Wstęp
Dzisiejszym gościem wywiadu będzie Jakub Kulikowski. Jakub zajmuje się bezpieczeństwem chmury. Podobnie jak nasz poprzedni gość Jakub również posiada blog, w którym pisze o rozwiązaniach bezpieczeństwa chmury Mcrosoft. Zapraszam Cię na jego blog, na którym znajdziesz masę cennych informacji — jakubkulikowski.pl
Pytanie: Cześć Kuba powiedz nam, skąd wzięła się twoja pasja do Bezpieczeństwa ?
ODP. Jakub.K:
Dobre pytanie, z jakiegoś powodu od zawsze intrygował mnie temat „hakowania”, dostając w prezencie swojego pierwszego laptopa od razu zacząłem szukać informacji w Internecie na temat tego, jak można to robić. W tamtym momencie, miałem może z 10-11 lat, moja wiedza na temat komputerów była bardzo znikoma, a wiedza w Internecie nie była w żadnym razie tak powszechnie dostępna jak teraz, więc próby spełzły na niczym. Być może szczęśliwie, bo mógłbym nieświadomie zejść na złą drogą i naruszyć prawo.
Nie mając jeszcze skończonych 17 lat zacząłem pracować w sporcie jako statystyk/analityk, co pozwoliło poznać proste aspekty związane z automatyzacją pracy czy tworzeniem dynamicznych arkuszy w specjalistycznych programach. To pchnęło mnie do decyzji pójścia na studia informatyczne. Początkowo, idąc za modą, kierunkowałem się w stronę programisty, jednak szybko okazało się, że samo programowanie nie do końca mnie kręci. Chodząc na branżowe konferencje czy oglądając nagrania z wystąpień na YouTube okazało się, że tematyka bezpieczeństwa interesuje mnie zdecydowanie najbardziej. Niedługo potem usłyszałem o sukcesach polskich drużyn w turniejach CTF-owych, co zaintrygowało mnie do tego stopnia, że wyszukałem zawody/zadania dla początkujących i zacząłem dotykać aspektów bezpieczeństwa od strony praktycznej. Wciągnęło mnie to na tyle, że poświęcałem temu niemal każdą wolną chwilę, a pasja i zamiłowanie do cybersecurity zostało ze mną do dziś.
Pytanie: Powiedz dlaczego spośród tak dużej ilości możliwości różnych specjalizacji wybrałeś właśnie bezpieczeństwo, a do tego skupiłeś się na chmurze ?
ODP. Jakub.K:
Po części odpowiedziałem na to w poprzednim pytaniu. Wybór specjalizacji bezpieczeństwa, podczas gdy stało się ono moją pasją, był zupełnie naturalny. Początkowo nie wiedziałem jeszcze, że będę podążał właśnie w kierunku chmury obliczeniowej.
Wiedzę na temat chmury obliczeniowej w dużej mierze zawdzięczam studiom. Miałem to szczęście, że nie byłem uczony przez kadrę teoretyków starszego pokolenia (mam nadzieję, że nie zostanie to odebrane negatywnie, bo nie taka była moja intencja), a przez praktyków, którzy na co dzień pracują z rozwiązaniami chmurowymi Microsoft, a dodatkowo szkolą czy pracują na uczelni, przekazując tę wiedzę innym. Znając rozwiązania chmurowe Microsoft oraz szeroko rozumiane aspekty bezpieczeństwa trafiłem do pierwszej pracy, w której min. miałem okazję pracować z tymi narzędziami w praktyce.
Wiedząc już mniej więcej co lubię robić doszła do tego chłodna kalkulacja – chmura bardzo dynamicznie rośnie w siłę i można śmiało stwierdzić, że jest przyszłością, a zapotrzebowanie na specjalistów ciągle rośnie. Osoby wchodzące w branże bezpieczeństwa, podobnie jak ja na samym początku, myślą w dużej większości o pracy pentestera lub innej, związanej z ofensywną stroną tej specjalizacji. Z mojej perspektywy specjalistów od Blue Team jest zdecydowanie mniej, często to administratorzy posiadający wiedzę z bezpieczeństwa lub osoby zmieniające specjalizację. Postanowiłem więc, że spróbuję wypełnić tą lukę na stanowisku Juniorskim i w ten sposób od samego początku „wbić się” w branżę bezpieczeństwa.
Pytanie: Chciałbym również się poznać historie twojej kariery – Gdzie teraz jesteś, co musiałeś zrobić, by znaleźć się w tym miejscu, ile czasu ci to zajęło i ile wysiłku w to włożyłeś?
