Prije nego što dođemo do konkretnih koraka koje ću predstaviti u ovom tekstu, potrebno je postaviti si nekoliko praktičnih pitanja: zašto uopće želim posao u IT-u, a zatim i u kibernetičkoj sigurnosti? Kao i za svaki drugi posao, prvo pitanje glasi: jesam li ovdje iz pravih razloga? Ulazak u IT nije odluka koja se donosi preko noći, a ni posao, nažalost, ne dolazi preko noći.
Mnogi ljudi čuju sjajne priče o ovoj branši i donesu odluku na temelju njih. Najčešće se spominju velika plaća i lagodni uvjeti rada iz udobnosti vlastitog doma. Povedeni takvim pričama, donose nagle odluke, a da se nikada ne zapitaju hoće li taj posao uopće voljeti.
Dio njih plati velik novac za edukaciju i na pola puta shvati da to nije za njih. Drugi izdrže do kraja edukacije isključivo zato što su platili, iako znaju da se tim poslom nikada neće baviti. Edukacija u ovom području mučna je upravo onoj vrsti ljudi koji su se poveli za uglađenim marketinškim pričama, a neki od njih u startu ne znaju ni instalirati program, a kamoli postaviti virtualnu mašinu.
Lako je raditi posao koji ne voliš ako je spor i manje zahtjevan, no s poslom u IT-u i kibernetičkoj sigurnosti to nije slučaj. Kada zapneš na poslu koji je iznimno zahtjevan i kompleksan, a pritom ga ne voliš, to stvara cijeli lanac problema. Posljedice ne trpiš samo ti, nego i ljudi oko tebe.
Kompleksnost ovog posla proizlazi iz toga što tehnologija izrazito brzo napreduje i zahtijeva ogromnu količinu fokusa. Radna okolina obično je ubrzana i prepuna kritičnih sustava koji zahtijevaju visoku razinu dostupnosti, a o njima ovise brojni važni procesi i poslovi. Uz to, radi se s velikom količinom informacija i podataka o kojima ponekad ovise i ljudski životi, pa svaka pogreška može uzrokovati ozbiljne probleme.
Često se mogu pročitati ispovijesti tipa: "Nasjeo sam na reklamu za edukaciju o kibernetičkoj sigurnosti i mislio sam da mogu pobijediti tržište rada, ali nisam." Slijede pitanja poput: je li problem u meni ili u branši, trebam li odustati i kako uopće skupiti iskustvo ako mi nitko ne želi dati priliku? Čitajući takve priče, zaključujem da su osobe koje ih pišu upravo oni ljudi koji u ovo područje nisu ušli iz pravih razloga.
Ako si ovdje iz pravih razloga, u nastavku slijedi brutalna istina o tome kako dobiti prvi posao u IT-u općenito, a primarno u kibernetičkoj sigurnosti. Princip je u oba slučaja potpuno isti. Koraci su uvijek isti.
Kada napokon odlučiš krenuti u ovom smjeru, nije presudno hoće li to biti samostalno učenje, formalna edukacija ili tečaj. Svatko bira pristup koji mu najbolje odgovara. Najvažnije je pritom ostati vjeran sebi.
Moja je preporuka ipak upisati fakultet, prvenstveno zbog tradicionalnog pristupa i strukture. Tečajevi su brzi, često pokrivaju samo općenite stvari i traju vrlo kratko, pa su odlični tek za dodirivanje površine. Fakultet nije nužno bolji, ali nudi strukturu koju tečajevi nemaju.
Fakultet, doduše, oduzima više vremena, ali se time stječe vrlina strpljivosti koja je u ovom poslu prijeko potrebna. Tu je i svojevrsni besplatni dopamin polaganja ispita i rješavanja zadataka, gotovo kao misija u videoigri. Velika količina matematike također je iznimno važna jer potiče mozak na analitički način razmišljanja, a tradicionalna edukacija u konačnici nudi širi i općenitiji pristup.
No, postoji jedna ključna stvar: ako uz sve to ne planiraš učiti i samostalno u slobodno vrijeme, sav trud je uzaludan. U tom slučaju bolje je da se ovim poslom uopće ne baviš. Samostalno učenje nije opcija, nego temelj.
Google je i dalje tvoj najbolji prijatelj, čak i u doba umjetne inteligencije. Zapitaj se: jesam li snalažljiv, volim li pretraživati i istraživati? Ako ti ne smeta kada se jednostavno otklanjanje kvara pretvori u iscrpno višesatno kopanje po dokumentaciji, forumima i logovima, slobodno nastavi čitati dalje.
