X'inhu "Jarno Baselier Cybersecurity" u x'tagħmel?
Jarno Baselier Ċibersigurtà hija kumpanija edukattiva u ta' ttestjar tas-sigurtà ta' kwalità għolja. Aħna jispeċjalizzaw fit-twettiq ta 'testijiet ta' penetrazzjoni (pentests) f'ambjenti industrijali u ambjenti ta 'uffiċċji korporattivi.
Jarno Baselier Cybersecurity twaqqfet fl-2022 minn (l-ebda sorpriża hawn) Jarno Baselier. Il-kumpanija bdiet wara ħafna snin ta 'esperjenza fil-qasam u minħabba li d-domanda għal pentests ta' kwalità għolja hija sinifikanti, speċjalment f'ambjenti industrijali.
L-iżgurar tal-komponenti tal-IT f'ambjenti industrijali hija xi ħaġa li ssir dejjem aktar kritika u mhux ħafna speċjalisti għandhom l-għarfien biex iwettqu dawn it-testijiet b'mod korrett u bl-ammont xieraq ta 'kura. Peress li ilni naħdem f'dawn l-ambjenti (aħna nsejħulhom ambjenti "OT" jew "Teknoloġija Operattiva") għal snin sħaħ u tajt ħafna taħriġ iddeċidejt li kien wasal iż-żmien li ngħin aktar organizzazzjonijiet billi noffri s-servizzi tiegħi lilhom.
L-istorja ta' Jarno
Meta bdejt fid-dinja taċ-ċibersigurtà dan ma kienx daqshekk mainstream kif inhi llum. Qed nitkellmu 2010/2011. Dak iż-żmien kont qed naħdem bħala inġinier tas-sistema għal kumpanija dentali kbira fl-Olanda. Iċ-ċiberkriminali kienu qed jiżdiedu u l-istess kien hemm l-infurzar tal-liġi. Aħseb dwar GDPG (imsejjaħ AVG fl-Olanda). Peress li kont qed nittratta s-sigurtà tas-sistema ridt tassew inkun naf u nitgħallem kif jaħdmu l-attakkanti. Għax, nistgħu nipproteġu biss dak li nafu hux?
Dak iż-żmien kien hemm ma tantx ċertifikazzjonijiet dwar "hacking etiku". Dak li spikkat dak iż-żmien kien il-Certified Ethical Hacking tal-ECCouncil. Għalhekk iddeċidejt li kelli bżonn dak iċ-ċertifikat biex inkun naf fil-fond kif jaħdmu ċ-ċiberkriminali. Ukoll, ftit spoiler ... dan ma kienx daqshekk veru. Għax dan irriżulta li kien biss il-bidu. Madankollu kien ċertifikat sabiħ li tibda f'dan in-negozju. L-għalliem tiegħi dak iż-żmien kien Tim Pearson. Tim kien persuna ta’ ispirazzjoni ħafna u aktar tard sar ħabib tiegħi. Wara l-kors (li dam ġimgħa) saq lil Tim lejn l-ajruport u offrali "pożizzjoni interna". Bażikament kien jgħid "agħmel ix-xogħol diżgustanti b'xejn u nitgħallemlek it-tricks tal-kummerċ". U hekk għamilt. Aktar tard ipparteċipajt fil-kitba tal-kors v9 għall-kors Certified Ethical Hacking.
Tgħallimt ħafna dawn l-ewwel ftit snin. Mhux biss teknikament imma wkoll ħadt pjaċir ħafna nipprattika u ngħin li kont naf li dan kien dak li ridt nagħmel fil-futur. Fis-snin ta 'wara "ċibersigurtà" saret oġġett sħun. Aktar u aktar ksur fejn jiġi żvelat lill-pubbliku (bl-għajnuna tal-midja). Il-kuxjenza tal-kumpaniji u l-impjegati tqajmet u l-attakkanti saru aktar u aktar sofistikati. Hacking illum ma jidher xejn bħal hacking fil-bidu tas-sena 2000. L-attakki normalment ma jkunux daqshekk faċli aktar u jieħdu ippjanar xieraq u livell għoli ta 'ħiliet. Minħabba li l-attakkanti jsiru aktar sofistikati, id-difensuri jeħtieġ ukoll li jkomplu jevolvu fl-għarfien u l-ħiliet. Dik hija l-logħba tal-“qattus u l-ġurdien” li dejjem dejjiema li hija simili għal dak li qed jiġri bejn il-kriminali u l-pulizija.
