"Jarno Baselier Cybersecurity" کیا ہے اور آپ کیا کرتے ہیں؟
جارنو بیسلیر سائبر سیکیورٹی ایک اعلیٰ معیار کی سیکیورٹی ٹیسٹنگ اور تعلیمی کمپنی ہے۔ ہم صنعتی ماحول اور کارپوریٹ آفس کے ماحول میں دخول ٹیسٹ (پینٹیسٹ) کرنے میں مہارت رکھتے ہیں۔
Jarno Baselier Cybersecurity کی بنیاد 2022 میں (یہاں کوئی تعجب کی بات نہیں) Jarno Baselier نے رکھی تھی۔ کمپنی نے میدان میں کئی سالوں کے تجربے کے بعد آغاز کیا اور کیونکہ اعلیٰ معیار کے پینٹیسٹ کی مانگ خاص طور پر صنعتی ماحول میں بہت زیادہ ہے۔
صنعتی ماحول میں IT اجزاء کو محفوظ کرنا ایک ایسی چیز ہے جو زیادہ سے زیادہ اہم ہوتی جاتی ہے اور بہت سے ماہرین کے پاس یہ علم نہیں ہے کہ وہ ان ٹیسٹوں کو صحیح طریقے سے اور مناسب دیکھ بھال کے ساتھ انجام دیں۔ چونکہ میں ان ماحول میں برسوں سے کام کر رہا ہوں (ہم انہیں "OT" یا "آپریشنل ٹیکنالوجی" ماحول کہتے ہیں) اور بہت ساری تربیت چھوڑ دی ہے، میں نے فیصلہ کیا کہ اب وقت آگیا ہے کہ مزید تنظیموں کو اپنی خدمات پیش کرکے ان کی مدد کروں۔
جارنو کی کہانی
جب میں نے سائبر سیکیورٹی کی دنیا میں شروعات کی تھی تو یہ اتنا مرکزی دھارے میں نہیں تھا جتنا آج ہے۔ ہم 2010/2011 کی بات کر رہے ہیں۔ اس وقت میں ہالینڈ میں ایک بڑی ڈینٹل کمپنی میں سسٹم انجینئر کے طور پر کام کر رہا تھا۔ سائبر کرائمین جہاں بڑھ رہے ہیں اور اسی طرح قانون نافذ کرنے والے ادارے بھی۔ جی ڈی پی جی (جسے نیدرلینڈز میں اے وی جی کہا جاتا ہے) کے بارے میں سوچیں۔ چونکہ میں سسٹم سیکیورٹی سے نمٹ رہا تھا میں واقعی جاننا اور جاننا چاہتا تھا کہ حملہ آور کیسے کام کرتے ہیں۔ کیونکہ، ہم صرف اس کی حفاظت کر سکتے ہیں جو ہم جانتے ہیں؟
اس وقت جہاں "اخلاقی ہیکنگ" کے حوالے سے زیادہ سرٹیفیکیشن نہیں ہیں۔ جو اس وقت نمایاں تھا وہ ECouncil کی مصدقہ اخلاقی ہیکنگ تھی۔ اس لیے میں نے فیصلہ کیا کہ سائبر کرائمینز کے کام کرنے کے طریقے کے بارے میں جاننے کے لیے مجھے اس سرٹیفکیٹ کی ضرورت ہے۔ ٹھیک ہے، تھوڑا سا بگاڑنے والا… یہ اتنا سچ نہیں تھا۔ کیونکہ یہ تو صرف شروعات نکلی۔ اس کے باوجود اس کاروبار کو شروع کرنا ایک اچھا سرٹیفکیٹ تھا۔ اس وقت میرے استاد ٹم پیئرسن تھے۔ ٹم ایک بہت متاثر کن شخص تھا اور بعد میں وہ میرا دوست بن گیا۔ کورس کے بعد (جو ایک ہفتہ تک جاری رہا) میں نے ٹم کو ہوائی اڈے پر لے گیا اور اس نے مجھے "اندرونی پوزیشن" کی پیشکش کی۔ بنیادی طور پر وہ کہہ رہا تھا کہ "مفت میں گندا کام کرو اور میں تمہیں تجارت کی چالیں سیکھوں گا"۔ اور میں نے ایسا ہی کیا۔ بعد میں میں نے سرٹیفائیڈ ایتھیکل ہیکنگ کورس کے لیے v9 کورس لکھنے میں حصہ لیا۔
