Sist Sanna ble stressa, var da hun innså omfanget av Log4j-hullet

- Sikkerhet er noe vi alle kan bli flinkere på, sier Ukas Koder Sanna Diana Tomren i Accenture.

Sanna Diana Tomren er "Technology Security Specialist" og "Cloud Security Lead" i Accenture. Da blir man rimelig stressa når et digert hull i et Java-bibliotek mange bruker dukker opp. 📸: Accenture
Sanna Diana Tomren er "Technology Security Specialist" og "Cloud Security Lead" i Accenture. Da blir man rimelig stressa når et digert hull i et Java-bibliotek mange bruker dukker opp. 📸: Accenture Vis mer

Hvordan ble du utvikler? 📚

Jeg ble ikke utvikler, men utvikling er en mindre del av det jeg til daglig jobber med.

Kodeinteressene startet allerede på ungdomskolen, hvor jeg hadde arbeidsuke hos en av de større bilforhandlerne og jeg fikk anledning til å jobbe i deres logistikk- og delelagersystem. Fasinasjonen av kompleksiteten i oppgaver logistikksystemet håndterte var av en helt annen verden, enn av hva jeg kunne forestille meg en eller flere mennesker kunne ha klart å prestere alene eller i team. Likevel så var det vel personer som sto bak skapelsen av disse programvarene - hvem var i så fall disse menneskene og hvordan klarer de det?

Jeg ble likevel værende i bilbransjen i 10 år, ut ungdomskolen og videregående. I årene fra bilbransjen fikk jeg erfare elbil-revolusjonen, hvor software og hardware sammen plutselig spilte en større rolle enn tidligere. Dermed ble det rett på skolebenken igjen for en bachelorgrad i informasjonsteknologi. Nysgjerrigheten tok overhånd og jeg ønsket en bedre og mer effektiv forståelse for hvordan mennesker får til å bygge både superkompelekse logistikksystemer og revolusjonere bilbransjen med programvarer og hardware.

Hjemmekontoret til Sanna Diana Tomren. 📸: Privat
Hjemmekontoret til Sanna Diana Tomren. 📸: Privat Vis mer

Under informasjonsteknologi-studiet begynte jeg å programmere Java og JavaScript, vi startet også en studentforening som fokuserte på C-programmering, IIoT/IoT, ML & AI, Software og Hardware. Kunnskapen fra fagene, studentforeningens prosjekter, kombinert med å ha vært noen år også på gulvet i bilbransjen, begynte jeg å kunne danne et bedre bilde på hvordan de som står bak de komplekse logistikksystemer og elektriske bilene muligens har startet for å skape slike programvarer og produkter.

Interessen for sikkerhet kom ikke inn i bildet før jeg startet å jobbe i det tyske softwareselskapet SAP og Hydro ble hacket.

I arbeidslivet og under studiet har jeg vært så heldig å få omgås med talentfulle mekanikere, teknikere, selgere, programmerer, forelesere og ledere. De har delt av sin kunnskap, investert i min kompetanseheving og tatt meg inn i varmen, derfor har jeg kommet meg dit jeg er i dag.

«Interessen for sikkerhet kom ikke inn i bildet før jeg startet å jobbe i det tyske softwareselskapet SAP og Hydro ble hacket.»

Hva jobber du med for tida? 💪

Til daglig jobber jeg med Microsoft Security-porteføljen. Jeg sitter hos kunder i Sverige, Danmark og Norge.

I et av prosjektene jeg jobber i nå, har jeg ansvaret for utviklingen og driften av kundens sitt Security Information and Event Management (SIEM)-system i sky, som går under navnet Micrsoft Sentinel. Mye av implementasjonen i Microsoft Azure automatiseres og leveres i Azure DevOps ved bruk av Azure Resource Manager (ARM) templates. Jeg skriver selv endel Kusto Query Language (KQL) når det kommer til utviklingen av LogicApps for integrasjon og eller automasjon.

Kusto blir også benyttet når jeg skal fine-tune og eller bygge sikkerhetsalarmer fra bunnen av.

Kollegaen til Sanna Diana Tomren på hjemmekontoret. 📸: Privat
Kollegaen til Sanna Diana Tomren på hjemmekontoret. 📸: Privat Vis mer

Nå som Log4Shell ble kjent har det vært nødvendig å korrelere flere logkilder for å kunne flagge mulig aktivitet og samle en oversikt over sårbare ressurser. Dermed har fokuset også vært endel innen Defender for Cloud, for å få oversikt over hvilken av ressursene kundene har på tvers av sitt hybride/multisky miljø som kan være eksponert for Log4Shell.

Det andre prosjektet har endel arbeid gått med på å få på plass Veracode, et statisk og dynamisk kildekodeanalyse SaaS-verktøy, som skal integreres som endel av CI/CD pipelines. Dette for å kunne støtte kundens DevSecOps arbeidsprosessen. Her har det også vært jobbet endel med en ZeroTrust-tilnærming.

I det tredje prosjektet støtter jeg CISO i utrulling av antivirus, brannmurer og Extended Endpoint Detection and Response (XEDR)-verktøy, som baserer seg på Microsoft Defender porteføljen.

Hvordan ser en typisk arbeidsdag ut for deg? ☕

Hjemmekontor fra 08.00 - 16.00, deltar på de teams møtene som er viktigst og jobber ut fra agile metoder.

Hva er ditt beste tips til et verktøy andre burde begynne å bruke? 🔨

Det er gøy å sikkerhetsteste eller hacke noe en selv eller andre har utviklet. Bare husk å gjør dette i veldig kontrollerte former, så du ikke blir straffeforfulgt.

Som verktøy for å luke ut og teste for sårbarheter som kan utnyttes, er Burpsuite et godt alternativ.

Med dette verktøyet kan du gjennomføre manuell penetrasjonstesting av systemet du ønsker å bryte deg inn i, og du kan automatisere mer avanserte og spesialiserte angrep, samt automatisere skanning for sårbarheter i systemet.

Hva har du lyst til å lære mer om framover? 🦉

Det blir absolutt å ta opp igjen penetrasjonstesting, men å gå dypere inn mot web, fremfor mobilapplikasjon. Lære meg nye teknikker, taktikker, metoder og verktøy, samt sette meg bedre inn i MITRE ATT&CK. Burpsuite kommer allerede med så mye at jeg ønsker å fokusere der først.

Hva er det verste du kan bli spurt om på jobben? 🔥

Gjøre repetitive oppgaver - jeg liker fremgang og automatisering. Powerpoint, Confluence og Excel er ikke favoritten av verktøy.

Når ble du sist flau, nervøs eller stressa for noe på jobb? 😅

Når omfanget av tjenester som benyttet Log4J Java-biblioteket, og kunder som er påvirket av dette, gikk opp for meg.

Hva synes du norske utviklere bør bli flinkere på? 🙏

Jeg er nok ikke den rette til å spørre hva spesifikt norske utviklere bør bli flinkere på, jeg tenker det viktigste er å sette seg individuelle mål og mål sammen med teamet, så går det seg til.

IT-sikkerhet er noe vi alle kan bli flinkere på, om det så være seg toppledelsen, meg, deg, - ja, hvem som helst. Å bli flinkere på IT-sikkerhet er så mangt, og strekker seg fra alt innen juss, teknisk, operativt, risiko og strategi, ledelse, test med mer, så her er det nok av for alle å kunne forbedre bevisstheten.