Ի՞նչ է «Jarno Baselier Cybersecurity»-ը և ի՞նչ եք անում:
Jarno Baselier կիբերանվտանգություն անվտանգության թեստավորման և կրթական բարձրակարգ ընկերություն է։ Մենք մասնագիտացած ենք արդյունաբերական միջավայրերում և կորպորատիվ գրասենյակային միջավայրերում ներթափանցման թեստերի (pentests) կատարման մեջ:
Jarno Baselier Cybersecurity-ը հիմնադրվել է 2022 թվականին (այստեղ զարմանալի չէ) Jarno Baselier-ի կողմից: Ընկերությունը սկսել է աշխատել ոլորտում երկար տարիների փորձից հետո և քանի որ բարձրորակ պենտեստների պահանջարկը մեծ է հատկապես արդյունաբերական միջավայրում:
Արդյունաբերական միջավայրում ՏՏ բաղադրիչների ապահովումն ավելի ու ավելի կարևոր է դառնում, և ոչ շատ մասնագետներ գիտելիք ունեն այդ թեստերը ճիշտ և պատշաճ խնամքով կատարելու համար: Քանի որ ես տարիներ շարունակ աշխատել եմ այս միջավայրերում (մենք դրանք անվանում ենք «ՕՏ» կամ «Օպերացիոն տեխնոլոգիաներ» միջավայրեր) և անցել եմ բազմաթիվ դասընթացներ, որոշեցի, որ ժամանակն է օգնել ավելի շատ կազմակերպությունների՝ նրանց առաջարկելով իմ ծառայությունները:
Ժառնոյի պատմությունը
Երբ ես սկսեցի աշխատել կիբերանվտանգության աշխարհում, սա այնքան էլ հիմնական չէր, որքան այսօր: Խոսքը 2010/2011թթ. Այդ ժամանակ ես աշխատում էի որպես համակարգի ինժեներ Նիդեռլանդներում խոշոր ատամնաբուժական ընկերությունում: Կիբերհանցագործները աճում էին, ինչպես նաև իրավապահ մարմինները: Մտածեք GDPG-ի մասին (Նիդեռլանդներում կոչվում է AVG): Քանի որ ես գործ էի ունենում համակարգի անվտանգության հետ, ես իսկապես ուզում էի իմանալ և իմանալ, թե ինչպես են աշխատում հարձակվողները: Որովհետև մենք կարող ենք պաշտպանել միայն այն, ինչ ճիշտ գիտենք:
Այն ժամանակ, որտեղ «էթիկական հաքերների» վերաբերյալ շատ հավաստագրեր չկան։ Այն, որն այն ժամանակ առանձնանում էր, ECCouncil-ի Certified Ethical Hacking-ն էր: Այսպիսով, ես որոշեցի, որ ինձ անհրաժեշտ է այդ վկայականը, որպեսզի իմանամ, թե ինչպես են աշխատում կիբերհանցագործները: Դե, մի փոքր սփոյլեր… սա այնքան էլ ճիշտ չէր: Քանի որ պարզվեց, որ սա միայն սկիզբն է։ Այնուամենայնիվ, դա լավ վկայագիր էր այս բիզնեսում սկսելու համար: Այդ ժամանակ իմ ուսուցիչը Թիմ Փիրսոնն էր: Թիմը շատ ոգեշնչող անձնավորություն էր և հետագայում դարձավ ինձ ընկեր: Դասընթացից հետո (որը տևեց մեկ շաբաթ) ես Թիմին քշեցի օդանավակայան, և նա ինձ «ներքին պաշտոն» առաջարկեց։ Հիմնականում նա ասում էր՝ «անվճար գործ արեք, և ես ձեզ կսովորեմ արհեստի հնարքները»: Եվ այդպես էլ արեցի։ Հետագայում ես մասնակցեցի v9 դասընթացի գրմանը Certified Ethical Hacking դասընթացի համար:
Այս առաջին մի քանի տարիներին ես շատ բան սովորեցի: Ոչ միայն տեխնիկապես, այլև ես այնքան զվարճացա մարզվելով և օգնելով, որ գիտեի, որ սա այն է, ինչ ես ուզում էի անել ապագայում: Հետագա տարիներին «կիբերանվտանգությունը» դարձավ թեժ առարկա: Ավելի ու ավելի շատ խախտումներ են բացահայտվում հանրությանը (լրատվության միջոցների օգնությամբ): Ընկերությունների և աշխատակիցների տեղեկացվածությունը բարձրացավ, իսկ հարձակվողները ավելի ու ավելի բարդացան: Ներկայումս հաքերային հարձակումը նման չէ 2000 թվականի սկզբին հաքերային հարձակումներին: Հարձակումները սովորաբար այնքան էլ հեշտ չեն և պահանջում են պատշաճ պլանավորում և բարձր մակարդակի հմտություն: Քանի որ հարձակվողները դառնում են ավելի բարդ, պաշտպանները նույնպես պետք է շարունակեն զարգանալ գիտելիքներով և հմտություններով: Դա հավերժական «կատու և մուկ» խաղն է, որը նման է այն ամենին, ինչ տեղի է ունենում հանցագործների և ոստիկանության միջև:
Այսպիսով, դա այն էր, ինչ ես արեցի հաջորդ տարիներին: Ես փորձում էի սովորել և զբաղվել որքան կարող էի: Ես սկսեցի իմը Օրագիր դեռ 2014 թվականին և վերջերս ես սկսեցի իմը YouTube ալիք. Երկու ալիքներն էլ հոլանդական են, բայց կենտրոնացած են որակյալ բովանդակություն տրամադրելու վրա՝ հատուկ վիրավորական անվտանգության մասնագետների համար: Ես հավատում եմ, որ մենք ընդհանուր ջանքեր ունենք աշխարհն ավելի լավ և անվտանգ դարձնելու համար: Կիսելով իմ գիտելիքները՝ ես հույս ունեմ օգնել ուրիշներին, որպեսզի նրանք կարողանան աճել և ինքնուրույն կիսվել նոր գիտելիքներով: Դա է կիբերանվտանգության աշխարհի գեղեցկությունը: Այնքան բան կա սովորելու, որ ես կշարունակեմ սովորել ամեն օր:
Հայրս ինձ միշտ ասում էր, որ կարևոր չէ, թե ինչ եմ անելու կյանքում, այլ լինել լավագույնը այն բանում, ինչ ես ընտրել եմ: Այսպիսով, ավելի շատ գիտելիքներ ձեռք բերելուց հետո ես սկսեցի աշխատել հոլանդական CERT-ում՝ նաև անցկացնելով ներթափանցման բազմաթիվ թեստեր և ավելին իմանալով պաշտպանելու/մոնիթորինգի հնարավորությունների մասին:
Յուրաքանչյուր թեստ, որը ես կատարում եմ, արժեքավոր է ոչ միայն ընկերության, այլև ինձ համար: Երբեմն այս թեստերը վիրավորական են, երբեմն էլ մենք համագործակցում ենք այսպես կոչված «կապույտ թիմի» հետ: Կապույտ թիմը «պաշտպանող կողմն» է, որը կատարում է այնպիսի խնդիրներ, ինչպիսիք են մոնիտորինգը, պատասխանը, թելերի որսը և այլն: Երբ կարմիր թիմը (ես, հարձակվող կողմը) և կապույտ թիմը աշխատում են միասին, մենք դա անվանում ենք «մանուշակագույն թիմ»: Վերջերս մենք տեսնում ենք, որ «մանուշակագույն թիմը» լավ անվտանգության ռազմավարության կարևոր մասն է: Սովորաբար մենք սկսում ենք ներգրավվածությունը կարմիր թիմի մոտեցմամբ, իսկ ավելի ուշ մենք «վերարտադրում» ենք սովորած դասերը կապույտ թիմի հետ միասին, որպեսզի նրանք կարողանան սովորել և տեսնել, թե ինչ ենք մենք արել, և մենք կարող ենք օգնել նրանց գտնել ճիշտ արտեֆակտներ և ստեղծել ֆունկցիոնալ ձգան:
Տարբեր շրջանակներից տարբերվող ներթափանցման բազմաթիվ թեստեր կատարելուց հետո (ներկառուցված ենթակառուցվածք, վեբ հավելվածներ, ամպային ենթակառուցվածք, գործառնական տեխնոլոգիա) և ավելի շատ վկայականներ ստանալուց հետո (OCSE, OSEP, OSWE, CSA) ես օգտագործեցի իմ ալիքները ոչ միայն տեղեկատվություն փոխանակելու համար, այլև նաև իսկապես սովորեցնել: Իմ YouTube ալիքը պարունակում է բազմաթիվ «ուսուցողական» տեսանյութեր, որոնք հատուկ ստեղծված են իմ գործընկերներին անվճար մարզելու համար: Այս տարի ալիքը կստանա 100 ուսուցողական տեսահոլովակ՝ ընդգրկելով տարբեր թեմաներ և նախատեսված է 75 ժամ ուսուցման համար: Այսպիսով, երբ այդ նախագիծն ավարտվի, ես կարող եմ մտածել «վճարովի» թրեյնինգ ստեղծելու մասին:
Այսքան երկար ժամանակ սոցիալական ալիք ունենալը շատ առավելություններ ունի, երբ խոսքը վերաբերում է «վստահության» և ձեզ աշխատանքի ընդունելու պատրաստ մարդկանց: Քանի որ ներթափանցման փորձարկման ծառայությունների և վերապատրաստման ծառայությունների մեծ պահանջարկը ես որոշեցի հիմնել իմ սեփական ընկերությունը: Սա ինձ հնարավորություն է տալիս ընդունելու այն աշխատանքները, որոնք ինձ շատ հետաքրքիր են համարում և սովորեցնելու այն ձևը, որը ես կարծում եմ, որ ամենաարդյունավետն է: Երբեմն իմ վարպետության դասերը տևում են 2-4 ժամ, երբեմն էլ ավելի ինտենսիվ, և դրանք բաժանվում են մի քանի օրվա ընթացքում: Սա կախված է հմտության մակարդակից և մասնակիցների քանակից:
Բիզնեսի/շուկայի առջև ծառացած մարտահրավերները
Իմ տեսանկյունից շուկան կանգնած է բազմաթիվ մարտահրավերների առաջ։ Ընդլայնված հարձակումներից, ծախսերի աճից մինչև որակավորված անհատականության պակաս: 2023/2024 թվականների համար ես տեսնում եմ 3 հիմնական մարտահրավեր.
1. Անվտանգության գործառնական տեխնոլոգիաներ արդյունաբերական միջավայրերում
Տարիներ շարունակ կիբերանվտանգությունը կենտրոնացած էր բոլոր սովորական ՏՀՏ բաղադրիչների վրա, ինչպիսիք են Windows օպերացիոն համակարգերը, Active Directory օգտվողների կազմակերպումը, WebApps-ը և սովորական արձանագրությունները, ինչպիսիք են TCP/IP-ը: Եվ չնայած «կանոնավոր» ՏՀՏ-ի շատ ակտիվներ հայտնաբերված են արդյունաբերական ավտոմատացման շրջանակներում, այս ոլորտը մնում է բոլորովին այլ: Մտածեք.
· Մասնագիտացված արձանագրությունների օգտագործումը (օրինակ՝ Modbus, Profinet, DNP3 և այլն);
· Մասնագիտացված ծրագրերի օգտագործումը;
· Մասնագիտացված սարքավորումների օգտագործումը;
Ավելի կարևոր է, որ ՏՏ բոլոր բաղադրիչները կառավարում են ապարատային կառավարման մասնագիտացված մեքենաներ: Եվ երբեմն այդ մեքենաները կենսական նշանակություն ունեն: Այսպիսով, այս մեքենաների աշխատանքը կարող է հանգեցնել հսկայական ֆինանսական կորուստների, վթարների և նույնիսկ մարդկային կյանքերի:
Բանն այն է, որ այս բոլոր մեքենաները շատ թանկ են և ունեն երկար կյանքի ցիկլ։ Որոշ մեքենաներ աշխատում են 20-40 տարի: Այս երկար կյանքի ցիկլերի պատճառով մեքենաները և վերահսկիչ ծրագրակազմը չեն ստեղծվել անվտանգության վերջին լավագույն փորձով: Բացի այդ, դժվար է նաև պլանավորել սպասարկման ժամկետները գործող միջավայրում: Սա շատ դժվար է դարձնում համակարգերի կարկատումը և թարմացումը: Այսպիսով, արդյունաբերական միջավայրերում խաղադրույքները մեծ են, և անվտանգությունը սովորաբար հնացած է: Հաքերները դա գիտեն։ Արդյունաբերական միջավայրերը թալանելի են, և դրանց պատճառով բարձր ցցերի պատճառով դրանք իդեալական են չարամիտ հարձակվողների համար, ովքեր ցանկանում են կորզել իրենց զոհերը: Այսպիսով, այս միջավայրերը փորձարկելու և ապահովելու անհրաժեշտությունը երբեք ավելի բարձր չի եղել, քան այսօր: Որպես pentester դուք պետք է իմանաք, թե ինչ եք անում այս մասնագիտացված միջավայրերում, քանի որ 1 փոքր սխալը կարող է հանգեցնել անգործության և հսկայական ֆինանսական կորուստների: Սա պահանջում է որակավորված փորձարկողներ, որոնք գիտեն, թե ինչպես անվտանգ թեստեր կատարել այս զգայուն միջավայրերում:
2. Փրկագին շորթում
Շորթումը, ինչպես նկարագրված է նախորդ պարբերությունում, կարող է լինել այս պահին կիբերանվտանգության ամենամեծ թեման: Ավանդաբար փրկագին կոդավորում է համակարգչի զգայուն ֆայլերը և փրկագին խնդրում՝ այս ֆայլերը նորից բացելու համար: Այնուամենայնիվ, համակարգի վրա յուրաքանչյուր ֆայլի կոդավորման գործընթացը ժամանակատար գործընթաց է: Սա տուժողին ժամանակ է տալիս միջամտելու և պահպանելու որոշ տվյալներ՝ դադարեցնելով չարամիտ ծրագիրը, նախքան տվյալները գաղտնագրելը: Բացի այդ, ընկերությունները հնարավորություն ունեն վերականգնելու կրկնօրինակներից՝ առանց փրկագին վճարելու։ Նոր աղմուկը միայն տվյալների արտազատումն է և բիզնեսից շորթելը` սպառնալով հրապարակայնորեն հրապարակել տվյալները: Այս տեսակի հարձակումն ավելի արագ է իրականացվում, դժվար է հայտնաբերել և չի կարող շտկվել կրկնօրինակների միջոցով:
3. (Cloud) Երրորդ կողմի սպառնալիքներ
Կիբերանվտանգության աշխարհում մեկ այլ մեծ փոփոխություն է ամպային հաշվարկների արագ ընդունումը: SaaS գործիքավորումն ընդունվում է արագ արագությամբ, բայց նաև IaaS-ը (Ենթակառուցվածքը որպես ծառայություն) իրականացվում է լայնածավալ մասշտաբով և սովորաբար գոյություն ունի բացի ներքին ենթակառուցվածքից: Սովորաբար այս միջավայրերը համեմատաբար անվտանգ են, սակայն ամպային անվտանգության լավագույն փորձին, ամպային համօգտագործվող անվտանգության մոդելին և այլ գործոններին անծանոթ լինելը կարող է ամպային միջավայրերը երբեմն ավելի խոցելի դարձնել հարձակման համար, քան ներքին ենթակառուցվածքը: Հարձակվողներն ունեն առավելություն, որ նրանք կարող են փորձարկել այս միջավայրերը համաշխարհային մասշտաբով: Մեծ միտումն այն է, որ բացի ամպային ծառայությունների օգտագործողներից, թիրախավորվում են նաև ամպային ծառայություններ մատուցողները: Այս կերպ կիբերհանցագործը կարող է մուտք ունենալ իր հաճախորդների զգայուն տվյալներին և, հնարավոր է, նրանց ՏՏ ենթակառուցվածքին: Այս կերպ հարձակման ազդեցությունը կարող է շատ ավելի մեծ և շահավետ լինել հարձակվողի համար:
Այն հնարավորությունները, որոնց առջև ծառացած է բիզնեսը/շուկան
Քանի որ անընդհատ ընդլայնվող ՏՀՏ միջավայրում մենք բախվում ենք լայնածավալ հարձակումների, կապույտ և կարմիր թիմերի աշխատանքը երբեք այդքան կարևոր չի եղել: Որպես օրինակ՝ 19 թվականին COVID-2020 համաճարակի հարվածից մի քանի ամիս անց կիբերհարձակումների թիվն աճել է 63%-ով։ Իսկ 2021 թվականն ավելի վատն էր. 2021 թվականի սեպտեմբերի վերջի դրությամբ խախտումների թիվն արդեն 2020%-ով գերազանցել է 17 թվականի ընդհանուր թիվը։ 2023-ը ոչնչով չի տարբերվի. Խախտումների և կիբերհարձակումների թվի տագնապալի աճին գումարվում է մեկ այլ մտահոգիչ միտում՝ խախտումների թանկացում:
Այս գիտելիքը և այն փաստը, որ կա հմուտ անձնավորության հսկայական պակաս, մեծ պահանջարկ ունի կիբերանվտանգության գրեթե բոլոր տեսակի մասնագետների համար: Կարմիր թիմ, կապույտ թիմ և ղեկավար աշխատատեղեր: Մտածեք.
