Apa itu “Jarno Baselier Cybersecurity” dan apa yang Anda lakukan?
Jarno Baselier Cybersecurity adalah perusahaan pendidikan dan pengujian keamanan berkualitas tinggi. Kami mengkhususkan diri dalam melakukan tes penetrasi (pentests) di lingkungan industri dan lingkungan kantor perusahaan.
Jarno Baselier Cybersecurity didirikan pada tahun 2022 oleh (tidak mengherankan di sini) Jarno Baselier. Perusahaan dimulai setelah pengalaman bertahun-tahun di lapangan dan karena permintaan akan pentest berkualitas tinggi sangat signifikan, khususnya di lingkungan industri.
Mengamankan komponen TI dalam lingkungan industri adalah sesuatu yang semakin kritis dan tidak banyak spesialis yang memiliki pengetahuan untuk melakukan pengujian ini dengan benar dan dengan jumlah perawatan yang tepat. Karena saya telah bekerja di lingkungan ini (kami menyebutnya lingkungan "OT" atau "Teknologi Operasional") selama bertahun-tahun dan telah memberikan banyak pelatihan, saya memutuskan sudah waktunya untuk membantu lebih banyak organisasi dengan menawarkan layanan saya kepada mereka.
cerita Jarno
Ketika saya memulai di dunia keamanan siber, ini tidak terlalu umum seperti saat ini. Kita berbicara 2010/2011. Saat itu saya bekerja sebagai insinyur sistem di sebuah perusahaan gigi besar di Belanda. Penjahat dunia maya meningkat dan begitu pula penegakan hukum. Pikirkan tentang GDPG (disebut AVG di Belanda). Karena saya berurusan dengan keamanan sistem, saya sangat ingin mengetahui dan mempelajari cara kerja penyerang. Karena, kita hanya bisa melindungi yang kita tahu kan?
Pada saat itu belum banyak sertifikasi mengenai “ethical hacking”. Salah satu yang menonjol pada saat itu adalah Peretasan Etis Bersertifikat ECCouncil. Jadi saya memutuskan bahwa saya memerlukan sertifikat itu untuk mengetahui secara mendalam bagaimana penjahat dunia maya bekerja. Nah, sedikit spoiler… ini tidak benar. Karena ternyata ini baru permulaan. Namun demikian, itu adalah sertifikat yang bagus untuk memulai bisnis ini. Guru saya saat itu adalah Tim Pearson. Tim adalah orang yang sangat menginspirasi dan kemudian menjadi teman saya. Setelah kursus (yang berlangsung seminggu) saya mengantar Tim ke bandara dan dia menawari saya "posisi internal". Pada dasarnya dia mengatakan "lakukan pekerjaan jahat secara gratis dan saya akan mengajari Anda trik-trik perdagangan". Dan begitulah yang saya lakukan. Kemudian saya berpartisipasi dalam menulis kursus v9 untuk kursus Certified Ethical Hacking.
Saya belajar banyak dalam beberapa tahun pertama ini. Tidak hanya secara teknis tetapi saya juga sangat senang berlatih dan membantu sehingga saya tahu inilah yang ingin saya lakukan di masa depan. Pada tahun-tahun berikutnya, “keamanan dunia maya” menjadi item panas. Semakin banyak pelanggaran yang diungkapkan kepada publik (dengan bantuan media). Kesadaran perusahaan dan karyawan meningkat dan penyerang menjadi semakin canggih. Peretasan saat ini tidak terlihat seperti peretasan di awal tahun 2000. Serangan biasanya tidak semudah itu lagi dan membutuhkan perencanaan yang tepat dan keterampilan tingkat tinggi. Karena penyerang semakin canggih, pembela juga harus terus berkembang dalam pengetahuan dan keterampilan. Itu adalah permainan "kucing dan tikus" yang abadi yang mirip dengan apa yang terjadi antara penjahat dan polisi.