Postoje razni virtualni događaji preko kojih se mogu dobiti vaučeri za certifikate, a mnogi su od njih i potpuno besplatni. Potrebno je samo malo istražiti. Tu se opet vraćamo na snalažljivost kao temeljnu osobinu.
Razmisli i o svojim navikama kod kuće: rješavaš li sam tehničke probleme, imaš li koju virtualnu mašinu? Koliko si puta sam instalirao operacijski sustav, a koliko si puta srušio vlastito računalo eksperimentirajući? Ako se prepoznaješ u ovome, postoji dobra šansa da ćeš ovu branšu zaista i voljeti.
Postoje mnoge platforme koje nude kvalitetne predloške za životopis, pa nema potrebe izmišljati toplu vodu. Životopis mora stati na jednu stranicu, imati bijelu pozadinu i biti uredan, a ne vizualni cirkus. Format treba biti PDF, a moja je preporuka da životopis bude bez fotografije, što svakako možeš dodatno istražiti i sam.
Sažetost, kratkoća i jednostavnost su pravilo. Koristi formalan i neutralan font, navedi ime i prezime, kratak opis u nekoliko crtica te završeno obrazovanje. Sve što ne doprinosi cilju, izbaci.
Ja u svom životopisu nemam navedene sve poslove koje sam prije radila, jer jednostavno nisu relevantni za branšu. To je na razgovorima ostavilo dojam praznine u karijeri i očekivano je izazvalo pitanja. No kada su mi to pitanje postavili, nisam ga shvatila negativno, već sam ga iskoristila da dam odličan odgovor.
Ljudi se boje takvih pitanja, a upravo se ona psihološki mogu okrenuti u vlastitu korist. Primjer odgovora: odlučila sam prijeći u ovu branšu i nisam navodila poslove koji za nju nisu relevantni, a usput mi je smetalo i što je životopis prelazio na drugu stranicu, što nije bilo estetski. A zašto praznina postoji? Zato što sam se odlučila na zaokret u karijeri i bila dovoljno hrabra krenuti u smjeru koji me zapravo zanima cijeli život.
Nakon životopisa, iznimno je važno i motivacijsko pismo. Kada tražiš prvi posao, tvoje pismo mora biti hrabro i odriješito. Nema mjesta za mlake i generičke formulacije koje poslodavac pročita stotinu puta dnevno.
Ja sam svoja pisma obično počinjala rečenicom: "Ne znam ništa, no zanima me to i to, a u slobodno vrijeme proučavam sljedeće." Sve ostalo što napišeš mora se prije svega temeljiti na iskrenosti. Uvijek treba ostati vjeran sebi, jer pojedincima koji prihvaćaju svoju jedinstvenost vrata su uvijek otvorena.
Budimo realni: prvi posao najvjerojatnije znači raditi za skromnu plaću, narodski rečeno, za crkavicu. Strpi se i prihvati je, jer je to ulaznica u branšu. Ne razmišljaj previše o iznosu na početku, nego uporno radi i skupljaj sate prave prakse.
Budi spreman biti bačen u vatru od prvog dana. Prihvaćaj sve izazove koji ti dođu pod ruku dok ne postaneš siguran u sebe i svoje znanje. To je jedini put prema naprijed.
Kibernetička sigurnost područje je u kojem treba znati jako puno toga, pa je ključno pametno postaviti prioritete. Moj savjet je fokus na osnove računalnih mreža, jer bez toga jednostavno ne možeš dalje. Tu mislim na razumijevanje OSI i TCP/IP modela, razlike između TCP-a i UDP-a te načina na koji paket uopće putuje od točke A do točke B.
Nauči napamet osnovne portove i protokole: 80 i 443 za HTTP i HTTPS, 22 za SSH, 53 za DNS, 25 za SMTP, 3389 za RDP, 445 za SMB. Uz to idu i HTTP statusni kodovi, jer razlika između 200, 301, 403, 404 i 500 govori ti puno o tome što se događa na webu. Dodaj tome i osnovno poznavanje mrežnih uređaja: što radi preklopnik, što usmjerivač, a što vatrozid.
Sljedeći prioritet su operacijski sustavi i osnovno znanje o procesima, primarno Windows procesima, budući da većina poslovnih okruženja radi upravo na Windows platformi. Kako su sami ljudi najveći sigurnosni rizik, a koriste pretežno Windows, važno je poznavati procese koji se lako mogu iskoristiti u svrhe kompromitacije sustava. Trebaš znati prepoznati legitimne sistemske procese poput svchost.exe, lsass.exe ili explorer.exe te razumjeti zašto je sumnjivo kada se takav proces pokreće iz krive putanje ili s čudnim nadređenim procesom.