میں نے ان ابتدائی چند سالوں میں بہت کچھ سیکھا۔ نہ صرف تکنیکی طور پر بلکہ مجھے مشق کرنے اور مدد کرنے میں بھی اتنا مزہ آیا کہ میں جانتا تھا کہ میں مستقبل میں یہی کرنا چاہتا ہوں۔ اس کے بعد کے سالوں میں "سائبر سیکیورٹی" ایک گرم چیز بن گئی۔ زیادہ سے زیادہ خلاف ورزیوں کو جہاں عوام کے سامنے ظاہر کیا جاتا ہے (میڈیا کی مدد سے)۔ کمپنیوں اور ملازمین کے بارے میں شعور بیدار ہوا اور حملہ آور زیادہ سے زیادہ نفیس ہوتے گئے۔ آج کل ہیکنگ 2000 کے اوائل میں ہونے والی ہیکنگ کی طرح کچھ بھی نظر نہیں آتی۔ حملے عام طور پر اب اتنے آسان نہیں رہے ہیں اور مناسب منصوبہ بندی اور اعلیٰ سطح کی مہارت کی ضرورت ہے۔ چونکہ حملہ آور زیادہ نفیس ہو جاتے ہیں، اس لیے محافظوں کو بھی علم اور مہارت میں ترقی کرتے رہنے کی ضرورت ہے۔ یہ ایک لازوال "بلی اور چوہے" کا کھیل ہے جو مجرموں اور پولیس کے درمیان ہونے والے واقعات سے ملتا جلتا ہے۔
تو اس کے بعد کے سالوں میں میں نے یہی کیا۔ میں نے زیادہ سے زیادہ سیکھنے اور مشق کرنے کی کوشش کی۔ میں نے اپنا آغاز کیا۔ کے بلاگ واپس 2014 میں اور حال ہی میں میں نے اپنا آغاز کیا۔ یو ٹیوب کا چینل بنانا پسند. دونوں چینلز ڈچ ہیں لیکن خاص طور پر جارحانہ سیکیورٹی ماہر کے لیے بہترین معیار کا مواد فراہم کرنے پر توجہ مرکوز کرتے ہیں۔ مجھے یقین ہے کہ دنیا کو ایک بہتر اور محفوظ جگہ بنانے کے لیے ہماری مشترکہ کوشش ہے۔ اپنے علم کو بانٹ کر میں دوسروں کی مدد کرنے کی امید کرتا ہوں تاکہ وہ خود ترقی کر سکیں اور نئے علم کا اشتراک کر سکیں۔ یہ سائبر سیکیورٹی کی دنیا کی خوبصورتی ہے۔ سیکھنے کے لیے بہت کچھ ہے جو میں ہر روز سیکھتا رہوں گا۔
میرے والد نے ہمیشہ مجھے بتایا کہ اس سے کوئی فرق نہیں پڑتا کہ میں زندگی میں کیا کروں گا لیکن اس چیز میں بہترین بننا ہے جسے میں نے کرنے کا انتخاب کیا ہے۔ لہذا میں نے مزید معلومات حاصل کرنے کے بعد میں نے ایک ڈچ سی ای آر ٹی میں کام کرنا شروع کر دیا جس میں متعدد دخول کے ٹیسٹ بھی کیے گئے اور دفاعی/ نگرانی کی صلاحیتوں کے بارے میں مزید معلومات حاصل کیں۔
