okruženju. Zbog toga je krpanje i ažuriranje sustava vrlo teško. Dakle, u industrijskim okruženjima ulozi su visoki, a sigurnost je obično zastarjela. Hakeri to znaju. Industrijska su okruženja pogodna za hakiranje i zbog visokih uloga idealna su za zlonamjerne napadače koji su spremni iznuditi svoje žrtve. Stoga potreba za testiranjem i osiguranjem ovih okruženja nikada nije bila veća nego danas. Kao pentester morate znati što radite u tim specijaliziranim okruženjima jer jedna mala pogreška može rezultirati zastojem i velikim financijskim gubicima. To zahtijeva kvalificirane testere koji znaju kako sigurno izvesti sigurnosne testove u ovim osjetljivim okruženjima.
2. Iznuda putem ransomwarea
Iznuda, kao što je opisano u prethodnom odlomku, mogla bi biti najveća nit kibernetičke sigurnosti u ovom trenutku. Tradicionalno ransomware šifrira osjetljive datoteke na računalu i traži otkupninu za ponovno otključavanje tih datoteka. Međutim, proces šifriranja svake datoteke u sustavu je dugotrajan proces. Ovo daje žrtvi vremena da intervenira i spremi neke podatke ukidanjem zlonamjernog softvera prije nego što se podaci šifriraju. Osim toga, tvrtke imaju mogućnost vraćanja iz sigurnosnih kopija bez plaćanja otkupnine. Nova pompa je samo eksfiltracija podataka i iznuđivanje poslovanja prijetnjama javnom objavom podataka. Ova vrsta napada je brža za izvođenje, teža za otkrivanje i ne može se popraviti pomoću sigurnosnih kopija.
3. (Cloud) Prijetnje trećih strana
Još jedna velika promjena u svijetu kibernetičke sigurnosti je brzo usvajanje računalstva u oblaku. SaaS alati usvajaju se velikom brzinom, ali također se IaaS (Infrastruktura kao usluga) implementira u velikoj mjeri i obično postoji pored lokalne infrastrukture. Obično su ta okruženja relativno sigurna, ali nepoznavanje najboljih praksi sigurnosti u oblaku, sigurnosnog modela dijeljenog u oblaku i drugi čimbenici mogu učiniti okruženja u oblaku ponekad ranjivijima na napade od lokalne infrastrukture. Napadači imaju prednost što mogu testirati ova okruženja na globalnoj razini. Veliki trend je da su ciljani osim korisnika usluga u oblaku i pružatelji usluga u oblaku. Na taj način kibernetički kriminalac može dobiti pristup osjetljivim podacima svojih klijenata i potencijalno njihovoj IT infrastrukturi. Na taj način učinak napada može biti puno veći i korisniji za napadača.
Prilike s kojima se suočava poslovanje/tržište
Budući da se suočavamo s naprednim napadima velikih razmjera u sve širem ICT okruženju, rad plavih i crvenih timova nikada nije bio tako važan. Na primjer, nekoliko mjeseci nakon izbijanja pandemije COVID-19 2020. broj cyber napada porastao je za 63%. A 2021. je bila još gora. Broj prekršaja do kraja rujna 2021. već je premašio ukupan broj iz 2020. za 17%. 2023. neće biti ništa drugačije. Alarmantan porast broja provala i kibernetičkih napada pojačan je još jednim zabrinjavajućim trendom: sve većim troškovima provala.
Ovo znanje i činjenica da postoji veliki manjak kvalificiranog osoblja stvaraju veliku potražnju za gotovo svim vrstama stručnjaka za kibernetičku sigurnost. Crveni tim, plavi tim i poslovi upravljanja. Misli o:
· Inženjeri kibernetičke sigurnosti
· Analitičari kibernetičke sigurnosti
· Etički hakeri
· Analitičari zlonamjernog softvera
· CISO i ISO
To znači da u ovoj grani ima dovoljno posla, ima mnogo mogućnosti za obuku i može se zaraditi dobra plaća.
Savjeti drugima o poslovanju
Budući da je industrija kibernetičke sigurnosti u procvatu, postoji mnogo startupa (kao što sam ja). U "procvatu" industrije zarađuje se mnogo novca, a kvaliteta nije uvijek zajamčena. Svatko pokušava dobiti svoj dio. Vidimo da postoji potreba za revizorima sigurnosnih dobavljača koji nakon uspješnog audita izdaju pečat kvalitete. Na taj način tvrtke znaju da su barem interne procedure uspostavljene i da se provode.
Isporuka najbolje kvalitete vašim klijentima je ključna u ovoj osjetljivoj grani. Pentesterima je potreban savjet kako učiniti okruženje sigurnijim umjesto da ga čine nesigurnijim nakon pentesta (vidio sam da se to događa više puta). Da bi to učinile, savjetujem organizacijama da ulažu u sebe i svoje osoblje. Pobrinite se da tvrtka dobije barem pečat kvalitete i da su pentesteri obučeni za poslove koje trebaju obavljati. Također pokažite klijentima da je vaše osoblje obučeno kako bi kupac mogao biti siguran da će posao biti dobro obavljen.
Još jedan savjet koji volim dati jest slanje istog tima u istu tvrtku na naknadne poslove ako je moguće (ako je osoblje za to obučeno). Vidjeti poznato lice uvijek je lijepo. Kupcu daje osjećaj povjerenja, a pentesteru je zabavno raditi u okruženju koje već (djelomično) poznaje. Na kraju će to također biti od koristi za konačnu kvalitetu testa.
GP
Posao obiteljskog liječnika uključuje široku kliničku raznolikost, što od specijalista zahtijeva opsežno znanje i erudiciju. Ipak, smatram da je obiteljskom liječniku najvažnije biti čovjek jer suradnja i razumijevanje između liječnika i pacijenta presudni su za uspješnu zdravstvenu zaštitu. U slobodnim danima volim biti u prirodi. Od djetinjstva sam bio strastven za igranje šaha i tenisa. Kad god imam slobodnog vremena, uživam putovati oko svijeta.
- Ludi položaji za seks koje će uvijek isprobavati - Travanj 7, 2023
- Zašto biste trebali kupiti prstenove s guzicom? - Travanj 7, 2023
- Deset najboljih guzica za vaš divlji fetiš - Travanj 6, 2023
