Што е „Jarno Baselier Cybersecurity“ и што правите?
Јарно Базелиер Сајбер-безбедност е висококвалитетна безбедносна компанија за тестирање и едукација. Специјализирани сме за изведување тестови за пенетрација (пентести) во индустриски средини и корпоративни канцеларии.
Jarno Baselier Cybersecurity е основана во 2022 година од (тука нема изненадување) Jarno Baselier. Компанијата започна по долгогодишно искуство во областа и затоа што побарувачката за висококвалитетни пентести е значителна, особено во индустриски средини.
Обезбедувањето на ИТ компонентите во индустриските средини е нешто што станува се повеќе и повеќе критично и не многу специјалисти имаат знаење да ги извршат овие тестови правилно и со соодветна грижа. Бидејќи работам во овие средини (ние ги нарекуваме околини „ОТ“ или „Оперативна технологија“) со години и имам одржано многу обуки за откажување, решив дека е време да им помогнам на повеќе организации нудејќи им ги моите услуги.
Приказната на Јарно
Кога започнав во светот на сајбер безбедноста, ова не беше толку мејнстрим како денес. Зборуваме за 2010/2011 година. Во тоа време работев како системски инженер за голема стоматолошка компанија во Холандија. Сајбер-криминалците се зголемија, а исто така и спроведувањето на законот. Размислете за GDPG (наречен AVG во Холандија). Бидејќи се занимавав со системска безбедност, навистина сакав да знам и да научам како работат напаѓачите. Затоа што, можеме да го заштитиме само она што го знаеме нели?
Во тоа време немаше многу сертификати за „етичко хакирање“. Она што се издвојуваше во тоа време беше сертифицираното етичко хакирање на ECCouncil. Затоа решив дека ми е потребен тој сертификат за да знам детално како работат сајбер криминалците. Па, мал спојлер... ова не беше толку точно. Затоа што се покажа дека ова е само почеток. Сепак, тоа беше убав сертификат да се започне во овој бизнис. Мојот учител во тоа време беше Тим Пирсон. Тим беше многу инспиративна личност и подоцна стана пријател со мене. По курсот (кој траеше една недела) го возев Тим до аеродромот и тој ми понуди „внатрешна позиција“. Во суштина, тој велеше „направи ја гадата работа бесплатно и јас ќе ти ги научам триковите на занаетот“. И така направив. Подоцна учествував во пишувањето на курсот v9 за курсот за сертифицирано етичко хакерство.
Научив многу овие први години. Не само технички, туку и толку многу се забавував вежбајќи и помагајќи што знаев дека тоа е она што сакам да го правам во иднина. Во годините што следеа, „сајбер безбедноста“ стана жешка точка. Се повеќе и повеќе прекршувања се откриваат во јавноста (со помош на медиумите). Свеста на компаниите и вработените се подигна, а напаѓачите стануваа сè пософистицирани. Хакирањето во денешно време не личи на ништо како хакирање во почетокот на 2000 година. Нападите обично веќе не се толку лесни и бараат соодветно планирање и високо ниво на вештина. Бидејќи напаѓачите стануваат пософистицирани, бранителите исто така треба да продолжат да се развиваат во знаење и вештини. Тоа е вечната игра „мачка и глушец“ која е слична на она што се случува меѓу криминалците и полицијата.
Така, тоа беше она што го правев во годините што следеа. Се трудев да учам и вежбам колку што можам повеќе. Почнав мое блог уште во 2014 година и неодамна започнав своја YouTube канал. Двата канали се холандски, но се фокусирани на обезбедување содржина со одличен квалитет специјално за специјалист за навредлива безбедност. Верувам дека имаме заеднички напор да го направиме светот подобро и побезбедно место. Со споделување на моето знаење се надевам дека ќе им помогнам на другите за да можат сами да растат и да споделуваат ново знаење. Тоа е убавината на светот на сајбер безбедноста. Има толку многу да научам што ќе продолжам да учам секој ден.
Татко ми секогаш ми велеше дека не е важно што ќе правам во животот, туку да бидам најдобар во она што сум го избрал. Така, откако стекнав повеќе знаење, почнав да работам во холандски CERT, исто така, спроведувајќи повеќе тестови за пенетрација и учејќи повеќе за способностите за одбрана/следење.
