Czym jest „Jarno Baselier Cyberbezpieczeństwo” i czym się zajmujesz?
Jarno Baselier Cyberbezpieczeństwo to wysokiej jakości firma zajmująca się testami bezpieczeństwa i edukacją. Specjalizujemy się w wykonywaniu testów penetracyjnych (pentestów) w środowiskach przemysłowych oraz środowiskach biurowych korporacji.
Jarno Baselier Cyberbezpieczeństwo zostało założone w 2022 roku przez (nic dziwnego) Jarno Baseliera. Firma powstała po wielu latach doświadczenia w tej dziedzinie i ponieważ zapotrzebowanie na wysokiej jakości pentesty jest duże, szczególnie w środowiskach przemysłowych.
Zabezpieczanie komponentów IT w środowiskach przemysłowych staje się coraz bardziej krytyczne i niewielu specjalistów ma wiedzę, aby przeprowadzić te testy poprawnie i z należytą starannością. Ponieważ od lat pracuję w tych środowiskach (nazywamy je środowiskami „OT” lub „Operational Technology”) i rzuciłem wiele szkoleń, zdecydowałem, że nadszedł czas, aby pomóc większej liczbie organizacji, oferując im moje usługi.
Historia Jarna
Kiedy zaczynałem w świecie cyberbezpieczeństwa, nie było to tak powszechne jak dzisiaj. Mówimy o 2010/2011. W tym czasie pracowałem jako inżynier systemowy w dużej firmie dentystycznej w Holandii. Rośnie liczba cyberprzestępców, podobnie jak organy ścigania. Pomyśl o GDPG (zwanym AVG w Holandii). Ponieważ zajmowałem się bezpieczeństwem systemów, bardzo chciałem wiedzieć i nauczyć się, jak działają atakujący. Ponieważ możemy chronić tylko to, co wiemy, prawda?
W tamtym czasie nie było wielu certyfikatów dotyczących „etycznego hakowania”. Tym, które wyróżniało się w tamtym czasie, było certyfikowane etyczne hakowanie ECCouncil. Zdecydowałem więc, że potrzebuję tego certyfikatu, aby dokładnie wiedzieć, jak działają cyberprzestępcy. Cóż, mały spoiler… to nie było takie prawdziwe. Bo okazało się, że to dopiero początek. Mimo to był to miły certyfikat na start w tym biznesie. Moim nauczycielem był wówczas Tim Pearson. Tim był bardzo inspirującą osobą, a później został moim przyjacielem. Po kursie (który trwał tydzień) zawiozłem Tima na lotnisko i zaproponował mi „stanowisko wewnętrzne”. Zasadniczo mówił „wykonaj paskudną robotę za darmo, a nauczę cię sztuczek w handlu”. I tak też zrobiłem. Później brałem udział w pisaniu kursu v9 do kursu Certified Ethical Hacking.
Wiele się nauczyłem przez te pierwsze lata. Nie tylko technicznie, ale też świetnie się bawiłem ćwicząc i pomagając, że wiedziałem, że to jest to, co chcę robić w przyszłości. W następnych latach „cyberbezpieczeństwo” stało się gorącym tematem. Coraz więcej naruszeń jest ujawnianych opinii publicznej (przy pomocy mediów). Świadomość firm i pracowników rosła, a osoby atakujące stawały się coraz bardziej wyrafinowane. Dzisiejsze hakowanie w niczym nie przypomina hakowania na początku 2000 roku. Ataki zwykle nie są już takie łatwe i wymagają odpowiedniego planowania oraz wysokiego poziomu umiejętności. Ponieważ atakujący stają się bardziej wyrafinowani, obrońcy również muszą stale rozwijać swoją wiedzę i umiejętności. To odwieczna gra „w kotka i myszkę”, podobna do tego, co dzieje się między przestępcami a policją.
