Researcher Spotlight: Dr. Nestori Syynimaa’s Constant Mission Protecting Identities

BlueHat, MSRC
By MSRC / December 14, 2021 / 4 min read

“当你发现我所发现的东西时，它们真的很重要。它们影响着每个人的安全。”

当前正在观看：Netflix上的《The Expanse》和《Lost in Space》
当前正在收听：Amorphis、Architects和Killswitch Engage
当前每月跑步：130公里（约80英里）
当前正在玩：地板球（一种五人加守门员的地板曲棍球）
当前引以为豪：来自芬兰的Microsoft MVP数量

在芬兰坦佩雷，室外零下20摄氏度，一片漆黑。Nestori Syynimaa博士似乎不受严寒影响，以晨跑开始他的日常 routine。与你可能想的相反，他没有听安全播客或技术有声书，而是脱离工作，为一天做准备。这段时间只属于他自己。当地广播电台和重金属音乐带他回家， extremities 开始解冻。头脑清晰后，他坐在 battle-ready 的工作站前。Nestori 开始工作， uncovering 新的方法来理解身份系统与云之间的关系，以帮助使互联网更 robust 和安全。

在成为安全研究员之前，Nestori 在 IT 领域开始了他的职业生涯。在2000年代初，IT 是热门领域。他说，公司 desperate 需要计算机技术人员，雇佣任何知道“I-T”是什么的人。他现在笑了，因为在他看来，门槛很低。当其他人把第一份薪水花在摩托车上时，Nestori 投资了一盒 Microsoft Visual C++。没有任何培训，他自学了编程，迅速在 IT 领域晋升。

Nestori 没有止步于此。他回到学校，获得了他认为在开始工作前应该有的教育。在学校期间，他在一家 IT 培训组织教书，并一路晋升为芬兰一家大型电信提供商的 CIO。公司的一位朋友告诉他，云将成为 tech 的“下一件大事”，他们将需要一名培训师。Nestori 接受了挑战，抓住了机会。

在担任培训师期间，课程参与者会问很多关于安全的问题。忘记本地防火墙，这是我们现在称为“云”的 untitled 空间。安全框架 nascent，所以你最好的选择是保护你的凭据和身份系统。Nestori 很清楚，身份安全正是吸引他的客户和学生的注意力。这个新领域需要专业知识，因此 Nestori 决定主动站出来，自愿为他的客户和行业填补空白。他 all this 同时 maintaining 他的业余工作，包括 building AADInternals，他的 Azure Active Directory 工具包，他 eventually published。他还完成了博士学位！

去年十二月，Nestori 因其在安全方面的工作被授予 Microsoft MVP status。他 pause 并意识到，有机会摆脱16小时的工作日，成为一名全职研究员。这对他来说是一个 pivotal 时刻。Nestori 的 robust 技能组合 highly sought after。他开始 reach out 看看全职安全研究可能有什么机会，并 very quickly snapped up by Secureworks，他们 recognize 了他能为他们的公司和客户带来的 immense value。现在，他的业余爱好变成了全职工作！

Nestori 不是为了钱。他 truly 享受 fixing things 和 keeping the world safe。当他 identify 一个漏洞或一些可能被利用的业务逻辑时，他不会跳出椅子 pumping his fists。相反，他的想法 immediately 转向对客户的潜在 implications， should a less ethically minded hacker stumble upon the same discovery。尽管如此，发现的 rush 让他 keep searching for more， never stressing about the things he cannot control。Nestori 的 constant curiosities 帮助他成为2021日历年最 prolific 的漏洞赏金猎人之一。

当他 reflect on 他所做的工作时，Nestori 认为要成为一名 solid 研究员，你必须是一个喜欢 uncover things 并有 analytical mindset 的人。当被问及他如何处理失败时，他眨眨眼笑着说：“我不知道那是什么意思。”他的同事 recognize 他在 reverse-engineering 通信协议和 finding token exchanges 中的 flaws 的独特才能， refer to him as “a wizard”。就像 wizard Gandalf 一样，Nestori 继续 maintain 他的 curiosity 和 technical prowess 来 block the proverbial Balrog，警告：“You shall not pass。”

你不需要 risk hypothermia 来 follow along with Nestori。你可以在 Twitter (@DrAzureAD)、GitHub 上的 AADInternals 和他的博客 https://o365blog.com 上 follow 他的 journey。