Siber güvenlik camiasının dikkatle izlediği, ya tamamen karşısında ya da yanında yer alınan Siber Mücadele eğitiminde nedir, ne değildir, neyi amaçlamaktadır sorularına yanıtlar aradığım bir blog yazısı olmasını amaçlamaktayım.
İlk dönem öğrencileri olarak kişisel yorumlarımla anlatmaya çalışacağım, burda ne övmek ne de yermek gibi bir amacımın olmadığını, tamamen tarafsız olarak ele aldığımın bilinmesini isterim. Eğitimi düzenleyen Kubilay Onur Güngör ile bu eğitim sayesinde tanıştığım notunu da ekleyeyim ki tarafsızlığıma inanın.
İngilizce adı ile Cyber Struggle yani siber mücadele eğitimi birçok disiplini kapsayan eşine az rastlanır hatta çoğunlukla devletlerin ordu düzeyinde planladığı bir eğitim modelidir. 7. haftayı geride bırakmış biri olarak bunu rahatlıkla söyleyebilirim. Bir çok siber güvenlik eğitimi bilindiği üzere tek bir konuya odaklanır ve 3 ile 5 gün arasında sürededir. Bu süre içerisinde kullanılan araçlar ve terminoloji aktarılır siz ne kadar çabalarsanız o kadar anlarsınız. Hiç bir eğitim kötü değildir, öğrenci ne kadar iyiyse o kadar iyidir yaklaşımı ile düşünüyorum. Tam bu nokta Cyber Struggle'ın kırılım noktasıdır. Çünkü eğitime başladığımız ilk gün Kubilay hocanın söylediği bu cümle dikkatimizi çekti; "Ben yıllarca kötü öğrenci yoktur, kötü öğretmen vardır diye savundum. Bugün öğretmen konumundayım ve bu savımı hala destekliyorum". Net bir şekilde anlaşılacağı üzere eğitimde maksimum verimin alınabilmesi için her türlü detay düşünülmüş. Hatta açık söylemem gerekirse benden 2 yaş küçük olmasına rağmen sektörel bilgi ve tecrübesinin üstüne o kadar ilginç uygulamalara denk gelirsiniz ki karşınızdakinin 40-50 yaşında olmasını beklersiniz. Tabi böyle iddialı bir eğitim mottosuna karşın öğrenci seçimleri de çok ilginçtir. Hiç bir öğrenciden teknik bilgi aranmamaktadır. En azından bizim dönemde böyle oldu. Düşünün ki pentest eğitiminden malware analizine uzanan 10 haftalık bu maratonda "sıfır" noktasından başlıyorsunuz! Şuanda sektörden, iletişim fakültesi öğrencisine bir çok arkadaşımla birlikte eğitim alıyorum. Okurken imkansız dediğinizi duyar gibiyim. İmkansız yoktur, az uyku, azim, takım çalışması vardır diyor Kubilay hoca. Nitekim bizden daha az uyuyan, bizden daha çok çalışan bir yapıya sahip. Zaten bu yaşına rağmen böyle olmasa bu birikimin olması sanıyorum imkansıza yakın olurdu.
Siber güvenliğin ülkemizde ve dünyada aranılan bir meslek, özellik olduğu çok aşikar. Önemini anlamak için nükleer tehditten sonra siber savaşın geldiğini de belirtmekte fayda var. Enerji sistemleri, ulaşım, iletişim, finansal sistemler derken ülkelerin tüm kritik yapıları internet üzerinden birbirine bağlı. Bu da büyük bir savunma mekanizmasına ihtiyacı arttırmakta. Bunları zaten biliyoruz, duyuyoruz. İşte tam bu noktada ülkemizde ve dünyada sektöre donanımlı insanlar yetiştirilmenin önemi artıyor. Hele ki böyle çok kapsamlı bir eğitimin ülkemizde olması şahsi fikrimce bulunmaz bir nimet. Ülkemizde sayıları oldukça az olan siber güvenlik firmalarına da yetişmiş eleman ihtiyacını karşılamak adına kesinlikle desteklenmesi gereken bir eğitim.
Bir çok meslekte olduğu gibi siber güvenlikte de karşılaştığımız öğrendiğini sakla ve tek adam ol mantalitesini bu eğitimle yıkıyoruz, yerle bir ediyoruz. Eğitim sırasında sadece ilgili konuyu, araçları öğrenmiyoruz aynı zamanda aktif olarak karşılaşılan durumları yani parayla satın alamayacağınız "tecrübeyi" de alıyoruz. İşte burada yine Kubilay hocanın söylediği "hepiniz en az benim kadar iyi olun" mottosu devreye giriyor. Sanıyorum daha önce bu tarz eğitimlere katılmış olanlar bu cümleye çok yabancı kalacaktır. Çünkü eğitimler "parayı al, araçları göster, ödevleri ver, varsa sertifika sınavına hazırla ve çekil" üzerine kurulu. Yazının başında da söylediğim gibi hiç bir eğitimi kötüleyip bu eğitimi yukarı taşıma derdinde değilim. Ama değişmesi gereken bir eğitim sistemine dikkat çekmek istiyorum. Devir "kali" kurup tarama yapma devrini geride bırakıyor. 15-18 yaş arası gençler de artık bu tarama işlerini yapar duruma geldi. Yalnız çoğunlukla yaptığı işin arkaplanını bilmeden, sonuçlarını görmeden yapmaktalar. Sonra haberlerde okuruz "... yaşındaki çocuk yakalandı". Çünkü yaptıklarının nasıl takip edildiğini, takip edilebileceğini, ulaşacağı sonucu hatta vereceği zararın farkında değiller maalesef.
