Kas yra „Jarno Baselier Cybersecurity“ ir ką jūs darote?
Jarno Baselier kibernetinis saugumas yra aukštos kokybės saugumo testavimo ir mokymo įmonė. Mes specializuojamės atliekant įsiskverbimo testus (pentestus) pramoninėje aplinkoje ir įmonių biurų aplinkoje.
Jarno Baselier kibernetinį saugumą 2022 m. įkūrė (čia nenuostabu) Jarno Baselier. Įmonė pradėjo veiklą po ilgametės patirties šioje srityje ir dėl to, kad aukštos kokybės pentestų paklausa yra didelė, ypač pramoninėje aplinkoje.
IT komponentų apsauga pramoninėje aplinkoje tampa vis svarbesnis dalykas, todėl nedaugelis specialistų turi žinių, kaip teisingai ir atsargiai atlikti šiuos testus. Kadangi dirbu šiose aplinkose (mes jas vadiname „OT“ arba „Operational Technology“ aplinkomis) daugelį metų ir daug mokiausi, nusprendžiau, kad laikas padėti daugiau organizacijų siūlant joms savo paslaugas.
Jarno istorija
Kai pradėjau dirbti kibernetinio saugumo pasaulyje, tai nebuvo taip įprasta, kaip šiandien. Kalbame apie 2010/2011 m. Tuo metu dirbau sistemų inžinieriumi didelėje odontologijos įmonėje Nyderlanduose. Daugėjo kibernetinių nusikaltėlių, taip pat ir teisėsaugos. Pagalvokite apie GDPG (vadinamas AVG Nyderlanduose). Kadangi turėjau reikalų su sistemos saugumu, labai norėjau sužinoti ir sužinoti, kaip veikia užpuolikai. Nes mes galime apsaugoti tik tai, ką žinome?
Tuo metu nebuvo daug sertifikatų dėl „etiško įsilaužimo“. Vienintelis, kuris tuo metu išsiskyrė, buvo ECCouncil's Certified Ethical Hacking. Taigi nusprendžiau, kad man reikia to pažymėjimo, kad suprasčiau, kaip dirba kibernetiniai nusikaltėliai. Na, mažas spoileris... tai nebuvo tiesa. Nes tai pasirodė tik pradžia. Nepaisant to, tai buvo puikus pažymėjimas pradėti šį verslą. Mano mokytojas tuo metu buvo Timas Pearsonas. Timas buvo labai įkvepiantis žmogus ir vėliau tapo mano draugu. Po kursų (kurie truko savaitę) nuvežiau Timą į oro uostą ir jis man pasiūlė „vidaus pareigas“. Iš esmės jis sakydavo: „Atlikite bjaurų darbą nemokamai ir aš išmoksiu jus amato gudrybių“. Taip ir padariau. Vėliau dalyvavau rašant v9 kursą, skirtą Sertifikuoto etiško įsilaužimo kursui.
Per pirmuosius kelerius metus daug išmokau. Ne tik techniškai, bet ir man buvo taip smagu treniruotis ir padėti, kad žinojau, kad tai yra tai, ką noriu daryti ateityje. Vėlesniais metais „kibernetinis saugumas“ tapo aktualiu dalyku. Vis daugiau pažeidimų atskleidžiama visuomenei (padedant žiniasklaidai). Didinamas įmonių ir darbuotojų bei užpuolikų sąmoningumas tapo vis sudėtingesnis. Šiais laikais įsilaužimas nėra panašus į įsilaužimą 2000 m. pradžioje. Paprastai atakos nebėra tokios lengvos ir reikalauja tinkamo planavimo bei aukšto lygio įgūdžių. Kadangi puolėjai tampa vis sudėtingesni, gynėjai taip pat turi nuolat tobulinti žinias ir įgūdžius. Tai yra nuolatinis „katės ir pelės“ žaidimas, panašus į tai, kas vyksta tarp nusikaltėlių ir policijos.
