"Jarno Baselier Cybersecurity" भनेको के हो र तपाईं के गर्नुहुन्छ?
जार्नो बेसेलियर साइबर सुरक्षा उच्च गुणस्तरीय सुरक्षा परीक्षण र शैक्षिक कम्पनी हो। हामी औद्योगिक वातावरण र कर्पोरेट कार्यालय वातावरणमा प्रवेश परीक्षण (पेन्टेस्ट) प्रदर्शन गर्नमा विशेषज्ञ छौं।
जार्नो बेसेलियर साइबरसेक्युरिटी २०२२ मा (यहाँ कुनै आश्चर्य छैन) जार्नो बेसेलियर द्वारा स्थापित गरिएको हो। कम्पनीले क्षेत्रमा धेरै वर्षको अनुभव पछि र उच्च-गुणस्तरको पेन्टेस्टको माग विशेष गरी औद्योगिक वातावरणमा महत्त्वपूर्ण भएकोले सुरु गरेको हो।
औद्योगिक वातावरण भित्र IT कम्पोनेन्टहरू सुरक्षित गर्नु भनेको यस्तो चीज हो जुन अधिक र अधिक महत्वपूर्ण हुन्छ र धेरै विशेषज्ञहरूसँग यी परीक्षणहरू सही र सही मात्रामा हेरचाह गर्ने ज्ञान हुँदैन। मैले यी वातावरणहरूमा काम गरिरहेकोले (हामी तिनीहरूलाई "OT" वा "अपरेसनल टेक्नोलोजी" वातावरण भन्छौं) वर्षौंदेखि र धेरै तालिमहरू छोडेकोले मैले निर्णय गरें कि यो मेरो सेवाहरू प्रस्ताव गरेर थप संस्थाहरूलाई मद्दत गर्ने समय हो।
जार्नोको कथा
जब मैले साइबरसुरक्षा संसारमा सुरु गरें यो आजको जस्तो मुख्यधारा थिएन। हामी 2010/2011 को कुरा गर्दैछौं। त्यतिबेला म नेदरल्याण्डको एउटा ठूलो दन्त कम्पनीमा सिस्टम इन्जिनियरको रूपमा काम गरिरहेको थिएँ। साइबर अपराधीहरू जहाँ बढ्दै छन् र कानून प्रवर्तन पनि थियो। GDPG (नेदरल्याण्डमा AVG भनिन्छ) बारे सोच्नुहोस्। मैले प्रणाली सुरक्षाको साथ काम गरिरहेको हुनाले म साँच्चै जान्न र आक्रमणकारीहरूले कसरी काम गर्छ भनेर जान्न चाहन्छु। किनकी, हामीले थाहा पाएको मात्रै रक्षा गर्न सक्छौं?
त्यतिबेला त्यहाँ “एथिकल ह्याकिङ” सम्बन्धी धेरै प्रमाणपत्रहरू छैनन्। त्यो समयमा बाहिर खडा भएको ECouncil को प्रमाणित नैतिक ह्याकिंग थियो। त्यसैले मैले साइबर अपराधीहरूले कसरी काम गर्छ भन्ने गहन रूपमा जान्नको लागि मलाई त्यो प्रमाणपत्र चाहिने निर्णय गरें। खैर, एक सानो बिगार्न ... यो यति सत्य थिएन। किनभने यो त सुरुवात मात्रै हो । तैपनि यो व्यवसाय सुरु गर्न एक राम्रो प्रमाणपत्र थियो। त्यतिबेला मेरो शिक्षक टिम पियर्सन हुनुहुन्थ्यो। टिम एक धेरै प्रेरणादायक व्यक्ति थियो र पछि मेरो साथी भयो। पाठ्यक्रम पछि (एक हप्ता सम्म चलेको) मैले टिमलाई एयरपोर्टमा ल्याएँ र उनले मलाई "आन्तरिक स्थिति" प्रस्ताव गरे। मूलतः उसले "नराम्रो काम सित्तैमा गर र म तिमीलाई व्यापारको चालहरू सिकाउनेछु" भन्दै थिए। र मैले गरें। पछि मैले प्रमाणित नैतिक ह्याकिंग कोर्सको लागि v9 पाठ्यक्रम लेख्नमा भाग लिएँ।
