Etik Hacking ve Penetrasyon Testlerine Nereden Başlamalı? 

İstihdam sektörüne bakıldığı zaman siber güvenlik pozisyonlarının sunduğu imkanlar hem harika hem de yükselişte, peki “tek seferlik gri tarafı” temsil eden etik hacking ve penetrasyon testleri ne duruda? İyi insanlara yardım etmek rolünü nasıl üstlenebilirsiniz? Siber güvenlik alanında en çok talep edilen pozisyonlardan birini elde edebilmek için hangi yetenek grubunu geliştirmeniz gerekiyor? İşte yanıtlar…

Bir penetrasyon testi uygulayıcısı veya “pentester”, bilgisayar sistemlerinde denetleme testleri ve hassasiyet değerlendirmesi gerçekleştirir. Amaç, ileride kötü aktörler tarafından ifşa edilebilecek hassasiyetlerin tespit edilmesini sağlamaktır. Genelde hibrit gibi özelleşmiş ortamlarda görev alan pentester’lar, talebe göre bir IT ekibine dışarıdan destek verebileceği gibi serbest çalışan olarak da bir siber güvenlik ekibinin parçası haline gelebilir. Ayrıca, özelleşmiş ajansların bünyesine dahil olarak hizmet verebilirler.

White hat, beyaz şapkalı hacker veya etik hacker, rol icabı pentester’a yakındır, ancak daha geniş bir anlam barındırırlar. White hacker, daha çok kendi başlarına çalışan ve bug bounty (hassasiyetleri ve güvenlik açıklarını tespit ederek karşılığında belli miktar ödül almak) ile ilgilenen, bağımsız yasal işlemler yürüten kişileri temsil eder. Etik hacker, organizasyonlardaki güvenlik zafiyetlerini ifşa etmez, tersine yamanmaları için bildirim yapar. Ek olarak organizasyonlara güvenlik danışmanlığı yapabileceği gibi talep üzerine ağları test edebilir ve sistemlerdeki zafiyetlerin giderilip giderilmediğinin kontrolünü üstlenebilir…

Bu çok benzer unvanları değerlendirirken “Penetrasyon Test uzmanı”, LinkedIn üzerinde kendinizi tanıtmak isteyeceğiniz unvan olabilir. Etik veya White Hacker ise daha çok bazı platformlarda kullanmak isteyeceğiniz ve etik hedefler ile ‘nispeten daha serbest’ bir rol sergileyeceğiz unvanlar olacaktır.

Neleri bilmeniz gerekiyor? 

Pentester veya etik hacker olmadan önce, güvenlik sistemleri ve bilişim teknolojileri üzerinde somut bir bilgi dağarcığına sahip olmak gerekiyor. Eğer IT (bilişim teknolojileri) ve siber güvenlik ile ilgilenip problem çözmekten hoşlanıyorsanız, bu alanlar hızlı gelişen ve heyecan veren alanları temsil ediyor. Ödül kazandırabildikleri gibi belli durumların, hassasiyetlerin ve kötü aktörlerin önüne geçebilmeniz için belli bir düşünce yapısı da gerektiriyor.

Belli disiplinler üzerinde sahip olacağınız güçlü anlayış pentesting ve etik hacking alanında ilk adımlarınızı atmanızı sağlayacaktır. IT destek ekipleri, IT güvenlik ekipleri veya bir siber güvenlik ekibinde stajyer olarak elde edilecek tecrübe, ilk kapıdan geçmek için harika bir fırsat sunabilir.

– Windows, MacOS ve Linux işletim sistemi çevreleri,

– Uygulama ve ağ güvenliği – ağ ve uygulama seviyesinde güvenlik varlıkları ve tarama trafiği.

– Teknik dokümanların oluşturulması – kullanıcıları için kılavuzluk görselleri hazırlanması, ürün ve API (uygulama programlama arayüzü) belgeleri, kılavuz ve öğretici belgelerin hazırlığı.

– Programlama dilleri – Python, Perl, Java, PHP, Bash, Powershell, Golang veya Ruby gibi kurgulama için kullanılanlar tercih edilir.

– Tehdit modellemesi – Yapısal hassasiyetleri veya gözardı edilen güvenlik önlemlerini tespit etmek.

– Güvenlik değerlendirme araçları – WireShark, Nmap, Metasploit ve Imperva Scuba veya Imperva Snapshot gibi araçlar kullanılması.

– Kriptografi – gizliliğin, bütünlüğün, veri erişiminin ve genel güvenli iletişimin bulunduğunu temin etmek.

