Siber güvenlik alanına teknik geçmişi olmayan bir yabancı olarak katılmak benim için dönüştürücü bir yolculuktu. Sektörde beni hemen büyüleyen şey, amansız hızı ve sürekli sunduğu heyecan verici zorluklardı. Alandaki profesyonellerle etkileşimde bulunurken, gerçekten öğrenme isteği sergileyen yeni gelenlere verdikleri büyük destek beni cesaretlendirdi. Ancak, kısa sürede hakim olan düşünceyi buldum: Yeni gelenlerin bağımsız, kendi kendine öğrenen kişiler olması yönünde genel bir beklenti var. Bu, özellikle siber güvenliğe yeni başlayan birçok potansiyel kişinin doğası gereği kendi kendine öğrenemeyen kişiler olduğu göz önüne alındığında, göz korkutucu bir beklenti olabilir. Doğuştan gelen merak şüphesiz değerli bir özellik olsa da, birçok bireyin, hatta muazzam potansiyele sahip olanların bile, bu geniş alana ilk adımlarını atmak için yapılandırılmış bir çerçeveye ihtiyaç duyduğunu kabul etmek önemlidir.
Son birkaç yılda sektördeki yetenek açığının kapatılması konusunda önemli ilerlemeler kaydedildi. Bununla birlikte, ISC2 Siber Güvenlik İşgücü Araştırmasına göre, 2023 yılı itibarıyla küresel olarak siber güvenlik alanında 440.000 yeni iş yaratıldı (yıldan yıla %8,7 artış), ancak şaşırtıcı bir şekilde 4 milyon pozisyon boş kaldı (yıldan yıla %12,6 artış). . Bu muazzam uçurum, işverenlerin deneyimli profesyonellere yönelik ihtiyaçları ile gerçek dünyada bu tür uzmanlığın eksikliği arasındaki kopukluktan kaynaklanmaktadır.
Bu yetenek sıkıntısının çözümü, potansiyel siber güvenlik profesyonellerinin, özellikle de genç öğrencilerin kariyerlerinin ilk aşamalarına odaklanmakta yatmaktadır. Bir topluluk olarak gençleri, siber güvenliği geçerli bir kariyer seçeneği olarak keşfetmeleri için ihtiyaç duydukları araçlarla donatmamız zorunludur. Önemli olan yapılandırılmış, pratik ve erişilebilir öğrenme yolları sunmaktır. Aşağıda bunun nasıl yapılacağına dair bazı adımlar ve örnekler verilmiştir.
NIST-NICE çerçevesi, siber güvenlik çalışmalarını yedi üst düzey kategoriye ayırır: Analiz Et, Topla ve Çalıştır, Araştır, Çalıştır ve Bakımını Yap, Denetle ve Yönet, Koru ve Savun ve Güvenli Bir Şekilde Tedarik Et. Her kategori ayrıca uzmanlık alanlarına ve iş rollerine bölünerek kariyer gelişimi için kapsamlı bir yol haritası sağlar.
Tablo 1: NICE Çerçeve Çalışma Rolü Kategorileri
Kategori | Tanım | İş Rolü Sayısı |
---|---|---|
Güvenli Tedarik (SP) | Güvenli BT sistemlerini kavramsallaştırır, tasarlar, tedarik eder ve/veya oluşturur. Sistem ve/veya ağ geliştirmenin bazı yönlerinden sorumludur. | 11 |
İşletme ve Bakım (OM) | Etkili ve verimli BT sistemi performansı ve güvenliğini sağlamak için gerekli desteği, yönetimi ve bakımı sağlar. | 7 |
Denetle ve Yönet (OV) | Kuruluşun siber güvenlik çalışmalarını etkili bir şekilde yürütebilmesi için liderlik, yönetim, yönlendirme veya geliştirme ve savunuculuk sağlar. | 14 |
Koru ve Savun (PR) | Dahili BT sistemlerine ve/veya ağlarına yönelik tehditleri tanımlar, analiz eder ve azaltır. | 4 |
Araştır (IN) | BT sistemleri, ağları ve dijital kanıtlarla ilgili siber güvenlik olaylarını veya suçlarını araştırır. | 3 |
Analiz et (AN) | İstihbarat açısından yararlılığını belirlemek için gelen siber güvenlik bilgilerinin son derece uzmanlaşmış incelemesini ve değerlendirmesini gerçekleştirir. | 7 |
Topla ve Çalıştır (CO) | İstihbaratın geliştirilmesi için kullanılabilecek özel inkar ve aldatma operasyonları ve siber güvenlik bilgilerinin toplanmasını sağlar. | 6 |
Bu tablo, siber güvenlik ortamındaki geniş rol yelpazesini göstermektedir. Yeni başlayanlar bu kategorileri anlayarak daha özel ve bilgili bir kariyer gidişatı için kendilerini daha iyi konumlandırabilirler.