· Կիբերանվտանգության ինժեներներ
· Կիբերանվտանգության վերլուծաբաններ
· Էթիկական հաքերներ
· Չարամիտ ծրագրերի վերլուծաբաններ
· CISO և ISO-ներ
Սա նշանակում է, որ այս ճյուղում բավականաչափ աշխատանք կա, վերապատրաստման շատ հնարավորություններ կան և լավ աշխատավարձ կարելի է վաստակել:
Խորհրդատվություն ուրիշներին բիզնեսի վերաբերյալ
Քանի որ կիբերանվտանգության արդյունաբերությունը ծաղկում է, կան բազմաթիվ ստարտափներ (ինչպես ես): «Բում» արդյունաբերության մեջ մեծ գումարներ են վաստակվում, մինչդեռ որակը միշտ չէ, որ երաշխավորված է: Բոլորը փորձում են ստանալ դրա բաժինը: Մենք տեսնում ենք, որ անվտանգության մատակարարների աուդիտորների կարիք կա, որոնք հաջող աուդիտից հետո թողարկում են որակի կնիք: Այս կերպ ընկերությունները գիտեն, որ առնվազն ներքին ընթացակարգերը գործում են և կիրառվում են:
Ձեր հաճախորդներին լավագույն որակի մատուցումը կենսական նշանակություն ունի այս զգայուն մասնաճյուղում: Քննարկողները պետք է խորհուրդներ տան՝ շրջակա միջավայրն ավելի անվտանգ դարձնելու փոխարեն, այն ավելի անապահով դարձնելու փոխարեն քնից հետո (ես տեսել եմ, որ դա տեղի է ունենում ավելի քան մեկ անգամ): Դա անելու համար խորհուրդ եմ տալիս կազմակերպություններին ներդրումներ կատարել իրենց և իրենց անձնակազմի մեջ: Համոզվեք, որ ընկերությունն առնվազն որակի կնիք է ստանում, և գրչագործները պատրաստված են այն աշխատանքների համար, որոնք նրանք պետք է կատարեն: Նաև ցույց տվեք հաճախորդներին, որ ձեր անձնակազմը պատրաստված է, որպեսզի հաճախորդը կարողանա վստահ լինել, որ աշխատանքը լավ կկատարվի:
Մեկ այլ խորհուրդ, որը ես սիրում եմ տալ, հնարավորության դեպքում նույն թիմին ուղարկել նույն ընկերություն հետագա աշխատանքների համար (եթե անձնակազմը պատրաստված է դրա համար): Ծանոթ դեմք տեսնելը միշտ հաճելի է: Այն հաճախորդին տալիս է վստահության զգացում, և գրպանի համար հաճելի է աշխատել այնպիսի միջավայրում, որը նրանք արդեն (մասամբ) գիտեն: Ի վերջո, դա նույնպես ձեռնտու կլինի թեստի վերջնական որակին:
GP
Ընտանեկան բժշկի աշխատանքը ներառում է կլինիկական բազմազանության լայն շրջանակ, որը մասնագետից պահանջում է լայնածավալ գիտելիքներ և էրուդիա։ Այնուամենայնիվ, կարծում եմ, որ ընտանեկան բժշկի համար ամենակարևորը մարդ լինելն է, քանի որ բժշկի և հիվանդի միջև համագործակցությունն ու փոխըմբռնումը վճռորոշ են հաջող առողջապահական խնամք ապահովելու համար: Հանգստյան օրերին ես սիրում եմ լինել բնության գրկում: Մանկուց կրքոտ եմ եղել շախմատով և թենիսով: Ամեն անգամ, երբ հանգստանում եմ, հաճույք եմ ստանում աշխարհով մեկ ճանապարհորդելուց:
- Սեքսի խելագար դիրքեր, որոնք նա միշտ կփորձի - April 7, 2023
- Ինչու՞ պետք է աքլորներ գնել հետույքի խրոցակներով: - April 7, 2023
- Լավագույն տասը պոչի հետույքի խրոցակներ ձեր վայրի ֆետիշի համար - April 6, 2023