ODP. Jakub.K:
W dużym skrócie, żeby za bardzo się nie powtarzać – zacząłem swoją przygodę z IT w KPMG pracując w dziale bezpieczeństwa. Jeszcze w trakcie pracy w KPMG zacząłem pracować u jednego z Partnerów Microsoft – CBSG, z ramienia którego wykładałem na uczelni, którą kończyłem. W międzyczasie odezwał się do mnie Microsoft z propozycją pracy na moim obecnym stanowisku, na którym odpowiadam za Microsoft 365 oraz chmurowe rozwiązania bezpieczeństwa.
Odpowiadając na to, co musiałem zrobić, żeby znaleźć się w tym miejscu – nie bez znaczenia będzie wspomnienie o tym, co robiłem poza pracą zawodową. Spędziłem mnóstwo godzin na CTF-ach, nauce pisania skryptów, które pozwalały na automatyzację wykonywania tych zadań, labach, które samodzielnie tworzyłem na maszynach wirtualnych w Hyper-V czy środowiskach testowych w chmurze, testując głównie administracyjno-blue teamowe scenariusze, czy przede wszystkim pisząc Bloga, na którym każdy z artykułów zmuszał mnie do jeszcze dokładniejszego zgłębienia danego tematu. Można by powiedzieć, że spędziłem masę czasu i włożyłem dużo ciężkiej pracy po godzinach, żeby, być tu gdzie jestem, ale nie do końca się z tym zgadzam. Ciężko mi osobiście nazwać ciężką pracą coś, co z przyjemnością robiłem i robię po godzinach.
Nie bez znaczenia były również dobrze wybrane (choć nie ma co ukrywać – przypadkowo) studia, które dały mi masę praktycznej wiedzy, z której korzystam do dziś, ale także bardzo szerokie spojrzenie na różne aspekty IT, których prawdopodobnie sam nigdy bym nie dotknął, a dzisiaj znam przynajmniej punkty zaczepienia i wiem, co wrzucić w wyszukiwarkę.
W sumie zawodowo zajmuję się mniej lub bardziej bezpieczeństwem od 2,5 roku, choć licząc czas nauki, praktyki, CTF-ów itd. powinniśmy dodać do tego przynajmniej +2 lata.
Pytanie: Dlaczego wybrałeś właśnie chmurę Microsoftu ?
ODP. Jakub.K:
Nie ma tutaj żadnej dużej filozofii – czysto przypadkowo. Jak wspominałem, specjalizacja chmury obliczeniowej na moich studiach prowadzona była przez jednego z Partnerów Microsoft, więc siłą rzeczy poznawaliśmy właśnie te rozwiązania. Z uwagi na to, że rozwiązania MS, czy to chmurowe, czy on-premowe są powszechnie wykorzystywane, a poznając je miałem również okazję sprawdzić ich jakość i uwierzyć w ich skuteczność, nie czułem potrzeby przerzucania się na rozwiązania chmurowe innych dostawców.
Pytanie: Czy uważasz, że inni dostawcy chmury mogą równać się względem bezpieczeństwa z Microsoftem?
ODP. Jakub.K:
Z pewnością tak, ponieważ każdy duży dostawca usług chmurowych zdaje sobie sprawę z tego, jak krytyczne jest zapewnienie odpowiedniego poziomu bezpieczeństwa dla Klientów – czy to przez samego dostawcę, czy to wyposażając Klientów w odpowiednie narzędzia, które pozwolą im zadbać o ich część odpowiedzialności, choć nie czuję się kompetentny do rzetelnego, szczegółowego porównania tych rozwiązań. O ile dobrze znam rozwiązania oferowane przez Microsoft, o tyle w aspekcie rozwiązań innych dużych dostawców, jestem wyłącznie teoretykiem, bez rozbudowanej wiedzy na ich temat.
Faktem jest, że Microsoft i jego rozwiązania są liderem w wielu obszarach, np. zarządzaniu i zabezpieczaniu urządzeń końcowych potwierdzają niezależne zestawienia, np. kwadranty Garthnera. Nie oznacza to jednak, że Microsoft jest niekwestionowanym liderem w absolutnie wszystkich aspektach.
Pytanie: Jakim twoim zdaniem najlepszy feature w MS pod względem bezpieczeństwa?
ODP. Jakub.K:
Bardzo ciężko wskazać tylko jedno rozwiązanie, bo portfolio usług bezpieczeństwa Microsoft jest bardzo rozbudowane. Zastosowanie i skuteczność tych rozwiązań zależą wyłącznie od potrzeb danej firmy i ich obecnego środowiska.
