Ano ang "Jarno Baselier Cybersecurity" at ano ang ginagawa mo?
Jarno Baselier Cybersecurity ay isang mataas na kalidad na pagsubok sa seguridad at pang-edukasyon na kumpanya. Dalubhasa kami sa pagsasagawa ng mga penetration test (pentests) sa mga industriyal na kapaligiran at mga corporate office environment.
Ang Jarno Baselier Cybersecurity ay itinatag noong 2022 ni (walang sorpresa dito) Jarno Baselier. Nagsimula ang kumpanya pagkatapos ng maraming taon ng karanasan sa larangan at dahil ang pangangailangan para sa mga de-kalidad na pentest ay makabuluhan, lalo na sa loob ng mga pang-industriyang kapaligiran.
Ang pag-secure ng mga bahagi ng IT sa loob ng mga pang-industriyang kapaligiran ay isang bagay na nagiging mas kritikal at hindi maraming mga espesyalista ang may kaalaman upang maisagawa ang mga pagsubok na ito nang tama at may tamang dami ng pangangalaga. Dahil nagtatrabaho ako sa mga environment na ito (tinatawag namin silang "OT" o "Operational Technology" environment) sa loob ng maraming taon at nag-quit ng maraming pagsasanay nagpasya akong oras na para tumulong sa mas maraming organisasyon sa pamamagitan ng pag-aalok ng aking mga serbisyo sa kanila.
Kwento ni Jarno
Noong nagsimula ako sa mundo ng cybersecurity, hindi ito gaanong mainstream gaya ngayon. Pinag-uusapan natin ang 2010/2011. Noong panahong nagtatrabaho ako bilang isang system engineer para sa isang malaking kumpanya ng ngipin sa Netherlands. Ang mga cybercriminal kung saan tumataas at gayundin ang pagpapatupad ng batas. Isipin ang GDPG (tinatawag na AVG sa Netherlands). Dahil nakikitungo ako sa seguridad ng system gusto ko talagang malaman at matutunan kung paano gumagana ang mga umaatake. Kasi, we can only protect what we know right?
Sa oras doon kung saan walang maraming mga sertipikasyon tungkol sa "ethical hacking". Ang namumukod-tangi noong panahong iyon ay ang Certified Ethical Hacking ng ECCouncil. Kaya't napagpasyahan kong kailangan ko ang sertipikong iyon upang malaman kung paano gumagana ang mga cybercriminal. Well, isang maliit na spoiler... ito ay hindi masyadong totoo. Dahil ito pala ay simula pa lamang. Gayunpaman, isang magandang sertipiko ang magsimula sa negosyong ito. Ang aking guro noon ay si Tim Pearson. Si Tim ay isang napaka-inspiring na tao at kalaunan ay naging kaibigan ko. Pagkatapos ng kurso (na tumagal ng isang linggo) hinatid ko si Tim sa airport at inalok niya ako ng "internals position". Karaniwang sinasabi niya na "gawin ang masamang gawain nang libre at matututunan ko sa iyo ang mga trick ng kalakalan". At kaya ko ginawa. Nang maglaon ay lumahok ako sa pagsulat ng kursong v9 para sa kursong Certified Ethical Hacking.
Marami akong natutunan nitong mga unang taon. Hindi lamang sa teknikal ngunit napakasaya ko rin sa pagsasanay at pagtulong na alam kong ito ang gusto kong gawin sa hinaharap. Sa mga sumunod na taon, naging mainit na bagay ang "cybersecurity". Parami nang parami ang mga paglabag kung saan ibinunyag sa publiko (sa tulong ng media). Ang kamalayan ng mga kumpanya at empleyado ay itinaas at ang mga umaatake ay naging mas-at-mas sopistikado. Ang pag-hack sa panahon ngayon ay mukhang walang katulad sa pag-hack noong unang bahagi ng 2000. Karaniwang hindi na ganoon kadali ang pag-atake at nangangailangan ng wastong pagpaplano at mataas na antas ng kasanayan. Dahil nagiging mas sopistikado ang mga umaatake, kailangan ding patuloy na umunlad ang mga tagapagtanggol sa kaalaman at kasanayan. Iyan ang walang hanggang larong "pusa at daga" na katulad ng nangyayari sa pagitan ng mga kriminal at pulis.
