Cloud Village op DEF CON
Opdrachtgever Secura was zo blij met deze oplossing, dat begeleiders Roy Stultiens en Ricardo Sanchez voorstelden het project in te dienen bij een aantal hacker- en security events. De oplossing van Siebren heeft namelijk een grote impact, stelt Stultiens, Security Specialist bij Secura: "Het eindproduct biedt wereldwijd meerwaarde aan de cloud securityscene. Onder het motto 'Wie niet waagt wie niet wint' hebben wij een inzending gedaan en wij zijn enorm blij en trots dat wij geaccepteerd worden bij de grootste ter wereld!"
Siebren droomde tot een paar dagen terug om DEF CON als bezoeker bij te wonen: "Ik zat met vrienden en keek casual op mijn telefoon en zag toen het bericht. DEF CON is hét event in mijn vakgebied en nu sta ik plots als spreker op het zaterdagprogramma van Cloud Village, wat binnen DEF CON het podium is over cloud security. Het is heel onwerkelijk, ook om nu alles snel te regelen voor de reis naar de Verenigde Staten."
Security experts trainen
Cybersecurity is een specialisme in de ICT, waar ontzettend veel in gebeurt. Experts moeten continu bijleren en dat kan op twee manieren volgens Siebren: "Je kan theoretisch leren, door veel te lezen en certificaten te halen, maar ook praktisch. Dat doe je met trainingen en bijvoorbeeld Capture The Flag events, waarbij jij een (gesimuleerde) digitale omgeving moet binnendringen of die beveiligen. Dat kan je zien als een game-vorm en voor de Microsoft Azure Cloud-omgeving heb ik die ontwikkeld." Dat was hard nodig, want security professionals konden tot dusver enkel theoretisch informatie krijgen.
Alles in de cloud
Secura is een bekende naam in cybersecurity, als expert in audits en penetratietests van applicaties, netwerken en systemen; kortom: testen hoe veilig alles is. Nu steeds meer in de Cloud gewerkt wordt, komen daar nieuwe risico's bij, legt Siebren uit: "Vroeger hadden organisaties hun netwerken op een eigen, fysieke omgeving staan, maar nu stappen ze over naar Cloud-omgevingen van grote partijen zoals Amazon en Microsoft. Dat is schaalbaarder en makkelijker op te zetten, maar dat vereist een andere expertise dan die van de oude beheerders en foute configuratie zorgt voor veel veiligheidsrisico's." CTO Ralph Moonen is zeer lovend over het werk van Siebren en wil graag de tool goed benutten: “Voor Secura is het werk van Siebren erg belangrijk, en we zijn erg trots dat hij zijn werk op DEF CON mag presenteren. Ik hoop dat we het tool in de toekomst verder kunnen doorontwikkelen.”
Kennis gratis toegankelijk maken
Secura gaat de tool vooral intern gebruiken en als uitdaging voor recruitment. Daarnaast blijft de Azure-trainingsomgeving publiek toegankelijk, en dat vindt Siebren erg belangrijk: "In cybersecurity moet je snel kunnen leren, je kunt niet elke keer betalen voor het volgende certificaat. Met deze omgeving kan iedereen leren, ook als je er niet uitkomt kun je om hints vragen." Zelf startte Siebren met programmeren toen hij 9 of 10 jaar oud was en bleef dat tijdens opleidingen aan het VMBO en MBO doen, tot hij bij Fontys Hogeschool ICT met cybersecurity aan de gang kon: "Ik was afhankelijk van kennis die gratis aangeboden werd, bijvoorbeeld op YouTube, fora, etcetera. Ik snap dat er aan opleiding een prijskaartje kan hangen, maar kennis moet gratis toegankelijk zijn. Was dat niet zo, dan had ik niet kunnen leren wat ik nu kan."
Siebren Kraak gaat de komende maanden als vakantiekracht werken bij Secura. Hij studeerde inmiddels af aan zijn opleiding bij Fontys Hogeschool ICT en start in september met zijn pre-master Cyber Security aan de Radboud Universiteit. DEF CON 30 vindt plaats in Las Vegas, Nevada van 11 t/m 14 augustus. Siebren en zijn collega’s van Secura BV spreken tijdens het onderdeel Cloud Village op zaterdag. DEF CON trekt meer dan 30.000 bezoekers van over de hele wereld.
Auteur: Guido Segers