SİBER GÜVENLİK UZMANI NASIL OLUNUR?

SİBER GÜVENLİK UZMANI NASIL OLUNUR?

Öğrenci arkadaşlarımdan en fazla gelen sorulardan birisi nasıl siber güvenlik uzmanı olacağız yönünde.

Kısa bir süre kıbrıs’ta penetrasyon ve zafiyet bulma ile ilgili yaptığım çalışmalara ek olarak yaklaşık 9 yıldır dünyanın en büyük siber güvenlik üreticilerinde IBM, Websense ve Trend Micro gibi çeşitli teknik görevler aldım. Son 2 yıldır Trend Micro firmasında teknik taraftan biraz uzaklaşıp yöneticilik ve satış üzerine bulunduğum siber güvenlik şirketini yaygınlığını ve büyümesini artırabilmek adına stratejiler oluştururken, geriye dönük yaşadıklarımı, bilgi güvenliği sektörüne girmek isteyenlere referans olacağını düşünüyorum.

  1. Ben bilgisayar mühendisiyim. Bilgi güvenliği üzerine bilmem gereken hemen hemen hiçbirşeyi üniversiteden almadım. Bundan 10 yıl önce ne yazik ki information security algısı ve motivasyonu yoktu. Yazılım dillerini öğrendik fakat güvenli nasıl kod yazılır ile ilgili tamamen kendinizi geliştirmelisiniz. Bu konuda bolca kaynak ve içerik var. CEH eğitiminin içinde bir chapter’da da bunla ilgili bilgilendirmeler var.
  2. Bilgi güvenliği uzmanı olabilmek için matematik, bigisayar ya da yazılım mühendisi olmanıza gerek yok, kod yazmaya ve programlamaya merak ve heyecanınız olması yeterli.
  3. Certified Ethical Hacker Eğitimine gidenler hacker olmuyor J eğitim dünyanın en büyük pazarlama bombası. O kadar chapter ve içeriğin 1 haftaya sığması mümkün değil fakat insanların bu eğitime 1 haftadan daha fazla zaman ayırma ihtimalinin azalacağını ve bunun da eğitime olan ilginin azalacağını düşünen CEH Kurumu ne yazik ki bu kadar içeriği bir hafta da vermeye devam ediyor. Ben bu eğitimi washington’da aldım. Yanımda Coca Cola ve FBI gibi kurumların bilgi güvenliği uzmanları vardı ve onlarda benle aynı fikirdeydi. Hatta benim bu eğitimi almam için niye washington’a geldiğimi anlayamamışlardı J Bende eğitime yazdığım teknik bir makaleden dolayı burs kazandığımı söylemedim açıkçası J. Hadi diyelim ki bu eğitimi 1 aya çıkardırlar bu kadar derinliği olan eğitim içeriğini bir kişinin vermesi yine mümkün değil.

Başka hangi sertifikalar alınmalı ? Bence CCNA (temel network altyapısını en iyi veren eğitim), C family dillerin sertifikaları, Pyton (özellikle script geliştirmek için) , Java (nese tabanlı olduğu için, object oriented kafasına sahip olunması gerekir) ve CISSP, ISO 27001, Pfsense, SNORT Eğitimi, Kali Linux, Exploitation, DDOS

Şahsen her eğitimin kendi kendine alınabileceğine inanıyorum. Yukarıdaki yazdığım konuları kendi kendinize öğrenebiliyorsanız sertifikasyona ihtiyacınız yok demektir 😉

  1. İşletim sistemi altyapısını çok iyi bilmelisiniz. Tüm Exploit ve malware girişimleri işletim sistemi ve üzerinde çalışan uygulamalara yapılmaktadır. Bu sebeple bu işin mutfağını bilmiyorsanız yine atak vektörlerini tahmin etmeniz olası değildir.
  2. Internetin çalışma yapısı, protokoller. Basit bir paketin ağdan internete gidene kadar ki tüm aşamaları ve yolculuğuna teknik olarak hakim olmak zorundasınız. Paketlerin header altyapısına kadar detay bilmeniz bu katmanda yapılabilecek olası manipulasyona hakim olmanızı sağlar.

En basit örnek Ping gönderirken Ping paketinin içinde standart paket genişliğini genişletip içine kuruma ait veriyi koyan ve veri hırsızlığı yapılan bir örnek aslında bugun IPS ve IDS’lerle mümkün edilebilse de bizlerin hikayenin geneline hakim olmamız gerekir.