میرا ہر ٹیسٹ نہ صرف کمپنی کے لیے بلکہ میرے لیے بھی قیمتی ہے۔ بعض اوقات یہ ٹیسٹ ناگوار ہوتے ہیں اور بعض اوقات ہم نام نہاد "نیلی ٹیم" کے ساتھ تعاون کرتے ہیں۔ نیلی ٹیم "دفاعی پارٹی" ہے جو کام انجام دیتی ہے جیسے کہ نگرانی، ردعمل، دھاگے کا شکار کرنا وغیرہ۔ جب سرخ ٹیم (میں، جارحانہ پارٹی) اور نیلی ٹیم مل کر کام کرتی ہے تو ہم اسے "پرپل ٹیمنگ" کہتے ہیں۔ حال ہی میں ہم دیکھتے ہیں کہ "جامنی ٹیم بنانا" اچھی حفاظتی حکمت عملی کا ایک اہم حصہ ہے۔ عام طور پر ہم سرخ ٹیم کے نقطہ نظر کے ساتھ مشغولیت کا آغاز کرتے ہیں اور بعد میں ہم نیلی ٹیم کے ساتھ مل کر سیکھے گئے اسباق کو "دوبارہ پلے" کرتے ہیں تاکہ وہ سیکھ سکیں اور دیکھ سکیں کہ ہم نے کیا کیا اور ہم صحیح نمونے تلاش کرنے اور فعال محرکات بنانے میں ان کی مدد کر سکتے ہیں۔
مختلف دائرہ کار (آن پریمیس انفراسٹرکچر، ویب ایپس، کلاؤڈ انفراسٹرکچر، آپریشنل ٹکنالوجی) سے مختلف ہونے والے بہت سے دخول ٹیسٹ کرنے کے بعد اور خود کو اہل بنانے کے لیے مزید سرٹیفکیٹ حاصل کرنے کے بعد (OCSE، OSEP، OSWE، CSA) میں نے اپنے چینلز کو نہ صرف معلومات کا اشتراک کرنے کے لیے استعمال کیا بلکہ واقعی سکھانے کے لیے بھی۔ میرے یوٹیوب چینل میں بہت ساری "تعلیمی" ویڈیوز ہیں جو خاص طور پر میرے ساتھیوں کو مفت میں تربیت دینے کے لیے بنائی گئی ہیں۔ چینل کو اس سال 100 تعلیمی ویڈیوز ملے گی جن میں مختلف موضوعات شامل ہوں گے اور 75 گھنٹے کی تربیت کے لیے اچھی ہوں گی۔ اس لیے جب وہ پروجیکٹ ہو جائے تو میں ایک "معاوضہ" تربیت بنانے پر غور کر سکتا ہوں۔
سوشل چینل کو اتنے لمبے عرصے تک رکھنے کے بہت سے فوائد ہیں جب بات "اعتماد" کی ہو اور وہ لوگ جو آپ کی خدمات حاصل کرنے کے خواہشمند ہوں۔ کیونکہ دخول کی جانچ کی خدمات اور تربیت کی خواہشات کی اعلی مانگ میں نے اپنی فرم قائم کرنے کا فیصلہ کیا۔ اس سے مجھے وہ ملازمتیں لینے کی اہلیت ملتی ہے جو مجھے انتہائی دلچسپ لگتی ہیں اور اس طریقہ کو سکھانے کا طریقہ جو مجھے یقین ہے کہ سب سے زیادہ موثر ہے۔ کبھی کبھی میری ماسٹر کلاسز 2-4 گھنٹے کی ہوتی ہیں اور کبھی کبھی یہ زیادہ شدید ہوتی ہیں اور وہ چند دنوں میں پھیلی ہوتی ہیں۔ یہ مہارت کی سطح اور حاضرین کی تعداد پر منحصر ہے۔
کاروبار/مارکیٹ کو جن چیلنجز کا سامنا ہے۔
میرے نقطہ نظر سے مارکیٹ کو بہت سے چیلنجز کا سامنا ہے۔ اعلی درجے کے حملوں سے، بڑھتے ہوئے اخراجات سے کوالیفائیڈ پرسنل کی کمی تک۔ 2023/2024 کے لیے میں 3 اہم چیلنجز دیکھ رہا ہوں۔
1. صنعتی ماحول میں سیکورٹی آپریشنل ٹیکنالوجی
