İngiltere’nin başkenti Londra’da faaliyet gösteren Skinners Akademi, geleceğin siber güvenlik profesyonellerini yetiştirmek üzere hükümet destekli bir ‘siber keşif’ programını hayata geçirdi. 14-18 yaş arasındaki öğrencilerin arasında siber güvenlik profesyoneli olma potansiyeline sahip birilerinin olup olmadığını test edilecek.
Bu süreç, aslında bir oyun ve birkaç aşamadan oluşuyor. Bu aşamalarda öğrencilerin siber güvenlik uzmanlığına yeteneği olup olmadığı test ediliyor. Hükümet Dijital Servisi Başkan Yardımcısı Alex Holmes, Birleşik Krallık’ın dünyanın dijital ekonomisinde önde gelen ülkelerden biri olması için aynı zamanda güvenli de olması gerektiğini ifade ediyor.
Holmes’a göre siber saldırganlar ülkenin enerji tedariğini ya da ulaştırma altyapısını sabote etmeye çalışmak gibi çeşitli yöntemler kullanarak Birleşik Krallık’a zarar vermeyi deneyebilir ve bunu önlemenin en iyi yolu da uygun koruma önlemlerini almak. Ülkenin savunmasında ve siber güvenlik konusunda inisiyatif alacak daha fazla genç insana ihtiyaç olduğunu sözlerine ekledi.
Ülkeyi savunacak yetenekte yeterli insan olmadığını söyleyen Holmes, “Siber Keşif oyunu sizin geleceğin siber güvenlik uzmanı olup olmayacağınızı anlamanıza yardımcı olacak” ifadelerini kullanıyor.
‘Siber Keşif’ hükümetin 2017 başında, 2021’e kadar 5 bin 700 üstün yetenekli çocuğa ulaşmak amacıyla başlattığı Siber Okullar Programı’nın bir parçası. Program kapsamında online ve offline eğitimlerle çocuklar siber güvenlik müfredatına tabi tutuluyor. Program için ayrılan 20 milyon Pound’luk fon kapsamında Siber Keşif gibi müfredat dışı aktivitelere de yer veriliyor.
Oyun ‘siber başlangıç değerlendirmesi’, ‘siber başlangıç oyunu’, ‘siber başlangıç temelleri’ ve ‘siber başlangıç elit’ adlı 4 aşamadan oluşuyor. Bu aşamalar, öğrencilerin siber güvenlik bilgilerini artıracak ve içlerinde geleceğin siber güvenlik uzmanları olabilecekleri ayırt edecek alıştırmalar ve testler içeriyor.
SANS Enstitüsü’nün araştırma ve geliştirme bölümü başkanı James Lyne Birleşik Krallık genelinde 23 bin kişinin oyunun ilk aşamasında yer aldığını ve bunun 12 bininin ikinci aşamaya geçme başarısı gösterdiğini ifade etti. Skinners Akademi öğrencilerine konuşma yapan Lyne şu ifadeleri kullandı: “Bu gün burada yapacağınız her şey gelecekte önemli olacak teknolojiyi güvende tutmaya yardımcı olacak”
Oyunda öğrencilere davalar, yazılım hataları ve suç örgütlerinin faaliyetleri gibi gerçek hayattan örnekler sunuluyor. Lyne’e göre eğer insanlar siber güvenliğin temel kavramlarıyla erken yaşta tanışırsa onları siber güvenlikte kariyer yapmaya teşvik etmek daha kolay olur.
Siber Bülten abone listesine kaydolmak için formu doldurun
Microsoft’un bulut uygulama, geliştirme ve altyapı platformu Azure Government’ın Bilgi Güvenliği Baş Sorumlusu (CISO) Matthew Rathbun, işletme altyapısını savunmak için yapay zekadan büyük ölçüde faydalandıklarını söyledi.
Rathbun, techrupublic.com sitesine verdiği röportajda bilgi güvenliğine yaptıkları dev yatırımlarla ilgili açıklamalarda bulundu. Microsoft, her gün 7 trilyon siber tehdidi savuşturuyor ve her yıl siber güvenliğe 1 milyar dolar yatırım yapıyor.
Rathbun bu paranın hangi alanlarda kullanıldığını şu sözlerle anlattı: “Microsoft’un siber güvenlik bütçesinin çoğu inovasyona gidiyor. Bulut ise siber güvenlik konusundaki düşüncelerimizi değiştiren gerçek anlamda bir bükülüm noktası. Yatırım derken geleneksel yöntemlerden bahsetmiyoruz. Çalışanlara prim vermek gibi bir şey değil. Nasıl daha iyi olabiliriz’e odaklanıyoruz.”