Tu dolazimo do procesnog lanca: tko je pokrenuo koga, kojim redoslijedom i s kojim argumentima. Kada vidiš da Word pokreće PowerShell, a PowerShell nešto skida s interneta, to je priča koja se mora znati ispričati na razgovoru. Nauči gdje i kako tražiti te informacije, primjerice u Windows event logovima, jer je to kruh svagdašnji svakog analitičara.
Nadalje, trebaš razumjeti što su hashevi i zašto su nam korisni. Algoritmi poput MD5, SHA-1 i SHA-256 koriste se za provjeru integriteta datoteka, identifikaciju zloćudnog koda i pohranu lozinki. Kada na razgovoru znaš objasniti zašto se isti maliciozni uzorak uvijek može prepoznati po hashu i zašto MD5 više nije siguran izbor, već si ispred većine kandidata.
Tu je i OSINT, odnosno prikupljanje informacija iz javno dostupnih izvora. To uključuje sve od naprednih pretraga i javnih registara do alata kojima se provjerava reputacija domena, IP adresa i datoteka. Snalažljivost o kojoj sam pisala ranije ovdje dolazi do punog izražaja.
I za kraj, Linux: neka ti ovaj operacijski sustav bude svakodnevna molitva, jer većina sigurnosnih uređaja i sustava radi upravo na Linuxu ili na sustavima baziranim na njemu. Nauči se kretati po terminalu, čitati logove iz /var/log direktorija, baratati naredbama poput grep, cat, ps i netstat te razumjeti dozvole nad datotekama. Operacijski sustavi su, ponavljam, temelj svega, a iznad svega toga stoji jedno pravilo: budi konzistentan.
Ako te zanima koji predložak za životopis preporučujem ili koju edukaciju smatram da vrijedi, slobodno mi pošalji upit. Rado ću podijeliti konkretne preporuke iz vlastitog iskustva i baci oko na poveznice gdje nudim i svoje tečajeve. Sretno i vidimo se u branši!
Kada se spomene kućni vatrozid, mnogi i dalje zamišljaju uređaj koji samo propušta ili blokira promet između lokalne mreže i interneta. Međutim, moderna rješenja odavno su prerasla tu ulogu.
Današnje vrste vatrozida mogu analizirati aplikacijski promet, provoditi SSL/TLS inspekciju, koristiti podatke iz threat intelligence izvora, prepoznavati poznate obrasce napada i donositi sigurnosne odluke na temelju mnogo više od IP adrese i porta.
Zahvaljujući tome, tehnologije koje su nekada bile rezervirane za poslovna okruženja danas su dostupne i korisnicima koji žele više kontrole nad vlastitom mrežom, bilo da je riječ o učenju, testiranju novih tehnologija ili izgradnji kućnog laba.
Za ovu usporedbu fokusirala sam se na tri rješenja koja se najčešće spominju među mrežnim administratorima i entuzijastima: Sophos Firewall Home Edition, OPNsense i pfSense.
Iako sva tri proizvoda bez problema mogu odraditi osnovne zadaće poput rutiranja, NAT-a, VPN-a i segmentacije mreže, razlike postaju vidljive kada se krene analizirati sigurnosne mogućnosti, integracije, način administracije i ukupnu filozofiju proizvoda.
Sophos Firewall Home Edition temelji se na istoj platformi koja se koristi i u poslovnim okruženjima. Korisnik tako dobiva pristup velikom broju funkcionalnosti koje se inače susreću u znatno skupljim komercijalnim rješenjima.
Uz standardna pravila filtriranja prometa dostupni su IPS, web filtering, application control, SSL/TLS inspekcija, geo-IP filtriranje, zaštita od različitih mrežnih napada te napredni mehanizmi za otkrivanje prijetnji.
Posebno zanimljiv dio platforme predstavlja Extended Threat Feeds. Putem API-ja moguće je povezati vanjske izvore podataka te automatski uvoziti IOC-eve poput zlonamjernih IP adresa, domena ili URL-ova. Na taj način vatrozid može koristiti informacije iz threat intelligence platformi, vlastitih IOC lista ili drugih sigurnosnih sustava i na temelju njih automatski donositi odluke o blokiranju ili označavanju prometa.
Za korisnike koji žele eksperimentirati s automatizacijom, integracijama i modernim pristupom obrani riječ je o vrlo zanimljivoj mogućnosti koja se rijetko viđa u besplatnim kućnim izdanjima.