برسوں سے سائبرسیکیوریٹی تمام باقاعدہ ICT اجزاء جیسے ونڈوز آپریٹنگ سسٹمز، ایکٹو ڈائرکٹری یوزر آرکیسٹریشن، WebApps اور TCP/IP جیسے عام پروٹوکولز پر مرکوز تھی۔ اور اگرچہ "باقاعدہ" ICT کے بہت سے اثاثے صنعتی آٹومیشن کے اندر پائے جاتے ہیں یہ فیلڈ بالکل مختلف ہے۔ اس بارے میں سوچو:
خصوصی پروٹوکولز کا استعمال (جیسے موڈبس، پروفینیٹ، ڈی این پی 3 وغیرہ)؛
خصوصی سافٹ ویئر کا استعمال؛
خصوصی ہارڈ ویئر کا استعمال؛
مزید اہم بات یہ ہے کہ تمام IT اجزاء خصوصی ہارڈویئر کنٹرول کرنے والی مشینوں کا نظم کرتے ہیں۔ اور بعض اوقات یہ مشینیں اہم ہوتی ہیں۔ لہٰذا ان مشینوں کے بند ہونے سے بھاری مالی نقصانات، حادثات اور حتیٰ کہ انسانی جانوں کا ضیاع بھی ہو سکتا ہے۔
بات یہ ہے کہ یہ تمام مشینیں بہت مہنگی ہیں اور ان کی لائف سائیکل لمبی ہے۔ کچھ مشینیں 20-40 سال سے چل رہی ہیں۔ ان طویل زندگی کے چکروں کی وجہ سے مشینیں اور کنٹرول کرنے والا سافٹ ویئر جدید ترین حفاظتی مشقوں کے ساتھ نہیں بنایا گیا ہے۔ اس کے علاوہ چلتے ہوئے ماحول میں دیکھ بھال کے مقررہ وقت کی منصوبہ بندی کرنا بھی مشکل ہے۔ اس سے سسٹم کو پیچ کرنا اور اپ ڈیٹ کرنا بہت مشکل ہو جاتا ہے۔ لہذا صنعتی ماحول میں داؤ پر لگا ہوا ہے اور سیکورٹی عموماً پرانی ہے۔ ہیکرز یہ جانتے ہیں۔ صنعتی ماحول ہیک کرنے کے قابل ہیں اور وہاں زیادہ داؤ کی وجہ سے وہ اپنے متاثرین سے جبراً لوٹنے کے خواہشمند بدنیتی پر مبنی حملہ آوروں کے لیے مثالی ہیں۔ لہٰذا ان ماحول کو جانچنے اور محفوظ کرنے کی ضرورت آج سے زیادہ کبھی نہیں تھی۔ ایک پینٹسٹر کے طور پر آپ کو یہ جاننے کی ضرورت ہے کہ آپ ان مخصوص ماحول میں کیا کر رہے ہیں کیونکہ 1 چھوٹی سی غلطی کے نتیجے میں ٹائم ٹائم اور بھاری مالی نقصان ہو سکتا ہے۔ یہ اہل ٹیسٹرز سے پوچھتا ہے جو جانتے ہیں کہ ان حساس ماحول میں حفاظتی ٹیسٹ کیسے کرنا ہے۔
2. رینسم ویئر بھتہ خوری
بھتہ خوری، جیسا کہ پچھلے پیراگراف میں بیان کیا گیا ہے اس وقت سائبر سیکیورٹی کا سب سے بڑا دھاگہ ہو سکتا ہے۔ روایتی طور پر رینسم ویئر کمپیوٹر پر حساس فائلوں کو انکرپٹ کرتا ہے اور ان فائلوں کو دوبارہ کھولنے کے لیے تاوان طلب کرتا ہے۔ تاہم، سسٹم پر ہر فائل کو انکرپٹ کرنے کا عمل ایک وقت طلب عمل ہے۔ اس سے شکار کو مداخلت کرنے اور ڈیٹا کو انکرپٹ ہونے سے پہلے میلویئر کو ختم کرکے کچھ ڈیٹا بچانے کا وقت ملتا ہے۔ اس کے علاوہ، کمپنیاں تاوان ادا کیے بغیر بیک اپ سے بحال کرنے کی صلاحیت رکھتی ہیں۔ نیا ہائپ صرف ڈیٹا کو نکالنا ہے اور ڈیٹا کو عوامی طور پر جاری کرنے کی دھمکی دے کر کاروبار کو لوٹنا ہے۔ اس قسم کا حملہ کرنا تیز تر ہوتا ہے، اس کا پتہ لگانا مشکل ہوتا ہے اور بیک اپ کے ذریعے اسے ٹھیک نہیں کیا جا سکتا۔
