Pinjan tekninen projektipäällikkö Jesse Ikola on ollut koko työuransa ajan erityisen kiinnostunut tietoturvasta. Parhaillaan hän suorittaa verkkosovellusten penetraatiotestaukseen keskittyvää OSWA-tietoturvasertifikaattia, jolla hän täydentää aiemmin hankkimaansa OSCP-sertifikaattia. Joustavat urapolut Pinjan sisällä ovat mahdollistaneet Jessen matkan koodarista projektipäälliköksi ja nyt yhä vahvemmalla painotuksella tietoturva-asiantuntijan tehtäviä kohti.
Tietoturva on digitaalista yhteiskuntaa rakentavalla Pinjalla liiketoiminnan kovaa ydintä ja koko henkilöstön yhteinen asia. Osaaminen on korkealla tasolla koko henkilöstöllä, mutta joukosta löytyy lisäksi tietoturvasta erityisesti innostuneita ja siihen vihkiytyneitä asiantuntijoita. Yksi heistä on Seinäjoella työskentelevä tekninen projektipäällikkö ja tietoturva-asiantuntija Jesse Ikola.
Pinjan projekteista iso osa koskee nimenomaan webin päälle tehtäviä ratkaisuja, joten web-sovelluksiin keskittyvä OSWA on ollut Jessen mielestä loistava paketti niin sisäistä kuin asiakkaillekin tarjottavaa tietoturvatestaamista ajatellen.
Jessen kiinnostus tietoturvaa kohtaan syttyi jo uran alkuaikoina. Alkuun hän opiskeli lisää aiheesta omalla ajallaan, mutta Pinjan leivissä hän on päässyt hyödyntämään Pinjan koulutuslupausta ja jatkamaan opintoja osana työtään. Jokaisella pinjalaisella on mahdollisuus käyttää 10 päivää vuodessa oman osaamisen ja ammattitaidon kehittämiseen.
- Tietoturva on kiinnostanut minua jo pitkään, ja viime vuosina olen hyödyntänyt tarkoitukseen Pinjan kouluttautumispäiviä. Olen suorittanut jo aiemmin OSCP-tietoturvasertifikaatin, aiemmin tänä vuonna hankin DevSecOps-sertifikaatin ja parhaillaan suoritan vielä OSWA-sertifikaattia, Jesse kertoo. Hän jakaa DevSecOps -tietämystään kirjoittamassaan blogissa, jossa hän antaa tärppejä valmistavan teollisuuden organisaatioiden tietoturvasta huolehtimiseen.
Hyväksi kokonaisuudeksi paketoidut tietoturvasertifikaatit ovat tarjonneet Jessen mukaan paitsi hyvää kertausta jo aiemmin opittuun myös päivitettyä ja syventävää tietoa. Pinjan projekteista iso osa koskee nimenomaan webin päälle tehtäviä ratkaisuja, joten web-sovelluksiin keskittyvä OSWA on ollut Jessen mielestä loistava paketti niin sisäistä kuin asiakkaillekin tarjottavaa tietoturvatestaamista ajatellen. Sertifikaatit ovat asiakkaankin kannalta luotettava tapa varmistua henkilön riittävästä osaamisesta.
- OSWA-sertifikaatti hyödyttää kaikessa testaamisessa, mihin liittyy jokin selaimen yli käytettävä sovellus tai vaikkapa selainsovellusten käyttämä rajapinta. Kurssi on toiminut ensinnäkin hyvänä kertauksena OSCP:ssä opiskeltuihin tekniikoihin, mutta siinä on myös käyty web-tekniikoita läpi paljon syvemmällä tasolla. Asiakkaidemme projekteja ajatellen voisin suositella tätä kokonaisuutta myös kollegoille tai vaikkapa alalle haluavalle henkilölle, Jesse sanoo.
Offensive Securityn eli OffSecin tarjoamat OSCP- ja OSWA-penetraatiotestauskoulutukset on tarkoitettu tietoturvan ammattilaisille. Ne vaativat kovan osaamistason, vahvat istumalihakset ja virkeää ajatustyötä niin koulutusmateriaalin läpikäynnissä kuin lopputentissäkin.
- Tietoturvaa on aika vaikea opettaa pelkästään koulunpenkillä, sillä se on niin monipuolinen sekoitus monta asiaa. Esimerkiksi OSCP-sertifikaatin läpäistäkseen on ymmärrettävä riittävällä tasolla muun muassa Linuxia, tietoverkkoja, koodaamista ja web-sovellusten toimintaa, Jesse kertoo.
On tosi hienoa, että asiaa, joka minua on jo pitkään kiinnostanut ja jota olen omallakin ajalla harrastanut, pääsee tekemään ihan duunikseen.
Jessen mielestä koulutuksissa on kuitenkin tarjottu hyvät ja kattavat taustamateriaalit ja harjoituslabroja, joiden avulla penetraatiotestausta voi harjoitella itsenäisesti. Kurssimateriaaleihin kuuluu toistakymmentä tuntia luettavaa ja videoita, minkä lisäksi Jesse kertoo käyttäneensä useita kymmeniä tunteja harjoituslabrassa.
-Yksi harjoitusalusta, jota voin lämpimästi suositella, on Hack The Box. Siellä saa luvan kanssa asettua hakkerin asemaan ja pyrkiä löytämään haavoittuvuuksia. Harjoitukset on pelillistetty, ja alusta tarjoaa sopivasti pientä kilpailua ja statistiikkaa. Alustalla pääsee liikkeelle ilmaisella tunnuksella, ja varsin edullisesti käyttöönsä saa myös edistyneempiä koulutuspaketteja, Jesse toteaa.
Sekä OSCP- että OSWA-penetraatiotestauskoulutukset päättyvät varsin intensiiviseen loppukokeeseen, jossa on etsittävä 24 tunnin ajassa vähintään 70 % palvelimiin piilotetuista haavoittuvuuksista. Lunttaamisen estämiseksi tenttiin liittyy myös mielenkiintoisia käytännön järjestelyjä, sitä muun muassa valvotaan koko ajan web-kameran kautta.
Itse koetehtävässä laitetaan valkohattu päähän, eli pyritään löytämään palvelimille piilotetut haavoittuvuudet ja murtautumaan sisään palveluihin näitä haavoittuvuuksia hyödyntäen. Kokeen onnistuminen todistetaan kokeen aloittamisesta 48 tunnin sisään palautettavalla raportilla. Raportti noudattelee ammattimaista penetraatiotestausraporttia, jossa todetaan löydökset ja selitetään vaiheittain miten havainnon voi toistaa.
- Onhan se eräänlainen ihmiskoe, kun aikaa on käytössä tasan 24 tuntia, ja sen jälkeen urakasta kirjoitetaan vielä raportti. Haavoittuvuuksien etsiminen on vähän kuin laittaisi hetkeksi kommandopipon päähän ja mustat nahkahanskat käteen, ja pyrkisi murtautumaan sisälle taloon potkimalla etu- ja takaovia, ja ehkä vähän naapurinkin ovea, Jesse vitsailee.
Yksi merkittävä haaste loppukokeessa on Jessen mukaan myös ajankäytön hallinta. 24 tuntia kuulostaa pitkältä ajalta, mutta se kuluu nopeasti, jos jää liian pitkäksi aikaa jumittamaan umpikujiin.
- Käyttöön voisi ottaa vaikka munakellon, joka soi vartin välein. Jos tietty tutkintalinja ei pian etene, kannattaa ehkä siirtää huomio muualle. Kerralla on oltava monta rautaa tulessa. Samalla kun valmistelet myöhemmin tarvittavaa haittaohjelmaa, tulee automatisoitujen skannereiden pyöriä jatkuvasti taustalla. Palvelimille on totta kai jätetty tahallisia rabbit holeja, joiden kanssa saa kulutettua aikaa ihan turhaan, Jesse vinkkaa.
Vaikka tietoturvasertifikaatit vaativat kovaa työtä ja intensiivisen loppurutistuksen, Jesse on käyttänyt mielellään aikaa niiden suorittamiseen. Paitsi että osaaminen vääjäämättä karttuu, tietoturvasertifikaatit myös edistävät Jessen urapolkua hänen toivomaansa suuntaan. Jesse hoitaa parhaillaan muun muassa sisäistä auditointia ja sisäisten tuotteiden penetraatiotestauksia ja on myös mukana vahvistamassa DevSecOps-kulttuuria.
- On tosi hienoa, että asiaa, joka minua on jo pitkään kiinnostanut ja jota olen omallakin ajalla harrastanut, pääsee tekemään ihan duunikseen. Tarkoitus ei ole silti suinkaan hylätä kokonaan projektipäällikön roolia, vaan hyödyntää osaamista molemmilta puolilta. Tavoitteena on yhdistää tehtävänkuvassa sekä asiakaskommunikaatio että tietoturva-asiat, Jesse toteaa.
Jessen urapolku PinjallaMitä valmistavassa teollisuudessa pitää tietää DevSecOps-toimintamallista? Poimi neljä tärppiä omaan organisaatioon
Millaista Microsoft 365 -tietoturvaa saat viitosella, kympillä tai parillakympillä kuussa?
Tietoturva metsäteollisuudessa
Pinja Tech Meetupien päätavoitteena on tiedon jakaminen
IT-ulkoistuspalvelut