सुरुका केही वर्षहरूमा मैले धेरै कुरा सिकें। प्राविधिक रूपमा मात्र होइन तर मलाई अभ्यास गर्न र मद्दत गर्न पनि धेरै रमाइलो थियो कि मलाई थाहा थियो कि म भविष्यमा के गर्न चाहन्छु। पछिका वर्षहरूमा "साइबर सुरक्षा" एक हट-वस्तु बन्यो। अधिक र अधिक उल्लङ्घनहरू जहाँ जनतालाई खुलासा गरिन्छ (मिडियाको सहयोगमा)। कम्पनीहरू र कर्मचारीहरूको जागरूकता बढ्यो र आक्रमणकारीहरू थप र अधिक परिष्कृत भए। आजकल ह्याकिङ 2000 को प्रारम्भमा ह्याकिङ जस्तो देखिँदैन। आक्रमणहरू सामान्यतया अब त्यति सजिलो छैन र एक उचित योजना र उच्च स्तरको सीप लिनुहोस्। किनभने आक्रमणकारीहरू अधिक परिष्कृत हुन्छन्, डिफेन्डरहरूले पनि ज्ञान र कौशलमा विकास गरिरहनुपर्छ। त्यो सधैं चल्ने "बिरालो र मुसा" खेल हो जुन अपराधी र पुलिस बीच के भइरहेको छ।
त्यसपछिका वर्षहरूमा मैले त्यही गरें। मैले सकेसम्म सिक्ने र अभ्यास गर्ने प्रयास गरें। मैले आफ्नै सुरु गरें ब्लग 2014 मा फिर्ता र भर्खरै मैले आफ्नै सुरु गरें YouTube च्यानल। दुबै च्यानलहरू डच हुन् तर विशेष गरी आपत्तिजनक सुरक्षा विशेषज्ञका लागि उत्कृष्ट गुणस्तर सामग्री प्रदान गर्नमा केन्द्रित छन्। विश्वलाई राम्रो र सुरक्षित स्थान बनाउन हामीसँग साझा प्रयास छ भन्ने मलाई विश्वास छ। मेरो ज्ञान साझा गरेर म अरूलाई मद्दत गर्न चाहन्छु ताकि तिनीहरू बढ्न र त्यहाँ नयाँ ज्ञान साझा गर्न सकून्। यो साइबर सुरक्षा संसारको सुन्दरता हो। त्यहाँ सिक्न धेरै छ कि म हरेक दिन सिक्दै रहनेछु।
मेरो बुबाले मलाई सधैं भन्नुहुन्थ्यो कि मैले जीवनमा के गर्छु भन्ने कुराले फरक पार्दैन तर मैले रोजेको कुरामा उत्कृष्ट बन्न। त्यसैले मैले थप ज्ञान प्राप्त गरेपछि मैले डच CERT मा काम गर्न थालेँ र धेरै प्रवेश परीक्षणहरू पनि गर्न थालेँ र रक्षा/निगरानी क्षमताहरू बारे थप सिक्दै।
मैले गर्ने हरेक परीक्षण कम्पनीको लागि मात्र होइन मेरो लागि पनि मूल्यवान छ। कहिलेकाहीँ यी परीक्षणहरू आपत्तिजनक हुन्छन् र कहिलेकाहीँ हामी तथाकथित "निलो टोली" सँग सहकार्य गर्छौं। निलो टोली भनेको अनुगमन, प्रतिक्रिया, थ्रेड हन्टिङ आदि जस्ता कार्यहरू गर्ने "डिफेन्डिङ पार्टी" हो। जब रातो टोली (म, अपमानजनक पार्टी) र निलो टोली मिलेर काम गर्छौं