İçerik Tablosu
Siber Güvenlik Alanında Bir Kariyer İçin Ne Öğrenmeniz Gerekiyor?
2022 yılının yoğun Covid-19, küresel iklim krizi, Rusya-Ukrayna savaşı, küresel ekonomik kriz enflasyon vb. haber gündemi içinde belki birçokları fark etmese de siber güvenlik alanında çok önemli bir hack olayı da yaşanmıştı. Teknoloji tarihinin en cesur, etkili ve yaygın etkili hack olaylarından birinin gün yüzüne çıktığına şahit olduk. Texas merkezli büyük şirketler ve ABD hükümetinin çeşitli sistemlerinin güvenliğini izlemek için kullandığı bir ağ yönetim sistemi geliştiren SolarWinds firması tarafından yapılan rutin yazılım güncellemesi sayesinde, Rusya’da kökenli olduğuna inanılan korsanlar, güncellemeye kötü amaçlı kod ekleyebildiler ve bu da belki tarihteki en büyük saldırı olan büyük bir siber saldırıyı mümkün kıldı. Bu saldırı o kadar büyük bir etkiye sahip ki neden olduğu hasarı tam olarak anlamak yıllar alabilir.
Özellikle son on yılda artan ciddi siber güvenlik olaylarının oluşturduğu bu siber saldırı, kişisel verileri korumak, şirketlerin işlerini yürütebilmesini sağlamak ve hatta dünyanın siyasi istikrarını sağlamak için deneyimli ve eğitimli siber güvenlik uzmanlarının önemine daha da fazla ışık tuttu. Siber güvenlik iş ilanlarına bakarsanız, hem yurtiçinde hem de yurtdışında binlerce ilanı göstermektedir. Ticaret hacminin giderek artmasıyla siber güvenlik alanındaki kariyerler inanılmaz derecede önemli bir iş rolü ve bol ilerleme kapasiteli kazançlı bir kariyer sunmayı vaat ediyor. Ancak bir siber güvenlik uzmanı olmak, yalnızca yerel üniversitenizde bir derse kayıt olmak veya birkaç çevrimiçi kodlama dersi almak kadar basit bir işlem değildir. Hem profesyonel hem de kodlama bilgisi açısından bu zorlu sektörde çalışmak için edinmeniz gereken önemli beceriler var. Basitçe ifade etmek gerekirse, riskler siber güvenlik alanında olduğundan daha yüksekse, sizi bu alanda bir kariyere gerçekten hazırlamak için yapmanız gereken hazırlık çalışmalarının kapsamlı olması gerekir.
Siber güvenlik alanında kariyer yapmak için neler öğrenmeniz gerekiyor?
Gelin, temellerden bahsedelim ve sektöre adım atmak istediğinizde nereden başlayacağınıza dair bazı önerilerde bulunalım. Siber güvenlik söz konusu olduğunda riskler çok yüksek olduğu için, Kapsamlı Bir Teknik Arka Plan Gereklidir (Hem Bilgi Hem De Uygulamalı), şirketlerin kendini kanıtlamayan deneyimsiz bir personeli işe alımı riske gireceği bir alan değildir. Aslında, siber güvenlik rolleri için işe alan şirketlerin çoğu, bilgisayar bilimi, yazılım mühendisliği, bilgi güvenliği veya ilgili alanlarda genel olarak en az lisans mezunu olan veri güvenliği analistleri aramaktadır. Ama bu sadece bazı giriş seviyesindeki pozisyonlar içindir. Doğrusunu söylemek gerekirse birçok şirket bilişim sistemlerinde işletme üzerine yüksek lisans yapmış adayları tercih etmekte, bu da özellikle siber güvenlik alanında daha detaylı akademik odağı sağlamaktadır.