Allura dan kien dak li għamilt fis-snin ta’ wara. Ippruvajt nitgħallem u nipprattika kemm stajt. Bdejt tiegħi stess blog lura fl-2014 u reċentement bdejt tiegħi YouTube kanal. Iż-żewġ kanali huma Olandiżi iżda ffukati fuq it-twassil ta’ kontenut ta’ kwalità kbira speċjalment għal speċjalista tas-sigurtà offensiva. Nemmen li għandna sforz kondiviż biex id-dinja ssir post aħjar u aktar sigur. Billi naqsam l-għarfien tiegħi nittama li ngħin lill-oħrajn sabiex ikunu jistgħu jikbru u jaqsmu għarfien ġdid waħedhom. Dik hija s-sbuħija tad-dinja taċ-ċibersigurtà. Hemm ħafna x'nitgħallem li ser nibqa' nitgħallem kuljum.
Missieri dejjem qalli li ma jimpurtax x’se nagħmel fil-ħajja imma li nkun l-aqwa fil-ħaġa li għażilt li nagħmel. Għalhekk wara li ksibt aktar għarfien bdejt naħdem f'CERT Olandiż billi nwettaq ukoll testijiet ta' penetrazzjoni multipli u nitgħallem aktar dwar kapaċitajiet ta' difiża/monitoraġġ.
Kull test li nwettaq mhux biss ta’ valur għall-kumpanija iżda wkoll għalija nnifsi. Xi drabi dawn it-testijiet huma offensivi u xi drabi nikkollaboraw mal-hekk imsejjaħ "tim blu". It-tim blu huwa l-"parti li tiddefendi" li twettaq kompiti bħall-monitoraġġ, ir-rispons, il-kaċċa tal-ħajt eċċ. Meta t-tim aħmar (jien, il-parti offensiva) u t-tim blu jaħdmu flimkien insejħu dan "timijiet vjola". Dan l-aħħar naraw li "timijiet vjola" hija parti vitali ta 'strateġija ta' sigurtà tajba. Normalment nibdew impenn b'approċċ ta 'tim aħmar u aktar tard aħna "replay" il-lezzjonijiet mitgħallma flimkien mat-tim blu sabiex ikunu jistgħu jitgħallmu u jaraw dak li għamilna u nistgħu ngħinuhom isibu l-artifacts it-tajba u jibnu triggers funzjonali.
Wara li għamilt ħafna testijiet ta’ penetrazzjoni li jvarjaw minn ambiti differenti (infrastruttura fuq il-post, webapps, infrastruttura tal-cloud, teknoloġija operattiva) u wara li ksibt aktar ċertifikati biex nikkwalifika lili nnifsi (OCSE, OSEP, OSWE, CSA) użajt il-kanali tiegħi mhux biss biex naqsam l-informazzjoni iżda ukoll biex verament jgħallmu. Il-kanal tiegħi ta' YouTube fih ħafna vidjows "edukattivi" li huma maħluqa apposta biex iħarrġu lill-kollegi tiegħi b'xejn. Il-kanal se jikseb 100 vidjo edukattiv din is-sena li jkopru varjetà ta' suġġetti u tajbin għal 75 siegħa ta' taħriġ. Allura meta jsir dak il-proġett nista 'nikkunsidra li noħloq taħriġ "mħallas".
Li jkollok kanal soċjali għal żmien twil għandu ħafna benefiċċji meta niġu għall-"fiduċja" u nies lesti li jimpjegawk. Minħabba li d-domanda għolja għas-servizzi tal-ittestjar tal-penetrazzjoni u t-taħriġ tixtieq iddeċidejt li nwaqqaf id-ditta tiegħi stess. Dan jagħtini l-kapaċità li nieħu l-impjiegi li nsib interessanti ħafna u li ngħallem il-mod li nemmen li huwa l-aktar effettiv. Xi drabi l-masterclasses tiegħi huma ta’ 2-4 sigħat u xi drabi jkunu aktar intensi u jinfirxu fuq ftit jiem. Dan jiddependi fuq il-livell tal-ħiliet u n-numru ta 'attendenti.
L-isfidi li n-negozju/suq qed jiffaċċja
Mill-perspettiva tiegħi s-suq qed jiffaċċja ħafna sfidi. Minn attakki avvanzati, spejjeż li qed jogħlew għan-nuqqas ta 'personali kwalifikati. Għall-2023/2024 nara 3 sfidi ewlenin.