Bir şirketin her gün 7 trilyon vakayı işlemden geçirmesinin tek yolunun otomasyondan ve büyük veri analizlerinden geçtiğini söyleyen Rathbun, “Ayrıca mümkün olduğunca her alanda insan müdahalesini azaltmak istiyoruz” dedi ve ekledi: “Tehdit unsuru olan vakaların yüzde 90’ı insan kaynaklı. Ya yanlışlıkla ya da planlı bir şekilde yapılan bu hatalar bir şekilde şirketin güvenliğini tehlikeye atıyor. Azure’un üretim atmosferine sıfır insan müdahalesinin olacağı ideal bir ortamı eninde sonunda yakalayacağız.”
Siber Bülten abone listesine kaydolmak için formu doldurun
‘Bug bounty hunter’ Türkçeye ödül avcısı olarak çevirebileceğimiz bir hacker terimi. Bu kişileri, teknoloji firmalarının sistemlerinin daha güvenli olmasını sağlamak adına düzenledikleri yarışmalara katılan ve sistemlerdeki açıkları siber saldırganlardan önce bulan ‘iyi niyetli hacker’ olarak tanımlamak mümkün.
Son yapılan bir araştırmaya göre ise bu ‘ödül avcıları’ ortalamanın epeyce üzerinde bir gelire sahipler. 195’ten fazla ülkede 1700 ödül avcısı arasında yapılan bir araştırmaya göre ‘iyi niyetli hacker’ ya da ‘beyaz şapkalı hacker’ olarak bilinen ödül avcılarının standart bir yazılım mühendisi maaşının 2,7 katı büyüklüğünde yıllık gelirleri bulunuyor.
Araştırma, teknoloji şirketlerinin güvenlik açığını bulabilen kişilere binlerce dolar kazandıran HackerOne adlı şirket tarafından gerçekleştirildi. Şirketin kendi düzenlediği ödül avı yarışmasından elde edilen bilgilere dayandırdığı araştırmaya göre bazı yerlerde hackerler ile mühendislerin geliri arasındaki uçurum daha da derin. Örneğin Hindistan’da hackerlerin geliri mühendislerin gelirinin 16 katına çıkabiliyor. ABD’de ise ödül avcıları ortalamanın 2,4 katı gelire sahip.
HackerOne hesaplamayı yaparken PayScale’deki verileri baz almış. Buna göre Hindistan’da bir yazılım mühendisinin yıllık geliri 6 bin 418 dolar iken ABD’de rakam 81 bin 193 dolara kadar çıkıyor. HackerOne’ın İletişim Direktörü Lauren Koszarek, “Ödül avı yarışmaları sayesinde hackerler, interneti daha güvenilir kılmalarının karşılığında iyi paralar kazanma şansına sahip oluyorlar” diyor.
Araştırmaya göre HackerOne’ı kullanan hackerlerin yaklaşık yüzde 12’si ödül avı programlarından yıllık en az 20 bin dolar kazanıyor. Yaklaşık yüzde 3’ü 100 bin dolardan fazla kazanırken yüzde 1.1’lik kesimin ise 350 bin dolardan fazla gelire sahip.
Araştırmaya katılanların yüzde 37’si hackerlığı hobi olarak yaptıklarını söylerken yüzde 25’lik kesim geçimlerinin yarısını elde etmek için bu yola başvurduklarını ifade etmiş. Yüzde 13,7 ise yıllık gelirlerinin yüzde 90’ının ya da tamamını bu yolla elde ettiklerini söylemişler.
Araştırmada dikkat çeken bir başka konu da hackerlerin yüzde 58’inin güvenlik açığı bulma kabiliyetlerini kendi kendilerine geliştirdiklerini söylemesi. Üstelik bu kişilerin yarısı da üniversitelerin bilgisayar bölümlerinden mezunlar.
Ödül avı yarışmalarını düzenleyen tek şirket HackerOne değil. HackerOne büyük şirketler ile ‘beyaz şapkalı hackerler’ arasında aracılık yapıyor. Microsoft, Facebook, Google gibi dev şirketler kendi ödül avı yarışmalarını düzenliyor. Ancak Forbes Global araştırması kapsamında sıralanan dünyanın en büyük 2 bin halka açık şirketinden sadece yüzde 6’sının ödül avı yarışmaları var. Bu da her dört hackerden birinin güvenlik açığını bildirmeyi tercih etmediğini gösteriyor. Nitekim etiketlenen şirkete söz konusu açığı ihbar edebilecek herhangi bir iletişim kanalı bulunmuyor.
