Siber Güvenliğin Temelleri: Eğitim ve Kariyer
Günümüzde teknolojinin her geçen gün daha fazla gelişmesi, bilgisayar ve internet kullanımımızda ciddi farklılıklara yol açıyor. Artık karşımızda sınırlı sayıda erişim sağlayabileceğimiz beş veya on tane web sitesi yok. Her gün onlarca yeni yazılım ve web sitesi ortaya çıkıyor. Ortalama bir kullanıcının her gün yüzlerce web sitesini ziyaret edebildiğini ve onlarca yeni yazılımı kullanabildiğini hayal edin. İşte yaşadığımız gerçeklik tam olarak bu noktaya ulaştı ve burada bir soru öne çıkıyor: Peki ya güvenlik?
Birçok kişinin siber ve güvenlik kelimelerinden siber güvenlik alanında bazı çıkarımlar yapabilmesi gayet doğal ancak biz bu yazımızda yalnızca “siber güvenlik nedir?” sorusuna değil aynı zamanda siber güvenlik eğitimi, siber güvenliği nasıl öğrenebilirim, siber güvenlik uzmanı ne iş yapar, ülkemizde ve dünyada siber güvenlik, öne çıkan siber güvenlik kursları gibi birçok konuya değineceğiz.
Siber Güvenlik Nedir? Siber Güvenlik Hakkında Temel Bilgi
Siber güvenlik terimi temel olarak bilişim dünyasında bulunan tüm varlıkların yani bilgisayarlar, sunucular, mobil cihazlar, IoT cihazları, elektronik sistemler, ağlar ve veriler gibi kritik alanların dış tehditlere veya kötü amaçlı saldırılara karşı korunması olarak tanımlanabilir.
Siber güvenlik terimini daha iyi anlamak için giriş bölümünde sorduğumuz “peki ya güvenlik?” sorusunu biraz daha açmamız gerekiyor. Çünkü siber güvenlik dediğimiz alanı bünyesinde birçok alt alanı kapsayan büyük bir yapı olarak düşünebiliriz.
Siber güvenlik alanını oluşturan alt türleri şu şekilde listeleyebiliriz:
- Ağ Güvenliği (Network Security): Ağ güvenliğini, ağ sistemlerinde bulunabilecek zafiyetleri, bulaşabilecek kötü amaçlı yazılımları tespit etmek ve düzeltmek olarak tanımlanabilir.
- Uç Nokta Güvenliği (Endpoint Security): Uygulamaların dış dünyaya açılan ya da hassas uç noktalarda veri alışverişi yapan bölümleri her zaman önemli bir tehdit faktörüdür. Uç nokta güvenliği bu alanlardaki zayıflıkları tespit etmek ve düzeltmek üzerine yoğunlaşmıştır.
- Uygulama Güvenliği (Application Security): Burada bazı kaynaklarda web ve mobil uygulama güvenliği olarak da ele alındığını görebilirsiniz ancak biz daha iyi anlaşılması açısından uygulama güvenliği olarak ele almak istedik. Şirketlerin çıkardığı uygulama ürünlerinin veya bireysel olarak geliştirilen, kullanıcıyla veri alışverişinde bulunan tüm web ve mobil uygulamaların güvenlik testlerinin gerçekleştirilmesi, güvenli kodlama prensiplerinin uygulanması ve yazılım güncelliğinin korunması gibi eylemlerin tamamı uygulama güvenliği bünyesinde düşünülebilir.
- Bilgi Güvenliği (Information Security): Bilgi güvenliği, CIA olarak kısaltılan verilerin gizliliğini bütünlüğünü ve erişilebilirliğine karşı yapılabilecek tüm saldırıları önlemeyi amaçlar. Bunlar dışında verilerin kaybolmasını, yanlış yedeklenmesini, amacı dışında kullanılmasına karşı gerekli prensiplerini uygular ve günün sonunda bir sistemde veya bir şirketteki verilerin yetkililerin izni dışında dışarıya çıkmasını engeller.
- Bulut Güvenliği (Cloud Security): Bulut güvenliği, bulut sistemlerde ya da servislerde depolanan verilerin ya da çalıştırılan uygulamaların güvenliğinden sorumlu eylemleri kapsar diyebiliriz. Temel olarak bulunan bulut hizmetindeki güvenlikten sorumludur.