3. (بادل) تیسرے فریق کی دھمکیاں
سائبر سیکیورٹی کی دنیا میں ایک اور بڑی تبدیلی کلاؤڈ کمپیوٹنگ کو تیزی سے اپنانا ہے۔ SaaS ٹولنگ کو تیز رفتاری سے اپنایا جا رہا ہے لیکن IaaS (انفراسٹرکچر بطور سروس) بھی بڑے پیمانے پر لاگو کیا جا رہا ہے اور عام طور پر بنیادی ڈھانچے کے علاوہ موجود ہے۔ عام طور پر یہ ماحول نسبتاً محفوظ ہوتے ہیں، لیکن کلاؤڈ سیکیورٹی کے بہترین طریقوں سے ناواقفیت، کلاؤڈ کا مشترکہ سیکیورٹی ماڈل، اور دیگر عوامل کلاؤڈ ماحول کو بعض اوقات آن پریمیس انفراسٹرکچر کے مقابلے میں حملے کا زیادہ خطرہ بنا سکتے ہیں۔ حملہ آوروں کو یہ فائدہ ہے کہ وہ ان ماحول کو عالمی سطح پر جانچ سکتے ہیں۔ ایک بڑا رجحان یہ ہے کہ کلاؤڈ سروس کے صارفین کے علاوہ کلاؤڈ سروس فراہم کرنے والوں کو بھی نشانہ بنایا جا رہا ہے۔ اس طرح سائبر کرائمینل اپنے صارفین کے حساس ڈیٹا اور ممکنہ طور پر ان کے آئی ٹی انفراسٹرکچر تک رسائی حاصل کر سکتا ہے۔ اس طرح حملے کا اثر حملہ آور کے لیے بہت بڑا اور زیادہ فائدہ مند ہو سکتا ہے۔
کاروبار/مارکیٹ کو جن مواقع کا سامنا ہے۔
چونکہ ہم مسلسل پھیلتے ہوئے ICT ماحول میں بڑے پیمانے پر جدید حملوں کا سامنا کر رہے ہیں، نیلی ٹیموں اور سرخ ٹیموں کا کام کبھی بھی اتنا اہم نہیں تھا۔ مثال کے طور پر، 19 میں COVID-2020 وبائی بیماری کے آنے کے چند ماہ بعد سائبر حملوں کی تعداد میں 63 فیصد اضافہ ہوا۔ اور 2021 اس سے بھی بدتر تھا۔ ستمبر 2021 کے آخر تک خلاف ورزیوں کی تعداد پہلے ہی 2020 کی کل تعداد سے 17 فیصد سے تجاوز کر چکی ہے۔ 2023 اس سے مختلف نہیں ہوگا۔ خلاف ورزیوں اور سائبر حملوں کی تعداد میں تشویشناک اضافہ ایک اور تشویشناک رجحان سے بڑھتا ہے: خلاف ورزیوں کی بڑھتی ہوئی لاگت۔
یہ علم اور حقیقت یہ ہے کہ ہنر مند پرسنل میں بہت زیادہ کمی ہے، تقریباً تمام قسم کے سائبر سیکیورٹی پروفیشنلز کی بہت زیادہ مانگ ہے۔ سرخ ٹیم، نیلی ٹیم اور انتظامی نوکریاں۔ اس بارے میں سوچو:
· سائبر سیکیورٹی انجینئرز
· سائبرسیکیوریٹی تجزیہ کار
اخلاقی ہیکرز
میلویئر تجزیہ کار
· CISO's اور ISO's
اس کا مطلب ہے کہ اس برانچ میں کافی کام ہے، تربیت کے بہت مواقع ہیں اور اچھی تنخواہ کمائی جا سکتی ہے۔