Jadi itulah yang saya lakukan di tahun-tahun berikutnya. Saya mencoba belajar dan berlatih sebanyak yang saya bisa. Saya memulai sendiri blog kembali pada tahun 2014 dan baru-baru ini saya memulai sendiri YouTube channel. Kedua saluran berbahasa Belanda tetapi berfokus pada penyampaian konten berkualitas tinggi khususnya untuk spesialis keamanan ofensif. Saya yakin kita memiliki upaya bersama dalam membuat dunia menjadi tempat yang lebih baik dan lebih aman. Dengan membagikan pengetahuan saya, saya berharap dapat membantu orang lain sehingga mereka dapat tumbuh dan berbagi pengetahuan baru di sana. Itulah keindahan dunia cybersecurity. Ada begitu banyak hal yang harus dipelajari sehingga saya akan terus belajar setiap hari.
Ayah saya selalu mengatakan kepada saya bahwa tidak masalah apa yang akan saya lakukan dalam hidup tetapi untuk menjadi yang terbaik dalam hal yang telah saya pilih. Jadi setelah saya memperoleh lebih banyak pengetahuan, saya mulai bekerja di CERT Belanda juga melakukan beberapa tes penetrasi dan belajar lebih banyak tentang kemampuan mempertahankan/memantau.
Setiap tes yang saya lakukan tidak hanya berharga bagi perusahaan tetapi juga bagi diri saya sendiri. Terkadang tes ini menyinggung dan terkadang kami berkolaborasi dengan apa yang disebut "tim biru". Tim biru adalah "pihak bertahan" yang melakukan tugas seperti pemantauan, tanggapan, perburuan benang, dll. Saat tim merah (saya, pihak penyerang) dan tim biru bekerja sama, kami menyebutnya "tim ungu". Akhir-akhir ini kita melihat bahwa "kerja sama ungu" adalah bagian penting dari strategi keamanan yang baik. Biasanya kami memulai keterlibatan dengan pendekatan tim merah dan kemudian kami "memutar ulang" pelajaran yang dipelajari bersama dengan tim biru sehingga mereka dapat belajar dan melihat apa yang kami lakukan dan kami dapat membantu mereka menemukan artefak yang tepat dan membangun pemicu fungsional.
Setelah melakukan banyak tes penetrasi yang bervariasi dari cakupan yang berbeda (infrastruktur lokal, aplikasi web, infrastruktur cloud, teknologi operasional) dan setelah mendapatkan lebih banyak sertifikat untuk memenuhi syarat sendiri (OCSE, OSEP, OSWE, CSA), saya menggunakan saluran saya tidak hanya untuk berbagi informasi tetapi juga untuk benar-benar mengajar. Saluran YouTube saya berisi banyak video "pendidikan" yang dibuat khusus untuk melatih rekan-rekan saya secara gratis. Saluran ini akan mendapatkan 100 video pendidikan tahun ini yang mencakup berbagai topik dan bagus untuk pelatihan selama 75 jam. Jadi ketika proyek itu selesai, saya mungkin mempertimbangkan untuk membuat pelatihan "berbayar".
Memiliki saluran sosial begitu lama memiliki banyak manfaat dalam hal "kepercayaan" dan orang yang mau mempekerjakan Anda. Karena permintaan yang tinggi untuk layanan pengujian penetrasi dan keinginan pelatihan, saya memutuskan untuk mendirikan perusahaan sendiri. Ini memberi saya kemampuan untuk mengambil pekerjaan yang menurut saya sangat menarik dan untuk mengajar dengan cara yang menurut saya paling efektif. Terkadang kelas master saya berdurasi 2-4 jam dan terkadang lebih intens dan tersebar selama beberapa hari. Hal ini tergantung pada tingkat keterampilan dan jumlah peserta.
Tantangan yang dihadapi bisnis/pasar
Dari sudut pandang saya pasar menghadapi banyak tantangan. Dari serangan lanjutan, kenaikan biaya hingga kekurangan personel yang berkualitas. Untuk 2023/2024 saya melihat 3 tantangan utama.