Ve geldik eğitim içeriğine. Herşey sitesinde belirtiliyor aslında. Oldukça yoğun bir 10 hafta. Her eğitim sonrası gördüklerimiz ile ilgili geri bildirim yapıyoruz, bu bildirimler inceleniyor. Yani hocayı da eleştirebiliyoruz. Aynı zamanda her hafta yoğun rapor ve uygulamalar var. Bu uygulama ve raporlar kesinlikle eğitim bittikten sonra da uygulanması gereken, bize sonraki hayatımızda da birşeyler katacak uygulamalar. Eğitim sırasında birçok CTF, hazır sanal makineler üzerine çalışmalar yapılıyor. Hafta içi bol bol ödev var. Rapor yazmak sektörün en sevilmeyen işi olarak görülür ama olmazsa olmazıdır ve buna şimdiden alışmaya başlıyorsunuz. Şuana kadar 100'ün üzerinde uygulama oldu. Abartı gelebilir biraz ama tam sayı 130'un üzerindeydi diye hatırlıyorum ve daha 3 haftamız var :) Şöyle ilginç bir anıyı da ekleyeyim; bir sanal makina üzerinde çalışma yapıyoruz, reverse shell almaya çalışıyoruz ve bir anda tüm erişim gidiyor! Bir anda kendimizi "bunu kim yaptı" (investigation) araştırmasının içinde buluyoruz. Uygulama içerisinde uygulama çıkabiliyor :) Ben şehir dışında yaşadığım için her hafta sonu gidip geliyorum, bir işim var, ailem var. Yorgunluk, uykusuzluk diz boyu :) Düşünün ki birçok takım arkadaşım sadece eğitim ücretini karşılarken benim gibi birkaç arkadaş 1 eğitim masrafı da ulaşım ve konaklama için harcıyor. Çok basit şekilde değmeyecek olsa yapmazdım veya devam etmezdim diyerek bunu geçiyorum. Çok detaya girip içerdeki atmosferi, heyecanı da yoketmek istemiyorum. Karşınızda tam donanımlı, her halinizden sizi çözecek biri var bunu unutmayın :) Dinlediğiniz müzikten, konuşma tarzınıza kadar her detaya dikkat eden biri var :) Yaptığınız hiçbir uygulamanın öylesine verilmediğini unutmayın. Bazı uygulamalar başta angarya gibi gelecektir ama birkaç hafta sonra onun size ve eğitimten sonraki hayatınıza inanılmaz şeyler katacağını aklınızdan çıkarmayın. Bazen bir konuyu çok yüzeysel geçersiniz ve aklınızda "bunu bende öğrenebilirdim" diye geçirirsiniz. Sonra konunun alt yapısını farklı konularla destekledikten sonra tekrar o konuya döner daha kapsamlı görürsünüz. Hani ilkokuldan üniversiteye kadar gördüğünüz dersler gibi. İlkokulda da matematik vardır üniversitede de ama zorluk dereceleri ve detayları her yıl artar. İşte tam bu eğitimde de uygulanan yöntemdir bu. Seviyeniz uygun olmadan size konunun tüm detayları verilmez. Gün gelir, hafta geçer, ödevler, raporlar istenir ve ardından seviyenizle birlikte konuya tekrar dönülür ama daha üst seviyeden..
Uygulamalar, ödevler, raporlar derken kesinlikle uykuyu unutun :) Uykusu ağır olan bir çok takım arkadaşım var ama şuanda "incident" geldiğinde anında ayaktalar. Düşünün ki şirkette/kurumda gecenin bir vakti saldırı alıyorsunuz ve buna müdahale etmelisiniz, "uyanamadım" gibi bir mazeret sizin de sorumlusu olduğunuz şirketin veya kurumun da sonu demektir. İşte eğitimde bu alışkanlığı da kazanıyorsunuz. Benzeri daha birçok uygulama var. Dediğim gibi sektöre tam donanımlı "siber asker" yetiştiriliyor :) Incident nedir onu da eğitime katılıp görün :)
Sektöre ilgi duyan her yaştan, her seviyeden ama "takım olmayı başaracak" kişilerin katılmasını tavsiye ederim. Eğitimin tek ve değişmez şartı "takım" olabilmektedir. Eğer geçimsiz, huysuz, egosu tavan yapmış biriyseniz ve bunu değiştirmek istemiyorsanız uzak durmanızı tavsiye ederim. Çünkü sektörde yeterince ego sahibi insan var ve cyber struggle böyle biri yetiştirme derdinde değil. Siyasi görüşünüzün, yaşam tarzınızın bu eğitim için bir önemi yoktur, sorgulanmaz veya aranmaz.
Sektördeki firmalara da bu yazı ile nacizane haddim olmayarak seslenmek istiyorum. Bu eğitim ile size personel yetiştiriliyor. Ve gerçekten işine konsantre olabilecek insanlar yetiştirilme derdinde. Ben inanıyorum ki buradan sertifikasını başarıyla almış biri sizin tam aradığınız kişi olacak. Yazıyı özellikle dönem bitmeden yazmak istedim ki "reklam virali" gibi görülmeyeyim. Belki yeterli performansı sağlayamayıp sertifikayı haketmeyeceğim ama bildiğim birşey var ki o da her kuruşunu hakeden bir eğitim olduğu.
Anlatacak çok detay var ama o heyecanları eğitimde yaşamanızı isterim.
Train hard or go home!
Semper paratus semper fidelis!
Train hard or go home!
Semper paratus semper fidelis!
0 yorum:
Yorum Gönder