- Kimlik ve Erişim Yönetimi (IAM): Uygulamalarda ya da sistemlerde bulunan giriş yönetimlerinin gerçekleştirilmesi, kullanıcı rollerinin ve yetkilerinin belirlenmesi, çok faktörlü kimlik doğrulama (MFA) ya da tek seferlik parola (OTP) gibi erişim kontrolü modellerinin belirlenmesinden sorumlu bölümdür. Bu bölüm genellikle, kullanıcı kimliklerinin doğrulanması, rollerinin ve erişimlerinin doğru şekilde belirlenmesinden sorumludur.
- Acil Durum Müdahale (Incident Response): Bu alanda çalışan kişiler çoğu zaman siber saldırılara ilk müdahaleyi gerçekleştiren ekiplerden oluşur. Bu süreç çoğunlukla, saldırının tespiti, müdahale edilmesi, düzeltilmesi gibi çeşitli aşamalardan oluşur.
- İnsan Faktörü ve Bilinçlendirme (End-user Education): Siber güvenliğin en önemli noktalarından biri tartışmasız insan faktörüdür. Bir şirket üzerinden örnek verecek olursak; tüm sistemleriniz güvende olsa dahi (ki bu büyük şirketlerde düşük bir ihtimaldir) çalışanlarınızın siber güvenlik alanında gerekli bilince ve farkındalığa sahip olmaması saldırganların sosyal mühendislik saldırılarında başarıya ulaşmasını kaçınılmaz kılacaktır.
Siber Güvenlik Eğitimi ve Kursları: Nasıl Öğrenebilirim?
Siber güvenliği öğrenirken yapılan en büyük hatalardan biri, onu diğer bilişim alanlarından bağımsız bir alan olarak düşünmektir. Oysa siber güvenliği bilişim piramidinin en üst noktası olarak görmek daha doğru bir yaklaşımdır, çünkü iyi bir siber güvenlik bakış açısı kazanmak için zafiyet aradığımız sistemlerin nasıl çalıştığını bilmemiz gerekir. Örneğin, uygulama güvenliğinde bir web sitesinin nasıl çalıştığını bilmek, en basit haliyle HTTP, JS, HTML gibi temel yazılım ve ağ bilgisine sahip olmayı gerektirir. Kısaca özetlersek, siber güvenliğe yeni başlayan birinin temel seviyede de olsa yazılım ve ağ bilgisine sahip olması, yetkinliklerini artırma konusunda çok büyük bir etkiye sahip olacaktır.
Bu noktada, siber güvenliğe yeni başlayan ve temel yazılım ve ağ bilgisine sahip birine Cisco’nun ücretsiz siber güvenlik eğitimlerini (1 ve 2) önerebiliriz. Aynı zamanda, bu eğitimlere ek olarak Coursera ve Udemy’de de birçok ücretli veya ücretsiz eğitim bulabilirsiniz. Siber güvenliği öğrenirken önemli olanın süreç olduğunu unutmayın. Uygulama güvenliği üzerinde ilerlerseniz belirli bir seviyeye ulaştıktan sonra OWASP TOP 10 listesinden en yaygın güvenlik açıkları hakkında bilgi edinebilir, PortSwigger Security Lab ve HackTheBox gibi sitelerden laboratuvar çözümleri yapabilir, Bug Bounty gibi alanlarda gerçek zafiyetleri keşfederek kendinizi test edebilir ve bilgi seviyenizi artırabilirsiniz.
Siber Güvenlik Uzmanı ve Siber Güvenlik Mühendisi Kimdir? Ne İş Yapar?