Секој тест што го правам е вреден не само за компанијата туку и за мене. Понекогаш овие тестови се навредливи, а понекогаш соработуваме со таканаречениот „син тим“. Синиот тим е „одбранливата страна“ која извршува задачи како следење, одговор, лов на конци итн. Кога црвениот тим (јас, офанзивната страна) и синиот тим работат заедно, ова го нарекуваме „виолетово здружување“. Во последно време гледаме дека „виолетовото здружување“ е витален дел од добрата безбедносна стратегија. Обично започнуваме ангажман со пристап на црвениот тим и подоцна ги „повторуваме“ научените лекции заедно со синиот тим за да можат да научат и да видат што сме направиле и ние да им помогнеме да ги најдат вистинските артефакти и да изградат функционални предизвикувачи.
По извршувањето на многу тестови за пенетрација кои варираат од различни опфати (инфраструктура во просторија, веб-апликации, облак инфраструктура, оперативна технологија) и откако добив повеќе сертификати за да се квалификувам (OCSE, OSEP, OSWE, CSA) ги користев моите канали не само за споделување информации, туку исто така навистина да се предава. Мојот канал на YouTube содржи многу „едукативни“ видеа кои се специјално создадени за бесплатно да ги обучуваат моите колеги. Каналот ќе добие 100 едукативни видеа оваа година кои покриваат различни теми и се добри за 75 часа обука. Така, кога тој проект ќе биде завршен, би можел да размислам за создавање „платена“ обука.
Да се има социјален канал толку долго има многу придобивки кога станува збор за „довербата“ и луѓето кои се подготвени да ве вработат. Поради големата побарувачка за услуги за тестирање на пенетрација и обука, решив да основам своја фирма. Ова ми дава можност да ги преземам работните места што ги сметам за многу интересни и да учам на начинот на кој верувам дека е најефикасен. Некогаш моите мастеркласи се 2-4 часа, а понекогаш се поинтензивни и се распределуваат на неколку дена. Ова зависи од нивото на вештина и бројот на присутни.
Предизвиците со кои се соочува бизнисот/пазарот
Од моја гледна точка, пазарот се соочува со многу предизвици. Од напредни напади, зголемени трошоци до недостиг на квалификувани лица. За 2023/2024 гледам 3 главни предизвици.
1. Безбедносна оперативна технологија во индустриски средини
Со години сајбер-безбедноста беше фокусирана на сите редовни ИКТ компоненти како што се оперативните системи Windows, оркестрацијата на корисниците на Active Directory, веб-апликациите и вообичаените протоколи како TCP/IP. И иако многу средства на „редовните“ ИКТ се наоѓаат во индустриската автоматизација, ова поле останува сосема поинакво. Размислете за:
· Употреба на специјализирани протоколи (како Modbus, Profinet, DNP3 итн.);
· Користење на специјализиран софтвер;
· Употреба на специјализиран хардвер;
Уште поважно, сите ИТ компоненти управуваат со специјализирани машини за контрола на хардверот. И понекогаш овие машини се од витално значење. Така, прекинот на овие машини може да резултира со огромни финансиски загуби, несреќи, па дури и губење на човечки животи.
Работата е што сите овие машини се многу скапи и имаат долг животен циклус. Некои машини работат 20-40 години. Поради овие долги животни циклуси, машините и контролниот софтвер не се изградени со најновите најдобри безбедносни практики. Покрај ова, исто така е тешко да се планираат закажани временски рамки за одржување во работна средина. Ова го отежнува крпењето и ажурирањето на системите. Така, во индустриските средини влогот е голем и безбедноста обично е застарена. Хакерите го знаат ова. Индустриските средини можат да се хакираат и поради тоа се идеални за злонамерни напаѓачи кои сакаат да ги изнудат нивните жртви. Така, потребата за тестирање и обезбедување на овие средини никогаш не била поголема отколку што е денес. Како петестер треба да знаете што правите во овие специјализирани средини бидејќи 1 мала грешка може да резултира со прекини и огромни финансиски загуби. Ова бара квалификувани тестери кои знаат како безбедно да вршат безбедносни тестови во овие чувствителни средини.
2. Изнудување на Ransomware
Изнудувањето, како што е опишано во претходниот пасус, може да биде најголемата нишка за сајбер безбедноста во овој момент. Традиционално откупниот софтвер ги шифрира чувствителните датотеки на компјутерот и бара откуп за повторно да ги отклучи овие датотеки. Сепак, процесот на шифрирање на секоја датотека на системот е процес кој одзема многу време. Ова и дава време на жртвата да интервенира и да зачува некои податоци со прекинување на малициозниот софтвер пред податоците да бидат шифрирани. Покрај тоа, компаниите имаат потенцијал да обноват од резервни копии без да платат откуп. Новата возбуда е само да се ексфилтрираат податоци и да се изнуди бизнисот со закана за јавно објавување на податоците. Овој тип на напад е побрз за извршување, потешко е да се открие и не може да се поправи со помош на резервни копии.