Ono što mi se posebno sviđa jest činjenica da većina funkcionalnosti dolazi integrirana unutar samog proizvoda. Nema potrebe za instalacijom dodatnih paketa ili povezivanjem više različitih komponenti kako bi se dobile napredne sigurnosne mogućnosti.
Implementacija je relativno jednostavna, administracijsko sučelje pregledno, a velik broj opcija dostupan je odmah nakon instalacije. Upravo zbog toga Sophos ostavlja dojam vrlo zaokruženog rješenja koje uspješno spaja jednostavnost korištenja i napredne sigurnosne mogućnosti.
OPNsense predstavlja nešto drugačiju filozofiju.
Riječ je o open source projektu koji korisniku pruža vrlo veliku razinu fleksibilnosti i kontrole. Umjesto unaprijed definiranog pristupa, administrator sam odlučuje koje će funkcionalnosti koristiti i na koji način će ih implementirati.
Jedna od najvećih prednosti OPNsensea svakako je bogat ekosustav dodataka. Alati poput Suricate, WireGuarda, Zenarmora, HAProxyja i brojnih drugih servisa mogu se integrirati u postojeće okruženje bez većih poteškoća.
Takav pristup omogućuje izgradnju vrlo moćnog sustava prilagođenog konkretnim potrebama korisnika. S druge strane, zahtijeva više vremena za konfiguraciju, održavanje i razumijevanje pojedinih komponenti.
Za administratore koji vole imati potpunu kontrolu nad svakim detaljem infrastrukture upravo je to često najveća prednost OPNsensea.
pfSense je već godinama jedno od najpoznatijih imena kada je riječ o kućnim i manjim poslovnim implementacijama.
Njegova najveća prednost leži u zrelosti platforme, velikoj zajednici korisnika i ogromnoj količini dostupne dokumentacije. Gotovo svaki problem na koji možete naići već je netko ranije dokumentirao ili riješio.
Funkcionalno gledano, pfSense i dalje predstavlja vrlo sposobno rješenje koje može zadovoljiti potrebe većine korisnika. Stabilan je, provjeren i dobro poznat mrežnim administratorima.
Ipak, posljednjih godina dio zajednice okreće se OPNsenseu, prvenstveno zbog otvorenijeg modela razvoja i nešto bržeg uvođenja pojedinih funkcionalnosti.
Prilikom usporedbe sigurnosnih proizvoda često se postavlja pitanje koji je od njih najsigurniji.
U stvarnosti odgovor nije toliko jednostavan.
Sophos je imao nekoliko ozbiljnih ranjivosti koje su omogućavale udaljeno izvršavanje koda i druge oblike kompromitacije sustava. Upravo zbog velike prisutnosti u poslovnim okruženjima takvi propusti često privlače značajnu pažnju sigurnosne zajednice.
S druge strane, i OPNsense i pfSense redovito objavljuju sigurnosne zakrpe za novootkrivene propuste. Sama činjenica da proizvod ima CVE ne govori mnogo o njegovoj kvaliteti. Puno je važnije koliko brzo proizvođač reagira, koliko transparentno komunicira problem i koliko jednostavno korisnici mogu primijeniti dostupne zakrpe.
Vrijedi spomenuti i koncept tehnološke raznolikosti.
Kada se govori o sigurnosnoj arhitekturi, cilj ne mora uvijek biti pronaći jedno savršeno rješenje koje će raditi sve. Ovisno o potrebama i mogućnostima, ponekad ima smisla koristiti više različitih sigurnosnih tehnologija.
Razlog nije samo funkcionalnost nego i smanjenje rizika. Ako se cijela infrastruktura oslanja na jednog proizvođača, ozbiljna ranjivost može imati znatno veći utjecaj nego u okruženju koje koristi različite tehnologije.
Različiti proizvođači koriste različite razvojne timove, različite sigurnosne mehanizme i različite pristupe obrani. Propust koji postoji u jednom proizvodu neće nužno postojati i u drugome.
Iz perspektive napadača homogena infrastruktura često je predvidljivija. Raznolikije okruženje zahtijeva više istraživanja, više prilagodbe i često više resursa za uspješnu kompromitaciju.
Naravno, veći broj tehnologija donosi i dodatnu složenost pa je uvijek potrebno pronaći ravnotežu između sigurnosti i jednostavnosti održavanja.
Sva tri proizvoda imaju svoje mjesto i svoju publiku.