– Bulut mimarisi – bileşenlerin bulut çevresi oluşturmak için nasıl bir araya geldiğine yönelik güçlü bir algı ve değerlendirme yeteneği.

– Uzaktan erişim teknolojileri – Sanal Özel Ağlar (VPNs), PAM (Özelleşmiş Erişim Yönetimi)/VPAM (Satıcı Özelleşmiş Erişim Yönetimi) veya masaüstü paylaşımı hakkında temel bilgilere sahip olmak.

– Genel, en iyi güvenlik uygulamaları ile haşır neşir olmak – Çok adımlı doğrulamadan şifre yöneticilerine, oltalama önleyici yöntemlerden genel yüksekokul eğitimine kadar bilgi ile haşır neşir olmak. Güvenlik duvarlarının, IPS/IDS sistemlerinin, iletişim protokollerinin, sanal çevrelerin, veri şifrelemenin ve benzeri işlemlerin önemini bilmek ve uygulamak.

Hangi yeteneklere sahip olduğunu en başından bilmek, somut bir gelişim süreci için kendinizi yönlendirmenizi sağlayacaktır. Bireysel gelişiminizin temelini kurmak, Etik Hacker, Penetrasyon Testi uzmanı ve beyaz şapkalı bir dijital kahraman kategorisine çıkan merdivende harika bir ilk adım olur.

Siber güvenlik yeteneklerinizi geliştirmek 

Temel bilgilere sahip olmanızın ardından nasıl ilerleyeceksiniz? Eğer şirket içinde çalışıyorsanız red hat egzersizleri ya da yazılım ve güvenlik denetimleri için gönüllü olmanız, sahip olduğunuz yetenekleri geliştirmek için faydalı olacaktır.

Bilginizi Nmap, Wireshark, Kali Linux, John the Ripper, Nessus, Burp Suite veya OWASP ZAP Proxy gibi pentest yönetim platformları üzerinde geliştirmeniz ayrı bir avantaj sunar.

Yüksekokul ve üniversite eğitimlerinin yanı sıra gönüllü olarak çalışabilir, güvenlik eğitim sağlayıcılarına başvurabilir veya bireysel gelişim üzerine odaklanabilirsiniz. Web, geleneksel ve dark versiyonu dahil olmak üzere hacker bilgileri, haberleri ve en son siber güvenlik gelişmeleri hakkında bilgi veren çok sayıda kaynak mevcut. Bilgi Güvende, bunlardan biri. Nihayetinde yeni güvenlik açıkları, çözüm arayışları ve hassasiyetlerden haberdar olmak için hacking topluluğuna dahil olmanız gerekecek. Bu dünyaya parmaklarınızı daldırmanız bir zarar vermeyeceği gibi ufkunuzu genişletecek.

Gözden geçirmek isteyeceğiniz sayfalar arasında Hack the Box, VulnHub, TryHackMe, Cohackers, LetsDefend, PENTESTON veya HackThisSite olabilir. Daha resmi ve üst seviye eğitimleri çin IBM “Cybersecurity Analyst Professional Certificate” aracılığı ile profesyonel sertifika sunarken, Open University BSc (Honours) Cyber Security de değerlendirebilir. Yerel enstitüler siber güvenlik dereceleri ve genel nitelikler sunarken, bu seçenekler yukarıda sunulan bağlantılar gibi etik hacking veya pentest alanında özelleşmiş değil.

Yoğun bir sektörde pen testing işi bulmak 

Gerekli niteliklere sahip olduktan sonra, etik hacking ve pen testing alanında nasıl tecrübe kazanacaksınız?

Özelleşmiş bir IT istihdam şirketi bulun ve pentester rolü için daha iyi bir anlayış edinin. Öte yandan, bu adım ilk seçenek olmak zorunda değil, piyasaya girmek için farklı seçenekler de söz konusu.

Siber güvenlik alanında çok sayıda uzman iş ilanı platformu bulunuyor. Ayrıca çalışmalarınızı bu tür sayfalarda tanıtmak faydalı olacaktır.

Eğer potansiyel bug-bounty fırsatlarına bakıyorsanız, Bug Bounty Programme altında harika ve güncel bir liste bulabilirsiniz.

Siber güvenlik profesyonelleri için talep yüksek olduğu için gelecekte de bu durum değişmeyecek. Günümüzde bilişim güvenliği alanında her türlü disiplini kapsayan bir iş gücü açığı var ve bu durumun önümüzdeki yıllarda artarak devam etmesi bekleniyor. Eğer etik hacking veya pentesting’in değerli bölgesinde bir yer edinmek istiyorsanız, haritanızı çantanızdan çıkarıp yola koyulmanın tam vakti…