Ey geleceğin siber savaşçısı, merhaba! Uzun yılların tozlu forum koridorlarında dolaştım, binlerce gencin kariyer yolunda elinden tutup onları aydınlattım. Şimdi sen de burada durmuş, ekranın karşısında kaygılı gözlerle ‘Acaba hangi yolu izlesem?’ diye düşünüyorsun. Endişelenme dostum, çünkü bugün seni kapı eşiklerinden içeriye alıp, koridorlarda gezdirip, gizli odaların kapılarını açacağım. Amacım sadece rehberlik etmek değil; aynı zamanda içine düştüğün bilgi karmaşasını da dağıtıp, sana net ve bambaşka bir bakış açısı sunmak.
Bil bakalım ne zaman başladı her şey? 20 yıl önceydi galiba. O sıralarda ‘siber güvenlik’ diye bir terim bile piyasada yoktu. Ben de bir startup’ta veritabanı yöneticisiydim; güvenlik diye bir dertleri bile yoktu adamların. Ta ki o meşhur saldırının patlamasına kadar… Bir gece yarısı aradılar beni: ‘Verilerimiz çalındı!’. O gece bambaşka bir dünyaya adım attım. Salakca davrandılar tabii; kimsenin umursadığı yoktu güvenliğe. Sonra dersimi aldım: güvenlik her şeyden önemliydi ve bu alanda kariyer yapılırdı.
Bugünse durum tamamen farklı. Siber güvenlik artık herkesin dilinde, her startup’ın kucağında özenle beslediği bir bebek gibi büyüyor. Peki nasıl girilir bu dünyaya? Hangi yollar var önünde? Bu sorulara cevap bulabilmek için önce kendime şu soruyu sordum: ‘Birinin bu alana girmesini sağlamak istesem hangi adımları izletirdim?’ Ve işte karşında hem teorik hem de pratiğin olmazsa olmazlarını içeren detaylı bir rehber!
Eğer doğrudan siber güvenliğe adım atmak istiyorsan, ilk durak şüphesiz ki temelleri öğrenmek olmalı. Zaten elli farklı yol var elimde; hangisini seçeceksin? Ben gençken matematiksel mantık ve programlama temellerini bilmeden hiçbir yere gidemezdik. Bugün de durum pek farklı değil aslında.
Unutma dostum; bu temel bilgiler olmadan ilerlersen eninde sonunda hüsrana uğrarsın ve pes edersin. Benzer şekilde eğer hali hazırda başka bir sektörde çalışıyorsan bile (mesela IT destek), o deneyimini minimum düzeyde siber güvenlik ile harmanlamayı başarmalısın ki köprü geçilmeden öteye geçebilesin.
Benzer şekilde lisans eğitimine yeni başladıysan ve hedefinde siber güvenlik varsa neler yapmalısın? Üniversite ikincisi olarak mezun oldum ben ama sonradan sertifikalar ve projeler sayesinde kendimi kanıtladım. Sen de üniversitenin verdiği teorik bilgiyi pratikle desteklemelisin çünkü piyasa buna değer veriyor!
İpucu: Kendine küçük projeler belirle; örneğin evdeki eski WiFi routerını hackleyip penetrasyon testi yaptığını hayal et! Bu tür egzersizler yeteneklerini ciddi anlamda artırıyor.
Dostum sertifika deyince aklına derhal ‘para harcama’ gelmesin sakın! Doğru sertifikalarla donanımlı hale gelirken hem bilgin artar hem de CV’n parıldar! Tabii ki bunların da stratejik seçilmesi gerekiyor zira bazı sertifikalar marketere girmişken bazıları gerçekten kaliteli!
İlk olarak CeH (Certified Ethical Hacker) ile başlayabilirsin fakat dikkat et; sadece kağıt üzerinde kalmamalı bu belgeyi aldıktan sonra sürekli pratik yapmalısın! Aynı şekilde CompTIA Security+ sertifikası da temel düzeyde oldukça değerli kabul ediliyor.
Eğer biraz daha ileri gitmek istersen OSCP (Offensive Security Certified Professional) kapını ardına kadar açıyor! Bu sertifika o kadar zor ki birçok kişi yarı yolda bırakır ama bittiğinde artık gerçekten ‘yaptıkları hallolur’ seviyesine gelirsin!
Ama unutmadan söyleyeyim; sertifika almak yetmiyor! Aldığın belgeyi kullanmadan tuvalet kağıdı gibi görmekten başka işe yaramaz!
Uyarıcı Not: Sertifika avcılığına düşmeyin lütfen! Her ay yeni bir sertifika peşinde koşturmaktansa derdini anlayarak tek tek ele alıp iyice sindirerek ilerlemek çok daha faydalıdır.