OPNsense će se najviše svidjeti korisnicima koji žele maksimalnu fleksibilnost i otvorenost sustava. pfSense ostaje stabilna i provjerena platforma iza koje stoji velika zajednica korisnika i bogata dokumentacija.
Meni se u ovoj usporedbi najviše istaknuo Sophos Firewall Home Edition. Količina funkcionalnosti dostupnih odmah nakon instalacije, jednostavnost implementacije, integrirane sigurnosne mogućnosti te mogućnost korištenja threat intelligence podataka bez dodatnih alata ostavili su vrlo pozitivan dojam.
Naravno, ovo nije konačna lista tehnologija koje planiram isprobati.
Jedan od razloga zašto uopće imam kućni lab jest mogućnost testiranja različitih tehnologija, usporedbe pristupa različitih proizvođača i stjecanja praktičnog iskustva izvan produkcijskih okruženja.
Zato me zanima i mišljenje šire publike.
Koje bih rješenje trebala sljedeće implementirati u svom kućnom labu? Koristite li neki vatrozid, IDS/IPS sustav, mrežni alat ili sigurnosni proizvod za koji smatrate da zaslužuje više pažnje nego što je trenutno dobiva?
Prijedloge slobodno ostavite u komentarima. Možda upravo jedan od njih postane tema nekog budućeg članka.
Kada se govori o kibernetičkoj sigurnosti, fokus je gotovo uvijek na tehnologiji. Organizacije ulažu značajna sredstva u zaštitne sustave, napredne vatrozide, EDR platforme, sustave za detekciju prijetnji, segmentaciju mreže i višefaktorsku autentikaciju. Provode se sigurnosne procjene, redovito se instaliraju zakrpe i definiraju stroge sigurnosne politike.
Unatoč svemu tome, ponekad je dovoljan samo jedan klik.
Jedna poveznica. Jedna lažna prijava. Jedan privitak otvoren u trenutku nepažnje.
U tom trenutku može se poništiti mjeseci rada sigurnosnih timova i značajna financijska ulaganja u zaštitu sustava.
To ne znači da su sigurnosne tehnologije neučinkovite. Naprotiv. Njihova pravilna implementacija temelj je svake ozbiljne sigurnosne strategije. Problem je u tome što većina sigurnosnih rješenja štiti infrastrukturu, dok napadači vrlo često ciljaju ljude koji tom infrastrukturom upravljaju i koriste je.
Napadači koriste različite metode kako bi došli do cilja. Ponekad iskorištavaju tehničke ranjivosti, ponekad pogrešne konfiguracije, a ponekad pokušavaju prevariti korisnika.
Društveni inženjering je zaseban pristup koji se oslanja na manipulaciju ljudskim odlukama, a ne na tehničke propuste sustava.
U situaciji gdje je tehnička obrana sve jača, fokus se sve više prebacuje na čovjeka.
Zašto ulagati vrijeme u probijanje sustava ako postoji mogućnost da korisnik sam odobri pristup ili preda pristupne podatke.
Zbog toga ljudski faktor postaje ključna ulazna točka napadača.
Česta je pretpostavka da su korisnici neoprezni ili nedovoljno educirani. Takvo objašnjenje pojednostavljuje stvarni problem.
Većina zaposlenika ne dolazi na posao s namjerom da ugrozi organizaciju. Njihov primarni fokus je obavljanje vlastitih zadataka.
Računovođa obrađuje račune. Komercijalist komunicira s klijentima. Voditelj projekta vodi projekte. Nitko od njih nije zaposlen kako bi analizirao tehničke detalje poruka ili provjeravao domene pošiljatelja.
Sigurnosni timovi često zaboravljaju da je sigurnost njihov primarni zadatak, ali nije zadatak većine zaposlenika.
Kada osoba dobije poruku koja izgleda kao zahtjev nadređene osobe, dobavljača ili kolege, odluka se donosi u vrlo kratkom vremenu. Upravo na toj brzini temelji se veliki dio uspješnih napada.
Nakon incidenta često ostaje ista rečenica.
Ali mislio sam da pričam s direktorom.
Mnoge organizacije mogu pokazati evidenciju o sigurnosnim edukacijama. Zaposlenici su odslušali prezentaciju, potvrdili prisutnost i odradili test.
No ključno pitanje ostaje isto. Jesu li nakon toga stvarno spremniji prepoznati napad.
Kvaliteta edukacije ne mjeri se brojem održanih sati, nego promjenom ponašanja u stvarnim situacijama.
Poseban problem pojavljuje se kod phishing simulacija. Umjesto da služe kao realan prikaz stanja, često se pretvaraju u alat za dokazivanje da problem ne postoji.
