Güvenlik Alanında Kendini Geliştirmek İsteyenlere Tavsiyeler (2 Viewers)

Joined
Sep 1, 2018
Credits
55
Rating - 0%
(Alıntıdır)
Lütfen like atmayı unutmayın :)

View hidden content is available for registered users!
Konuya başlamadan belirtmek isterimki anlatım noktasına virgülüne kadar alıntıdır.Konuyu açma amacım konu sayımı yükseltmek ya da gösteriş değil.Bu alanda gelişmek isteyenler ve gelecek planı olan kişiler için çok faydalı bir yazı ve muhtemelen bu yazıyı sıkılmadan bişeyleri başarma amacı ile okuduğunuzda kendinize olan inancınız artacak ve bilir bir kişinin yolunu izlediğiniz için hata yapma payınız azalacak.Anlaşılabilir ve sıkıcı olmaması için konu başlıklarını ve önemli yerleri renklendirdim 1-2 resim koydum.
Kaynak: Tıkla

Z5bM4g.jpg


Güvenlik Alanında Kendini Geliştirmek İsteyen Öğrenciler İçin Tavsiyeler

Üniversite
İyi bir üniversite eğitimi iyi bir güvenlik uzmanı olmak için şart değil, ancak kişiye çok büyük ivme katabilecek bir etmen. İyi bir üniversitede alınacak Bilgisayar Mühendisliği/Bilimleri eğitiminin kişiye katacağı şöyle özellikler olacaktır:
Bilgisayar bilimlerinin temelleri ve prensipleri: Güvenlik de bu etmenler üzerine kurulu olduğundan, bunları bilmeden yeni metodlar ortaya koymak çok mümkün olmamakta. Bunun yanında güvenliği makine öğrenmesi, doğal dil işleme vs. alanlarla harmanlamak için bunların da temellerine hakim olmanız gerekiyor.

İngilizce: Eğer %100 İngilizce eğitim veren bir okulda okuyorsanız dört senenin sonunda İngilizce'ye hakimiyetiniz ister istemez iyi oluyor.

Sorun çözme yeteneği: Bir şirkette bir uzmandan beklenen en temel şey problemlere kısa sürede işe yarar ve ekonomik çözümler getirmektir. Üniversitede öğreneceğiniz mühendislik metodolojilerinin bu konuda kendinizi geliştirmenize faydası olacaktır.

Ekip çalışması: Üniversitede yapacağınız grup çalışmaları hangi tipteki insanlara güvenip hangilerinden uzak durmanız gerektiği konusunda size tecrübe katacaktır.

Çevre: 7/24 oyun oynayan ya da her gün gece kulübüne giden insanlarla değil, geleceği ve kariyeri hakkında planları olan çalışkan insanlarla kuracağınız arkadaşlıklar, ileride size çok fayda sağlayacak. Hem bu insanlar size yeni bakış açıları katacak, hem de bir gün başınız sıkışırsa size destek olacaklardır. Bir şirkette işe başlayan kişi oraya genellikle güvendiği arkadaşlarını da tavsiye eder.

Tutum ve Davranış (Attitude): Aslında bu, çok doğru bir kelime seçimi değil. Burada ifade etmek istediğim şey tabiri caizse "nerede nasıl davranacağını bilmek". Eğer küçük bir şehirden geliyorsanız, kurumsal hayata pek aşina değilseniz, mülakatlarda ya da ilk işinizde nerede nasıl davranmanız gerektiğini tam olarak kestiremeyebilirsiniz. İyi bir üniversitede kazanılan en güzel özelliklerden biri de bu kurumsal ve profesyönel davranıştır. İstediğiniz kadar yetenekli ve bilgili olun, eğer profesyönel bir görüntü sergileyemiyorsanız mülakatlarda elenme ihtimaliniz yüksektir. Özellikle hedefiniz büyük ve çok uluslu bir şirketse bu konu çok daha önem kazanıyor.

Ancak şanslıyız ki internet diye bir şey var. İnternet, coğrafyanın kader etkisini azaltan, insanlığın başına gelen en güzel şeylerden biri. Anadolu'nun ücra bir köşesinden bile Standford'un derslerini dinleme şansımız var. Tabiki diğer çevresel imkanlardan mahkum kalacağız ama yine de bilgi seviyemizi yükseltmemiz mümkün. Eğer iyi bir üniversite okuma şansınız yoksa üzülmeyin, çalışarak bu açığı kapatmak imkansız değil. Ancak üniversite gereksizdir diye de havaya girmeyin, çünkü siz oyuna 3-0 geriden başlıyorsunuz. Rehavete kapılarak onları yakalamanız mümkün olmayacak.

Aranan Güvenlikçi
Güvenlik dünyasının günümüzdeki durumu, yeni başlayanlar için büyük bir ilüzyon sunuyor. Birkaç araç kullanmayı öğrenmiş, güvenlik açıkları hakkında biraz bilgi sahibi olan insan, sektördeki büyük boşluğu da görerek bir anda ben oldum havasına girebiliyor. Ancak güvenlik dünyasına giriş seviyesi muhtemelen ileride günümüzdeki kadar düşük olmayacak. Nasıl ki 10 sene öncesine göre günümüzde çoğu güvenlik faaliyeti otomatize olduysa, ileride de öyle olacak. Sistemlerin çalışma prensiplerini bilmeyen, güvenlik problemlerine çözümler geliştirmeyen, programlama ve diğer disiplinlere hakim olmayan kişilere güvenlik dünyasında ihtiyaç kalmayacak. Çünkü onların işleri de otomatikleşecek. Hem günümüzde, hem gelecekte her daim aranan, işsiz kalma ihtimali olmayan bir kişi olmak istiyorsanız şu özelliklere sahip olmanız gerekir:

En az bir programlama diline çok iyi hakim olmak. Çoğu zaman bir dil yetersiz kalsa da en azından sizi çoğu işinize faydası olacaktır.

Sistemlerin çalışma prensiplerine hakim olmak. Örneğin web güvenliği alanında çalışıyorsanız web siteleri nasıl çalışır konusuna bir web geliştirici kadar hakim olmanız gerekir. Bunun yanı network ve genel olarak bilgisayar sistemleri hakkında temeliniz sağlam olmalı, bunların çalışma prensiplerini iyi bilmelisiniz.

Sorunlara çözüm getirebilmek. Etik bir hackerın temel görevlerinden biri güvenlik açıklarını ortaya çıkarmaktır. Ancak ortaya çıkan güvenlik açıklarının nasıl çözüleceği hakkında pek bir fikriniz yoksa uzman olmanız mümkün değildir. Kimi zaman bildiğiniz çözümün farklı kurumlarda uygulanması mümkün olmayabilir. O zaman da bir "workaround" ile çözüm sunabiliyor olmanız gerekir.

Güvenliğin diğer bilgisayar bilimleri alt başlıklarıyla olan bağına hakim olmak. İleride güvenliği tek başına ele almak çok mümkün olmayacak. Güvenlik; makine öğrenmesi, doğal dil işleme gibi konularla iç içe olacak. İyi bir güvenlikçinin bu kavramlara da hakim olması gerekir.

6DAr33.jpg


Hedefler
Bu kısımda karışık olarak üniversite hayatınız boyunca belirlemeniz gereken hedeflere yer vereceğim.

Okul Dersleri

Okulun ilk yıllarında kimya, fizik gibi dersler vaktimizin çoğunu ne yazık ki çalacak. Dünyanın en iyi üniversitelerinde bile zorunlu tutulmayan bu dersler Türkiye'deki bilgisayar fakültelerinde ne yazık ki öğrencilere dayatılıyor. Bu dersleri vakit kaybetmeden vermeniz iyi olacaktır. Onun dışında kalan bilgisayar derslerine mutlaka sıkı çalışın, bunlara ihtiyacım yok demeyin. Sıkı çalışmanın yanında bu derslerde öğrendiklerinizin gerçek hayattaki uygulamalarını mutlaka inceleyin. Öğrencilik hayatım boyunca ortalaması çok yüksek ancak derslerin gerçek hayattaki karşılığı hakkında hiçbir fikri olmayan çok insan gördüm.

Ortalama konusuna çok kafayı takmayın. Dersten öğrenmeniz gerekenleri öğrendiğinizi düşünüyorsanız ve dersi geçtiyseniz tamamdır. İş hayatında ortalamanın önemi sıfıra yakın. Ama akademisyen olma gibi bir düşünceniz varsa ortalamaya dikkat etmeniz gerekir.


İngilizce

Yukarıda da bahsettiğim gibi eğer %100 İngilizce ders işlenen bir üniversitede okuyorsanız 4 senenin sonunda illaki iyi bir İngilizce'ye sahip oluyorsunuz. Peki geriye kalan insanlar ne olacak? Örneğin Erzurum'da doğan bir kişiyi düşünün. Hayatı boyunca hep derslerine çok iyi çalışmış, liseyi şehrin en iyi okulunda okumuş, üniversite sınavında da iyi bir sonuç çıkartarak İstanbul Üniversitesine girmiş. Burada da derslerine çok iyi çalışarak okulu çok iyi bir dereceyle bitirmiş. Ne yazık ki bu kişi hayatı boyunca yüzde yüzüyle derslerine çalışsa da çalışma hayatında geri planda olacak. Çünkü özel bir üniversitede okuyan kişi iyi İngilizce'si sebebiyle bu arkadaşın önüne geçecek.

Burada suçlamamız gereken şey kötü eğitim sistemimiz içinde yer alan berbat İngilizce eğitimimiz tabi ki. Ancak bir yandan bu kötü sistemi eleştirirken bir yandan kendinizi kurtarmanız gerekiyor. İngilizce bilmemek kendinizi geliştirmenize engel, çünkü tüm yeni kaynaklar İngilizce olarak çıkıyor. Dolayısıyla iyi bir işe girmenize de engel. Bunun yanında sosyal hayatta da İngilizce bilmemek hep karşınıza çıkacak ve hep moralinizi bozacak. O yüzden eğitim hayatınız boyunca her gün azar azar çalışarak durumunuzu orta bir seviyeye getirin. Daha sonra para kazanmaya başlayınca düzenli olarak İngilizce kursuna gidin. Eğer maddi imkanınız el veriyorsa hemen bu kurslara yazılın.



Açık Kaynaklı Yazılım

İşe alımlarda ilk bakılan yerlerden biri kişinin Github hesabıdır. Burada çok yeni, sofistike bir yazılım geliştirmenize gerek yok. Dikkat etmeniz gereken en önemli şey projenin "Readme" kısmıdır. Siz burada yazılımın arkasındaki fikri iyi anlatabiliyor musunuz, kurulum ve kullanım adımlarını güzelce yazabiliyor musunuz, kullanım alanlarını örneklendirebiliyor musunuz.. önemli olan bunlardır. İyi dokümante edilmemiş bir projenin içeriği müthiş olsa da bir anlamı olmayacaktır.



Soru Sorma Yeteneği

Çoğu üniversite öğrencisinde ya da yeni mezunda gördüğüm problem düzgün soru soramamalarıdır. Giriş-gelişme-sonuç şeklinde ele alınan, gereksiz detaylardan arındırılmış sorular sorabiliyorsanız, mutlaka aradığınız cevabı bulursunuz. Üniversitedeyken Chris Stephenson hocanın bir dersinde düzgün soru sorabilme konusunu işlemiştik. Burada Stackoverflow'da sorulan soruları inceleyip nasıl iyi soru sorulur konusuna değinmiştik. Dersin forumunda hoca, iyi soru sorabilen öğrencilere ek puan verirken kötü soruları cevaplamıyordu. Bu ders, üniversite hayatımda aldığım en iyi derslerden biriydi. Hala daha pek çok mecrada fake hesaplarla onlarca soru sorup cevaplar alırım.



Araştırma Yapma ve Sonuçları Yazıya Dökme

Diğer bir gördüğüm problem de üniversitelerde tez yazma ile ilgili bir ders verilmiyor oluşu. Öğrencilerden tez yazmaları bekleniyor fakat bunun metodolojisi düzgün öğretilmiyor. Dolayısıyla öğrenci bir probleme yönelik hipotez nasıl geliştirilir, nasıl deneyler yapılır ve sonuçlandırılır kısmına hakim olamıyor. Bu metodolojiyi iyi öğrenmeniz ileride konferanslarda sunum yapmak istiyorsanız çok önemlidir.

XbQ9mD.png


Güvenlik

Güvenlik de aslında doktorluk gibi farklı dallara bölünmüştür. Web, network, tersine mühendislik, zararlı yazılım vs. pek çok alan olduğu gibi ofansif ve defansif güvenlik olarak da ayırmak mümkündür. Öğrencilerin %90'ı tabiki daha "havalı" olduğu için ofansif güvenliğe yönelmek ister. Bunda bir sıkıntı yok. Ancak ofansif güvenliğin yol açtığı ilüzyonların da farkında olmanız gerekir.

Ofansif güvenlik geri dönüşü çok hızlı alınabilen bir alandır. Örneğin web güvenliği çalışmaya başlarsınız, XSS isminde bir zafiyet öğrenirsiniz, Burp Suite yazılımını kullanmayı öğrenirsiniz, X isimli websitede bu zafiyeti bulup bayram edersiniz. Ancak ne yazık ki bu sizin iyi bir güvenlikçi olduğunuz anlamına gelmiyor, siz bir script kiddie oldunuz. Script kiddie'lerin de önünde çok parlak bir yol yok. İyi bir güvenlikçi olmak istiyorsanız şunlara dikkat etmelisiniz:
View hidden content is available for registered users!

  • Önce sistemlerin nasıl çalıştığını iyi kavrayın, sonra güvenliğini araştırın. Mesela derste network konusu işleniyorsa önce bunun çalışma prensibini araştırın, sonra burada oluşabilecek saldırıları araştırın.​
  • Saldırılara karşı alınacak defansif çözümleri de araştırın. Örneğin web güvenliğini araştırıyorsanız ortaya çıkabilecek zafiyetlerin geliştiriciler tarafından nasıl çözülebileceği konusuna da kafa yorun.​
  • Antreman platformlarında pratikler yapın. Örneğin web uygulama güvenliğini araştırıyorsanız kendinden zafiyetli DVWA gibi platformlarda denemeler yapın.​


Eğitim Kampları ve Topluluklar
Linux Yaz Kampı, Akademik Bilişim ve benzeri kamplara mutlaka katılmaya çalışın. Burada hem teknik anlamda kendinizi geliştirirsiniz, hem de çevreniz genişler. Eğer bunlara katılma imkanınız yoksa bulunduğunuz okulda ya da şehirdeki güvenlik topluluklarına dahil olup buralarda zaman geçirin. Çevrenizi genişletmeniz sektörde yükselmenize ve iş bulmanıza katkı sağlar.


Staj
Üniversite son sınıfa yaklaşırken uzun dönem stajyer arayan firmaları tespit edip buralara başvurun. Uzun dönem stajınız bittikten sonra çok büyük ihtimalle işe alınırsınız. Alınmazsanız bile farklı bir firmada başlama ihtimaliniz çok çok yüksektir. Bir iki aylık yaz stajları yerine son sınıfta senelik staj yapmanız sizin için daha iyi olacaktır.

CTF'ler

CTF yarışmaları güvenlik sektörünün sporudur. Spor dememin sebeplerimden biri CTF'lerde karşınıza çıkan soruların genellikle gerçek hayatta bir karşılığı olmaması. İkincisi ise daha çok antreman yapan (örneğin eski CTF'lerin writeup'larını okumak) kişilerin öne geçiyor oluşu. CTF'ler güzeldir, eğlencelidir fakat bir öncelik olarak görülmemelidir.

DONBpm.png


Bug Bounty

Bug bounty konusu günümüzde en çok konuşulan konulardan biri. Bug bounty sayesinde 18 yaşındaki biri, kıdemli bir güvenlik uzmanının bir senede kazandığı parayı bir ayda kazanabiliyor. Bu açıdan bakınca çok güzel. Ancak burada dikkat edilmesi gereken bazı konular var.

Bug hunter gerçekten önemli uygulamalarda sofistike açıklar mı buluyor, yoksa düşük profilli sitelerde XSS bulan bir robota mı dönüşmüş? Eğer ilkiyse süper, böyle aynen devam. İkincisi ise bu yaptığı eylem onun iyi bir güvenlikçi olmasına pek katkı sağlamıyor.

Kişi bulduğu güvenlik açıkları hakkında detaylı bilgiye sahip mi? Sıklıkla karşılaştığım bir durum da şu: kişinin çok sayıda bug bounty'si var ancak bulduğu güvenlik açıklarının nasıl çözülebileceğine dair bir fikri yok. İyi bir güvenlikçinin problemlere çözüm de sunması gerekli.



Sertifikalar

Sertifikaların bir kişinin bilgisini ispatladığına inanmıyorum. Sertifikadan ziyade kişinin ortaya koyduğu çalışmalar bence daha önemlidir. O yüzden kariyerinizin başında sertifika almak için uğraşmayın. İşe girin, şirketiniz şart koşarsa sertifika alırsınız.



Yüksek Lisans
Gördüğüm kadarıyla Türkiye'deki siber güvenlik yüksek lisansı bölümleri kurs gibi çalışıyor. Eğer akademik bir kariyer hedefliyorsanız buraları size tavsiye etmem. Eğer buraları bir kurs gibi değerlendirirseniz işinize yarayabilir. Ancak maddi imkanınız sıkışıksa buralara para harcamanızı tavsiye etmem.​
 

Users who are viewing this thread

Top