Günümüzde siber güvenlikte kariyer dediğimizde çoğu zaman “siber güvenlik uzmanı” etiketi öne çıksa da bu sektörde çalışabileceğiniz birçok farklı rol bulunmaktadır. Roller ve etiketler sürekli olarak değişse de öne çıkan bazılarını sizler için şu şekilde listeleyebiliriz:
- Siber Güvenlik Uzmanı (Cyber Security Expert): Şirketlerde bulunan ağ altyapılarının ve bilgisayarların güvenliğinden sorumlu kişilerdir. Siber güvenlik uzmanları, şirket bünyesinde oluşabilecek olası tehditlere karşı çeşitli tespitler ve düzeltmeler yaparlar. Ayrıca, sistemlerin güvenliğini sağlamak amacıyla güvenlik duvarları, antivirüs yazılımları ve saldırı tespit sistemleri gibi birçok farklı yazılımı kullanırlar.
- Sızma Testi Uzmanı (Penetration Tester): Şirketlerle anlaşmalı olarak hedef sistemlerde güvenlik zafiyetleri ararlar ve bu zafiyetlerin düzeltilmesi için rapor sunarlar. Bu alanda kara kutu (black box), beyaz kutu (white box), gri kutu (gray box) olmak üzere üç farklı sızma testi yaklaşımı bulunmaktadır. Kara kutu olarak nitelendirilen sızma testleri, çoğunlukla hedef uygulama ya da şirket hakkında sınırlı bilgiye sahip olunan, kaynak koduna erişimin bulunmadığı sızma testi türledir. Beyaz kutu ise tam tersi olarak nitelendirilebilir, sistem ya da şirket hakkkında bilgilerin bulunduğu ve çoğunlukla sızma testi gerçekleştirilen hedefin kaynak kodu ya da yapısı hakkında bilgi sahibi olunulduğu testlerdir. Gri kutu ise bu iki yaklaşımın ortasında bulunan, sınırlı bilgiyle hareket edilmeye çalışıldığı senaryoları kapsar.
- Siber Güvenlik Mühendisi (Cyber Security Engineer): Mevcut sistemlerin güvenlik yapılarını tasarlayan, güvenlik yaklaşımlarını oluşturan ve sistemlerin yapılarıyla yakından ilgilenen kişilerdir. Bu kişiler güvenlik kodlamdan ağ altyapısına kadar birçok alanda güvenlik mimarisi oluşturabilirler.
- Mavi Takım Üyesi (Blue Team): Mavi takımlar, şirketlerde veya kurumlarda bulunan savunma takımları olarak tanımlanabilir. Ağ, sistem ya da uygulamalar üzerinde defansif yaklaşımlarla çeşitli önlemler alırlar.
- Kırmızı Takım Üyesi (Red Team): Kırmızı takımlar, ofansif güvenlikten sorumlu ekiplerdir. Bu ekipler tıpkı bir saldırı ekibi gibi olası güvenlik zafiyetlerini tespit ederler ve düzeltilmesi konusunda raporlar oluştururlar. Çoğu durumda, gerçek dünyada gerçekleşebilecek senaryolara bağlı araştırmalar yaparlar ve bu senaryoları hedef sistemlerinde uygularlar.
- SOC Analisti (SOC Analyst): SOC analistleri, bulundukları şirkette sorumlu oldukları sistemleri veya yazılımları güncel olarak takip eden, değişen olayları inceleyen ve analiz eden kişilerdir. Gerçek zamanlı izleme yaparlar. Sistemlerdeki tehditlerin ya da şüpheli eylemlerin tespit edilmesinde rol alırlar ve bu durumlara karşı müdahale gerçekleştirirler.
- DevSecOps Mühendisi (DevSecOps Engineer): DevSecOps mühendisleri, yazılımların geliştirilmesi süreçlerinde güvenlikten sorumlu kişilerdir. Gerçekleştirilmekte olan ürünlere siber güvenlik bakış açısı sağlarlar ve güvenlik yapılandırılmaları gerçekleştirirler.
Yazımızı burada özetlemek gerekirse, siber güvenlik alanı mevcut teknolojiyle beraber her gün daha fazla gelişen ve değişen bir alan. Şu anki sektörde bulunan mevcut eğitim kaynaklarının da sizleri çok daha iyi yerlere getirebileceğinden kuşkunuz olmasın. Eğer bu alana ilginiz varsa, sektördeki rolleri ayrıntılı olarak araştırdıktan sonra kendinize en yakın olanı seçebilir ve sürece dahil olarak siber güvenlik kariyerinize ilk adımı atabilirsiniz!