  1. Bir bilgi işlem nasıl yönetiliri bilmeden bilgi güvenliği uzmanı olmanız mümkün değil. Hangi ağın hangi segmentinde, sanal fiziksel ve bulut ortamlarında sunucu ve altyapının nasıl çalıştığını bilmeniz gerekir ki olası zafiyetleri tahmin edebilmelisiniz.
  2. Bigi güvenliği işi her işte olduğu gibi kilometre işi. Yeni mezun arkadaşlarımızın yeni açtıkları linkedin profiline siber güvenlik uzmanı yazmasını oldukça iddialı görüyorum.
  3. Bilgi güvenliği uzmanı bir sistemin açığını bulmak istiyorsa diğer insanlardan daha farklı düşünce yapısına sahip olmalı. Karşısında bir login sayfası olan bir güvenlik uzmanı bunun şifresini bruteforce ile nasıl kırarım kafası yerine şifre login confirmation’i sağlayan arka tarafdaki kodda nasıl açık bulabilirim üzerine odaklanmalı. Özetle beyaz şapkalı hacker kapıdan girilmeyeceğini bilir ve alternatif yollar bulur ve bunu raporlar.
  4. Sertifikasyona değil Kualifikasyona inanın.
  5. En azından okuduğunuzu anlayabileceğiniz bir ingilizceniz yok ise bu iş zor L
  6. Bilgi güvenlği uzmanı ya da beyaz şapkalı hacker olmak için filmlerde olduğu gibi antisosyal, toplumdan kopuk, iletişim problemi ve psikolojik sorunları olan birisi olmanıza gerek yok. Bu alanlarda çalışan sektördeki birçok arkadaşım, her gün yeni yerleri, yemekleri keşfediyor. Enstrüman çalıyor, ailesine ve sosyal çevresine yeterince vakit harcıyor.
  7. Siber güvenlik sektöründe yerli ve yabancı bir çok kurum var. Kendinizi yeterli görüyor ya da staj imkanlarını değerlendirmek istiyorsanız sizi birleştirmem için CV’niz ile beraber info@dagdevirenturk.com adresine mail atabilirsiniz.
  8. ilgisi olanın bilgisi olur. Her zaman öğrenci olduğumuzu unutmadan çalışma bilinci ile çalışmak ve sadece uzmanlığımız değil her alanda bilgi sahibi olmamız gerekir. Bu sebeple herşeyin birşeyi birşeyin birşeyin herşeyi felsefesini hayatımızın merkezine almak kendimizde yapacağımız en büyük kişisel gelişim olacaktır.

 

Share

Mersin’de doğdu. 2000 yılında Mersin Eskrim Kulübünde, ‘eskrim sporuna’ başladı. Türkiye 2.’si olarak Türkiye Milli Takımı’na seçildi. 4 yıl boyunca Türkiye’yi eskrim sporunda uluslararası arenada temsil etti. Bu süreçte Balkan 3.’sü oldu. Girne Amerikan Üniversitesi Bilgisayar Mühendisliği’nden mezun oldu. Kuzey Kıbrıs Türk Cumhuriyeti’nde çeşitli kurumlara üç yıl boyunca masaüstü yazılım geliştirdi. Nethouse firmasında “Network Uzmanı” olarak görev aldı. Bilişim dünyasındaki kariyerine Türkiye’nin ağ güvenliği distribütörlerinden İnfonet’te “Bilgi Güvenliği Uzmanı” olarak devam etti. “Web – Data – Email Güvenliği” konularında çeşitli kurum ve kuruluşlara eğitimler verdi. 2013 Mart ayı itibari ile “Sistem Mühendisi” olarak Trend Micro’da göreve başladı. Halen Trend Micro Kanal Geliştirme Müdürü olarak görev yapmaktadır. Ayrıca; Çözümpark ve Trend Micro blog sayfalarında teknoloji yazarlığı yapmaktadır. Genç Girişimciler Derneği’nin Yönetim Kurulu’nda 2 yıldır ‘Girişimcilik ve Sosyal Sorumluluk Projeleri’nde yeralmaktadır. Bilgi Güvenliği Uzmanı olan Dağdevirentürk, Milli Eskrim Sporcusu olarak da birebir eskrim dersi vermeye devam etmektedir. SUBSCRIBE NEWSLETTER Siteme Abone Olmak İsterseniz, E-mail Adresinizi Yazabilirsiniz SUBSCRIBE Mersin’de doğdu. 2000 yılında Mersin Eskrim Kulübünde, ‘eskrim sporuna’ başladı. Türkiye 2.’si olarak Türkiye Milli Takımı’na seçildi. 4 yıl boyunca Türkiye’yi eskrim sporunda uluslararası arenada temsil etti. Bu süreçte Balkan 3.’sü oldu. Girne Amerikan Üniversitesi Bilgisayar Mühendisliği’nden mezun oldu. Kuzey Kıbrıs Türk Cumhuriyeti’nde çeşitli kurumlara üç yıl boyunca masaüstü yazılım geliştirdi. Nethouse firmasında “Network Uzmanı” olarak görev aldı. Bilişim dünyasındaki kariyerine Türkiye’nin ağ güvenliği distribütörlerinden İnfonet’te “Bilgi Güvenliği Uzmanı” olarak devam etti. “Web – Data – Email Güvenliği” konularında çeşitli kurum ve kuruluşlara eğitimler verdi. 2013 Mart ayı itibari ile “Sistem Mühendisi” olarak Trend Micro’da göreve başladı. Halen Trend Micro Kanal Geliştirme Müdürü olarak görev yapmaktadır. Ayrıca; Çözümpark ve Trend Micro blog sayfalarında teknoloji yazarlığı yapmaktadır. Genç Girişimciler Derneği’nin Yönetim Kurulu’nda 3 yıldır ‘Girişimcilik ve Sosyal Sorumluluk Projeleri’nde yeralmaktadır. Bilgi Güvenliği Uzmanı olan Dağdevirentürk, Milli Eskrim Sporcusu olarak da birebir eskrim dersi vermeye devam etmektedir.

Comments

  1. güzel bir paylaşım olmuş. teşekkürler.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir