Çfarë është "Jarno Baselier Cybersecurity" dhe çfarë bëni?
Jarno Baselier Siguria Kibernetike është një kompani e testimit dhe edukimit të sigurisë me cilësi të lartë. Ne jemi të specializuar në kryerjen e testeve të penetrimit (pentests) në mjedise industriale dhe ambiente zyrash të korporatave.
Jarno Baselier Cybersecurity është themeluar në vitin 2022 nga (nuk është çudi këtu) Jarno Baselier. Kompania filloi pas një eksperience shumëvjeçare në këtë fushë dhe për shkak se kërkesa për penteste të cilësisë së lartë është e konsiderueshme, veçanërisht në mjediset industriale.
Sigurimi i komponentëve të IT brenda mjediseve industriale është diçka që bëhet gjithnjë e më kritike dhe jo shumë specialistë kanë njohuritë për të kryer këto teste në mënyrë korrekte dhe me kujdesin e duhur. Duke qenë se kam vite që punoj në këto mjedise (ne i quajmë mjedise "OT" ose "Teknologji Operacionale") dhe kam dhënë shumë trajnime, vendosa se ishte koha të ndihmoja më shumë organizata duke u ofruar shërbimet e mia atyre.
Historia e Jarno
Kur fillova në botën e sigurisë kibernetike, kjo nuk ishte aq e zakonshme sa është sot. Po flasim 2010/2011. Në atë kohë unë punoja si inxhinier sistemi për një kompani të madhe dentare në Holandë. Kriminelët kibernetikë po rriteshin dhe po ashtu edhe zbatimi i ligjit. Mendoni për GDPG (i quajtur AVG në Holandë). Meqenëse merresha me sigurinë e sistemit, doja shumë të dija dhe të mësoja se si funksionojnë sulmuesit. Sepse, ne mund të mbrojmë vetëm atë që dimë apo jo?
Në atë kohë nuk kishte shumë çertifikata në lidhje me "hakimin etik". Ai që ra në sy në atë kohë ishte Hakimi Etik i Çertifikuar i ECCouncil. Kështu që vendosa që më duhej ajo certifikatë për të ditur në thellësi se si funksionojnë kriminelët kibernetikë. Epo, një spoiler i vogël… kjo nuk ishte aq e vërtetë. Sepse ky doli të ishte vetëm fillimi. Megjithatë ishte një certifikatë e bukur për të filluar në këtë biznes. Mësuesi im në atë kohë ishte Tim Pearson. Tim ishte një person shumë frymëzues dhe më vonë u bë mik me mua. Pas kursit (që zgjati një javë) e çova Timin në aeroport dhe ai më ofroi një "pozicion të brendshëm". Në thelb ai thoshte “bëj punën e keqe falas dhe unë do të të mësoj truket e zanatit”. Dhe kështu bëra. Më vonë mora pjesë në shkrimin e kursit v9 për kursin e Certified Ethical Hacking.
Kam mësuar shumë këto vitet e para. Jo vetëm teknikisht, por gjithashtu u argëtova aq shumë duke praktikuar dhe ndihmuar sa e dija se kjo ishte ajo që doja të bëja në të ardhmen. Në vitet që pasuan, "siguria kibernetike" u bë një artikull i nxehtë. Gjithnjë e më shumë shkelje zbulohen për publikun (me ndihmën e medias). Ndërgjegjësimi i kompanive dhe punonjësve u rrit dhe sulmuesit u bënë gjithnjë e më të sofistikuar. Hakerimi në ditët e sotme nuk duket aspak si hakerimi në fillim të vitit 2000. Sulmet zakonisht nuk janë më aq të lehta dhe kërkojnë një planifikim të duhur dhe një nivel të lartë aftësie. Për shkak se sulmuesit bëhen më të sofistikuar, mbrojtësit gjithashtu duhet të vazhdojnë të evoluojnë në njohuri dhe aftësi. Kjo është loja e përjetshme "mace dhe miu" që është e ngjashme me atë që po ndodh midis kriminelëve dhe policisë.