Koszarek ödül avı yarışmalarına başvuran şirket sayısının geçtiğimiz yıl iki katına çıktığını belirtiyor.
Siber Bülten abone listesine kaydolmak için formu doldurun
Siber Bülteni yakından takip edenlerin bildiği üzere, ülkemizde ve dünyada siber güvenlik uzmanı açığı (insan kaynağı) ulusal güvenlik açısından en önemli sorunlardan biri olarak karşımıza çıkmaktadır. Siber Bülten yazarlarından Nazlı Zeynep Bozdemir’in yazısında belirttiği üzere ulusal siber güvenlik stratejilerinde eğitim meselesinin bir numaraya konması gerekmektedir.
Bahsedilen açığı kapatmak üzere bu fırsatı değerlendirmek ve bu alanda kariyer yapmak isteyen kişilerin aklına takılan ilk konu “Siber güvenlik uzmanı nasıl olabilirim?” sorusudur. Öncelikle şunu belirtmek isterim “Alın yazınızı, alın teri dökmeden değiştiremezsiniz.” Biraz terlemek isteyenler için CISCO firması güzel bir fırsat sunuyor. Eylül 2017 Las Vegas’da yapılan zirvede CISCO, siber güvenlik ile ilgili yeni bir sertifika programını duyurdu. Bu sertifikayı alabilmek için herhangi bir ön koşul bulunmamaktadır. İki aşamalı SECFND-Understanding Cisco Cybersecurity Fundamentals (210-250) ve SECOPS-Implementing Cisco Cybersecurity Operations (210-255) sınavlarını geçerek bu sertifikanın sahibi olabilirsiniz. Detaylı bilgiye linkten ulaşabilirsiniz: (https://learningnetwork.cisco.com/community/certifications/ccna-cyber-ops)
CISCO Las Vegas’da dünyadaki siber güvenlik uzmanı açığını kapatmak için 10 milyon dolar yatırım yaptıkları Global Cybersecurity Burs programını da açıkladı. Burs programı ile ilgili başvuru için bu linki kullanabilirsiniz: (https://mkto.cisco.com/security-scholarship) Burs programı, bilişim güvenliğindeki insan kaynağı açığını doldurmak için çeşitli Cisco Yetkili Eğitim Merkezi ortaklarıyla birlikte verilecektir.
Dünyanın çeşitli yerlerinden özellikle kadınlar ve ekonomik açıdan dezavantajlı olanlar programa başvurmaya teşvik edilmektedir. Burs programıyla, Cisco, CCNA Cyber Ops sertifikasını kazanmanıza ve güvenlik operasyonları merkezi analistinin iş rolü için gerekli olan becerileri geliştirmeye yardımcı olmak için tasarlanmış ücretsiz eğitim, danışmanlık ve testler sunulmaktadır. Yeni CCNA Cyber Ops sertifikası, kritik beceriler açığını gidermek ve ağ güvenliğindeki mevcut ve gelecekteki zorlukların üstesinden gelmek için gerekli işle ilgili bilgiyi sağlamak üzere tasarlanmıştır. Eğer burs programına kabul edildiğiniz taktirde her iki sınav içinde iki kez ücretsiz sınav hakkı, e-learning erişim ve mentör desteği verilmektedir. Sertifika sınavı için herhangi bir önkoşul olmamasına rağmen burs programı için aşağıdaki koşulları sağlamanız gerekmektedir;
Genel koşullar:
En az 18 yaşında olmak, İngilizceye hakim olmak ve Temel teknik yeterlik (aşağıdakilerden birine veya birkaçına sahip olmak):
Cisco sertifikası (Cisco CCENT sertifikası veya üstü)
CompTIA Security +, EC-Konseyi, GIAC
Cisco Networking Academy tamamlanma belgesi (CCNA 1 ve CCNA 2)
Windows uzmanlığı: Microsoft (Microsoft Uzmanı, MCSA, MCSE), CompTIA (A +, Ağ +, Sunucu +)
Linux uzmanlığı: CompTIA (Linux +), Linux Professional Institute (LPI) sertifikası, Linux Vakfı (LFCS, LFCE), Red Hat (RHCSA, RHCE, RHCA), Oracle Linux (OCA, OCP)
Başvuru sonrasında son aşaması ön yeterlilik sınavı olan üç aşamalı bir değerlendirmeden geçilmektedir. Ardından 45 dakikalık online ön yeterlilik sınavında 75 ve üstü puan almanız halinde burs programına kabul alınmaktadır.