Tak też czyniłem w następnych latach. Starałem się uczyć i ćwiczyć jak najwięcej. Zacząłem swój własny blog w 2014 roku, a ostatnio założyłem własny kanał YouTube. Oba kanały są holenderskie, ale koncentrują się na dostarczaniu wysokiej jakości treści specjalnie dla specjalistów ds. Bezpieczeństwa ofensywnego. Wierzę, że wspólnym wysiłkiem czynimy świat lepszym i bezpieczniejszym miejscem. Dzieląc się swoją wiedzą, mam nadzieję, że pomogę innym, aby mogli się rozwijać i dzielić nową wiedzą na własną rękę. Na tym polega piękno świata cyberbezpieczeństwa. Jest tak wiele do nauczenia się, że będę się uczyć każdego dnia.
Mój ojciec zawsze mi powtarzał, że nie ma znaczenia, co będę robić w życiu, ale być najlepszym w tym, co wybrałem. Po zdobyciu większej wiedzy zacząłem pracować w holenderskim CERT, przeprowadzając również wiele testów penetracyjnych i ucząc się więcej o możliwościach obrony/monitorowania.
Każdy test, który wykonuję, jest cenny nie tylko dla firmy, ale także dla mnie. Czasami te testy są obraźliwe, a czasami współpracujemy z tzw. „niebieskim zespołem”. Zespół niebieski to „strona broniąca się”, wykonująca zadania takie jak monitorowanie, reagowanie, wyszukiwanie wątków itp. Kiedy zespół czerwony (ja, strona atakująca) i zespół niebieski współpracują ze sobą, nazywamy to „zespołem fioletowym”. Ostatnio widzimy, że „fioletowy zespół” jest istotną częścią dobrej strategii bezpieczeństwa. Zwykle zaczynamy zaangażowanie od podejścia zespołu czerwonego, a później „odtwarzamy” wyciągnięte wnioski razem z zespołem niebieskim, aby mogli się dowiedzieć i zobaczyć, co zrobiliśmy, a my możemy pomóc im znaleźć odpowiednie artefakty i zbudować funkcjonalne wyzwalacze.
Po przeprowadzeniu wielu testów penetracyjnych z różnych zakresów (infrastruktura on-premise, webapps, infrastruktura chmurowa, technologia operacyjna) oraz zdobyciu kolejnych certyfikatów kwalifikacyjnych (OCSE, OSEP, OSWE, CSA) wykorzystałem swoje kanały nie tylko do wymiany informacji, ale także naprawdę uczyć. Mój kanał na YouTube zawiera wiele „edukacyjnych” filmów wideo stworzonych specjalnie w celu bezpłatnego szkolenia moich kolegów. W tym roku kanał otrzyma 100 edukacyjnych filmów wideo obejmujących różne tematy i wystarczających na 75 godzin szkolenia. Więc kiedy ten projekt będzie gotowy, może rozważę stworzenie „płatnego” szkolenia.
Posiadanie kanału społecznościowego przez tak długi czas ma wiele zalet, jeśli chodzi o „zaufanie” i ludzi, którzy chcą cię zatrudnić. Ze względu na duże zapotrzebowanie na usługi testów penetracyjnych oraz życzenia szkoleniowe postanowiłem założyć własną firmę. Daje mi to możliwość podjęcia pracy, która uważam za bardzo interesującą i nauczania w sposób, który uważam za najbardziej efektywny. Czasami moje kursy mistrzowskie trwają 2-4 godziny, a czasami są bardziej intensywne i rozłożone na kilka dni. To zależy od poziomu umiejętności i liczby uczestników.
Wyzwania stojące przed biznesem/rynkiem
Z mojego punktu widzenia rynek stoi przed wieloma wyzwaniami. Od zaawansowanych ataków, rosnących kosztów po niedobór wykwalifikowanych pracowników. Na rok 2023/2024 widzę 3 główne wyzwania.