1. Teknologi Operasional Pengamanan di Lingkungan Industri
Selama bertahun-tahun keamanan siber difokuskan pada semua komponen TIK reguler seperti sistem operasi Windows, orkestrasi pengguna Active Directory, WebApps, dan protokol umum seperti TCP/IP. Dan meskipun banyak aset TIK “biasa” ditemukan dalam otomasi industri, bidang ini tetap sangat berbeda. Memikirkan tentang:
· Penggunaan protokol khusus (seperti Modbus, Profinet, DNP3 dll.);
· Penggunaan perangkat lunak khusus;
· Penggunaan perangkat keras khusus;
Lebih penting lagi, semua komponen TI mengelola mesin pengontrol perangkat keras khusus. Dan terkadang mesin ini sangat penting. Jadi waktu henti mesin ini dapat mengakibatkan kerugian finansial yang sangat besar, kecelakaan, dan bahkan hilangnya nyawa manusia.
Masalahnya adalah semua mesin ini sangat mahal dan memiliki masa pakai yang lama. Beberapa mesin beroperasi selama 20-40 tahun. Karena siklus hidup yang panjang ini, mesin dan perangkat lunak pengontrol tidak dibuat dengan praktik terbaik keamanan terbaru. Selain itu, juga sulit untuk merencanakan kerangka waktu pemeliharaan terjadwal di lingkungan yang sedang berjalan. Hal ini membuat penambalan dan pemutakhiran sistem menjadi sangat sulit. Jadi di lingkungan industri taruhannya tinggi dan keamanan biasanya sudah ketinggalan zaman. Peretas tahu ini. Lingkungan industri dapat diretas dan karena berisiko tinggi, mereka ideal untuk penyerang jahat yang ingin memeras korbannya. Jadi kebutuhan untuk menguji dan mengamankan lingkungan ini tidak pernah lebih tinggi dari saat ini. Sebagai seorang pentester, Anda perlu mengetahui apa yang Anda lakukan di lingkungan khusus ini karena 1 kesalahan kecil dapat mengakibatkan waktu henti dan kerugian finansial yang besar. Ini meminta penguji yang memenuhi syarat yang tahu cara melakukan tes keamanan dengan aman di lingkungan sensitif ini.
2. Pemerasan Ransomware
Pemerasan, seperti yang dijelaskan di paragraf sebelumnya mungkin merupakan utas keamanan siber terbesar saat ini. Biasanya ransomware mengenkripsi file sensitif di komputer dan meminta uang tebusan untuk membuka kunci file ini lagi. Namun, proses mengenkripsi setiap file pada sistem merupakan proses yang memakan waktu. Ini memberi korban waktu untuk campur tangan dan menyimpan beberapa data dengan menghentikan malware sebelum data dienkripsi. Selain itu, perusahaan berpotensi memulihkan dari cadangan tanpa membayar uang tebusan. Hype baru adalah hanya mengekstraksi data dan memeras bisnis dengan mengancam akan merilis data secara publik. Jenis serangan ini lebih cepat dilakukan, lebih sulit dideteksi, dan tidak dapat diperbaiki menggunakan cadangan.
3. Ancaman Pihak Ketiga (Cloud).
Perubahan besar lainnya dalam dunia keamanan siber adalah adopsi komputasi awan yang cepat. Perkakas SaaS diadopsi dalam kecepatan tinggi tetapi juga IaaS (Infrastruktur sebagai Layanan) diimplementasikan dalam skala besar dan biasanya ada selain infrastruktur di tempat. Biasanya lingkungan ini relatif aman, tetapi ketidaktahuan dengan praktik terbaik keamanan cloud, model keamanan bersama cloud, dan faktor lain dapat membuat lingkungan cloud terkadang lebih rentan terhadap serangan daripada infrastruktur lokal. Penyerang memiliki keuntungan bahwa mereka dapat menguji lingkungan ini dalam skala global. Tren besar adalah selain pengguna layanan cloud, penyedia layanan cloud juga menjadi sasaran. Dengan cara ini penjahat dunia maya dapat memperoleh akses ke data sensitif pelanggan mereka dan kemungkinan infrastruktur TI mereka. Dengan cara ini dampak serangan bisa jauh lebih besar dan lebih bermanfaat bagi penyerang.