Ako rezultati nisu dobri, traže se objašnjenja. Ako je broj klikova previsok, simulacija se proglašava nerelevantnom. Ponekad se kampanje prekidaju prije završetka kako bi rezultati izgledali prihvatljivije.
Takav pristup ne povećava sigurnost. On samo stvara privid kontrole.
Organizacija koja ne prihvaća stvarno stanje ne rješava problem. Ona samo odgađa trenutak kada će ga otkriti stvarni napad.
Jedna od najčešćih zabluda u industriji jest očekivanje da je moguće izgraditi sustav koji se ne može kompromitirati.
Takav sustav ne postoji.
Svaka tehnologija ima ograničenja. Svaki proces ima iznimke. Svaki čovjek može pogriješiti.
Zrelost organizacije ne mjeri se time može li izbjeći svaki incident, nego koliko brzo može prepoznati da se incident dogodio i kako reagira u tom trenutku.
Upravo zato sigurnosni alati imaju stvarnu vrijednost.
EDR se ne implementira kako bi sustav bio neprobojan. SIEM se ne uvodi kako bi se eliminirale sve prijetnje. Višefaktorska autentikacija nije jamstvo potpune zaštite.
U kibernetičkoj sigurnosti ne postoji univerzalno rješenje.
Ovi sustavi postoje kako bi organizacija imala bolju vidljivost, kvalitetnije podatke i veću sposobnost reakcije kada dođe do incidenta.
Sigurnost nije stanje. Sigurnost je proces.
Najnapredniji sigurnosni sustav neće samostalno analizirati kontekst incidenta. Neće razumjeti poslovni utjecaj. Neće donijeti odluku.
Tehnologija generira podatke. Ljudi iz tih podataka stvaraju odluke.
Zbog toga je ljudski faktor istovremeno i najveći rizik i najvažniji dio obrane.
Isti korisnik koji može postati ulazna točka kompromitacije može biti i osoba koja prva primijeti sumnjivu aktivnost i reagira na vrijeme.
Kibernetička sigurnost nije borba protiv korisnika. To je proces u kojem se ljudsko ponašanje pokušava usmjeriti tako da postane dio obrambenog mehanizma, a ne njegova slabost.
Tehnologija je nužna. Procesi su nužni. No na kraju svake infrastrukture nalazi se čovjek.
Zbog toga ljudski faktor ostaje jedan od ključnih izazova moderne kibernetičke sigurnosti.
Nedavno sam naišla na program koji daje 100% discount voucher za Microsoft certifikacijske ispite i mislim da bi više ljudi trebalo znati za ovo.
👉 https://skillupwithlevelup.com/courses
Osobno sam završila tri tečaja i dobila dva vouchera — tako da pretpostavljam da je limit dva vouchera po osobi. Birajte tečajeve pametno.
Ovo je stvarno legitimna prilika za dobivanje certifikata bez trošenja novca, pod uvjetom da ste spremni i reagirate na vrijeme.
Jeste li već isprobali ovo? Ostavite komentar — zanima me koje certifikate ljudi planiraju polagati.
📌 Uvijek provjerite preduvjete. Sve expert-level certifikacije zahtijevaju barem jedan associate-level certifikat prije nego ih možete dobiti. Primjerice, za SC-100 (Cybersecurity Architect Expert) prvo morate imati SC-200, SC-300 ili AZ-500. Obavezno provjerite zahtjeve za certifikat koji ciljate prije upisa tečaja.
Wazuh je open-source SIEM i XDR platforma koja omogućuje centralizirano prikupljanje, analizu i korelaciju sigurnosnih događaja s endpoint uređaja, mrežnih uređaja i cloud servisa. Zahvaljujući modularnoj arhitekturi i kombinaciji agent-based i agentless pristupa, idealan je za kućne labove, edukaciju i manje produkcijske okoline.
Postavljanje kućnog SIEM-a odličan je način za razumijevanje stvarnih sigurnosnih procesa: prikupljanje logova, korelacija događaja, detekcija anomalija i incident response. Ovaj vodič prolazi cijeli proces — od pripreme virtualne mašine do ingestanja logova s endpoint uređaja i firewallova.
Za Wazuh server preporučuje se Linux distribucija poput Ubuntu Servera ili Debiana. Minimalna konfiguracija za kućni lab uključuje:
Prema Wazuh dokumentaciji, potrošnja resursa linearno raste s brojem agenata. Svaki agent generira vlastiti volumen događaja uključujući autentikacijske logove, promjene sustava, FIM zapise, procese i mrežnu aktivnost. To znači da CPU, RAM i disk moraju rasti ovisno o broju endpoint uređaja.