NIST-NICE çerçevesini kapsamlı bir şekilde anlamak ve yeni başlayanlar için özel olarak hazırlanmış sayısız kaynağa erişmek için şu adresi ziyaret edebilirsiniz:
Amaç, siber güvenliğin çeşitli yönlerini keşfetmek ve tutkunun yeterlilikle nerede kesiştiğini belirlemektir. Siber güvenlik dinamik bir alan olduğundan, bireyin yön değiştirmesi, öğrenmesi ve gelişmesi için her zaman yer vardır.
Siber güvenlik topluluğu yeni gelenleri olağanüstü derecede destekliyor. Tecrübeli profesyoneller bile ipuçlarını ve tavsiyeleri paylaşmaya genellikle açıktır ve yeni başlayanlar için inanılmaz derecede erişilebilirdir. Bu insanlarla tanışmanın sırrı canlı etkinliklere katılmaktır.
Kişisel etkinliklerdeki gerçek zamanlı etkileşimler spontane sorular, tartışmalar ve daha derin bir anlayış olanağı sunar. Bu sadece bilginin içine dalmakla ilgili değil; aynı zamanda ağ oluşturmayla da ilgilidir. Bu mekanlar, potansiyel olarak mentorluklara, işe yerleştirmelere ve hatta ortak projelere yol açacak anlamlı bağlantılar kurmak için önemli fırsatlardır. Ayrıca, bu tür toplantıların çoğunda, katılımcıların genellikle bir uzmanın rehberliğinde teoriyi pratiğe dökebilecekleri canlı yarışmalar veya uygulamalı atölye çalışmaları düzenlenmektedir.
Bir siber güvenlik meraklısı için yüz yüze etkinliklere katılmanın neden bu kadar faydalı olabileceğini burada bulabilirsiniz:
Mekanlar söz konusu olduğunda bazı platformlar ve organizasyonlar öne çıkıyor:
Katılmayı planlarken işte size birkaç ipucu:
Dolayısıyla, siber güvenlik bilginizi ve ağınızı derinleştirmeyi hedefliyorsanız bu tür etkinliklere katılmak, bir sonraki büyük fırsatınız için basamak olabilir.
Bayrağı Yakala (CTF) yarışmaları, katılımcıların kriptografiden web uygulaması açıklarına kadar çeşitli siber güvenlik bulmacalarını çözdüğü yarışmalardır. Bu zorluklar, yeni başlayanlara gerçek dünyadaki siber güvenlik sorunlarını çözme konusunda pratik ve uygulamalı bir deneyim sunar. Örneğin, DEF CON CTF etkinliği her yıl küresel bir izleyici kitlesinin ilgisini çekiyor ve tüm beceri seviyelerine uygun bulmacalar içeriyor.
CTF zorluklarına katılmak, NIST-NICE çerçevesinde belirtilen çeşitli alanlarla doğrudan ilişkilidir:
Analiz (AN): CTF'lerdeki kriptografik bulmacaların şifresini çözmek, kişinin gelen siber güvenlik bilgilerini değerlendirdiği Analiz kategorisine uygun becerileri geliştirir.
Koru ve Savun (PR): Bir CTF sırasındaki güvenlik açıklarının ele alınması, bir katılımcının BT sistemlerine yönelik tehditleri tanımlama, analiz etme ve azaltma konusundaki yeteneklerini güçlendirir ve Koru ve Savun kategorisine yakın bir şekilde uyum sağlar.
Araştır (IN): Bazı CTF'ler, siber güvenlik olaylarının veya BT sistemleriyle ilgili suçların incelendiği Araştırma kategorisine uygun olarak adli zorluklar içerir.
Güvenli Tedarik (SP): Katılımcıların sistemleri güvence altına alması veya sağlamlaştırması gereken zorluklarla mücadele, Güvenli Tedarik kategorisini yansıtır ve güvenli BT sistemlerinin tasarımını ve oluşturulmasını vurgular.