Kështu bëra në vitet që pasuan. Jam munduar të mësoj dhe të praktikoj sa më shumë që kam mundur. Unë fillova timin blog në vitin 2014 dhe kohët e fundit fillova timen YouTube channel. Të dy kanalet janë holandeze, por të përqendruara në ofrimin e përmbajtjes me cilësi të shkëlqyer, posaçërisht për specialistët e sigurisë fyese. Besoj se kemi një përpjekje të përbashkët për ta bërë botën një vend më të mirë dhe më të sigurt. Duke ndarë njohuritë e mia, shpresoj t'i ndihmoj të tjerët në mënyrë që ata të rriten dhe të ndajnë njohuri të reja vetë atje. Kjo është bukuria e botës së sigurisë kibernetike. Ka kaq shumë për të mësuar sa do të vazhdoj të mësoj çdo ditë.
Babai im më thoshte gjithmonë se nuk ka rëndësi se çfarë do të bëj në jetë, por të jem më i miri në atë që kam zgjedhur të bëj. Kështu, pasi fitova më shumë njohuri, fillova të punoj në një CERT holandez duke kryer gjithashtu teste të shumta depërtimi dhe duke mësuar më shumë rreth aftësive mbrojtëse/monitoruese.
Çdo test që bëj nuk është i vlefshëm vetëm për kompaninë, por edhe për veten time. Ndonjëherë këto teste janë fyese dhe ndonjëherë ne bashkëpunojmë me të ashtuquajturin “skuadra blu”. Ekipi blu është "pala mbrojtëse" që kryen detyra si monitorimi, reagimi, gjuetia e fijeve etj. Kur ekipi i kuq (unë, pala sulmuese) dhe ekipi blu punojnë së bashku, ne e quajmë këtë "bashkim vjollcë". Kohët e fundit ne shohim se "bashkimi i purpurt" është një pjesë jetike e strategjisë së mirë të sigurisë. Zakonisht ne fillojmë një angazhim me një qasje të ekipit të kuq dhe më vonë i "riluajmë" mësimet e nxjerra së bashku me ekipin blu, në mënyrë që ata të mësojnë dhe të shohin se çfarë bëmë ne dhe ne t'i ndihmojmë ata të gjejnë artefaktet e duhura dhe të ndërtojnë nxitësit funksionalë.
Pas kryerjes së shumë testeve të penetrimit të ndryshme nga fusha të ndryshme (infrastruktura në premisë, aplikacione ueb, infrastruktura cloud, teknologji operative) dhe pasi fitova më shumë certifikata për t'u kualifikuar (OCSE, OSEP, OSWE, CSA) përdora kanalet e mia jo vetëm për të ndarë informacione, por gjithashtu për të mësuar vërtet. Kanali im në YouTube përmban shumë video "edukative" që janë krijuar posaçërisht për të trajnuar kolegët e mi pa pagesë. Kanali do të marrë 100 video edukative këtë vit që mbulojnë një sërë temash dhe të përshtatshme për 75 orë trajnim. Pra, kur ai projekt të përfundojë, unë mund të konsideroj krijimin e një trajnimi "të paguar".
Të kesh një kanal social për kaq shumë kohë ka shumë përfitime kur bëhet fjalë për "besimin" dhe njerëzit e gatshëm t'ju punësojnë. Për shkak se kërkesa e lartë për shërbimet e testimit të penetrimit dhe dëshirat e trajnimit vendosa të krijoj firmën time. Kjo më jep aftësinë për të marrë punët që më duken shumë interesante dhe për të mësuar mënyrën që unë besoj se është më efektive. Ndonjëherë masterklasat e mia janë 2-4 orë dhe ndonjëherë janë më intensive dhe ato shpërndahen në disa ditë. Kjo varet nga niveli i aftësive dhe numri i pjesëmarrësve.
Sfidat me të cilat përballet biznesi/tregu
Nga këndvështrimi im tregu po përballet me shumë sfida. Nga sulmet e avancuara, kostot në rritje deri te mungesa e personave të kualifikuar. Për 2023/2024 shoh 3 sfida kryesore.