Zamiast mówić o „najlepszym” pozwolę sobie może odpowiedzieć na to pytanie w kontekście mojego „ulubionego” rozwiązania (choć tutaj też wybór nie jest łatwy). Wskazałbym wtedy zestaw narzędzi zapewniających bezpieczeństwo urządzeń końcowych – Microsoft Endpoint Manager + Defender for Business/Endpoint. Pozwalają absolutnie kompleksowo zabezpieczać urządzenia końcowe, od aspektów konfiguracyjnych, po ich monitoring i wykrywanie oraz reagowania na pojawiające się tam zdarzenia. Narzędzia często pokazywane jako najlepsze w tej klasie, choćby we wspomnianych kwadrantach Gartnera, których jestem ogromnym fanem.
Pytanie: Jak myślisz, w którą stronę pójdą firmy czy dalej będą chciały się rozwijać w chmurze, czy będą wracać do on-prema? Ponieważ ze statystyk, które ostatnio słyszałem duże korporacje wracają z chmury do on-prem przy wygrzanych aplikacjach itd.
ODP. Jakub.K:
Chmura z jednej strony jest dla każdego, z drugiej – nie jest najlepszym rozwiązaniem w każdym przypadku. Czy duże korporacje zawracają z chmury do on-prem? Musiałbym zobaczyć takie dane, ponieważ nie obserwuję takiego ruchu. Specyfika dużych firm jest taka, że najczęściej i tak funkcjonują one w modelu hybrydowym, a nie migrują się w całości do chmury. To zapewnia im elastyczność i możliwość dostosowania się do różnych scenariuszy. Z pewnością starsze technologie czy dane objęte szczególnymi regulacjami prawnymi dalej będą utrzymywane w środowiskach on-prem, które tym samym będą też musiały być modernizowane czy rozwijane, ale ciężko mi uwierzyć, że znacząca liczba dużych firm całkowicie zrezygnuje z benefitów, które daje im chmura i wróci do środowisk domenowych/lokalnych.
Pytanie: Czy jako doświadczona osoba w tych tematach uważasz, że w firmach, których jest chmura, jest ona odpowiednio zabezpieczona ?
ODP. Jakub.K:
To zależy. Pamiętajmy, że za bezpieczeństwo danych w chmurze odpowiada zarówno dostawca usług chmurowych, jak i Klient, w zależności od wybranego modelu usług chmurowych, w różnym stopniu. Jeżeli chodzi o część, za którą odpowiada dostawca – byłbym bardzo spokojny, dużo bardziej niż utrzymując serwerownie we własnej firmie. Bezpieczeństwo jest dla dostawców priorytetem, pozwalają sobie oni na inwestycje w nie czy utrzymywanie specjalistów na ogromną skalę. W przypadku Microsoft oficjalnie wiemy, że na przestrzeni 5 lat zainwestowane zostanie 20 mld $ w cyberbezpieczeństwo. Do tego dochodzą tysiące ludzi pracujących 24/7 na SOC-u i monitorujących środowiska. To skala, na którą pozwolić mogą sobie tylko najwięksi. Warto więc odpowiedzieć sobie na pytanie – czy bezpieczniejsze będzie środowisko, w które zostały włożone tak duże inwestycje, czy serwerownia np. w kilkudziesięcioosobowej, czy kilkusetosobowej firmie, posiadającej z reguły góra kilkuosobowy dział bezpieczeństwa, albo czasem nieposiadająca go wcale.
Żeby jednak nie było tak różowo – mamy jeszcze część, za która odpowiedzialny jest Klient. W przypadku chmury wszystkie usługi są dostępne z poziomu Internetu, więc automatycznie liczba zagrożeń mocno wzrasta. Dostawcy oferują wysokiej klasy rozwiązania bezpieczeństwa, dzięki którym Klient może skutecznie zadbać o bezpieczeństwo swojego środowiska, ale nie możemy tutaj generalizować – wiele firm wykorzystuje tylko podstawowe zabezpieczenia znajdujące się w cenie oferowanych usług, będąc jednocześnie bardziej podatnym na zagrożenia. W tym przypadku w żadnym razie nie można jednoznacznie stwierdzić, że chmura jest odpowiednio zabezpieczona, choć i tak uważam, że nie będzie to niższy poziom, niż adekwatne podejście do implementacji rozwiązań bezpieczeństwa w środowiskach on-premises.
Pytanie: Co byś powiedział szefowi takiej firmy czy lepiej wziąć konsultanta by wprowadził coś adhoc jak trzeba, czy lepiej mieć cały czas jakiegoś architekta od chmury w firmie ?