Taigi tai aš padariau ateinančiais metais. Kiek galėjau, stengiausi mokytis ir praktikuotis. Aš pradėjau savo Dienoraštis dar 2014 m. ir neseniai pradėjau savo "YouTube" kanalas. Abu kanalai yra olandiški, bet daugiausia dėmesio skirti puikios kokybės turinio teikimui, specialiai įžeidžiančiam saugos specialistui. Tikiu, kad bendrai stengiamės padaryti pasaulį geresnį ir saugesnį. Dalindamasi savo žiniomis tikiuosi padėti kitiems, kad jie galėtų augti ir patys dalytis naujomis žiniomis. Tai yra kibernetinio saugumo pasaulio grožis. Yra tiek daug ko išmokti, kad mokysiuosi kiekvieną dieną.
Mano tėvas man visada sakydavo, kad nesvarbu, ką aš veiksiu gyvenime, o būti geriausiu tame dalyke, kurį pasirinkau. Taigi, kai įgijau daugiau žinių, pradėjau dirbti Olandijos CERT, taip pat atlikdamas daugybę įsiskverbimo testų ir daugiau sužinojęs apie gynybos / stebėjimo galimybes.
Kiekvienas mano atliktas testas yra vertingas ne tik įmonei, bet ir man pačiam. Kartais šie testai yra įžeidžiantys, o kartais bendradarbiaujame su vadinamąja „mėlynąja komanda“. Mėlynoji komanda yra „gynėjanti šalis“, atliekanti tokias užduotis kaip stebėjimas, atsakas, gijų paieška ir tt Kai raudonoji komanda (aš, įžeidžianti šalis) ir mėlynoji komanda dirba kartu, tai vadiname „purpurine komanda“. Pastaruoju metu matome, kad „purpurinė komanda“ yra svarbi geros saugumo strategijos dalis. Paprastai mes pradedame sužadėtuves su raudonosios komandos metodu, o vėliau „pakartojame“ kartu su mėlynąja komanda išmoktas pamokas, kad jie galėtų išmokti ir pamatyti, ką mes padarėme, o mes galime padėti rasti tinkamus artefaktus ir sukurti funkcinius trigerius.
Atlikęs daugybę skirtingos apimties skverbties testų (vietinė infrastruktūra, žiniatinklio programos, debesų infrastruktūra, operacinės technologijos) ir gavęs daugiau sertifikatų, kad galėčiau kvalifikuoti save (OCSE, OSEP, OSWE, CSA), naudojau savo kanalus ne tik dalintis informacija, bet ir taip pat tikrai mokyti. Mano „YouTube“ kanale yra daug „lavinamųjų“ vaizdo įrašų, kurie yra specialiai sukurti nemokamai mokyti mano kolegas. Šiais metais kanalas gaus 100 mokomųjų vaizdo įrašų, apimančių įvairias temas ir tinkamų 75 valandų mokymui. Taigi, kai šis projektas bus baigtas, galėčiau apsvarstyti galimybę sukurti „mokamus“ mokymus.
Tiek ilgai turėti socialinį kanalą turi daug naudos, kai kalbama apie „pasitikėjimą“ ir žmones, norinčius jus įdarbinti. Dėl didelės skverbties testavimo paslaugų paklausos ir mokymo norų nusprendžiau įkurti savo įmonę. Tai suteikia man galimybę imtis darbų, kurie man atrodo labai įdomūs, ir mokyti taip, kaip, mano nuomone, yra veiksmingiausia. Kartais mano meistriškumo kursai trunka 2-4 valandas, o kartais būna intensyvesni ir išsiskirsto per porą dienų. Tai priklauso nuo įgūdžių lygio ir dalyvių skaičiaus.
Iššūkiai, su kuriais susiduria verslas/rinka
Mano požiūriu, rinka susiduria su daugybe iššūkių. Nuo pažangių atakų, didėjančių išlaidų iki kvalifikuotų darbuotojų trūkumo. 2023/2024 metams matau 3 pagrindinius iššūkius.