Burs programı ilk olarak “Introduction to Cybersecurity” eğitimi ile başlamaktadır. Ardından iki temel kurs konusu olan SECFND(Security Fundemantals) ve SECOPS(Security Operations) konularının eğitimleri, lab alıştırmaları, webinarlar ve deneme testlerinden oluşmaktadır. Her iki temel eğitimi tamamlanması için yaklaşık 4 aylık bir süre verilmektedir. Bu süre içerisinde her bir konu için 2 defa ücretsiz sınav hakkı (exam voucher) verilmekte ve başarılı olduğunuz takdirde CNNA CyberOps sertifikasına sahip olabilmektesiniz. Temel olarak Siber Güvenlik Operasyon merkezlerinde görev alacak şekilde eğitimler verilmekte olup çeşitli rol ve pozisyonlar içinde temel bir sertifikasyon olarak amaçlanmaktadır.
Öngörü olarak, CCNA Cyber Ops sertifikası, güvenlik endüstrisinin onaylayacağı ve istihdam edilmesini gerektirecek temel sertifikalardan biri haline gelecektir. Burs programı, siber güvenlik dünyasında başarılı bir kariyer için gerekli olan kavramları ve teknolojileri öğrenmek için kesinlikle harika bir fırsat olarak görmekteyim. Son olarak, bahsedilen uzman açığını sizde kendi lehinize fırsata çevirmek isterseniz CCNA Cyber Ops sertifikasını tavsiye ederim. Umarım siz değerli okuyuculara bir fayda olur, sürç-i lisan etmişsek affola.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Equifax sızıntısı, WannaCry, NotPetya, NSA sızıntıları gibi önemli olayların gerçekleştiği 2017, hackerlar için hareketli bir yıl oldu. Bu gelişmeler, yenilikçi siber güvenlik çözümlerinin siber saldırıyla mücadele konusunda ne kadar hayati olduğunu da kanıtladı.
Tech Crunch, bu alanda iyi bir performans sergileyen ülkelerden İsrail’in siber güvenlik ekosistemini mercek altına aldı. Ülkede, 2017 yılında da birçok yeni siber güvenlik girişiminin kurulmasının yanı sıra, yatırım artışı ve sektörün olgunlaşması gibi olumlu gelişmeler yaşandı.
Daha az start-up, daha fazla sermaye
2016 yılında İsrail’de siber güvenlik üzerine çalışan 83 tane yeni start-up kuruldu. Bu sayı 2017’de 60 start-up ile 2016’nın gerisinde kalsa da bu şirketlerin toplam başlangıç sermayesi bir önceki sene 2,85 milyon dolarken 2017’de 3,3 milyon dolara yükseldi.
Yeni kurulan girişimlerin sayısındaki düşüş birçok kişi tarafından sektörle ilgili olumsuz bir gelişme olarak yorumlansa da haberin yazarı Iren Reznikov’a göre bu düşüş, sektörün olgunlaştığını gösteriyor.
Binlerce şirketin çalıştığı, her gün onlarca çözümün arandığı ve oldukça dinamik olan siber güvenlik alanında, şirketler için finansman bulmak zorlaşıyor. Çünkü yatırımcılar müşterilerin giderek karmaşıklaşan ihtiyaçları için daha geniş çözümler sunan şirketlere odaklanmak istiyor. Sonuç olarak yeterli yatırıma ulaşan şirketler, daha kapsamlı bir vizyon edinme ve daha fazla sermaye gerektiren güçlü ürünlere odaklanma eğiliminde oluyor. Bu da daha fazla sermaye ve daha az sayıda yeni girişimi beraberinde getiriyor. Reznikov, bu anlamda bu gelişmenin hem daha sürdürülebilir şirket kurmak isteyen girişimciler, hem güçlü ürün arayışında olan yatırımcılar hem de karmaşık çözümlere ihtiyaç duyan müşteriler için olumlu bir gelişme olduğunu savunuyor.
Daha genç ekipler, daha fazla kadın kurucu
2017’de kurucusu kadın olan siber güvenlik şirketlerinin oranı, 2016’da %5 iken 2017’de %15’e yükseldi. Bunun yanı sıra, 2016’da olduğu gibi 2017’de de az deneyimli kişilerin kurduğu start-up sayısı ile en az 10 yıllık girişim ya da yönetim deneyimi olan kişilerin kurduğu start-up sayısı birbirine oldukça yakındı. İsrail Savunma Kuvvetleri’nden terhis olup askeri deneyimlerini siber güvenlik alanında kullanmak isteyen girişimcilerin sayısında bir artış gözlendi. Bunun en büyük örneklerinden biri, İsrail Savunma Kuvvetleri’nin istihbarat biriminde çalışmış olan üç kişi tarafından kurulan Axonius.
