「ヤルノ バーゼリエ サイバーセキュリティ」とは?
ヤルノ・バセリエ サイバーセキュリティ は、高品質のセキュリティ テストおよび教育会社です。 私たちは、産業環境および企業オフィス環境での侵入テスト (ペンテスト) の実行を専門としています。
Jarno Baselier Cybersecurity は、Jarno Baselier によって 2022 年に設立されました。 同社は、この分野での長年の経験と、特に産業環境内での高品質のペンテストに対する需要が大きいために設立されました。
産業環境内で IT コンポーネントを保護することはますます重要になってきており、適切な注意を払ってこれらのテストを正しく実行する知識を持っている専門家は多くありません。 私はこれらの環境 (「OT」または「運用技術」環境と呼んでいます) で何年も働いており、多くのトレーニングをやめたので、サービスを提供することでより多くの組織を支援する時が来たと判断しました。
ヤルノの話
私がサイバーセキュリティの世界に足を踏み入れたとき、これは今日ほど主流ではありませんでした。 私たちは2010/2011年について話しています。 当時、私はオランダの大手歯科会社でシステム エンジニアとして働いていました。 サイバー犯罪者が台頭し、法執行機関もそうでした。 GDPG (オランダでは AVG と呼ばれます) について考えてみてください。 私はシステム セキュリティを扱っていたので、攻撃者がどのように機能するかを知りたいと思っていました。 なぜなら、私たちは知っているものしか守ることができませんよね?
当時、「倫理的ハッキング」に関する認証はあまりありませんでした。 当時際立っていたのは、ECCouncil の Certified Ethical Hacking でした。 そこで、サイバー犯罪者がどのように働いているかを詳細に知るために、その証明書が必要であると判断しました。 まあ、ちょっとしたネタバレ… これはそうではありませんでした。 これは始まりにすぎないことが判明したからです。 それでも、このビジネスを始めるのは素晴らしい証明書でした。 当時の私の先生はティム・ピアソンでした。 ティムはとても刺激的な人で、後に私の友達になりました。 コース (9 週間続いた) の後、私はティムを空港まで車で送ったところ、彼は私に「内部職」を提供してくれました。 基本的に彼は「厄介な仕事をタダでやってくれ、商売のコツを教えてあげる」と言っていました。 そしてそうしました。 その後、Certified Ethical Hacking コースの vXNUMX コースの執筆に参加しました。
この最初の数年間、私は多くのことを学びました。 技術的なことだけでなく、練習や手伝いをするのもとても楽しかったので、これが自分の将来のやりたいことだとわかっていました。 その後、「サイバーセキュリティ」が話題になりました。 (メディアの助けを借りて)一般に公開された場合、ますます多くの侵害が発生します。 企業や従業員の意識が高まり、攻撃者はますます巧妙化。 今日のハッキングは、2000 年初頭のハッキングとはまったく異なります。通常、攻撃はそれほど簡単ではなく、適切な計画と高度なスキルが必要です。 攻撃者はより巧妙になるため、防御者も知識とスキルを進化させ続ける必要があります。 それは、犯罪者と警察の間で起こっていることに似た、永遠に続く「いたちごっこ」ゲームです。
それで、それがその後の数年間私がしたことでした。 できるだけ多くのことを学び、実践しようとしました。 私は自分自身を始めました ブログ 2014年に戻り、最近私は自分自身を始めました YouTubeチャンネル. どちらのチャネルもオランダ語ですが、特に攻撃的なセキュリティ スペシャリスト向けに高品質のコンテンツを配信することに重点を置いています。 私たちは、世界をより良く安全な場所にするための努力を共有していると信じています。 私の知識を共有することで、他の人が成長し、新しい知識を共有できるようになることを願っています. それがサイバーセキュリティの世界の美しさです。 学ぶべきことがたくさんあるので、毎日学び続けます。
父はいつも、私が人生で何をするかは重要ではなく、私が選択したことで最高になることだと言いました. そのため、知識を深めた後、オランダの CERT で働き始め、複数の侵入テストを実施し、防御/監視機能についてさらに学びました。
私が実施するすべてのテストは、会社にとってだけでなく、私自身にとっても価値があります。 これらのテストは攻撃的な場合もあれば、いわゆる「ブルー チーム」と協力する場合もあります。 青いチームは、監視、応答、スレッド ハンティングなどのタスクを実行する「防御側」です。赤いチーム (攻撃側の私) と青いチームが一緒に作業するとき、これを「紫のチーム」と呼びます。 最近では、「パープル チーム」が優れたセキュリティ戦略の重要な部分であることがわかります。 通常、私たちは赤チームのアプローチで取り組みを開始し、後で青チームと一緒に学んだ教訓を「再生」します。これにより、彼らは私たちが何をしたかを学び、見ることができ、適切なアーティファクトを見つけて機能的なトリガーを構築するのを助けることができます.