3. (Облак) Закани од трета страна
Друга голема промена во светот на сајбер безбедноста е брзото усвојување на cloud computing. SaaS алатките се усвојуваат со голема брзина, но исто така IaaS (Инфраструктура како услуга) се имплементира во голем обем и обично постои покрај инфраструктурата во просториите. Обично овие средини се релативно безбедни, но непознавањето со најдобрите практики за безбедност на облакот, моделот за споделена безбедност на облак и други фактори може да ги направат облак околините понекогаш поранливи на напади отколку инфраструктурата во просториите. Напаѓачите имаат предност што можат да ги тестираат овие средини на глобално ниво. Голем тренд е тоа што покрај корисниците на облак услуги се таргетирани и давателите на облак услуги. На овој начин сајбер-криминалецот може да добие пристап до чувствителните податоци на нивните клиенти и потенцијално до нивната ИТ инфраструктура. На овој начин влијанието на нападот може да биде многу поголемо и покорисно за напаѓачот.
Можностите со кои се соочува бизнисот/пазарот
Бидејќи се соочуваме со напредни напади во голем обем во постојано проширување на ИКТ средина, работата на сините и црвените тимови никогаш не била толку важна. Како пример, неколку месеци по ударот на пандемијата COVID-19 во 2020 година, бројот на сајбер напади се зголеми за 63%. А 2021 година беше уште полоша. Бројот на прекршувања до крајот на септември 2021 година веќе го надмина вкупниот број во 2020 година за 17%. 2023 година нема да биде поинаква. Алармантното зголемување на бројот на прекршувања и сајбер напади се надополнува со уште еден загрижувачки тренд: зголемената цена на прекршувањата.
Ова знаење и фактот дека има огромен недостиг од квалификувани персонал, предизвикува голема побарувачка за речиси сите видови професионалци за сајбер безбедност. Црвениот тим, синиот тим и менаџерските работни места. Размислете за:
· Инженери за сајбер безбедност
· Аналитичарите за сајбер безбедност
· Етички хакери
· Аналитичарите на малициозен софтвер
· CISO и ISO
Ова значи дека има доволно работа во оваа гранка, има многу можности за обука и може да се заработи добра плата.
Совети за другите за бизнис
Бидејќи индустријата за сајбер безбедност цвета, има многу стартапи (како мене). Во индустријата во „процут“ се заработуваат многу пари, додека квалитетот не е секогаш загарантиран. Сите се обидуваат да го добијат својот дел. Гледаме дека има потреба од ревизори на добавувачите на безбедност кои издаваат печат за квалитет по успешна ревизија. На овој начин компаниите знаат дека барем внатрешните процедури се воспоставени и спроведувани.
Обезбедувањето на најдобар квалитет на вашите клиенти е од витално значење во оваа чувствителна гранка. Петестерите треба да советуваат за да ја направат околината посигурна наместо да ја прават понесигурна по пентест (сум видел дека ова се случува повеќе од еднаш). За да го направат тоа, ги советувам организациите да инвестираат во себе и во својот персонал. Осигурајте се дека компанијата ќе добие барем печат за квалитет и дека петестерите се обучени за работните места што треба да ги извршуваат. Исто така, покажете им на клиентите дека вашиот персонал е обучен за да може клиентот да се увери дека работата ќе биде добро завршена.
Друг совет што сакам да дадам е да го испратам истиот тим во истата компанија на дополнителни работни места ако е можно (ако персоналот е обучен да го прави тоа). Да се види познато лице е секогаш убаво. Тоа му дава на купувачот чувство на доверба и за пентестерот е забавно да работи во средина што веќе (делумно) ја познава. На крајот, ова исто така ќе биде корисно за конечниот квалитет на тестот.
GP
Работата на матичен лекар вклучува широк опсег на клиничка разновидност, што бара големо знаење и ерудиција од специјалист. Сепак, сметам дека најважно за семејниот лекар е да биде човек затоа што соработката и разбирањето помеѓу лекарот и пациентот се клучни во обезбедувањето успешна здравствена заштита. Во моите слободни денови, сакам да бидам во природа. Уште од детството, јас сум страствен за играње шах и тенис. Секогаш кога имам слободно време, уживам да патувам низ светот.
- Луди секс пози кои секогаш ќе ги пробува - Април 7, 2023
- Зошто треба да купите куршуми со приклучоци за задник? - Април 7, 2023
- Топ десет приклучоци за задник за опашката за вашиот див фетиш - Април 6, 2023