Manji kućni lab s nekoliko agenata može raditi na 2–4 GB RAM-a, dok okoline s deset ili više agenata zahtijevaju dodatne resurse kako bi indeksiranje i obrada događaja ostali stabilni.
Nakon kreiranja virtualne mašine u VirtualBoxu, VMwareu ili Proxmoxu, instalirajte operativni sustav i dodijelite statičku IP adresu kako bi Wazuh server bio lako dostupan drugim uređajima.
Wazuh pruža jednostavnu instalacijsku skriptu koja automatski deploya Elasticsearch, Kibanu i Wazuh server. To je najbrža i najstabilnija metoda za kućnu upotrebu.
Na svježoj instalaciji operativnog sustava pokrenite:
curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh
sudo bash wazuh-install.sh -a
Instalacija traje nekoliko minuta.
Nakon završetka, Wazuh dashboard bit će dostupan u pregledniku, najčešće na:
https://IP-adresa:5601
Prijavite se koristeći početne podatke koje generira instalacijska skripta.
Wazuh agenti prikupljaju logove s Windows, Linux i macOS sustava. Na Windowsu se agent instalira putem MSI instalera, dok Linux koristi package manager.
U Wazuh dashboardu otvorite: Agents → Deploy new agent
Odaberite operativni sustav i slijedite upute.
Ključni parametri uključuju:
Nakon instalacije agent se automatski registrira i počinje slati logove uključujući sistemske događaje, autentikacije, promjene datoteka, procese i mrežnu aktivnost.
Wazuh može primati Syslog događaje s bilo kojeg firewalla koji podržava slanje logova na udaljeni Syslog server. Budući da Wazuh uključuje ugrađeni Syslog listener, firewall može slati logove direktno u Wazuh bez dodatnog posredničkog servera.
Kada firewall šalje događaje, Wazuh ih sprema u:
/var/ossec/logs/archives/archives.log
Logovi se spremaju u raw obliku pod agent ID-em 000 jer se radi o agentless izvoru.
Ako se logovi ne pojavljuju, omogućite log archiving u:
ossec.conf
<global>
<alerts_log>yes</alerts_log>
<logall>yes</logall>
<logall_json>yes</logall_json>
</global>Zatim restartajte manager:
sudo systemctl restart wazuh-manager
Ako se logovi pojavljuju u archives.log, ali ne i u dashboardu, Wazuhu je potreban decoder kako bi interpretirao strukturu firewall događaja.
Dodajte decoder u:
/var/ossec/etc/decoders/local_decoder.xmlPrimjer generičkog decodera:
<decoder name="Firewall_Generic">
<type>syslog</type>
<prematch>device_name="</prematch>
</decoder>
<decoder name="Firewall_Generic_child">
<parent>Firewall_Generic</parent>
<regex>device_name="(\S+)" timestamp="([^"]+)" log_type="([^"]+)" src_ip="([^"]+)" dst_ip="([^"]+)" protocol="([^"]+)" src_port=(\d+) dst_port=(\d+)"</regex>
<order>device_name,timestamp,log_type,src_ip,dst_ip,protocol,src_port,dst_port</order>
</decoder>Pravila se dodaju u:
/var/ossec/etc/rules/local_rules.xmlPrimjer:
<group name="custom_firewall">
<rule id="100040" level="3">
<decoded_as>Firewall_Generic</decoded_as>
<description>Firewall Log Event</description>
</rule>
</group>Wazuh uključuje ugrađeni alat za testiranje decodera i pravila. Važno je provjeriti pojavljuju li se sva polja ispravno i triggera li se alert.
Pokrenite:
/var/ossec/bin/wazuh-logtestZalijepite firewall log, primjerice:
device_name="FW" timestamp="2024-01-01T12:00:00+0100" log_type="Firewall" src_ip="1.2.3.4" dst_ip="5.6.7.8" protocol="TCP" src_port=1234 dst_port=443Ako je sve ispravno konfigurirano:
Nakon toga restartajte manager:
sudo systemctl restart wazuh-managerFirewall logovi sada bi se trebali pojaviti u Wazuh dashboardu.
Kućni SIEM nije samo edukacijski projekt — pruža stvarnu vidljivost sigurnosnih događaja unutar vaše mreže. Wazuh je dovoljno moćan za profesionalne okoline, a istovremeno dovoljno pristupačan za kućne labove i učenje.