1. Teknoloġija Operattiva tas-Sigurtà f'Ambjenti Industrijali
Għal snin sħaħ iċ-ċibersigurtà kienet iffukata fuq il-komponenti regolari kollha tal-ICT bħas-sistemi operattivi Windows, l-orkestrazzjoni tal-utent ta’ Active Directory, WebApps u protokolli komuni bħal TCP/IP. U għalkemm ħafna assi ta 'l-ICT "regolari" jinstabu fi ħdan l-awtomazzjoni industrijali dan il-qasam jibqa' kompletament differenti. Aħseb dwar:
· L-użu ta’ protokolli speċjalizzati (bħal Modbus, Profinet, DNP3 eċċ.);
· L-użu ta’ softwer speċjalizzat;
· L-użu ta 'ħardwer speċjalizzat;
Aktar importanti minn hekk, il-komponenti kollha tal-IT jimmaniġġjaw magni speċjalizzati li jikkontrollaw il-ħardwer. U xi kultant dawn il-magni huma vitali. Allura waqfien ta 'dawn il-magni jista' jirriżulta f'telf finanzjarju kbir, inċidenti u anke telf ta 'ħajjiet umani.
Il-ħaġa hija li dawn il-magni kollha huma għaljin ħafna u għandhom ċiklu ta 'ħajja twil. Xi magni qed jaħdmu għal 20-40 sena. Minħabba dawn iċ-ċikli tal-ħajja twal, il-magni u s-softwer tal-kontroll mhumiex mibnija bl-aħħar prattiki tas-sigurtà. Minbarra dan, huwa diffiċli wkoll li tippjana skeda ta' żmien ta' manutenzjoni f'ambjent ta' tħaddim. Dan jagħmel it-tpatching u l-aġġornament tas-sistemi diffiċli ħafna. Allura f'ambjenti industrijali l-ishma huma għoljin u s-sigurtà ġeneralment tkun skaduta. Il-hackers jafu dan. Ambjenti industrijali huma hackable u minħabba li hemm ishma għoljin huma ideali għal attakkanti malizzjużi lesti li jegħlbu lill-vittmi tagħhom. Allura l-ħtieġa li jiġu ttestjati u żgurati dawn l-ambjenti qatt ma kienet ogħla milli hi llum. Bħala pentester trid tkun taf x'qed tagħmel f'dawn l-ambjenti speċjalizzati għax żball żgħir jista' jirriżulta f'waqfien u telf finanzjarju kbir. Dan jitlob testers kwalifikati li jafu kif iwettqu testijiet tas-sigurtà b'mod sikur f'dawn l-ambjenti sensittivi.
2. Ransomware Estorsjoni
L-estorsjoni, kif deskritta fil-paragrafu preċedenti tista' tkun l-akbar linja taċ-ċibersigurtà f'dan il-mument. Tradizzjonalment ir-ransomware jikkodifika fajls sensittivi fuq il-kompjuter u jitlob fidwa biex jerġgħu jinfetħu dawn il-fajls. Madankollu, il-proċess tal-kriptaġġ ta 'kull fajl fuq sistema huwa proċess li jieħu ħafna ħin. Dan jagħti lill-vittma ħin biex tintervjeni u tiffranka xi dejta billi ttemm il-malware qabel ma d-dejta tiġi encrypted. Minbarra dan, il-kumpaniji għandhom il-potenzjal li jirrestawraw minn backups mingħajr ma jħallsu l-fidwa. Il-hype l-ġdid huwa li tisfiltra biss id-dejta u tesprimi n-negozju billi thedded li tirrilaxxa d-dejta pubblikament. Dan it-tip ta 'attakk huwa aktar mgħaġġel biex jitwettaq, aktar diffiċli biex jinstab, u ma jistax jiġi ffissat bl-użu ta' backups.
3. (Cloud) Theddid ta' Partijiet Terzi
Bidla kbira oħra fid-dinja taċ-ċibersigurtà hija l-adozzjoni mgħaġġla tal-cloud computing. L-għodda SaaS qed tiġi adottata b'veloċità mgħaġġla iżda wkoll IaaS (Infrastructure as a Service) qed tiġi implimentata fuq skala kbira u ġeneralment teżisti minbarra infrastruttura fuq il-post. Normalment dawn l-ambjenti huma relattivament sikuri, iżda nuqqas ta’ familjarità mal-aħjar prattiki tas-sigurtà tal-cloud, il-mudell tas-sigurtà kondiviż tal-cloud, u fatturi oħra jistgħu jagħmlu l-ambjenti tal-cloud kultant aktar vulnerabbli għall-attakk milli infrastruttura fuq il-post. L-attakkanti għandhom il-vantaġġ li jistgħu jittestjaw dawn l-ambjenti fuq skala globali. Xejra kbira hija li minbarra l-utenti tas-servizz tal-cloud qed jiġu mmirati wkoll il-fornituri tas-servizz tal-cloud. B'dan il-mod ċiberkriminali jista' jikseb aċċess għad-dejta sensittiva tal-klijenti tiegħu u potenzjalment għall-infrastruttura tal-IT tagħhom. Dan il-mod l-impatt ta 'attakk jista' jkun ferm akbar u aktar ta 'benefiċċju għal attakkant.