ODP. Jakub.K:
Odpowiedź jest chyba oczywista – lepiej mieć kogoś na stałe, niekoniecznie architekta, ale przynajmniej kogoś, kto będzie w stanie monitorować środowisko i zareagować na potencjalne zagrożenia w odpowiedni sposób. Wdrożenie takich rozwiązań to jedno, a utrzymywanie ich to zupełnie inna kwestia. Jeżeli mielibyśmy mówić o korzystaniu usług z konsultanta ad-hoc, to ja raczej widzę je wyłącznie w scenariuszy, gdy mamy już swój zespół, ale nie potrafi on poradzić sobie z danym zadaniem i potrzebujemy podpowiedzi doświadczonego specjalisty.
Jeżeli z jakiegoś powodu naprawdę nie mamy możliwości utrzymywania na pokładzie specjalistów w tej dziedzinie – warto rozważyć wykorzystanie outsourcingu. Wiele firm realizuje kompleksowo opiekę informatyczną – od wdrożenia usług po ich bieżący monitoring i wsparcie.
Pytanie: Czy masz jakąś rade dla osób, które chcą się nauczyć bezpieczeństwa chmury MS, by zrobić to szybciej, sprawniej?
ODP. Jakub.K:
Rozpoczynając naukę często największym problemem jest określenie ścieżki czy zidentyfikowanie obszarów, których musimy się nauczyć. W moim przypadku sprawdzają się tutaj certyfikaty – dają nam one gotową listę wytycznych, które musimy umieć, aby taki certyfikat zdobyć, a jednocześnie posiadają często całą, ułożoną ścieżkę szkoleniową. Microsoft ma sporo certyfikatów do wyboru, więc na pewno znajdziemy tam taki, który odpowiada naszej specjalizacji, choć zanim sięgniemy to specjalistyczny certyfikat, warto zapoznać się najbardziej podstawowymi certyfikatami na poziomie Fundamentals. W kontekście bezpieczeństwa szczególnie polecam SC-900, ale także MS-900 oraz AZ-900 jako uzupełnienie wiedzy. Mając tak solidne podstawy możemy spokojnie zabierać się za zgłębianie bardziej zaawansowanych aspektów, adekwatnych do naszej specjalizacji.
Naturalnie poza przygotowanymi ścieżkami learningowymi warto dokładniej poznać dane zagadnienie, przede wszystkim od strony praktycznej. Założenie darmowej, testowej subskrypcji w Azure nie jest problemem, podobnie jak uruchomienie triala licencji M365 do celów edukacyjnych. Możemy wtedy nie tylko wyuczyć się teorii, ale też zrozumieć omawiane aspekty od strony praktycznej.
Mówiąc ogólnie o sposobie nauki – dorzuciłbym jeszcze zachętę do opisywania tego, czego się nauczyliśmy. Może to być forma Bloga (co z pewnością zbuduje Wasz wizerunek w oczach pracodawcy), ale może to też być dowolna inna forma, która zmusi Was do wejścia w rolę osoby przekazującej wiedzę. Nie trzeba być tutaj ekspertem, zawsze znajdą się osoby, które będą wiedziały mniej od Was. Sama jednak potrzeba wytłumaczenia czegoś innej osobie, np. we wspomnianej formie pisemnej, to niesamowicie rozwijające doświadczenie. Opowiadając na swoim przykładzie – opisywałem na swoim Blogu czynności czy sposoby konfiguracji, które wyklikiwałem dziesiątki razy i znałem dosłownie na pamięć. Potrzeba stworzenia artykułu pokazała mi, że po drodze są jeszcze inne opcje, które nigdy nie były mi potrzebne – ale odbiorca artykułu powinien rozumieć, dlaczego wybieramy akurat tą, a nie inną opcję. Okazało się, że mimo pozornej biegłości w konfiguracji danego narzędzia spędziłem kilka godzin w dokumentacji oraz na labach testując inne możliwe scenariusze, aby finalnie zawrzeć je w artykule! Bardzo rozwijające doświadczenie, które polecam absolutnie każdemu.
Podsumowanie
Jakuba zapytałem wiele ciekawych pytań z mojej perspektywy. Jeśli chciałbyś przeczytać, z kimś konkretnym wywiad napisz do mnie przez kontakt, newslettera czy maila. Wywiad uważam za udany ponieważ Kuba odpowiedział na wiele ciekawych pytań związanych z chmurą. Opowiedział nam też jak rozpocząć naukę o bezpieczeństwie. I Kuba tak jak ja zachęca was do dzielenia się wiedzą na blogach czy to stworzenie własnego, czy na pisaniu na takim jak mój kuby, czy kogoś innego. Dzielmy się wiedzą. Moim zdaniem jest to bardzo cenny wywiad na moim blogu i może otworzy to trochę ścieżkę na nowe doświadczenia w chmurze.
Prezent od Jakuba
Jakub również przygotował prezent z materiałami edukacyjnymi chmury Microsoft.