Örneğin benim en iyi öğrencilerimin arasında OSCP alanlar vardı ama CISM (Certified Information Security Manager) alanlar da çok parlaktılar çünkü onlar liderlik becerileriyle donatılmışlardı!
Teoriden pratiğe geçiş kısmında birçok insanın tökezlediğini gördüm çünkü insanlar ya timsahlarla dolu bataklıklardaki riskleri göremiyor ya da Google’daki basit makalelerden fazlasına ihtiyaç duymuyorlar!
İşte size birkaç tavsiye:
- TryHackMe / Hack The Box / OverTheWire : Bu tarz platformlarda ücretsiz veya ücretli hesap açarak vakit geçirebilirsiniz.
echo "Bu platformlardaki makinalar gerçek sistemler gibidir; kendi senaryolarını kurgulayarak gerçekçi testler uygulamanızı sağlar"
echo "En önemlisi de puan sistemiyle motivasyonunuzu yüksek tutabilirsiniz"
echo "Mesela ben OverTheWire’daki Bandit makinasında ilk olarak shell scripting konusunda epey zorlandım ama sonunda 'aha!' dedim"
echo "Ve o andan itibaren benim için kodlama tamamen farklı bir boyuta taşındı"
echo "Sonrasında meslektaşlarımla yaptığımız CTF yarışmaları epey keyifliydi"
echo "Dostum CTF yarışmaları hakkında ufak bir not düşeyim: takım ruhuyla yapılanlar çok daha keyifli"
echo "Çünkü orada sadece bireysel yetenek değil ekip koordinasyonu da test ediliyor"
echo "Bu yüzden arkadaş grubunuzla ortaklaşa takımlar kurabilirsiniz"
echo "Unutmayın rakibinizi yenmenize gerek yok asıl önemli olan gelişmektir"
echo "Yani kazanmak ikinci planda kalabiliyor bazen" [\[LIST\]][*]Gerçek Dünya Senaryolarından Örnekler Almak İçin Vulnerable by Design Projelerinden Faydalanabilirsin (Örneğin DVWA - Dam Vulnerable Web Application)[*]GitHub’daki açık kaynak kod incelemeleri yaptıkça analiz yeteneklerin gelişiyor[*]Blue Team ya da Red Team metodolojileri üzerine çalışmalar yapabilirsin[*]Kendi lab ortamını oluşturmak için VirtualBox ile Kali Linux + Metasploitable kurulumunu tamamlayabilirsin.[/LIST]
echo "Bu laboratuvar ortamını evdeki eski bilgisayarına kurup hafta sonu boyunca uğraştığında aslında neleri öğrendiğini farkedecek ve motivasyonun yükselecek"
echo "Benzer şekilde AWS ya da Azure bulut servislerinde ücretsiz hesap açarak ortamları tanımaya başlayabilirsin"
echo "Çünkü günümüzde şirketlerin büyük çoğunluğu cloud’a taşınıyor ve sen bu alanda uzmanlaşmayı tercih etmelisin"
echo "AWS’in kendi ürettiği siber güvenlik sertifikalarından biri olan AWS Certified Security – Specialty’e göz atman gerekebilir" [\[LIST\]][*]CloudSecurityAlliance’nin ücretsiz kaynaklarını inceleyerek temel bulut güvenliği prensiplerini öğren[*]Siber Güvenlik alanındaki podcast’leri dinleyerek güncel tehditleri takip et[*]
\[/LIST\]
echo "Podcast dinlemek haricinde Twitter’da @SwiftOnSecurity @matthew_d_green gibi hesapları takip etmek de faydalıdır çünkü ilk elden haberleri orada alırsın" [\[HEADING=3\]Ekstradan Bir Tavsiye Daha:[/HEADING=3\]]
echo "Kendi blogunu oluştur hele hele! Wordpress ya da Ghost kullanarak basitçe yazacağın yazılar sayesinde hem portfolio oluşturmuş olursun hem de araştırmalarını paylaşmış olurusun"
echo "Benzer şekilde GitHub profilini düzenleyerek yaptığın projeleri sergilemelisin"
echo "Proje listesine ek olarak makalelerin varsa Medium ya da Dev.to’da yayınladıktan sonra linklerini LinkedIn profilinden paylaşman gerekiyor çünkü şirketler buraya sık sık göz atıyor"
e***Unutmadan*** akademik makale okuma kısmına hiç girmiyorum bile... Çok ileri seviye arkadaşlara hitap eden konu olduğu için burayı boşveriyorum
ĕ8\["content":"
Bil bakalım ne zaman başladı her şey? 20 yıl önceydi galiba. O sıralarda ‘siber güvenlik’ diye bir terim bile piyasada yoktu. Ben de bir startup’ta veritabanı yöneticisiydim; güvenlik diye bir dertleri bile yoktu adamların. Ta ki o meşhur saldırının patlamasına kadar… Bir gece yarısı aradılar beni: ‘Verilerimiz çalındı!’. O gece bambaşka bir dünyaya adım attım. Salakca davrandılar tabii; kimsenin umursadığı yoktu güvenliğe. Sonra dersimi aldım: güvenlik her şeyden önemliydi ve bu alanda kariyer yapılırdı.