L-opportunitajiet li n-negozju/suq qed jiffaċċja
Peress li qed niffaċċjaw attakki avvanzati fuq skala kbira f'ambjent tal-ICT li dejjem qed jespandi, ix-xogħol tat-timijiet blu u timijiet ħomor qatt ma kien daqshekk importanti. Bħala eżempju, ftit xhur wara li laqtet il-pandemija tal-COVID-19 fl-2020, in-numru ta’ attakki ċibernetiċi żdied bi 63%. U l-2021 kienet saħansitra agħar. In-numru ta’ ksur sal-aħħar ta’ Settembru 2021 kien diġà qabeż in-numru totali tal-2020 bi 17%. L-2023 mhux se tkun differenti. Iż-żieda allarmanti fin-numru ta 'ksur u attakki ċibernetiċi hija aggravata minn xejra oħra inkwetanti: l-ispiża dejjem tikber tal-ksur.
Dan l-għarfien u l-fatt li hemm nuqqas kbir ta 'personali tas-sengħa jagħmel hemm domanda kbira għal kważi kull tip ta' professjonisti taċ-ċibersigurtà. Tim aħmar, tim blu u impjiegi maniġerjali. Aħseb dwar:
· Inġiniera taċ-ċibersigurtà
· Analisti taċ-ċibersigurtà
· Hackers etiċi
· Analisti tal-malware
· CISO's u ISO's
Dan ifisser li hemm biżżejjed xogħol f’din il-fergħa, hemm ħafna opportunitajiet ta’ taħriġ u jista’ jaqla’ salarju tajjeb.
Pariri lil oħrajn dwar in-negozju
Peress li l-industrija taċ-ċibersigurtà qed tikber, hemm ħafna startups (bħal jien). F'industrija "booming" jinqalgħu ħafna flus filwaqt li l-kwalità mhux dejjem tkun garantita. Kulħadd jipprova jikseb is-sehem tiegħu. Naraw li hemm bżonn ta' awdituri tal-fornituri tas-sigurtà li joħorġu siġill ta' kwalità wara verifika b'suċċess. B'dan il-mod il-kumpaniji jkunu jafu li mill-inqas il-proċeduri interni huma fis-seħħ u infurzati.
It-twassil tal-aħjar kwalità lill-klijenti tiegħek huwa vitali f'din il-fergħa sensittiva. Pentesters jeħtieġ li jagħtu pariri biex jagħmlu l-ambjent aktar sigur minflok ma jagħmluh aktar insigur wara pentest (rajt dan iseħħ aktar minn darba). Biex tagħmel dan nagħti parir lill-organizzazzjonijiet biex jinvestu fihom infushom u fil-persunal tagħhom. Kun żgur li l-kumpanija tikseb mill-inqas siġill ta 'kwalità u l-pentesters huma mħarrġa għall-impjiegi li għandhom bżonn iwettqu. Uri wkoll lill-klijenti li l-persunal tiegħek huwa mħarreġ sabiex il-klijent ikun jista' jkun assigurat li x-xogħol se jsir tajjeb.
Tip ieħor li nħobb nagħti huwa li nibgħat l-istess tim lill-istess kumpanija f'impjiegi ta' segwitu jekk possibbli (jekk il-persunal ikun imħarreġ biex jagħmel dan). Li tara wiċċ familjari huwa dejjem sabiħ. Jagħti lill-klijent sensazzjoni ta 'fiduċja u għall-pentester huwa pjaċevoli li jaħdem f'ambjent li huma diġà (parzjalment) jafu. Fl-aħħar dan ikun ta' benefiċċju wkoll għall-kwalità finali tat-test.
GP
Ix-xogħol ta 'tabib tal-familja jinkludi firxa wiesgħa ta' diversità klinika, li teħtieġ għarfien estensiv u erudizzjoni minn speċjalista. Madankollu, nemmen li l-iktar ħaġa importanti għal tabib tal-familja hija li jkun uman għaliex il-kooperazzjoni u l-fehim bejn it-tabib u l-pazjent huma kruċjali biex jiżguraw kura tas-saħħa ta’ suċċess. Fil-jiem ta’ mistrieħ tiegħi, inħobb inkun fin-natura. Sa mit-tfulija, kont passjonat li nilgħab iċ-ċess u t-tennis. Kull meta jkolli ħin liberu, nieħu gost nivvjaġġa madwar id-dinja.