Yeni başlayanlar, kendilerini CTF'lere kaptırarak yalnızca değerli uygulamalı deneyim kazanmakla kalmaz, aynı zamanda NICE çerçevesine göre ilgilenebilecekleri farklı rolleri ve alanları daha iyi anlarlar. Belirli siber güvenlik yetkinliklerini keşfetmek ve derinleştirmek için somut ve ilgi çekici bir yol sağlar.
Bir hata ödül kampanyasıyla şirketler, etik bilgisayar korsanlarını sistemlerindeki güvenlik açıklarını bulup bildirmeye teşvik ediyor. Bu uygulama, bağımsız güvenlik araştırmacılarından oluşan küresel havuzun değerinin farkına varan önde gelen teknoloji şirketleri arasında giderek yaygınlaşıyor. Örneğin Google, Facebook, Apple, Microsoft ve Twitter gibi teknoloji devleri kendi hata ödül programlarını uygulamaya koyarak etik korsanları platformlarındaki potansiyel güvenlik kusurlarını tespit etmeye ve sorumlu bir şekilde açıklamaya teşvik ediyor. Bu kuruluşlar, bu kampanyaları sunarak yalnızca sistemlerinin güvenliğini artırmakla kalmıyor, aynı zamanda siber güvenlik topluluğuyla simbiyotik bir ilişkiyi de güçlendiriyor. Örneğin:
Bugcrowd, Hackerone ve Intigrity gibi platformlar da süreci kolaylaştırdı ve etik hackerları, Google veya Apple gibi bağımsız programlara sahip olmayan kuruluşlar da dahil olmak üzere kuruluşlarla buluşturan aracılar olarak görev yaptı. Bir zafiyet tespit edilip bu platformlar aracılığıyla veya doğrudan programı kurulu firmalara raporlandıktan sonra doğrulama sürecine tabi tutulur. Doğrulanması durumunda araştırmacı finansal bir ödül, tanınma veya her ikisini birden alabilir.
Yeni başlayanlar için web tarayıcısı tabanlı laboratuvarlar bulunmaktadır. Bu laboratuvarlar, kullanıcıların kontrollü bir ortamda doğrudan tarayıcıları üzerinden pratik yapmalarına olanak tanır. Erişimi rahat ve kolay olsa da bu platformlar, gerçek dünyadaki sistemlerin karmaşıklıklarını ve inceliklerini tam olarak taklit edemeyebilir. Bunlar iyi bir giriş aracıdır ancak kullanıcılar siber güvenlik yolculuklarında ilerledikçe bunları daha az zorlayıcı bulabilirler.
Öte yandan VPN erişimi gerektiren sanallaştırılmış ortamlar da var. Bu platformlar gerçek şirket altyapılarıyla neredeyse aynı ortamları sunar. Sanallaştırılmış senaryolar, gerçek dünyadaki ağları, sunucuları ve iş istasyonlarını taklit etmek için titizlikle hazırlanmıştır. Kullanıcılar VPN aracılığıyla bağlandıklarında, kendilerini gerçekten operasyonel bir ağın içindeymiş gibi hissederler ve bu da web tarayıcısı tabanlı laboratuvarların sahip olamayabileceği düzeyde bir kimlik doğrulama sağlar. Bu tür bir ortam, araçların, taktiklerin ve prosedürlerin daha derinlemesine araştırılmasına olanak tanır ve katılımcıyı gerçek siber güvenlik tehditleriyle başa çıkma konusunda etkili bir şekilde eğitir. Bu ortamlarda verilen sıkı eğitim, katılımcıların işe hazır olmalarını ve siber güvenlik kariyerlerinde karşılaşabilecekleri çok yönlü zorlukların üstesinden gelmeye tam anlamıyla hazır olmalarını sağlar.
Adaylar, her iki eğitim türünü de deneyimleyerek siber güvenlik zorluklarındaki karmaşıklığın derecesini anlayabilir ve etkili profesyoneller olmak için becerilerini daha iyi geliştirebilirler.
Yeni başlayanlar için ücretsiz veya uygun fiyatlı pratik siber güvenlik eğitim kaynaklarının bir listesi:
Yukarıda bahsedilen kaynaklar, siber güvenlik camiasında ilgi ve takdir kazanan birçok araç ve platformun yalnızca bir anlık görüntüsünü temsil etmektedir. Siber güvenlik eğitiminin kapsamı çok geniştir ve değerli kaynakların listesi burada sunulanların çok ötesine uzanır. Ek olarak, kişinin öğrenme yolculuğunu geliştirmede etkili olabilecek çok sayıda açık kaynaklı proje ve çevrimiçi olarak bulunabilen diğer içerikler bulunmaktadır.