Bugünse durum tamamen farklı. Siber güvenlik artık herkesin dilinde, her startup’ın kucağında özenle beslediği bir bebek gibi büyüyor. Peki nasıl girilir bu dünyaya? Hangi yollar var önünde? Bu sorulara cevap bulabilmek için önce kendime şu soruyu sordum: ‘Birinin bu alana girmesini sağlamak istesem hangi adımları izletirdim?’ Ve işte karşında hem teorik hem de pratiğin olmazsa olmazlarını içeren detaylı bir rehber!
1. Temelleri Sağlam At: Kendini Nereden Başlatmalısın?
Eğer doğrudan siber güvenliğe adım atmak istiyorsan, ilk durak şüphesiz ki temelleri öğrenmek olmalı. Zaten elli farklı yol var elimde; hangisini seçeceksin? Ben gençken matematiksel mantık ve programlama temellerini bilmeden hiçbir yere gidemezdik. Bugün de durum pek farklı değil aslında.
- Programlama Dillerine Giriş: Eğer en baştan başlamak istiyorsan mutlaka ağırladığımız dillerden biri Python olmalı. Neden mi? Çünkü basitliğiyle seni motive ederken aynı zamanda ihtiyacın olan araçlar da mevcut onun kütüphanelerinde.
- Linux Komut Satırı: Eskiler bilir; Linux’ta yaşamayan siber güvenlik uzmanı olmuştur mu? Evet neredeyse mecbur sayılırsın bu sistemi öğrenmeye.
- Ağ Temelleri: TCP/IP protokolü nedir, paketlerin akışı nasıl işler bunları iyi anlamadan ilerleyemezsin.
- Veritabanı Yönetimi: SQL sorgularıyla haşır neşir olman lazım ki zafiyetleri ve kötü niyetli aktiviteleri tespit edebilesin.
Unutma dostum; bu temel bilgiler olmadan ilerlersen eninde sonunda hüsrana uğrarsın ve pes edersin. Benzer şekilde eğer hali hazırda başka bir sektörde çalışıyorsan bile (mesela IT destek), o deneyimini minimum düzeyde siber güvenlik ile harmanlamayı başarmalısın ki köprü geçilmeden öteye geçebilesin.
Benzer şekilde lisans eğitimine yeni başladıysan ve hedefinde siber güvenlik varsa neler yapmalısın? Üniversite ikincisi olarak mezun oldum ben ama sonradan sertifikalar ve projeler sayesinde kendimi kanıtladım. Sen de üniversitenin verdiği teorik bilgiyi pratikle desteklemelisin çünkü piyasa buna değer veriyor!
İpucu: Kendine küçük projeler belirle; örneğin evdeki eski WiFi routerını hackleyip penetrasyon testi yaptığını hayal et! Bu tür egzersizler yeteneklerini ciddi anlamda artırıyor.
2. Sertifikalarla Kendini Taçlandır: Hangi Belgeler Gerçekten İşe Yarıyor?
Dostum sertifika deyince aklına derhal ‘para harcama’ gelmesin sakın! Doğru sertifikalarla donanımlı hale gelirken hem bilgin artar hem de CV’n parıldar! Tabii ki bunların da stratejik seçilmesi gerekiyor zira bazı sertifikalar marketere girmişken bazıları gerçekten kaliteli!
İlk olarak CeH (Certified Ethical Hacker) ile başlayabilirsin fakat dikkat et; sadece kağıt üzerinde kalmamalı bu belgeyi aldıktan sonra sürekli pratik yapmalısın! Aynı şekilde CompTIA Security+ sertifikası da temel düzeyde oldukça değerli kabul ediliyor.
Eğer biraz daha ileri gitmek istersen OSCP (Offensive Security Certified Professional) kapını ardına kadar açıyor! Bu sertifika o kadar zor ki birçok kişi yarı yolda bırakır ama bittiğinde artık gerçekten ‘yaptıkları hallolur’ seviyesine gelirsin!
Ama unutmadan söyleyeyim; sertifika almak yetmiyor! Aldığın belgeyi kullanmadan tuvalet kağıdı gibi görmekten başka işe yaramaz!
Uyarıcı Not: Sertifika avcılığına düşmeyin lütfen! Her ay yeni bir sertifika peşinde koşturmaktansa derdini anlayarak tek tek ele alıp iyice sindirerek ilerlemek çok daha faydalıdır.
Örneğin benim en iyi öğrencilerimin arasında OSCP alanlar vardı ama CISM (Certified Information Security Manager) alanlar da çok parlaktılar çünkü onlar liderlik becerileriyle donatılmışlardı!
3. Pratik Yapmadan Olmaz: Oyun Alanlarına Dal!
Teoriden pratiğe geçiş kısmında birçok insanın tökezlediğini gördüm çünkü insanlar ya timsahlarla dolu bataklıklardaki riskleri göremiyor ya da Google’daki basit makalelerden fazlasına ihtiyaç duymuyorlar!
İşte size birkaç tavsiye:
- TryHackMe / Hack The Box / OverTheWire : Bu tarz platformlarda ücretsiz veya ücretli hesap açarak vakit geçirebilirsiniz.
echo "Bu platformlardaki makinalar gerçek sistemler gibidir; kendi senaryolarını kurgulayarak gerçekçi testler uygulamanızı sağlar"
echo "En önemlisi de puan sistemiyle motivasyonunuzu yüksek tutabilirsiniz"
echo "Mesela ben OverTheWire’daki Bandit makinasında ilk olarak shell scripting konusunda epey zorlandım ama sonunda 'aha!' dedim"
echo "Ve o andan itibaren benim için kodlama tamamen farklı bir boyuta taşındı"
echo "Sonrasında meslektaşlarımla yaptığımız CTF yarışmaları epey keyifliydi"
echo "Dostum CTF yarışmaları hakkında ufak bir not düşeyim: takım ruhuyla yapılanlar çok daha keyifli"
echo "Çünkü orada sadece bireysel yetenek değil ekip koordinasyonu da test ediliyor"
echo "Bu yüzden arkadaş grubunuzla ortaklaşa takımlar kurabilirsiniz"
echo "Unutmayın rakibinizi yenmenize gerek yok asıl önemli olan gelişmektir"
echo "Yani kazanmak ikinci planda kalabiliyor bazen" [\[LIST\]][*]Gerçek Dünya Senaryolarından Örnekler Almak İçin Vulnerable by Design Projelerinden Faydalanabilirsin (Örneğin DVWA - Dam Vulnerable Web Application)[*]GitHub’daki açık kaynak kod incelemeleri yaptıkça analiz yeteneklerin gelişiyor[*]Blue Team ya da Red Team metodolojileri üzerine çalışmalar yapabilirsin[*]Kendi lab ortamını oluşturmak için VirtualBox ile Kali Linux + Metasploitable kurulumunu tamamlayabilirsin.[/LIST]
echo "Bu laboratuvar ortamını evdeki eski bilgisayarına kurup hafta sonu boyunca uğraştığında aslında neleri öğrendiğini farkedecek ve motivasyonun yükselecek"
echo "Benzer şekilde AWS ya da Azure bulut servislerinde ücretsiz hesap açarak ortamları tanımaya başlayabilirsin"
echo "Çünkü günümüzde şirketlerin büyük çoğunluğu cloud’a taşınıyor ve sen bu alanda uzmanlaşmayı tercih etmelisin"
echo "AWS’in kendi ürettiği siber güvenlik sertifikalarından biri olan AWS Certified Security – Specialty’e göz atman gerekebilir" [\[LIST\]][*]CloudSecurityAlliance’nin ücretsiz kaynaklarını inceleyerek temel bulut güvenliği prensiplerini öğren[*]Siber Güvenlik alanındaki podcast’leri dinleyerek güncel tehditleri takip et[*]
Geçtiğimiz yıl Unity oyun motorunda çıkan zero-day exploiti haberini okuduktan sonra hemen lokal ortamımı kurup exploit’i çalıştırdım!
echo "Podcast dinlemek haricinde Twitter’da @SwiftOnSecurity @matthew_d_green gibi hesapları takip etmek de faydalıdır çünkü ilk elden haberleri orada alırsın" [\[HEADING=3\]Ekstradan Bir Tavsiye Daha:[/HEADING=3\]]
echo "Kendi blogunu oluştur hele hele! Wordpress ya da Ghost kullanarak basitçe yazacağın yazılar sayesinde hem portfolio oluşturmuş olursun hem de araştırmalarını paylaşmış olurusun"
echo "Benzer şekilde GitHub profilini düzenleyerek yaptığın projeleri sergilemelisin"
echo "Proje listesine ek olarak makalelerin varsa Medium ya da Dev.to’da yayınladıktan sonra linklerini LinkedIn profilinden paylaşman gerekiyor çünkü şirketler buraya sık sık göz atıyor"
e***Unutmadan*** akademik makale okuma kısmına hiç girmiyorum bile... Çok ileri seviye arkadaşlara hitap eden konu olduğu için burayı boşveriyorum
ĕ8\["content":"