1. Saugumo operacinė technologija pramoninėje aplinkoje
Daugelį metų kibernetinis saugumas buvo sutelktas į visus įprastus IRT komponentus, tokius kaip „Windows“ operacinės sistemos, „Active Directory“ vartotojų orkestravimas, „WebApps“ ir įprasti protokolai, tokie kaip TCP/IP. Ir nors pramoninėje automatizacijoje yra daug „įprastų“ IRT išteklių, ši sritis išlieka visiškai kitokia. Pagalvok apie:
· Specializuotų protokolų (pvz., Modbus, Profinet, DNP3 ir kt.) naudojimas;
· Specializuotos programinės įrangos naudojimas;
· Specializuotos techninės įrangos naudojimas;
Dar svarbiau, kad visi IT komponentai valdo specializuotas aparatūros valdymo mašinas. Ir kartais šios mašinos yra gyvybiškai svarbios. Taigi šių mašinų prastovos gali sukelti didžiulių finansinių nuostolių, nelaimingų atsitikimų ir net žmonių gyvybių.
Reikalas tas, kad visos šios mašinos yra labai brangios ir turi ilgą tarnavimo laiką. Kai kurios mašinos veikia 20-40 metų. Dėl šių ilgų gyvavimo ciklų mašinos ir valdymo programinė įranga nėra sukurti pagal naujausią geriausią saugumo praktiką. Be to, eksploatacinėje aplinkoje taip pat sunku planuoti suplanuotus priežiūros terminus. Dėl to labai sunku pataisyti ir atnaujinti sistemas. Taigi pramoninėje aplinkoje statymas yra didelis, o saugumas paprastai yra pasenęs. Piratai tai žino. Pramoninė aplinka yra įsilaužta, todėl dėl didelių sumų ji idealiai tinka piktybiniams užpuolikams, norintiems išspausti savo aukas. Taigi poreikis išbandyti ir apsaugoti šias aplinkas niekada nebuvo didesnis nei šiandien. Kaip pentesteris turite žinoti, ką darote šiose specializuotose aplinkose, nes 1 nedidelė klaida gali sukelti prastovų ir didelių finansinių nuostolių. Tam reikia kvalifikuotų bandytojų, žinančių, kaip saugiai atlikti saugos testus šiose jautriose aplinkose.
2. Ransomware turto prievartavimas
Prievartavimas, kaip aprašyta ankstesnėje pastraipoje, šiuo metu gali būti didžiausia kibernetinio saugumo gija. Tradiciškai išpirkos reikalaujanti programa užšifruoja slaptus kompiuteryje esančius failus ir prašo išpirkos, kad vėl atrakintų šiuos failus. Tačiau kiekvieno failo šifravimas sistemoje yra daug laiko reikalaujantis procesas. Tai suteikia aukai laiko įsikišti ir išsaugoti kai kuriuos duomenis nutraukiant kenkėjišką programą prieš užšifruojant duomenis. Be to, įmonės gali atkurti iš atsarginių kopijų nemokėdamos išpirkos. Naujas ažiotažas yra tik išfiltruoti duomenis ir išvilioti verslą grasinant viešai paskelbti duomenis. Tokio tipo atakos yra greičiau įvykdomos, sunkiau aptinkamos ir negali būti ištaisytos naudojant atsargines kopijas.
3. (Debesis) Trečiųjų šalių grėsmės
Kitas didelis pokytis kibernetinio saugumo pasaulyje yra spartus debesų kompiuterijos pritaikymas. „SaaS“ įrankiai diegiami sparčiai, tačiau taip pat IaaS (Infrastruktūra kaip paslauga) yra diegiama dideliu mastu ir paprastai egzistuoja ne tik vietoje, bet ir vietoje. Paprastai šios aplinkos yra gana saugios, tačiau dėl geriausios debesų saugos praktikos, bendrinamo debesų saugos modelio ir kitų veiksnių nežinojimo debesų aplinka kartais gali būti labiau pažeidžiama atakų nei vietinė infrastruktūra. Užpuolikai turi pranašumą, nes jie gali išbandyti šias aplinkas pasauliniu mastu. Didelė tendencija yra ta, kad ne tik debesijos paslaugų vartotojai, bet ir debesų paslaugų teikėjai. Tokiu būdu kibernetiniai nusikaltėliai gali gauti prieigą prie savo klientų slaptų duomenų ir galbūt jų IT infrastruktūros. Tokiu būdu atakos poveikis gali būti daug didesnis ir naudingesnis užpuolikui.
Galimybės, su kuriomis susiduria verslas / rinka
Kadangi nuolat besiplečiančioje IRT aplinkoje susiduriame su pažangiomis didelio masto atakomis, mėlynųjų ir raudonųjų komandų darbas niekada nebuvo toks svarbus. Pavyzdžiui, praėjus keliems mėnesiams po COVID-19 pandemijos 2020 m., kibernetinių atakų skaičius išaugo 63%. O 2021-ieji buvo dar blogesni. Pažeidimų skaičius iki 2021 metų rugsėjo pabaigos jau 2020% viršijo bendrą 17 metų skaičių. 2023-ieji nebus kitokie. Nerimą keliantį pažeidimų ir kibernetinių atakų skaičiaus augimą apsunkina dar viena nerimą kelianti tendencija – didėjančios pažeidimų kainos.
Šios žinios ir tai, kad labai trūksta kvalifikuotų asmeninių darbuotojų, kelia didelę beveik visų rūšių kibernetinio saugumo specialistų paklausą. Raudona komanda, mėlyna komanda ir vadovybės darbai. Pagalvok apie:
· Kibernetinio saugumo inžinieriai
· Kibernetinio saugumo analitikai
· Etiški įsilaužėliai
· Kenkėjiškų programų analitikai
· CISO ir ISO
Tai reiškia, kad šiame filiale darbo užtenka, yra daug mokymosi galimybių ir galima uždirbti gerą atlyginimą.
Patarimai kitiems verslo klausimais
Kadangi kibernetinio saugumo pramonė klesti, yra daug naujų įmonių (kaip ir aš). „Klestančioje“ pramonėje uždirbama daug pinigų, o kokybė ne visada garantuojama. Visi stengiasi gauti savo dalį. Matome, kad reikia apsaugos tiekėjų auditorių, kurie po sėkmingo audito išduoda kokybės antspaudą. Taip įmonės žinos, kad yra įdiegtos ir vykdomos bent vidinės procedūros.
Šioje jautrioje šakoje labai svarbu užtikrinti savo klientams geriausią kokybę. Pentestuotojai turi patarti, kaip padaryti aplinką saugesnę, o ne padaryti ją nesaugesnę po pentesto (mačiau, kad tai vyksta ne kartą). Norėdami tai padaryti, organizacijoms patariu investuoti į save ir savo personalą. Įsitikinkite, kad įmonė gauna bent jau kokybės antspaudą, o pentestuotojai yra apmokyti atlikti darbus. Taip pat parodykite klientams, kad jūsų personalas yra apmokytas, kad klientas būtų tikras, kad darbas bus atliktas gerai.
Kitas patarimas, kurį mėgstu duoti, yra siųsti tą pačią komandą į tą pačią įmonę, jei įmanoma, atlikti tolesnius darbus (jei darbuotojai yra apmokyti tai daryti). Pamatyti pažįstamą veidą visada malonu. Tai suteikia klientui pasitikėjimo jausmą, o pentesteriui smagu dirbti aplinkoje, kurią jie jau (iš dalies) pažįsta. Galų gale tai taip pat bus naudinga galutinei testo kokybei.
GP
Šeimos gydytojo darbas apima plačią klinikinę įvairovę, kuri reikalauja iš specialisto didelių žinių ir erudicijos. Tačiau manau, kad šeimos gydytojui svarbiausia būti žmogumi, nes gydytojo ir paciento bendradarbiavimas ir supratimas yra itin svarbus siekiant užtikrinti sėkmingą sveikatos priežiūrą. Laisvomis dienomis mėgstu būti gamtoje. Nuo vaikystės mėgau žaisti šachmatais ir tenisą. Kai turiu laisvo laiko, mėgstu keliauti po pasaulį.
- Nuo viešųjų būstų iki Ivy League: įkvepianti Crystaltharrell.com ir jos įkūrėjo kelionė - birželis 7, 2023
- Pašėlusios sekso pozos, kurias ji visada išbandys - balandžio 7, 2023
- Kodėl turėtumėte nusipirkti žiedus su užpakaliniais kištukais? - balandžio 7, 2023