Ancak bu, hala daha yeni bir programcı iseniz, siber güvenlik konusunun esaslarını öğrenme şansınızın olmadığı anlamına gelmez. Örneğin, kapsamlı (veya çok nadir durumlarda herhangi bir şekilde) kodlama arka planı gerektirmeyen bir siber politika analisti veya teknik yazar gibi teknik olmayan siber güvenlik pozisyonları mevcuttur. Sağlam dil bilgisi becerilerine sahip güçlü bir yazarsanız, kodlama kısmını iş başında daha deneyimli akranları veya mentorları gözlemleyerek öğrenirken bu rollerden birine her zaman başlayabilirsiniz. Bir diğer seçenek ise kapıdan içeri adımınızı atacağınız giriş seviyesi teknik bir pozisyon almaktır. Örneğin, dört yıllık bir kolej programına kaydolmayı gerektirmeyen belirli siber güvenlik sertifikaları vardır (Sertifikalı Etik Hacker gibi). Dolayısıyla bunlar, üniversitenin teknik programına katılmak istemeyen veya parası olan herkes için harika seçeneklerdir. İşte, siber güvenlik alanında yer alan ve iyi bir başlangıç noktası olabilecek birkaç temel pozisyon daha:
Güvenlik operasyon merkezi (SOC) analisti:
SOC analisti olarak sizin işiniz hükümetin farklı alanlarını tehdit eden siber olayları rapor etmek olacak. Ağınızdaki veya yazılımınızdaki potansiyel zayıflıkları belirlemek için zafiyet analizi gerçekleştirebilir ve şirketinizin veya bölümünüzün siber tehditleri azaltmasına yardımcı olmak için öneriler getirebilirsiniz.
Ağ yöneticisi:
Ağ yöneticileri, kurumsal ya da organizasyonel bir ağın güvenliğini, sadece ağa ihtiyacı olanlara ya da sorumluluk düzeyine göre ağ erişimini dikte ederek sağlamakla sorumludurlar. Ağ yönetim pozisyonları ayrıca, daha karmaşık siber güvenlik pozisyonları elde ettiğinizde işe yarayabilecek ağların yapısal hiyerarşilerini öğrenmenizi sağlar.
Siber politika analisti:
Burada, devlet veya şirketler için stratejiler, prosedürler ve gereklilikler geliştireceksiniz. Şirketinizin müşterileri için bu politikaların uygulanmasında da yardımcı olacaksınız.
Zafiyet analisti:
Bir zafiyet analisti olarak, ağlardaki, uygulamalardaki ve sistemlerdeki kritik hataları bulmak için Nessus gibi güvenlik araçlarını kullanacaksınız. Zafiyet analistleri ayrıca, en son kötü amaçlı yazılım türleri ve tespit edilen yeni zafiyetler konusunda güncel kalmaktan da sorumludur. Ardından, şirketinizi veya kurumunuzu proaktif bir şekilde korumak için SOC analistleriniz ve teknoloji ekiplerinizle birlikte çalışacaksınız.
Siber Güvenlik Alanında Bir Kariyer Yapmak İçin Hangi Programlama Dillerinde Eğitim Almalısınız?
Siber güvenlik uzmanlarının bilmesi için değerli birçok farklı dil olmasına rağmen, siber güvenlik alanındaki pozisyonlar için repertuarınıza eklemek üzere en iyilerden birkaçına odaklanalım:
Java
Java dünya çapında belki de en popüler programlama dili olan birçok programcı tarafından kullanılsa da, siber güvenlik kodlayıcıları sunmak için de çok fazla şey var. Web uygulamaları üzerinden bilgisayar veya mobil cihaz yazılımı geliştirmeye daha fazla odaklanacaksanız, Java programlama dilini tanıyıp bu dilde bilgi sahibi olarak iş bulma beceriniz kesinlikle geliştirilecektir. Konuya çok fazla girmeden, Java modern web geliştirme alanında kullanılan en kullanışlı programlama dillerinden biridir ve C/C++ ile benzer şekilde yapılandırılmıştır.
Java, yaygın kullanımı nedeniyle güvenlik uzmanları için vazgeçilmezdir. Çeşitli sektör kaynakları kurumsal masaüstü bilgisayarların yüzde 95’inden fazlasının Java kullandığını tahmin etmektedir. Ek olarak, C/C++ ve Java versiyonları arasında benzerlikler, bu özelliği hâlihazırda bilgisi olanların kullanabileceği doğal ve ideal bir yardımcı olmaktadır. C/C++ demişken…Evet.