भने हामी यसलाई "बैजनी टोली" भन्छौं। भर्खरै हामीले देख्यौं कि "बैजनी टोली" राम्रो सुरक्षा रणनीतिको एक महत्त्वपूर्ण भाग हो। सामान्यतया हामी रेड-टीम दृष्टिकोणको साथ एक संलग्नता सुरु गर्छौं र पछि हामी नीलो टोलीसँग सिकेका पाठहरूलाई "रिप्ले" गर्छौं ताकि तिनीहरूले हामीले के गर्यौं भनेर सिक्न र हेर्न सकून् र हामीले तिनीहरूलाई सही कलाकृतिहरू फेला पार्न र कार्यात्मक ट्रिगरहरू निर्माण गर्न मद्दत गर्न सक्छौं।
विभिन्न स्कोपहरू (अन-प्रिमाइस इन्फ्रास्ट्रक्चर, वेबएप्स, क्लाउड इन्फ्रास्ट्रक्चर, अपरेशनल टेक्नोलोजी) बाट भिन्न धेरै प्रवेश परीक्षणहरू प्रदर्शन गरेपछि र आफूलाई योग्य बनाउन थप प्रमाणपत्रहरू प्राप्त गरेपछि (OCSE, OSEP, OSWE, CSA) मैले मेरो च्यानलहरू जानकारी साझा गर्न मात्र होइन तर प्रयोग गरें। पनि साँच्चै सिकाउन। मेरो YouTube च्यानलमा धेरै "शैक्षिक" भिडियोहरू छन् जुन मेरा सहकर्मीहरूलाई नि:शुल्क तालिम दिन विशेष रूपमा सिर्जना गरिएको हो। यस च्यानलले यस वर्ष विभिन्न विषयहरू समेट्ने र ७५ घण्टाको तालिमका लागि राम्रो 100 शैक्षिक भिडियोहरू प्राप्त गर्नेछ। त्यसोभए जब त्यो परियोजना सकियो, म "सशुल्क" प्रशिक्षण सिर्जना गर्न विचार गर्न सक्छु।
"विश्वास" र तपाईलाई काममा राख्न इच्छुक व्यक्तिहरूको कुरा गर्दा लामो समयसम्म सामाजिक च्यानल हुनुका धेरै फाइदाहरू छन्। प्रवेश परीक्षण सेवा र प्रशिक्षण इच्छाहरूको उच्च माग भएकोले मैले आफ्नै फर्म स्थापना गर्ने निर्णय गरें। यसले मलाई असाध्यै चाखलाग्दो लाग्ने कामहरू लिन र मलाई विश्वास गर्ने तरिका सबैभन्दा प्रभावकारी छ भनेर सिकाउने क्षमता दिन्छ। कहिलेकाहीँ मेरो मास्टरक्लासहरू 2-4 घण्टा हुन्छन् र कहिलेकाहीँ यो अधिक तीव्र हुन्छ र तिनीहरू केही दिनमा फैलिएका हुन्छन्। यो सीप-स्तर र सहभागीहरूको संख्यामा निर्भर गर्दछ।
व्यापार/बजारले सामना गरिरहेको चुनौतीहरू
मेरो दृष्टिकोणबाट बजारले धेरै चुनौतीहरूको सामना गरिरहेको छ। उन्नत आक्रमणहरूबाट, योग्य व्यक्तिगतको अभावमा बढ्दो लागत। 2023/2024 को लागि म 3 मुख्य चुनौतीहरू देख्छु।
1. औद्योगिक वातावरणमा सुरक्षा परिचालन प्रविधि
वर्षौंदेखि साइबर सुरक्षा सबै नियमित आईसीटी कम्पोनेन्टहरू जस्तै विन्डोज अपरेटिङ सिस्टम, एक्टिभ डाइरेक्टरी प्रयोगकर्ता अर्केस्ट्रेसन, वेब एप्स र TCP/IP जस्ता सामान्य प्रोटोकलहरूमा केन्द्रित थियो। र यद्यपि "नियमित" ICT को धेरै सम्पत्तिहरू औद्योगिक स्वचालन भित्र पाइन्छ यो क्षेत्र पूर्ण रूपमा फरक रहन्छ। बारेमा सोँच:
· विशेष प्रोटोकलहरूको प्रयोग (जस्तै Modbus, Profinet, DNP3 आदि);
· विशेष सफ्टवेयरको प्रयोग;
· विशेष हार्डवेयरको प्रयोग;
अझ महत्त्वपूर्ण कुरा, सबै IT कम्पोनेन्टहरूले विशेष हार्डवेयर नियन्त्रण गर्ने मेसिनहरू प्रबन्ध गर्छन्। र कहिलेकाहीँ यी मेसिनहरू महत्त्वपूर्ण हुन्छन्। त्यसैले यी मेसिनको डाउनटाइमले ठूलो आर्थिक नोक्सान, दुर्घटना र मानव जीवनको क्षति पनि निम्त्याउन सक्छ।
कुरा यो हो कि यी सबै मेसिनहरू धेरै महँगो छन् र लामो जीवनचक्र छ। कतिपय मेसिन २०–४० वर्षदेखि चलिरहेका छन् । यी लामो जीवनचक्रहरूको कारणले गर्दा मेशिनहरू र नियन्त्रण गर्ने सफ्टवेयरहरू नवीनतम सुरक्षा उत्तम-अभ्यासहरूसँग बनाइएको छैन। यस बाहेक चलिरहेको वातावरणमा अनुसूचित मर्मत समय सीमा योजना गर्न पनि गाह्रो छ। यसले प्रणालीहरूलाई प्याच गर्न र अद्यावधिक गर्न धेरै गाह्रो बनाउँछ। त्यसैले औद्योगिक वातावरणमा दांव उच्च हुन्छ र सुरक्षा सामान्यतया पुरानो हुन्छ। ह्याकरहरूलाई यो थाहा छ। औद्योगिक वातावरण ह्याक गर्न योग्य छन् र त्यहाँ उच्च दांवको कारण तिनीहरू आफ्ना पीडितहरूलाई जबरजस्ती गर्न इच्छुक दुर्भावनापूर्ण आक्रमणकारीहरूको लागि आदर्श हुन्। त्यसोभए यी वातावरणहरू परीक्षण र सुरक्षित गर्ने आवश्यकता आजको भन्दा बढी कहिल्यै थिएन। एक पेन्टेस्टरको रूपमा तपाईंले यी विशेष वातावरणमा के गरिरहनुभएको छ भनेर जान्न आवश्यक छ किनभने 20 सानो गल्तीले डाउनटाइम र ठूलो आर्थिक नोक्सान निम्त्याउन सक्छ। यसले योग्य परीक्षकहरूलाई सोध्छ जसले यी संवेदनशील वातावरणहरूमा सुरक्षित रूपमा सुरक्षा परीक्षणहरू कसरी गर्ने भनेर जान्दछन्।
2. Ransomware लुटपाट
अघिल्लो अनुच्छेदमा वर्णन गरिए अनुसार लुटपाट यस क्षणमा सबैभन्दा ठूलो साइबर सुरक्षा थ्रेड हुन सक्छ। परम्परागत रूपमा ransomware ले कम्प्युटरमा संवेदनशील फाइलहरू इन्क्रिप्ट गर्दछ र यी फाइलहरूलाई फेरि अनलक गर्न फिरौतीको लागि सोध्छ। यद्यपि, प्रणालीमा प्रत्येक फाइललाई इन्क्रिप्ट गर्ने प्रक्रिया समय-उपभोग गर्ने प्रक्रिया हो। यसले पीडितलाई हस्तक्षेप गर्न र डाटा इन्क्रिप्ट हुनु अघि मालवेयर समाप्त गरेर केही डाटा बचत गर्न समय दिन्छ। यसबाहेक, कम्पनीहरूसँग फिरौती तिर्न बिना ब्याकअपबाट पुनर्स्थापना गर्ने क्षमता छ। नयाँ हाइप केवल डाटा बाहिर निकाल्ने र डाटा सार्वजनिक रूपमा जारी गर्ने धम्की दिएर व्यापार लुट्ने हो। यस प्रकारको आक्रमण गर्न छिटो छ, पत्ता लगाउन गाह्रो छ, र ब्याकअप प्रयोग गरेर समाधान गर्न सकिँदैन।