1. Teknologjia Operative e Sigurisë në Mjediset Industriale
Për vite të tëra siguria kibernetike ishte e fokusuar në të gjithë komponentët e rregullt të TIK-ut si sistemet operative Windows, orkestrimi i përdoruesve të Active Directory, aplikacionet në internet dhe protokollet e zakonshme si TCP/IP. Dhe megjithëse shumë asete të TIK "të rregullta" gjenden brenda automatizimit industrial, kjo fushë mbetet krejtësisht e ndryshme. Mendo per:
· Përdorimi i protokolleve të specializuara (si Modbus, Profinet, DNP3 etj.);
· Përdorimi i softuerit të specializuar;
· Përdorimi i pajisjeve të specializuara;
Më e rëndësishmja, të gjithë komponentët e IT-së menaxhojnë makineritë e specializuara të kontrollit të harduerit. Dhe ndonjëherë këto makina janë jetike. Pra, ndërprerja e këtyre makinerive mund të rezultojë në humbje të mëdha financiare, aksidente dhe madje edhe humbje të jetëve njerëzore.
Puna është se të gjitha këto makina janë shumë të shtrenjta dhe kanë një cikël të gjatë jete. Disa makina funksionojnë për 20-40 vjet. Për shkak të këtyre cikleve të gjata të jetës, makinat dhe softueri kontrollues nuk janë ndërtuar me praktikat më të mira të sigurisë. Përveç kësaj, është gjithashtu e vështirë të planifikohen afatet kohore të planifikuara të mirëmbajtjes në një mjedis funksional. Kjo e bën shumë të vështirë rregullimin dhe përditësimin e sistemeve. Pra, në mjediset industriale aksionet janë të larta dhe siguria zakonisht është e vjetëruar. Hakerët e dinë këtë. Mjediset industriale janë të hakeruara dhe për shkak të aksioneve të larta, ato janë ideale për sulmuesit keqdashës të gatshëm të zhvatin viktimat e tyre. Pra nevoja për të testuar dhe siguruar këto mjedise nuk ka qenë kurrë më e lartë se sa është sot. Si pentester ju duhet të dini se çfarë po bëni në këto mjedise të specializuara sepse 1 gabim i vogël mund të rezultojë në kohë joproduktive dhe humbje të mëdha financiare. Kjo kërkon testues të kualifikuar që dinë të kryejnë teste sigurie në mënyrë të sigurtë në këto mjedise të ndjeshme.
2. Ransomware Extortion
Zhvatja, siç përshkruhet në paragrafin e mëparshëm mund të jetë filli më i madh i sigurisë kibernetike në këtë moment. Tradicionalisht ransomware kodon skedarë të ndjeshëm në kompjuter dhe kërkon një shpërblim për t'i zhbllokuar përsëri këta skedarë. Megjithatë, procesi i kriptimit të çdo skedari në një sistem është një proces që kërkon kohë. Kjo i jep viktimës kohë për të ndërhyrë dhe për të ruajtur disa të dhëna duke ndërprerë malware përpara se të dhënat të kodohen. Përveç kësaj, kompanitë kanë potencialin për të rivendosur nga kopjet rezervë pa paguar shpërblimin. Hipja e re është vetëm për të shfrytëzuar të dhënat dhe për të zhvatur biznesin duke kërcënuar se do të publikojë të dhënat. Ky lloj sulmi është më i shpejtë për t'u kryer, më i vështirë për t'u zbuluar dhe nuk mund të rregullohet duke përdorur kopje rezervë.
3. Kërcënimet e palëve të treta (Cloud).
Një tjetër ndryshim i madh në botën e sigurisë kibernetike është adoptimi i shpejtë i kompjuterit cloud. Mjetet e SaaS po miratohen me shpejtësi të shpejtë, por gjithashtu IaaS (Infrastruktura si shërbim) po zbatohet në shkallë të gjerë dhe zakonisht ekziston përveç infrastrukturës në premisë. Zakonisht këto mjedise janë relativisht të sigurta, por mosnjohja me praktikat më të mira të sigurisë së cloud, modeli i sigurisë së përbashkët të cloud dhe faktorë të tjerë mund t'i bëjnë mjediset cloud ndonjëherë më të prekshme ndaj sulmeve sesa infrastruktura në premisë. Sulmuesit kanë avantazhin se mund t'i testojnë këto mjedise në shkallë globale. Një tendencë e madhe është që përveç përdoruesve të shërbimit cloud, po synohen edhe ofruesit e shërbimeve cloud. Në këtë mënyrë një kriminel kibernetik mund të fitojë akses në të dhënat e ndjeshme të klientëve të tyre dhe potencialisht infrastrukturën e tyre të TI-së. Në këtë mënyrë ndikimi i një sulmi mund të jetë shumë më i madh dhe më i dobishëm për një sulmues.