کاروبار کے بارے میں دوسروں کو مشورہ
چونکہ سائبرسیکیوریٹی انڈسٹری عروج پر ہے وہاں بہت سے اسٹارٹ اپس ہیں (جیسے میں)۔ "بوومنگ" انڈسٹری میں بہت زیادہ پیسہ کمایا جاتا ہے جبکہ معیار کی ہمیشہ ضمانت نہیں دی جاتی ہے۔ ہر کوئی اپنا حصہ لینے کی کوشش کرتا ہے۔ ہم دیکھتے ہیں کہ سیکیورٹی سپلائرز کے آڈیٹرز کی ضرورت ہے جو کامیاب آڈٹ کے بعد معیار کی مہر جاری کرتے ہیں۔ اس طرح کمپنیاں جانتی ہیں کہ کم از کم داخلی طریقہ کار اپنی جگہ اور نافذ ہے۔
اس حساس برانچ میں اپنے صارفین کو بہترین معیار کی فراہمی بہت ضروری ہے۔ پینٹسٹوں کو پینٹسٹ کے بعد ماحول کو مزید غیر محفوظ بنانے کے بجائے مزید محفوظ بنانے کے لیے مشورہ دینے کی ضرورت ہے (میں نے یہ ایک سے زیادہ بار ہوتے دیکھا ہے)۔ ایسا کرنے کے لیے میں تنظیموں کو مشورہ دیتا ہوں کہ وہ اپنے اور اپنے اہلکاروں میں سرمایہ کاری کریں۔ اس بات کو یقینی بنائیں کہ کمپنی کو کم از کم معیار کی مہر ملے اور پینٹسٹرز کو ان کاموں کے لیے تربیت دی گئی ہے جن کی انہیں انجام دینے کی ضرورت ہے۔ گاہکوں کو یہ بھی دکھائیں کہ آپ کا عملہ تربیت یافتہ ہے تاکہ گاہک کو یقین دلایا جا سکے کہ کام اچھی طرح سے ہو گا۔
ایک اور ٹِپ جو میں دینا چاہتا ہوں وہ یہ ہے کہ اگر ممکن ہو تو ایک ہی ٹیم کو اسی کمپنی کو فالو اپ جابز پر بھیجنا ہے (اگر عملہ ایسا کرنے کے لیے تربیت یافتہ ہے)۔ ایک شناسا چہرہ دیکھنا ہمیشہ اچھا لگتا ہے۔ اس سے گاہک کو اعتماد کا احساس ملتا ہے اور پینٹسٹر کے لیے ایسے ماحول میں کام کرنا مزہ آتا ہے جسے وہ پہلے سے (جزوی طور پر) جانتے ہیں۔ آخر میں یہ ٹیسٹ کے حتمی معیار کے لیے بھی فائدہ مند ہوگا۔
GP
فیملی ڈاکٹر کے کام میں طبی تنوع کی ایک وسیع رینج شامل ہوتی ہے، جس کے لیے ایک ماہر سے وسیع علم اور سمجھداری کی ضرورت ہوتی ہے۔ تاہم، میرا ماننا ہے کہ فیملی ڈاکٹر کے لیے سب سے اہم چیز انسان ہونا ہے کیونکہ کامیاب صحت کی دیکھ بھال کو یقینی بنانے کے لیے ڈاکٹر اور مریض کے درمیان تعاون اور سمجھ بوجھ بہت ضروری ہے۔ اپنی چھٹی کے دنوں میں، مجھے فطرت میں رہنا پسند ہے۔ مجھے بچپن سے ہی شطرنج اور ٹینس کھیلنے کا شوق رہا ہے۔ جب بھی مجھے چھٹی ملتی ہے، میں دنیا بھر کی سیر کا لطف اٹھاتا ہوں۔
- پاگل سیکس پوزیشنز وہ ہمیشہ آزمائے گی۔ - اپریل 7، 2023
- آپ کو بٹ پلگ کے ساتھ کاکرنگس کیوں خریدنا چاہئے؟ - اپریل 7، 2023
- آپ کے وائلڈ فیٹش کے لیے ٹاپ ٹین ٹیل بٹ پلگ - اپریل 6، 2023