3. (क्लाउड) तेस्रो-पक्ष धम्की
साइबर सुरक्षा संसारमा अर्को ठूलो परिवर्तन क्लाउड कम्प्युटिङको छिटो अपनाउने हो। SaaS टूलिङलाई द्रुत गतिमा अपनाइँदैछ तर IaaS (सेवाको रूपमा पूर्वाधार) पनि ठूलो मात्रामा लागू भइरहेको छ र सामान्यतया पूर्वाधार पूर्वाधार बाहेक अवस्थित छ। सामान्यतया यी वातावरणहरू सापेक्षिक सुरक्षित हुन्छन्, तर क्लाउड सुरक्षा उत्तम अभ्यासहरू, क्लाउड साझा सुरक्षा मोडेल, र अन्य कारकहरूसँग अपरिचितताले क्लाउड वातावरणहरूलाई कहिलेकाहीँ अन-प्रिमाइस पूर्वाधारको तुलनामा आक्रमण गर्न बढी जोखिममा पार्न सक्छ। आक्रमणकारीहरूको फाइदा छ कि उनीहरूले यी वातावरणलाई विश्वव्यापी स्तरमा परीक्षण गर्न सक्छन्। एउटा ठूलो प्रवृत्ति क्लाउड सेवा प्रयोगकर्ताहरू बाहेक क्लाउड सेवा प्रदायकहरू पनि लक्षित छन्। यस तरिकाले साइबर अपराधीले आफ्ना ग्राहकहरूको संवेदनशील डाटा र सम्भावित रूपमा उनीहरूको आईटी पूर्वाधारमा पहुँच प्राप्त गर्न सक्छ। यस तरिकाले आक्रमणको प्रभाव आक्रमणकारीको लागि धेरै ठूलो र अधिक लाभदायक हुन सक्छ।
व्यवसाय/बजारले सामना गरिरहेको अवसरहरू
हामीले निरन्तर विस्तार भइरहेको आईसीटी वातावरणमा ठूलो मात्रामा उन्नत आक्रमणहरूको सामना गरिरहेको हुनाले नीलो टोली र रातो टोलीहरूको काम कहिल्यै यो महत्त्वपूर्ण थिएन। उदाहरणको रूपमा, २०२० मा COVID-19 महामारीको केही महिना पछि साइबर आक्रमणहरूको संख्या 2020% ले बढ्यो। र 63 अझ खराब थियो। सेप्टेम्बर 2021 को अन्त्य सम्म उल्लङ्घनको संख्या पहिले नै 2021% ले कुल 2020 संख्या नाघेको थियो। 17 फरक हुनेछैन। उल्लङ्घन र साइबर हमलाहरूको संख्यामा भयावह वृद्धि अर्को चिन्ताजनक प्रवृत्तिले बढेको छ: उल्लङ्घनको बढ्दो लागत।
यो ज्ञान र दक्ष व्यक्तित्वमा ठूलो अभाव छ भन्ने तथ्यले त्यहाँ लगभग सबै प्रकारका साइबर सुरक्षा पेशेवरहरूको लागि उच्च माग छ। रातो टोली, निलो टोली र व्यवस्थापन कार्यहरू। बारेमा सोँच:
· साइबर सुरक्षा इन्जिनियरहरू
· साइबरसुरक्षा विश्लेषकहरू
· नैतिक ह्याकरहरू
· मालवेयर विश्लेषकहरू
· CISO र ISO को
यसको मतलब यो शाखामा पर्याप्त काम छ, त्यहाँ धेरै प्रशिक्षण अवसरहरू छन् र राम्रो तलब कमाउन सकिन्छ।
व्यवसायको बारेमा अरूलाई सल्लाह