Bir sonraki paragrafta ayrıntılarıyla anlatacağım özel forumlar ve web siteleri, diğer topluluk üyelerinden gelen incelemeleri veya geri bildirimleri keşfetmede çok değerli olabilir. Bu geri bildirim, sürekli olarak piyasaya sürülen yeni kaynakların kalitesine ilişkin bilgiler sağlar.
Siber güvenliğin geniş alanında deneyimli bir kişinin rehberliği büyük fark yaratabilir. LinkedIn gibi platformlar yalnızca ağ oluşturma açısından değil, aynı zamanda potansiyel mentorların belirlenmesi açısından da özellikle faydalı olabilir. Profilleri dikkatlice inceleyerek, ilgili gruplara katılarak ve tartışmalara aktif olarak katılarak, istekliliğinizi sergileyebilir ve yeni gelenlere rehberlik etmeye istekli deneyimli profesyonellerin dikkatini çekebilirsiniz.
Başlangıçta oyuncular için oluşturulmuş bir platform olan Discord, zamanla çeşitli profesyonel toplulukların merkezi haline geldi.
Uzmanlaşmış forumlar ve web siteleri bu fırsatı daha da artırır:
Reddit'in Siber Güvenlik Toplulukları: Gibi platformlar
Wilders Güvenlik Forumları: Çevrimiçi gizlilik, güvenlik ve veri korumayla ilgili tartışmaları derinlemesine inceleyin
MalwareTips ve Antionline Forumları: Gibi web siteleri
Bleeping Computer ve Spiceworks Topluluğu: Forumlar gibi
Hacklido: Benzersiz bir platform,
Bu forumlara ve topluluklara aktif olarak katılarak yalnızca bilgilerini genişletmekle kalmaz, aynı zamanda anlamlı bağlantılar da kurabilirsiniz. Katıldıkça ve katkıda bulundukça tutkunuzu ve bağlılığınızı anlayan potansiyel mentorlarla tanışma şansınız önemli ölçüde artar. Siber güvenlik alanında mentorluğun sadece işin püf noktalarını öğrenmekten ibaret olmadığını unutmayın; rehberlik, geri bildirim ve hızla gelişen dijital koruma dünyasının nüanslarını anlamakla ilgilidir.
Siber güvenlik yolculuğunuza çıktığınızda, mevcut çok sayıda ücretsiz araç hakkında bilgi sahibi olmanız çok önemlidir. Alandaki profesyoneller tarafından yaygın olarak tanınan ve kullanılan bu araçlar, öğrenme deneyiminizi önemli ölçüde artırabilir:
Wireshark:
OWASP ZAP (Zed Saldırı Proxy'si):
Metasploit Topluluk Sürümü:
Homurdanarak:
OpenVAS (Açık Güvenlik Açığı Değerlendirme Sistemi):
Kali Linux:
Bu araçların yeteneklerinden yararlanmak, yeni başlayanlara yalnızca çeşitli siber güvenlik alanlarına ilişkin pratik bir anlayış kazandırmakla kalmaz, aynı zamanda potansiyel tehditlerle mücadelede uygulamalı bir yaklaşım da sağlar. Genellikle zengin bilgi ve en iyi uygulamalara sahip olduklarından, her bir araçla ilgili belgeleri ve eğitimleri incelemeyi unutmayın.
Noktaları kendi başlarına birleştirmeyi başaran kendi kendine öğrenenler olsa da, çok sayıda yeni yetişen yetenek, esas olarak başlangıç rehberliğinden yoksun oldukları için henüz siber güvenlik ekosisteminin bir parçası değil. Hedefe yönelik ve pratik rehberlik sağlayarak, hızla gelişen bu alanın sunduğu zorlukları ve fırsatları üstlenmeye hazır yeni nesil siber güvenlik profesyonellerinin önünü açmaya yardımcı olabiliriz.
Yapılandırılmış öğrenmeye çeşitli yollarla ulaşılabilir ve bu kılavuz, gerçek bilgisayar korsanlarından öğrenme konusunda benzersiz bir fırsata sahip olan, geleneksel olmayan bir siber güvenlik uzmanından gelen alternatif bir bakış açısı sunmayı amaçlamaktadır.