Mundësitë me të cilat përballet biznesi/tregu
Meqenëse po përballemi me sulme të avancuara në një shkallë të gjerë në një mjedis gjithnjë e në zgjerim të TIK-ut, puna e ekipeve blu dhe ekipeve të kuqe nuk ishte kurrë kaq e rëndësishme. Për shembull, disa muaj pas goditjes së pandemisë COVID-19 në 2020, numri i sulmeve kibernetike u rrit me 63%. Dhe 2021 ishte edhe më keq. Numri i shkeljeve deri në fund të shtatorit 2021 kishte tejkaluar tashmë numrin total të vitit 2020 me 17%. 2023 nuk do të jetë ndryshe. Rritja alarmante e numrit të shkeljeve dhe sulmeve kibernetike shoqërohet nga një tendencë tjetër shqetësuese: kostoja në rritje e shkeljeve.
Kjo njohuri dhe fakti që ka një mungesë të madhe në persona të aftë, bën që të ketë një kërkesë të lartë për pothuajse të gjitha llojet e profesionistëve të sigurisë kibernetike. Skuadra e kuqe, skuadra blu dhe punë drejtuese. Mendo per:
· Inxhinierët e sigurisë kibernetike
· Analistët e sigurisë kibernetike
· Hakerat etikë
· Analistët e malware
· CISO dhe ISO
Kjo do të thotë se ka mjaft punë në këtë degë, ka shumë mundësi trajnimi dhe mund të fitohet një pagë e mirë.
Këshilla për të tjerët për biznesin
Meqenëse industria e sigurisë kibernetike po lulëzon, ka shumë startup (si unë). Në një industri "në lulëzim" fitohen shumë para, ndërkohë që cilësia nuk është gjithmonë e garantuar. Të gjithë përpiqen të marrin pjesën e tij. Ne shohim se ka nevojë për auditorë të furnizuesve të sigurisë që lëshojnë një vulë cilësie pas një auditimi të suksesshëm. Në këtë mënyrë kompanitë e dinë se të paktën procedurat e brendshme janë të vendosura dhe zbatohen.
Ofrimi i cilësisë më të mirë për klientët tuaj është jetik në këtë degë të ndjeshme. Pentestuesit duhet të këshillojnë për ta bërë mjedisin më të sigurt në vend që ta bëjnë atë më të pasigurt pas një pentesti (e kam parë që kjo të ndodhë më shumë se një herë). Për ta bërë këtë, unë këshilloj organizatat që të investojnë në veten e tyre dhe në personelin e tyre. Sigurohuni që kompania të marrë të paktën një vulë cilësie dhe pentestuesit të jenë të trajnuar për punët që duhet të kryejnë. Tregojuni gjithashtu klientëve se personeli juaj është i trajnuar në mënyrë që klienti të jetë i sigurt se puna do të bëhet mirë.
Një këshillë tjetër që më pëlqen të jap është të dërgoj të njëjtin ekip në të njëjtën kompani në punët vijuese nëse është e mundur (nëse personeli është i trajnuar për ta bërë këtë). Të shohësh një fytyrë të njohur është gjithmonë bukur. I jep klientit një ndjenjë besimi dhe për pentesterin është kënaqësi të punojë në një mjedis që ai tashmë (pjesërisht) e njeh. Në fund, kjo do të jetë gjithashtu e dobishme për cilësinë përfundimtare të testit.
GP
Puna e mjekut të familjes përfshin një gamë të gjerë diversiteti klinik, i cili kërkon njohuri dhe erudicion të gjerë nga një specialist. Megjithatë, besoj se gjëja më e rëndësishme për një mjek familjar është të jetë njerëzor, sepse bashkëpunimi dhe mirëkuptimi mes mjekut dhe pacientit janë vendimtare për të siguruar kujdes të suksesshëm shëndetësor. Në ditët e mia të pushimit, më pëlqen të jem në natyrë. Që në fëmijëri kam qenë e pasionuar pas shahut dhe tenisit. Sa herë që kam pushim, më pëlqen të udhëtoj nëpër botë.
- Pozicione të çmendura seksi që do t'i provojë gjithmonë - Prill 7, 2023
- Pse duhet të blini gjilpëra me priza prapanicë? - Prill 7, 2023
- Dhjetë prizat kryesore të prapanicës për fetishin tuaj të egër - Prill 6, 2023