Daha fazla finansman, daha az yatırım turu
Geçtiğimiz yıl içinde İsrail’deki siber güvenlik ekosisteminde daha az şirketin daha yüksek miktarlarda finansman sağladığı görülüyor. İsrailli siber güvenlik şirketleri geçtiğimiz yıl 847 milyon dolar finansman sağladı, bu miktar 2016’da 689 milyon dolardı.
Sermaye toplama aşamalarına bakıldığında, çekirdek aşamasında %14’lük; A serisi (birinci tur) aşamasındaysa %46’lık bir düşüş görüldü. Öte yandan, bir sonraki aşama olan B serisinde (ikinci tur) %218; sermaye büyümesi aşamasındaysa %165’lik bir artış görüldü. 2017 yılında ayrıca siber güvenlik şirketlerine yapılan yatırımın tur sayısı 63’e düştü. Bu sayı, 2016’da 72’ydi.
Bu durum, girişim sermayesi yatırım fonu alanında gözlemlenen küresel trendle uyum içinde. Tech Crunch’a göre, girişim sermayesi yatırım fonu anlaşmalarının hacmi birkaç yıldır azalıyor. Bu düşüş, yatırımın ilk aşamalarında gözlemlenen düşüşle açıklanıyor. Nitekim sonraki aşamalarda, işlem hacmi önemli oranda yüksek kalmaya devam ediyor.
Bunun da muhtemel sebebi, şirketlerin özellikle son aşamadaki fırsatlara yoğunlaşması ve kendi pazarlarında yükselmesi muhtemel olan diğer şirketlere karşı daha agresif bir tutum sergilemesi. Tech Crunch’a göre, bu eğilim İsrail’in siber güvenlik ekosisteminde de görülen bir eğilim.
2017 Siber Güvenlik Trendleri
2017’nin en çok yatırım alan alanları, ağ güvenliği, mobil güvenlik ve zafiyet ve risk yönetimi gibi geleneksel bilgi teknolojileri alanları oldu. Bu konuda öne çıkan diğer bir alansa IoT (Nesnelerin İnterneti) güvenliği. Bu alanda birçok yeni şirket kuruldu ve var olanlar gelişimini sürdürdü.
Akıllı cihazların günlük hayata iyice girmesiyle, IoT güvenliği üzerine çalışan şirketlerin sayısının arttığı düşünülüyor. Hatta bu alanda, akıllı ev koruması, otonom araçların güvenliği ya da medikal cihaz çözümleri gibi birçok alt kategori ortaya çıktı. Özellikle medikal cihaz koruması bu sene kendini en çok gösteren alanlardan oldu. Yeni kurulan girişimler, sağlık kuruluşlarını siber saldırılara karşı koruma üzerine çalışıyor.
Siber güvenlik şirketleri yazılım şirketlerinden daha iyi
İsrailli siber güvenlik şirketleri, 2017 yılında toplamda 1,3 milyar dolarlık şirket çıkış değerine ulaştı. Bunun içine ilk halka arzlar dahil değil. Her bir çıkışın ortalama değeri 130 milyon dolar oldu ve siber güvenlik şirketlerinin çıkışıyla yaklaşık 17 milyon dolarlık bir sermaye elde edildi. Bu rakamlar, İsrail’deki siber güvenlik şirketlerinin, daha yüksek değerlere ulaşıp daha hızlı çıkış yaparak ülkedeki yazılım şirketlerine göre çok daha iyi performans sergilediğini gösteriyor. Bu sene öne çıkan şirket çıkışları arasında Symantec tarafından satın alınan Fireglass ve Skycure; Microsoft’un aldığı Hexadite, Palo Alto Networks tarafından satın alınan LightCyber ve Continental’in aldığı Argus Cyber Security var.
Gelişmeye devam eden siber güvenlik ekosistemi
2017 yılında yeniliğin bilgi güvenliği ve savunma alanlarında oynadığı rolün önemini görüldü. 2018’de İsrail’in siber güvenlik alanında yetenekli insan kaynağına yoğunlaşacağı ve küresel pazarları hedef alan kapsamlı çözümlere odaklanacağı bekleniyor. Yukarıda bahsedilen eğilimlerin 2018’de de devam edeceği düşünülüyor. Yani daha az start-up ve daha fazla sermaye ile sektörde büyüme yaşanacağı tahmin ediliyor.
İsrail’in sürekli olgunlaşan ve gelişen start-up ekosistemi, bu ayın sonunda Tel Aviv’de gerçekleşecek Cybertech Israel adlı yıllık konferansta bir kere daha masaya yatırılacak.
Siber Bülten abone listesine kaydolmak için doldurunuz