Peluang yang dihadapi bisnis/pasar
Karena kami menghadapi serangan tingkat lanjut dalam skala besar di lingkungan TIK yang terus berkembang, pekerjaan tim biru dan tim merah tidak pernah sepenting ini. Sebagai contoh, beberapa bulan setelah pandemi COVID-19 melanda pada tahun 2020 jumlah serangan siber meningkat sebesar 63%. Dan 2021 bahkan lebih buruk. Jumlah pelanggaran hingga akhir September 2021 telah melampaui jumlah total tahun 2020 sebesar 17%. 2023 tidak akan berbeda. Peningkatan yang mengkhawatirkan dalam jumlah pelanggaran dan serangan dunia maya diperparah oleh tren mengkhawatirkan lainnya: meningkatnya biaya pelanggaran.
Pengetahuan ini dan fakta bahwa ada kekurangan besar dalam tenaga terampil membuat ada permintaan tinggi untuk hampir semua jenis profesional keamanan siber. Tim merah, tim biru, dan pekerjaan manajemen. Memikirkan tentang:
· Insinyur keamanan siber
· Analis keamanan siber
· Peretas etis
· Analis malware
· CISO dan ISO
Artinya ada cukup banyak pekerjaan di cabang ini, banyak kesempatan pelatihan dan gaji yang bagus bisa didapat.
Nasihat kepada orang lain tentang bisnis
Sejak industri keamanan siber berkembang pesat, ada banyak startup (seperti saya). Dalam industri yang "booming", banyak uang diperoleh sementara kualitasnya tidak selalu terjamin. Semua orang mencoba untuk mendapatkan bagiannya. Kami melihat perlunya auditor pemasok keamanan yang mengeluarkan segel kualitas setelah audit berhasil. Dengan cara ini perusahaan tahu bahwa setidaknya prosedur internal sudah ada dan ditegakkan.
Memberikan kualitas terbaik kepada pelanggan Anda sangat penting di cabang sensitif ini. Pentester perlu nasihat dalam membuat lingkungan lebih aman daripada membuatnya lebih tidak aman setelah pentest (saya telah melihat ini terjadi lebih dari sekali). Untuk melakukannya saya menyarankan organisasi untuk berinvestasi pada diri mereka sendiri dan personel mereka. Pastikan perusahaan mendapatkan setidaknya segel kualitas dan para pentester dilatih untuk pekerjaan yang harus mereka lakukan. Juga tunjukkan kepada pelanggan bahwa personel Anda terlatih sehingga pelanggan dapat yakin bahwa pekerjaan akan dilakukan dengan baik.
Kiat lain yang ingin saya berikan adalah mengirim tim yang sama ke perusahaan yang sama pada pekerjaan lanjutan jika memungkinkan (jika personel dilatih untuk melakukannya). Melihat wajah yang familiar selalu menyenangkan. Ini memberi pelanggan rasa percaya dan bagi pentester itu menyenangkan untuk bekerja di lingkungan yang sudah (sebagian) mereka ketahui. Pada akhirnya hal ini juga akan bermanfaat bagi kualitas akhir ujian.
GP
Pekerjaan seorang dokter keluarga mencakup berbagai keragaman klinis, yang membutuhkan pengetahuan dan pengetahuan yang luas dari seorang spesialis. Namun, saya percaya bahwa hal terpenting bagi seorang dokter keluarga adalah menjadi manusia karena kerjasama dan pengertian antara dokter dan pasien sangat penting dalam memastikan keberhasilan perawatan kesehatan. Pada hari libur saya, saya suka berada di alam. Sejak kecil, saya sangat suka bermain catur dan tenis. Setiap kali saya memiliki waktu luang, saya menikmati perjalanan keliling dunia.
- Posisi Seks Gila yang Akan Selalu Dia Coba - April 7, 2023
- Mengapa Anda Harus Membeli Cockrings Dengan Butt Plugs? - April 7, 2023
- Top Ten Tail Butt Plugs untuk Fetish Liar Anda - April 6, 2023