साइबरसुरक्षा उद्योग फस्टाउँदै गएकोले त्यहाँ धेरै स्टार्टअपहरू छन् (म जस्तै)। "बूमिङ" उद्योगमा धेरै पैसा कमाइन्छ जबकि गुणस्तर सधैं ग्यारेन्टी हुँदैन। सबैले आफ्नो सेयर पाउन कोसिस गर्छन्। हामी देख्छौं कि सुरक्षा आपूर्तिकर्ताहरूको लेखा परीक्षकहरूको आवश्यकता छ जसले सफल लेखापरीक्षण पछि गुणस्तरको छाप जारी गर्दछ। यस तरिकाले कम्पनीहरूलाई थाहा छ कि कम्तिमा आन्तरिक प्रक्रियाहरू ठाउँमा छन् र लागू हुन्छन्।
यस संवेदनशील शाखामा तपाईका ग्राहकहरूलाई उत्कृष्ट गुणस्तर प्रदान गर्नु महत्त्वपूर्ण छ। पेन्टेस्टर्सहरूले पेन्टेस्ट पछि वातावरणलाई अझ असुरक्षित बनाउनुको सट्टा थप सुरक्षित बनाउन सल्लाह दिन आवश्यक छ (मैले यो एक पटक भन्दा बढी भएको देखेको छु)। त्यसो गर्नका लागि म संस्थाहरूलाई आफू र आफ्ना कर्मचारीहरूमा लगानी गर्न सल्लाह दिन्छु। सुनिश्चित गर्नुहोस् कि कम्पनीले कम्तिमा गुणस्तरको छाप पाउँछ र पेन्टेस्टर्सहरूलाई उनीहरूले गर्न आवश्यक कामहरूको लागि प्रशिक्षित गरिन्छ। ग्राहकहरूलाई पनि देखाउनुहोस् कि तपाइँका कर्मचारीहरू प्रशिक्षित छन् ताकि ग्राहकले काम राम्रोसँग सम्पन्न हुनेछ भनेर आश्वस्त हुन सक्छ।
अर्को टिप म दिन चाहन्छु यदि सम्भव भएमा फलो-अप कार्यहरूमा एउटै टोलीलाई एउटै कम्पनीमा पठाउनु हो (यदि कर्मचारीहरू त्यसो गर्न प्रशिक्षित छन्)। परिचित अनुहार देख्नु सधैं राम्रो छ। यसले ग्राहकलाई विश्वासको भावना दिन्छ र पेन्टेस्टरका लागि उनीहरूलाई पहिले नै (आंशिक रूपमा) थाहा भएको वातावरणमा काम गर्न रमाइलो हुन्छ। अन्तमा यो पनि परीक्षणको अन्तिम गुणस्तरको लागि लाभदायक हुनेछ।
GP
पारिवारिक डाक्टरको काममा नैदानिक विविधताको विस्तृत दायरा समावेश हुन्छ, जसको लागि विशेषज्ञबाट व्यापक ज्ञान र ज्ञान चाहिन्छ। यद्यपि, म विश्वास गर्छु कि पारिवारिक डाक्टरको लागि सबैभन्दा महत्त्वपूर्ण कुरा मानव हुनु हो किनभने सफल स्वास्थ्य सेवा सुनिश्चित गर्न डाक्टर र बिरामी बीचको सहयोग र समझ महत्त्वपूर्ण हुन्छ। मेरो बिदामा, मलाई प्रकृतिमा रहन मन पर्छ। बाल्यकालदेखि नै मलाई चेस र टेनिस खेल्न मन लाग्थ्यो। जब मसँग छुट्टी हुन्छ, म संसारभर घुम्न रमाईलो गर्छु।
- पागल सेक्स पोजिसनहरू उसले सधैं प्रयास गर्नेछ - अप्रिल 7, 2023
- तपाईंले बट प्लगहरूसँग ककरिङहरू किन किन्नु पर्छ? - अप्रिल 7, 2023
- तपाईको वाइल्ड फेटिशका लागि शीर्ष दस टेल बट प्लगहरू - अप्रिल 6, 2023