1. Technologia bezpieczeństwa operacyjnego w środowiskach przemysłowych
Przez lata cyberbezpieczeństwo koncentrowało się na wszystkich zwykłych komponentach ICT, takich jak systemy operacyjne Windows, orkiestracja użytkowników Active Directory, aplikacje internetowe i popularne protokoły, takie jak TCP/IP. I chociaż wiele zalet „zwykłych” ICT można znaleźć w automatyce przemysłowej, ta dziedzina pozostaje zupełnie inna. Myśleć o:
· Wykorzystanie specjalistycznych protokołów (jak Modbus, Profinet, DNP3 itp.);
· Wykorzystanie specjalistycznego oprogramowania;
· Wykorzystanie specjalistycznego sprzętu;
Co ważniejsze, wszystkie komponenty IT zarządzają wyspecjalizowanymi maszynami kontrolującymi sprzęt. A czasami te maszyny są niezbędne. Tak więc przestoje tych maszyn mogą skutkować ogromnymi stratami finansowymi, wypadkami, a nawet utratą życia ludzkiego.
Rzecz w tym, że wszystkie te maszyny są bardzo drogie i mają długą żywotność. Niektóre maszyny działają przez 20-40 lat. Z powodu tych długich cykli życia maszyny i oprogramowanie sterujące nie są tworzone z wykorzystaniem najnowszych najlepszych praktyk w zakresie bezpieczeństwa. Poza tym trudno jest zaplanować zaplanowane ramy czasowe konserwacji w działającym środowisku. To sprawia, że łatanie i aktualizowanie systemów jest bardzo trudne. Tak więc w środowiskach przemysłowych stawka jest wysoka, a zabezpieczenia są zazwyczaj przestarzałe. Hakerzy o tym wiedzą. Środowiska przemysłowe można zhakować, a ze względu na wysokie stawki są idealne dla złośliwych napastników chcących wyłudzić swoje ofiary. Dlatego potrzeba testowania i zabezpieczania tych środowisk nigdy nie była większa niż obecnie. Jako pentester musisz wiedzieć, co robisz w tych wyspecjalizowanych środowiskach, ponieważ 1 mały błąd może spowodować przestój i ogromne straty finansowe. Wymaga to wykwalifikowanych testerów, którzy wiedzą, jak bezpiecznie przeprowadzać testy bezpieczeństwa w tych wrażliwych środowiskach.
2. Wymuszenie ransomware
Wymuszenia, jak opisano w poprzednim akapicie, mogą być obecnie największym zagrożeniem cyberbezpieczeństwa. Tradycyjnie oprogramowanie ransomware szyfruje poufne pliki na komputerze i żąda okupu za ponowne odblokowanie tych plików. Jednak proces szyfrowania każdego pliku w systemie jest procesem czasochłonnym. Daje to ofierze czas na interwencję i zapisanie niektórych danych poprzez zakończenie działania złośliwego oprogramowania, zanim dane zostaną zaszyfrowane. Poza tym firmy mają możliwość przywracania danych z kopii zapasowych bez płacenia okupu. Nowy szum polega tylko na eksfiltracji danych i wymuszaniu na firmie groźby publicznego udostępnienia danych. Ten typ ataku jest szybszy do przeprowadzenia, trudniejszy do wykrycia i nie można go naprawić za pomocą kopii zapasowych.
3. (Chmura) Zagrożenia stron trzecich
Kolejną dużą zmianą w świecie cyberbezpieczeństwa jest szybkie przyjęcie przetwarzania w chmurze. Narzędzia SaaS są wdrażane w szybkim tempie, ale także IaaS (infrastruktura jako usługa) jest wdrażana na dużą skalę i zwykle istnieje poza infrastrukturą lokalną. Zwykle te środowiska są stosunkowo bezpieczne, ale nieznajomość najlepszych praktyk w zakresie bezpieczeństwa w chmurze, modelu bezpieczeństwa współdzielonego w chmurze i innych czynników może sprawić, że środowiska chmurowe będą czasami bardziej podatne na ataki niż infrastruktura lokalna. Atakujący mają tę przewagę, że mogą testować te środowiska w skali globalnej. Dużym trendem jest to, że celem ataków są nie tylko użytkownicy usług w chmurze, ale także dostawcy usług w chmurze. W ten sposób cyberprzestępca może uzyskać dostęp do poufnych danych swoich klientów i potencjalnie do ich infrastruktury IT. W ten sposób wpływ ataku może być znacznie większy i korzystniejszy dla atakującego.