さまざまな範囲 (オンプレミス インフラストラクチャ、Web アプリケーション、クラウド インフラストラクチャ、運用テクノロジ) でさまざまな多数の侵入テストを実行し、自分自身を認定するための証明書 (OCSE、OSEP、OSWE、CSA) をさらに取得した後、情報を共有するためだけでなく、チャネルを使用しました。また、実際に教えるために。 私の YouTube チャンネルには、同僚を無料でトレーニングするために特別に作成された「教育用」ビデオがたくさん含まれています。 このチャンネルは今年、さまざまなトピックをカバーする 100 の教育用ビデオを取得し、75 時間のトレーニングに適しています。 そのため、そのプロジェクトが完了したら、「有償」トレーニングの作成を検討するかもしれません。
ソーシャルチャネルを長く持つことには、「信頼」とあなたを雇ってくれる人々に関して多くの利点があります。 侵入テスト サービスとトレーニングに対する需要が高いため、私は自分の会社を設立することにしました。 これにより、非常に興味深い仕事を引き受け、最も効果的であると信じる方法を教えることができます。 私のマスタークラスは 2 時間から 4 時間の場合もあれば、より集中的な場合もあり、数日にわたって行われます。 これは、スキルレベルと参加者の数によって異なります。
ビジネス/市場が直面している課題
私の見解では、市場は多くの課題に直面しています。 高度な攻撃から、コストの上昇、資格のある個人の不足まで。 2023/2024 年には、3 つの主な課題があると考えています。
1. 産業環境におけるセキュリティ運用技術
何年もの間、サイバーセキュリティは、Windows オペレーティング システム、Active Directory ユーザー オーケストレーション、WebApp、および TCP/IP などの一般的なプロトコルなど、すべての通常の ICT コンポーネントに重点を置いていました。 そして、「通常の」ICT の多くの資産は産業オートメーション内に見られますが、この分野は完全に異なるままです。 について考える:
· 特殊なプロトコル (Modbus、Profinet、DNP3 など) の使用。
· 専用ソフトウェアの使用。
· 専用ハードウェアの使用。
さらに重要なことは、すべての IT コンポーネントが特殊なハードウェア制御マシンを管理することです。 そして、時にはこれらのマシンが不可欠です。 そのため、これらの機械のダウンタイムは、莫大な経済的損失、事故、さらには人命の損失につながる可能性があります。
問題は、これらのマシンはすべて非常に高価で、ライフサイクルが長いということです。 一部の機械は 20 ~ 40 年稼働しています。 このように長いライフサイクルがあるため、マシンと制御ソフトウェアは最新のセキュリティのベスト プラクティスに従って構築されていません。 これに加えて、実行中の環境でスケジュールされたメンテナンスの時間枠を計画することも困難です。 これにより、システムへのパッチ適用と更新が非常に困難になります。 そのため、産業環境ではリスクが高く、セキュリティは通常時代遅れです。 ハッカーはこれを知っています。 産業環境はハッキング可能であり、リスクが高いため、犠牲者を強要しようとする悪意のある攻撃者にとって理想的です。 したがって、これらの環境をテストして保護する必要性は、今日ほど高くはありません。 ペンテスターとして、これらの特殊な環境で何をしているのかを知る必要があります。わずかなミスがダウンタイムと莫大な経済的損失につながる可能性があるためです。 これには、これらの機密性の高い環境でセキュリティ テストを安全に実行する方法を知っている資格のあるテスターが求められます。
2. ランサムウェア恐喝
前の段落で説明したように、恐喝は、現時点で最大のサイバーセキュリティ スレッドである可能性があります。 従来、ランサムウェアはコンピューター上の機密ファイルを暗号化し、これらのファイルを再びロック解除するために身代金を要求します。 ただし、システム上のすべてのファイルを暗号化するプロセスは、時間のかかるプロセスです。 これにより、被害者は、データが暗号化される前にマルウェアを終了して介入し、一部のデータを保存する時間が与えられます。 それに加えて、企業は身代金を支払わずにバックアップから復元できる可能性があります。 新しい誇大宣伝は、データを盗み出し、データを公開すると脅してビジネスを恐喝することです. このタイプの攻撃は実行が速く、検出が難しく、バックアップを使用して修正することはできません。
3. (クラウド) サードパーティの脅威