Kaya iyon ang ginawa ko sa mga sumunod na taon. Sinubukan kong matuto at magsanay sa abot ng aking makakaya. Sinimulan ko ang sarili ko Blog noong 2014 at kamakailan ay sinimulan ko ang aking sarili YouTube channel. Ang parehong channel ay Dutch ngunit nakatuon sa paghahatid ng mahusay na kalidad ng nilalaman lalo na para sa nakakasakit na espesyalista sa seguridad. Naniniwala ako na tayo ay may ibinahaging pagsisikap sa paggawa ng mundo na isang mas mahusay at mas ligtas na lugar. Sa pamamagitan ng pagbabahagi ng aking kaalaman, umaasa akong matulungan ang iba upang sila ay lumago at makapagbahagi ng mga bagong kaalaman doon nang mag-isa. Iyan ang kagandahan ng mundo ng cybersecurity. Napakaraming matututunan na patuloy akong mag-aaral araw-araw.
Laging sinasabi sa akin ng aking ama na hindi mahalaga kung ano ang gagawin ko sa buhay ngunit ang maging pinakamahusay sa bagay na pinili kong gawin. Kaya pagkatapos kong makakuha ng higit pang kaalaman ay nagsimula akong magtrabaho sa isang Dutch CERT na nagsasagawa rin ng maraming pagsubok sa pagtagos at pag-aaral ng higit pa tungkol sa mga kakayahan sa pagtatanggol/pagsubaybay.
Ang bawat pagsubok na gagawin ko ay hindi lamang mahalaga para sa kumpanya kundi pati na rin sa aking sarili. Minsan nakakasakit ang mga pagsubok na ito at kung minsan ay nakikipagtulungan kami sa tinatawag na "blue team". Ang asul na koponan ay ang "nagtatanggol na partido" na gumaganap ng mga gawain tulad ng pagsubaybay, pagtugon, pangangaso ng sinulid atbp. Kapag ang pulang koponan (ako, ang nakakasakit na partido) at ang asul na koponan ay nagtutulungan tinatawag namin itong "purple teaming". Kamakailan lamang ay nakita namin na ang "purple teaming" ay isang mahalagang bahagi ng mahusay na diskarte sa seguridad. Kadalasan ay nagsisimula kami ng pakikipag-ugnayan gamit ang diskarte sa red-team at kalaunan ay "i-replay" namin ang mga aral na natutunan kasama ng asul na team para matutunan nila at makita kung ano ang ginawa namin at matulungan namin silang mahanap ang mga tamang artifact at bumuo ng mga functional trigger.
Pagkatapos magsagawa ng maraming penetration test na nag-iiba mula sa iba't ibang saklaw (on-premise infrastructure, webapps, cloud infrastructure, operational technology) at pagkatapos makakuha ng mas maraming certificate para maging qualify ang aking sarili (OCSE, OSEP, OSWE, CSA) ginamit ko ang aking mga channel hindi lamang para magbahagi ng impormasyon kundi para magturo din talaga. Ang aking channel sa YouTube ay naglalaman ng maraming "pang-edukasyon" na video na espesyal na ginawa upang sanayin ang aking mga kasamahan nang libre. Ang channel ay makakakuha ng 100 pang-edukasyon na video sa taong ito na sumasaklaw sa iba't ibang paksa at mabuti para sa 75 oras ng pagsasanay. Kaya kapag ang proyektong iyon ay tapos na, maaari kong isaalang-alang ang paglikha ng isang "bayad" na pagsasanay.
Ang pagkakaroon ng social channel sa mahabang panahon ay may maraming benepisyo pagdating sa "tiwala" at mga taong handang kumuha sa iyo. Dahil ang mataas na pangangailangan para sa mga serbisyo ng pagsubok sa pagtagos at pagsasanay ay nagnanais ako ay nagpasya na magtatag ng sarili kong kumpanya. Nagbibigay ito sa akin ng kakayahang kunin ang mga trabaho na sa tingin ko ay lubos na kawili-wili at magturo sa paraang pinaniniwalaan kong pinakamabisa. Minsan ang aking mga masterclass ay 2-4 na oras at kung minsan ito ay mas matindi at sila ay kumakalat sa loob ng ilang araw. Depende ito sa antas ng kasanayan at bilang ng mga dadalo.
Ang mga hamon na kinakaharap ng negosyo/merkado
Mula sa aking pananaw ang merkado ay nahaharap sa maraming hamon. Mula sa mga advanced na pag-atake, pagtaas ng mga gastos hanggang sa kakulangan ng mga kwalipikadong personal. Para sa 2023/2024 nakikita ko ang 3 pangunahing hamon.
1. Security Operational Technology sa Industrial Environments
Sa loob ng maraming taon, ang cybersecurity ay nakatuon sa lahat ng regular na bahagi ng ICT tulad ng mga operating system ng Windows, Active Directory user orchestration, WebApps at mga karaniwang protocol tulad ng TCP/IP. At kahit na maraming mga asset ng "regular" na ICT ang matatagpuan sa loob ng industriyal na automation ang larangan na ito ay nananatiling ganap na naiiba. Pagisipan ang tungkol sa:
· Ang paggamit ng mga espesyal na protocol (tulad ng Modbus, Profinet, DNP3 atbp.);
· Ang paggamit ng espesyal na software;
· Ang paggamit ng espesyal na hardware;
Higit sa lahat, ang lahat ng bahagi ng IT ay namamahala sa mga dalubhasang makina sa pagkontrol ng hardware. At kung minsan ang mga makinang ito ay mahalaga. Kaya ang downtime ng mga makinang ito ay maaaring magresulta sa malaking pagkalugi sa pananalapi, aksidente at maging ang pagkawala ng buhay ng tao.
Ang bagay ay ang lahat ng mga makinang ito ay napakamahal at may mahabang ikot ng buhay. Ang ilang mga makina ay tumatakbo sa loob ng 20-40 taon. Dahil sa mga mahabang lifecycle na ito, ang mga makina at ang nagkokontrol na software ay hindi binuo gamit ang pinakabagong mga pinakamahusay na kasanayan sa seguridad. Bukod dito mahirap ding magplano ng mga naka-iskedyul na timeframe ng pagpapanatili sa isang tumatakbong kapaligiran. Ginagawa nitong napakahirap ang pag-patch at pag-update ng mga system. Kaya sa mga industriyal na kapaligiran ang mga pusta ay mataas at ang seguridad ay kadalasang luma na. Alam ito ng mga hacker. Ang mga pang-industriya na kapaligiran ay naha-hack at dahil doon ay may mataas na stake ang mga ito ay perpekto para sa mga malisyosong umaatake na gustong mangikil sa kanilang mga biktima. Kaya't ang pangangailangan na subukan at i-secure ang mga kapaligiran na ito ay hindi kailanman mas mataas kaysa sa ngayon. Bilang isang pentester kailangan mong malaman kung ano ang iyong ginagawa sa mga espesyal na kapaligirang ito dahil ang 1 maliit na pagkakamali ay maaaring magresulta sa downtime at malaking pagkalugi sa pananalapi. Humihingi ito ng mga kwalipikadong tester na marunong magsagawa ng mga pagsubok sa seguridad nang ligtas sa mga sensitibong kapaligirang ito.
2. Pangingikil ng Ransomware
Ang pangingikil, tulad ng inilarawan sa nakaraang talata ay maaaring ang pinakamalaking cybersecurity thread sa sandaling ito. Ang tradisyonal na ransomware ay nag-e-encrypt ng mga sensitibong file sa computer at humihingi ng ransom upang ma-unlock muli ang mga file na ito. Gayunpaman, ang proseso ng pag-encrypt ng bawat file sa isang system ay isang prosesong tumatagal ng oras. Nagbibigay ito ng oras sa biktima na makialam at mag-save ng ilang data sa pamamagitan ng pagwawakas sa malware bago ma-encrypt ang data. Bukod doon, ang mga kumpanya ay may potensyal na ibalik mula sa mga backup nang hindi nagbabayad ng ransom. Ang bagong hype ay ang pag-exfiltrate lamang ng data at pag-extort sa negosyo sa pamamagitan ng pagbabanta na ilalabas sa publiko ang data. Ang ganitong uri ng pag-atake ay mas mabilis na isagawa, mas mahirap matukoy, at hindi maaayos gamit ang mga backup.
3. (Cloud) Mga Banta ng Third-Party
Ang isa pang malaking pagbabago sa mundo ng cybersecurity ay ang mabilis na paggamit ng cloud computing. Ang tooling ng SaaS ay ginagamit sa mabilis na bilis ngunit pati na rin ang IaaS (Infrastructure as a Service) ay ipinapatupad sa malawakang sukat at kadalasang umiiral bukod sa on-premise na imprastraktura. Kadalasan ang mga environment na ito ay relatibong ligtas, ngunit ang pagiging hindi pamilyar sa mga pinakamahuhusay na kagawian sa seguridad sa cloud, ang cloud shared na modelo ng seguridad, at iba pang mga salik ay maaaring gawing mas madaling maapektuhan ang mga cloud environment sa pag-atake kaysa sa imprastraktura sa lugar. Ang mga umaatake ay may kalamangan na maaari nilang subukan ang mga kapaligirang ito sa pandaigdigang saklaw. Ang isang malaking kalakaran ay bukod sa mga gumagamit ng serbisyo sa ulap ay tinatarget din ang mga nagbibigay ng serbisyo ng ulap. Sa ganitong paraan ang isang cybercriminal ay makakakuha ng access sa sensitibong data ng kanilang mga customer at posibleng kanilang imprastraktura ng IT. Sa ganitong paraan ang epekto ng isang pag-atake ay maaaring maging mas malaki at mas kapaki-pakinabang para sa isang umaatake.
Ang mga pagkakataong kinakaharap ng negosyo/merkado
Dahil tayo ay nahaharap sa mga advanced na pag-atake sa isang malaking sukat sa isang lumalawak na kapaligiran ng ICT, ang gawain ng mga asul na koponan at pulang koponan ay hindi gaanong mahalaga. Bilang halimbawa, ilang buwan pagkatapos tumama ang pandemya ng COVID-19 noong 2020, tumaas ng 63% ang bilang ng mga cyber attack. At ang 2021 ay mas malala pa. Ang bilang ng mga paglabag hanggang sa katapusan ng Setyembre 2021 ay lumampas na sa kabuuang bilang ng 2020 ng 17%. 2023 ay hindi magiging iba. Ang nakababahala na pagtaas sa bilang ng mga paglabag at pag-atake sa cyber ay pinagsasama ng isa pang nakababahalang kalakaran: ang tumataas na halaga ng mga paglabag.
Ang kaalamang ito at ang katotohanang mayroong malaking kakulangan sa bihasang personal ay gumagawa ng mataas na pangangailangan para sa halos lahat ng uri ng mga propesyonal sa cybersecurity. Red team, blue team at mga trabaho sa pamamahala. Pagisipan ang tungkol sa:
· Mga inhinyero ng cybersecurity
· Mga analyst ng cybersecurity
· Mga etikal na hacker
· Mga analyst ng malware
· Mga CISO at ISO
Nangangahulugan ito na may sapat na trabaho sa sangay na ito, maraming pagkakataon sa pagsasanay at magandang suweldo ang maaaring kumita.
Payo sa iba tungkol sa negosyo
Dahil ang industriya ng cybersecurity ay umuusbong, maraming mga startup (tulad ng aking sarili). Sa isang "booming" na industriya maraming pera ang kinikita habang ang kalidad ay hindi palaging ginagarantiyahan. Sinusubukan ng lahat na makuha ang bahagi nito. Nakikita namin na may pangangailangan para sa mga auditor ng mga tagapagtustos ng seguridad na naglalabas ng selyo ng kalidad pagkatapos ng matagumpay na pag-audit. Sa ganitong paraan malalaman ng mga kumpanya na hindi bababa sa mga panloob na pamamaraan ay nasa lugar at ipinapatupad.
Ang paghahatid ng pinakamahusay na kalidad sa iyong mga customer ay mahalaga sa sensitibong sangay na ito. Kailangan ng mga Pentester ang payo sa paggawa ng kapaligiran na mas ligtas sa halip na gawin itong mas hindi secure pagkatapos ng isang pentest (nakita kong nangyayari ito nang higit sa isang beses). Para magawa ito, pinapayuhan ko ang mga organisasyon na mamuhunan sa kanilang sarili at sa kanilang mga tauhan. Siguraduhin na ang kumpanya ay nakakakuha ng hindi bababa sa isang selyo ng kalidad at ang mga pentester ay sinanay para sa mga trabahong kailangan nilang gawin. Ipakita din sa mga customer na sinanay ang iyong mga tauhan upang makasigurado ang customer na magiging maayos ang trabaho.
Ang isa pang tip na gusto kong ibigay ay ipadala ang parehong koponan sa parehong kumpanya sa mga follow-up na trabaho kung maaari (kung ang mga tauhan ay sinanay na gawin ito). Masarap makakita ng pamilyar na mukha. Nagbibigay ito sa custommer ng pakiramdam ng tiwala at para sa pentester ay nakakatuwang magtrabaho sa isang kapaligiran na alam na nila (bahagyang). Sa huli ay magiging kapaki-pakinabang din ito sa panghuling kalidad ng pagsusulit.
GP
Kasama sa gawain ng isang doktor ng pamilya ang malawak na hanay ng klinikal na pagkakaiba-iba, na nangangailangan ng malawak na kaalaman at talino mula sa isang espesyalista. Gayunpaman, naniniwala ako na ang pinakamahalagang bagay para sa isang doktor ng pamilya ay ang pagiging tao dahil ang pakikipagtulungan at pag-unawa sa pagitan ng doktor at ng pasyente ay mahalaga sa pagtiyak ng matagumpay na pangangalagang pangkalusugan. Sa aking mga araw na walang pasok, gusto ko ang pagiging likas. Simula pagkabata, hilig ko na ang paglalaro ng chess at tennis. Sa tuwing may pahinga ako, nasisiyahan akong maglakbay sa buong mundo.
- Mga Nakakabaliw na Posisyon sa Sex na Lagi Niyang Susubukan - Abril 7, 2023
- Bakit Dapat kang Bumili ng Cockrings Gamit ang Butt Plugs? - Abril 7, 2023
- Nangungunang Sampung Tail Butt Plugs para sa iyong Wild Fetish - Abril 6, 2023