Możliwości, przed którymi stoi firma/rynek
Ponieważ mamy do czynienia z zaawansowanymi atakami na dużą skalę w stale rozwijającym się środowisku teleinformatycznym, praca zespołów niebieskich i czerwonych nigdy nie była tak ważna. Dla przykładu, kilka miesięcy po wybuchu pandemii COVID-19 w 2020 roku liczba cyberataków wzrosła o 63%. A rok 2021 był jeszcze gorszy. Liczba naruszeń do końca września 2021 r. przekroczyła już całkowitą liczbę naruszeń z 2020 r. o 17%. Rok 2023 nie będzie inny. Alarmujący wzrost liczby włamań i cyberataków jest potęgowany przez inny niepokojący trend: rosnące koszty włamań.
Ta wiedza oraz fakt, że istnieje ogromny niedobór wykwalifikowanych pracowników, sprawia, że istnieje duże zapotrzebowanie na prawie wszystkich specjalistów ds. cyberbezpieczeństwa. Praca w zespole czerwonym, zespole niebieskim i zarządzaniu. Myśleć o:
· Inżynierowie cyberbezpieczeństwa
· Analitycy cyberbezpieczeństwa
· Etyczni hakerzy
· Analitycy złośliwego oprogramowania
· CISO i ISO
Oznacza to, że w tej branży jest wystarczająco dużo pracy, istnieje wiele możliwości szkolenia i można zarobić dobre wynagrodzenie.
Porady dla innych o biznesie
Ponieważ branża cyberbezpieczeństwa przeżywa boom, istnieje wiele startupów (takich jak ja). W „rozkwitającej” branży zarabia się dużo pieniędzy, a jakość nie zawsze jest gwarantowana. Każdy stara się zdobyć swój udział. Widzimy zapotrzebowanie na audytorów dostawców zabezpieczeń, którzy po udanym audycie wystawiają znak jakości. W ten sposób firmy wiedzą, że przynajmniej procedury wewnętrzne istnieją i są egzekwowane.
Dostarczanie klientom najwyższej jakości ma kluczowe znaczenie w tej wrażliwej branży. Pentesterzy muszą doradzać, jak uczynić środowisko bezpieczniejszym, zamiast zwiększać jego niepewność po penteście (widziałem, że zdarza się to więcej niż raz). W tym celu doradzam organizacjom, aby inwestowały w siebie i w swoich pracowników. Upewnij się, że firma otrzyma co najmniej znak jakości, a pentesterzy są przeszkoleni do pracy, którą muszą wykonać. Pokaż także klientom, że Twój personel jest przeszkolony, aby klient miał pewność, że praca zostanie dobrze wykonana.
Inną wskazówką, którą lubię dawać, jest wysyłanie tego samego zespołu do tej samej firmy na kolejne zadania, jeśli to możliwe (jeśli personel jest do tego przeszkolony). Widok znajomej twarzy zawsze jest miły. Daje to klientowi poczucie zaufania, a dla pentestera fajnie jest pracować w środowisku, które już (częściowo) zna. Ostatecznie będzie to również korzystne dla końcowej jakości testu.
GP
Praca lekarza rodzinnego obejmuje szeroki zakres różnorodności klinicznej, co wymaga dużej wiedzy i erudycji od specjalisty. Uważam jednak, że dla lekarza rodzinnego najważniejsze jest bycie człowiekiem, ponieważ współpraca i zrozumienie między lekarzem a pacjentem są kluczowe dla zapewnienia skutecznej opieki zdrowotnej. W wolne dni uwielbiam przebywać na łonie natury. Od dzieciństwa pasjonuję się grą w szachy i tenisa. Kiedy mam wolne, lubię podróżować po całym świecie.
- Szalone pozycje seksualne, które zawsze będzie próbowała - April 7, 2023
- Dlaczego powinieneś kupować cockringi z zatyczkami do butt? - April 7, 2023
- Top Ten Tail Butt Plugs dla twojego dzikiego fetyszu - April 6, 2023