サイバーセキュリティの世界におけるもう XNUMX つの大きな変化は、クラウド コンピューティングの急速な採用です。 SaaS ツールが急速に採用されていますが、IaaS (Infrastructure as a Service) も大規模に実装されており、通常はオンプレミス インフラストラクチャのほかに存在します。 通常、これらの環境は比較的安全ですが、クラウド セキュリティのベスト プラクティス、クラウド共有セキュリティ モデル、およびその他の要因に慣れていないため、クラウド環境がオンプレミス インフラストラクチャよりも攻撃に対して脆弱になることがあります。 攻撃者には、これらの環境を地球規模でテストできるという利点があります。 大きな傾向として、クラウド サービス ユーザーだけでなく、クラウド サービス プロバイダーも標的にされています。 このようにして、サイバー犯罪者は顧客の機密データや、場合によっては顧客の IT インフラストラクチャにアクセスできます。 このようにして、攻撃の影響が大きくなり、攻撃者にとってより有益になる可能性があります。
ビジネス/市場が直面している機会
ますます拡大する ICT 環境で大規模な高度な攻撃に直面しているため、ブルー チームとレッド チームの作業がこれほど重要になることはありませんでした。 たとえば、19 年に COVID-2020 のパンデミックが発生してから数か月後、サイバー攻撃の数は 63% 増加しました。 そして2021年はさらに悪化しました。 2021 年 2020 月末までの侵害数は、すでに 17 年の合計数を 2023% 上回っていました。 XNUMX年も例外ではありません。 侵害とサイバー攻撃の数の驚くべき増加は、侵害のコストの上昇という別の懸念すべき傾向によってさらに悪化しています。
この知識と、熟練した人材が大幅に不足しているという事実により、ほぼすべての種類のサイバーセキュリティの専門家に対する高い需要があります。 赤チーム、青チーム、管理職。 について考える:
・サイバーセキュリティエンジニア
· サイバーセキュリティ アナリスト
· 倫理的ハッカー
· マルウェア アナリスト
· CISOとISO
これは、この部門で十分な仕事があり、多くのトレーニングの機会があり、十分な給与を得ることができることを意味します。
ビジネスに関する他の人へのアドバイス
サイバーセキュリティ業界が活況を呈しているため、(私のような) 多くのスタートアップが存在します。 「活況を呈している」業界では、品質が常に保証されているわけではありませんが、多くのお金が稼がれています。 誰もがそのシェアを獲得しようとします。 監査が成功した後に品質のシールを発行するセキュリティ サプライヤーの監査人が必要であることがわかります。 このようにして、企業は少なくとも内部手順が整備され、実施されていることを知ることができます。
このデリケートなブランチでは、顧客に最高の品質を提供することが不可欠です。 ペンテスターは、ペンテスト後に環境をより安全でなくするのではなく、より安全にするためのアドバイスを必要とします (私はこれが何度も起こっているのを見てきました)。 そうするために、私は組織が自分自身とその人員に投資することを勧めます。 会社が少なくとも品質のシールを取得し、ペンテスターが実行する必要がある仕事のトレーニングを受けていることを確認してください. また、顧客が仕事がうまくいくと確信できるように、従業員が訓練を受けていることを顧客に示します。
私が提供したいもう XNUMX つのヒントは、可能であれば、フォローアップの仕事で同じチームを同じ会社に派遣することです (担当者がそうするように訓練されている場合)。 なじみのある顔を見るのはいつでもいいものです。 それは顧客に信頼感を与え、ペンテスターにとっては、彼らがすでに(部分的に)知っている環境で働くことは楽しいです. 最終的に、これはテストの最終的な品質にも役立ちます。
GP
かかりつけの医師の仕事には、専門家からの広範な知識と知識を必要とする幅広い臨床的多様性が含まれます。 しかし、かかりつけ医にとって最も重要なことは人間であるということだと思います。なぜなら、医師と患者の協力と理解は、健康管理を成功させるために重要だからです。 休みの日は、自然の中にいるのが大好きです。 子供の頃から、チェスやテニスに情熱を注いできました。 休暇をとるときはいつでも、世界中を旅するのが好きです。
- 公営住宅からアイビー リーグまで: Crystaltharrell.com とその創設者の感動的な旅 - 6月7、2023
- 彼女がいつも試すクレイジーなセックス体位 - 4月7、2023
- バットプラグ付きのコックリングを購入する理由 - 4月7、2023