C/C++
1970’lerin başından bu yana kullanılan C/C++, modern İnternet’in temelidir ve çoğu zaman modern teknik sistemlerin temeli olarak kabul edilir. C/C++, Python ya da Java gibi alternatiflerle karşılaştırıldığında daha düşük seviyeli diller olduğu için, ikisi de ustalaşması daha zordur – ve bazı açılardan çok daha güçlüdür. Örneğin, düşük seviyeli diller kullanmak RAM ve sistem işlemleri gibi düşük seviyeli altyapılara doğrudan erişim sağlar. Bu erişim, bilgisayar korsanlarının ve siber suçluların sızma noktaları ararken istismar edilebilecek zafiyetlerden dolayı genellikle bu seviyeyi hedef almalarıdır. C/C++ da, işletim sistemlerinin kritik bileşenleri olan düşük düzeyli sistem programlarını destekleyen açık kaynak kodlarını okumak ve anlamak açısından önemlidir.
Python
Sadece güvenlik profesyonelleri ve bilgisayar korsanları arasında değil, aynı zamanda dünya çapında geliştiriciler arasında da popülerlik kazanıyor. Python üst düzey bir kodlama dilidir. Çok sayıda modern web uygulamasını, yazılım programını ve hatta makine öğrenimi ve yapay zeka gibi gelişmiş teknolojileri desteklemesini sağlayan çok çeşitli kullanım senaryolarına sahiptir. Bununla birlikte, Python geliştiricilerinden oluşan büyük küresel topluluk, hackerların işbirliği yapması ve açınışları ve zafiyetleri paylaşması için daha da fazla fırsat sağlamaktadır. Bu da onu kötü oyuncuların, yazılım ve sistemlere girmelerini sağlayan “kalabalık kaynağı” yöntemlerine kolayca girebilecekleri bir yer haline getirmektedir.
Neyse ki Python’un sunduğu faydalar siber güvenlik alanında çalışan profesyoneller için de değerli kaynaklar ve fırsatlar sunmaktadır. Güvenlik ekipleri, sayıları giderek artan kütüphanelerin avantajıyla kötü amaçlı yazılım analizi yapmak, izinsiz giriş tespit sistemleri oluşturmak ve TCP paketlerini üçüncü şahıs araçları olmadan makinelere göndermek için Python’u kullanabilir. Bu da, verimli bir şekilde programlar oluşturabilecekleri ve işleri otomatik hale getirebilecekleri anlamına gelir.
Python öğrenmeye hemen başlamak için sitemizde bulunan Python derslerine göz atabilirsiniz.
PHP
PHP sunucu tarafı dili olarak yaygın şekilde kullanılan bir diğer açık kaynak genel amaçlı kodlama dilidir ve bilgileri dinamik olarak görüntülemek için sunucu tarafı kodu kullanan çok sayıda büyük ölçekli web sitesi tarafından kullanılır. Gerektiğinde, veriler sunucuda depolanan bir veritabanından çekilir ve ardından görüntülenmek üzere istemciye gönderilir. PHP web sitesinin güncelleştirilmesini kolaylaştırdığı için popülerlik kazanmıştır. Aslında bazı kaynaklar dünya çapındaki web sitelerinin %80’inden fazlasının bir tür PHP (Facebook gibi bunun özel bir sürümünü kullanan) kullandığını tahmin etmektedir.
Bununla birlikte, PHP ‘nin pratik özellikleri, dışarıdan gelecek saldırılara karşı daha savunmasız olmasını sağlamaktadır. Örneğin, PHP tabanlı sitelerdeki en yaygın hack girişimlerinden biri, binlerce robotun aynı anda siteye erişimini yönlendirmesini, sunucularını aşırı yüklemesini ve web sitesinin çökmesini ve bozulmasını sağlayan DDoS (Hizmet Dışı Bırakma) saldırısıdır. Benzer şekilde suçlular da PHP ‘yi kullanarak kötü yapılandırılmış bir sitedeki tüm verileri silebilir, siteyi tamamen silebilir veya silinmiş verileri geri yüklemek için fidye isteyebilirler.
Bu çok büyük bilgisayar korsanlığı zafiyetlerinden dolayı, PHP kodunda bu sorunların nasıl tespit edilip çözülebileceğini bilmek, bir kurumun tüm veritabanını kurtarabilir ve dolayısıyla bir siber güvenlik uzmanı için elzem olabilir.
Bunların Yanında SQL Veritabanı yönetimini de bilmeniz gerekmektedir.
