Claranet verzorgt per jaar meer dan 10.000 pentestdagen bij onze klanten. Onze pentesters zijn internationaal gelauterde vakmensen die veelal van hun hobby hun werk hebben kunnen maken. Daarnaast zijn ze in een aantal gevallen ook securitytrainer voor in-company-trainingen of bijvoorbeeld op de wereldwijde Black Hat-conventies. Een van hen is onze Portugese collega Tiago Alexandre Carvalho, Technical Security Trainer & Pentester Claranet Cyber Security. In dit interview maak je kennis met hem.
Hoe ben je bij Claranet terechtgekomen?
Ik was op zoek naar verandering, een plek waar ik de ervaring, die ik een tijdje bij een vorig bedrijf had opgedaan, kon terugvinden. Uitdagend werk en waardering van collega’s voor de waarde die ik inbracht. Via een paar vrienden en collega’s kwam mijn cv in handen van een collega van NotSoSecure. Tijdens het gesprek klonken de manier waarop de werkzaamheden werden beschreven en het type werk als muziek in mijn oren, en dus ben ik hier.
Wat was het eerste moment dat je wist dat je met Cyber Security wilde werken?
Ik denk niet dat ik een specifiek moment heb gehad waarop ik mijn roeping “vond”. Ik wilde altijd al iets doen dat met computers en programmeren te maken had. Ik ontdekte Cyber Security in mijn tienerjaren, toen Cyber Security nog niets was vergeleken met wat het nu is, maar er was veel te doen rondom “Free Kevin” (de protestbeweging rondom de veroordeling van Kevin Mitnick als cybercrimineel) en andere hackinglegendes. Ik werd nieuwsgierig en las alles er over wat ik te pakken kon krijgen. Uiteindelijk begon ik mijn carrière binnen IT-operations en programmeerde ik 8 jaar lang in Java.
Op een dag besloot ik de overstap te maken en er was één gebeurtenis die deze verandering teweegbracht. In mijn laatste 3 jaar als ontwikkelaar, werd ik uitgenodigd om het “hoofd” te worden van het java-ontwikkelteam rond 240 java-ontwikkelaars, in een Portugees consulting bedrijf, waar ik verantwoordelijkheden deelde met een andere collega. Ik was verantwoordelijk voor alles wat technisch van aard was, zoals het voorbereiden van frameworks, architecturen en het oplossen van technische problemen zoals security issues.
In een van mijn avonturen werkte ik aan een middleware voor Barclays en een van mijn hardnekkige problemen was de kwaliteit, de veilige code en het gebrek aan senior ontwikkelaars. Ik werd genegeerd, tot op een dag een auditor een manier vond om de Multi Factor Authenticatie te omzeilen. Toen die vergadering eindigde, werd ik apart genomen en kreeg ik te horen “we willen dat dit wordt opgelost, vertel ons wat je nodig hebt!” Ik wist dat het probleem bestond, maar ik werkte aan ongeveer tien projecten tegelijk en ik had geen manier om hier op te focussen en op te lossen.
Na die dag realiseerde ik me dat mijn ervaring een verschil zou kunnen maken, als ik zou overstappen richting Cyber Security. Ik heb me ingeschreven voor de training van Offensive Security Certified Professional (OSCP) en ging ik het nieuwe avontuur aan.
Wat is je grootste uitdaging?
Balans vinden, en dat heeft invloed op veel dingen:
- De juiste balans tussen technisch en niet-technisch om je punt duidelijk te maken.
- De juiste balans in je persoonlijke en professionele leven.
- De juiste balans tussen stoppen met onderzoeken en het daadwerkelijk gaan gebruiken.
- Wanneer is iets goed genoeg, om te publiceren.
Wat zie je als de grootste beveiligingsuitdaging voor organisaties?
Op dit gebied denken we graag in binair ‘veilig’ en ‘onveilig’ en in de loop der tijd hebben we veel strategieën, producten en filosofieën bedacht én verder ontwikkeld. De belangrijkste uitdagingen zijn rondom communicatie. De manier waarop iemand de informatie interpreteert, kan leiden tot veel gevaarlijke keuzes, meestal door onduidelijkheid of gebrek aan kennis. Het is zijn veel voorbeelden te vinden van beveiligingsproblemen waarbij de beschrijving zo vaag is dat je je afvraagt hoe de dreigingscore van dat probleem in het Common Vulnerability Scoring System (CVSS) tot stand is gekomen.
Dan hebben we nog de menselijke factor en het feit dat we allemaal ons werk proberen te doen. Meestal kunnen beperkingen leiden tot problemen met productiviteit of security. Als een externe consultant zijn laptop versleuteld met de ene (software-)oplossing, en hij iets wil delen met een interne medewerker die een andere oplossing heeft, bevinden ze zich in een belachelijke situatie. Een die ik meestal ‘onbruikbare security’ noem; niemand bij zijn volle verstand verwacht dat deze individuen wachten tot iemand met een oplossing komt als ze het in een paar minuten kunnen oplossen door de data gewoon delen via een of andere filesharing-omgeving, met alle ongewenste gevolgen van dien.
Zoals ik het zie, gaan de uitdagingen verder:
- Integratie
Als dingen niet geïntegreerd zijn, zullen er altijd blokkades zijn, zoals die waardoor er een behoefte aan een “alternatieve oplossing” gecreëerd wordt. - Senioren, training & kosten
Dit heeft meestal met elkaar te maken omdat het eerste wat ik zie, wanneer de kosten in aanmerking worden genomen, is dat bezuinigingen op training een direct effect hebben op vaardigheden en het creëren van waarde genererende goede seniore en ervaren medewerkers. - Documentatie
Een gebrek aan duidelijke en objectieve documentatie creëert IT-omgevingen en platformen waar elk onderdeel anders wordt opgezet en beheerd. - Duidelijkheid
De angst voor indringers drijft de zaken tot het uiterste: vaak worden dingen verdoezeld of vaag beschreven uit angst dat ze misschien verkeerd wordt gebruikt. En we weten inmiddels dat dat niet goed werkt. - Populariteit
Van tijd tot tijd komt er een “DING”, en alles waar we naar luisteren en over lezen is het “DING”, je kunt dat vervangen door alles wat AI, SIEM, IDS, IPS is, ons speelveld heeft de neiging om zich te veel te richten op de tooling en niet op het begrijpen van het probleem zelf.
Wat is je levensmotto?
Ik weet niet of ik er een heb, maar ik ben echt koppig. Du ik denk dat ik zou kunnen zeggen “niet opgeven!”.
Wat is je grootste fout
Dat ik me niet realiseerde dat ik eerder in de Cyber Security had kunnen werken.
Wat doe je over 5 jaar?
Ik ben van plan mezelf te blijven verbeteren door nieuwe vaardigheden te verwerven en mijn ervaring met anderen te delen. Ik ben er namelijk achter gekomen dat het delen van kennis ongelooflijk veel voldoening geeft. En ik ben nog nog zeker niet klaar om mijn technische kant te laten vallen.
Dit artikel is eerder verschenen in het Claranet Security Magazine Najaar 2023
Event: Cyber Security Event 2023: NIS2 - Nog één jaar te gaan!
Ons jaarlijkse Event in de oktober Cyber Security-maand staat dit jaar in het teken van “NIS2 – nog één jaar te gaan!”. Op dinsdag 31 oktober geven we de handvatten om je organisatie voor te bereiden en een duidelijk beeld te krijgen wat er moet gebeuren.
Lees meer over het event en meld je aan!