Kroz ovu seriju obrađivat ćemo dodatne Wazuh konfiguracije i druge sigurnosne proizvode kako bismo izgradili održiv i razumljiv sigurnosni ekosustav.
Sigurnost se ne može kupiti u kutiji. Ipak, mnoge organizacije ponašaju se kao da može. Sigurnosni alati često se prodaju kao instant rješenje, ali bez stručnog upravljanja postaju samo skupi shelfware.
U današnjem cybersecurity okruženju sve je češći fenomen tool sprawla — opsesivna utrka za kupnjom sve više sigurnosnih rješenja uz pretpostavku da količina automatski znači bolju zaštitu.
Vendori prikazuju flashy dashboarde i marketinške kratice, reselleri obećavaju savršenu layered zaštitu, a osobe bez dovoljno tehničkog nadzora odobravaju kupnje bez razumijevanja stvarnog operativnog utjecaja.
Realnost je puno jednostavnija: bez pravilne integracije, stručnjaka, upravljanja i strategije, više alata vrlo često znači manje sigurnosti.
Svaki sigurnosni alat donosi dodatne agente, pravila, logove i alertove. Kada se to pomnoži s desecima sustava, organizacije često dobivaju kaos umjesto vidljivosti.
Mnogi alati imaju preklapajuće funkcionalnosti, međusobno se sukobljavaju ili rade potpuno izolirano bez dijeljenja konteksta.
U nekim okruženjima alati doslovno smetaju jedni drugima. Firewall blokira legitiman promet označen drugim sustavom, DLP kolidira s backup rješenjima, a SIEM ne može korelirati događaje zbog nekompatibilnih formata.
Rezultat su smanjena vidljivost, propušteni alertovi, sporiji incident response, frustrirani timovi i ponekad opasan lažni osjećaj sigurnosti.
Sigurnosni vendori često koriste fear, uncertainty i doubt pristup kako bi potaknuli kupnju. Statistike breach incidenta i skupi “silver bullet” proizvodi koriste se za stvaranje dojma da nova kupnja automatski znači bolju zaštitu.
Takav model prodaje funkcionira jer mnogim organizacijama nedostaje snažno tehničko vodstvo i pouzdani sigurnosni savjetnici koji mogu procijeniti jesu li alati zaista potrebni i održivi.
Nije rijetkost da kompanije potroše stotine tisuća eura na proizvode koji ostanu neiskorišteni ili samo djelomično implementirani.
Cybersecurity funkcionira kao lanac u kojem svaki dio mora komunicirati i podržavati ostale. Ako je jedan dio loše konfiguriran ili nepovezan, cijeli lanac slabi.
Više alata znači više integracija, više održavanja, više patchiranja i više prilika za pogrešnu konfiguraciju.
Umjesto koordinirane obrane, mnoge organizacije stvaraju fragmentirana i bučna okruženja u kojima napadači iskorištavaju praznine između nepovezanih sustava.
Još jedan često zanemaren element je krajnji korisnik. Sigurnost postoji kako bi zaštitila ljude, ali mnoge strategije potpuno zanemaruju usability.
Ako su alati invazivni, zbunjujući ili loše objašnjeni, korisnici će ih s vremenom zaobilaziti, gasiti ili nenamjerno stvarati dodatni rizik.
Sigurnosni alati su skupi iz legitimnih razloga uključujući razvoj, održavanje i podršku. Vendori imaju pravo na profit, ali profit ne bi smio biti važniji od odgovornosti.
Sigurnost bi se trebala fokusirati na edukaciju, realnu procjenu rizika i usklađivanje tehnologije, procesa i ljudi.
Pouzdani savjetnici — bilo interni security arhitekti ili vanjski konzultanti — imaju ključnu ulogu u procjeni stvarnih potreba organizacije i sprječavanju nepotrebne kompleksnosti.
Prije kupnje novog “silver bullet” rješenja, organizacije bi prvo trebale unaprijediti osnove:
Većina incidenata događa se zbog izloženih sustava, ukradenih credentialsa ili pogrešnih konfiguracija — ne zato što nedostaje najnoviji alat.
Sigurnost počinje higijenom, a ne hypeom.
Sigurnost nije gomilanje alata. Radi se o tome da tehnologija funkcionira zajedno kroz strategiju, stručnost i operativnu disciplinu.
Cyber obrana nije shopping lista. Više alata ne znači automatski bolju zaštitu. Ponekad samo znači više konfuzije, troškova i ranjivosti.
Organizacije bi trebale promijeniti način razmišljanja — s beskonačne potrošnje prema integraciji, hardeningu i održivosti. Tu zapravo počinje prava sigurnost.