Umay SAMLIComputer Scientist
← All blogs
Jan 15, 2025·5 min read

Siber Güvenliğe Girişe Giriş

Siber GüvenlikKariyerSertifikalarRed TeamBlue Team

Siber güvenlik nedir?

Siber güvenlik, elektronik sistemlerin, ağların, cihazların ve verilerin kötü niyetli siber saldırılardan korunmasına yönelik uygulamalar bütünüdür. Hem bireyler hem de kurumlar için kritik bir alandır.

Genel Alan Haritası ve Açıklamaları

Aşağıdaki harita, siber güvenliğin farklı uzmanlık alanlarını ve bu alanlardaki kariyer fırsatlarını özetlemektedir. Çeşitlilik ilk bakışta göz korkutucu görünse de her alanın temel rollerini anlamak, kendinize en uygun yolu seçmenize yardımcı olacaktır.

Henry Jilang — Siber Güvenliğin Alanları Haritası

Risk Değerlendirme (Risk Assessment)

Risk değerlendirme, sistemlerdeki zafiyetlerin ve risklerin belirlenmesine odaklanır. Bu alanın en bilinen alt dalı sızma testidir (penetration testing). Genellikle siber güvenliğin tamamının bundan ibaret olduğu düşünülse de sızma testi, aslında risk değerlendirmenin yalnızca küçük bir parçasıdır. Bu alan; zafiyetlerin keşfedilmesini ve giderilmesine yönelik önerilerin sunulmasını kapsar. Riskleri tespit etmeyi ve analiz etmeyi seviyorsanız, bu alan size uygun olabilir.

Yönetim (Governance)

Yönetişim, bir kurumun siber güvenlik stratejilerinin geliştirilmesini ve standartlara uygun biçimde yönetilmesini kapsar. Sistem verimliliğini, güncelliğini ve politikalara uyumu sağlar. Organizasyon yönetimini siber güvenlikle birleştirmek isteyenler için ideal bir alandır.

Tehdit İstihbaratı (Threat Intelligence)

Bu alan, siber saldırılar sonrasında toplanan verileri analiz ederek olası saldırganları ve kullandıkları yöntemleri belirlemeye odaklanır. Dedektiflik yönü güçlü olanlar için oldukça ilgi çekici bir alandır.

Güvenlik Operasyonları (Security Operations)

Güvenlik operasyonları, sistemlerin 7/24 izlenmesini ve olaylara hızlı müdahale edilmesini sağlar. Siber güvenliğin savunma hattının ön saflarında yer alır. Savunma odaklı, operasyonel bir rol arayanlar için uygundur.

Güvenlik Mimarisi (Security Architecture)

Bu alan, sistemlerin baştan sona güvenli biçimde tasarlanmasına odaklanır. Mimari planlamayı teknik uzmanlıkla birleştirir.

Uygulama Güvenliği (Application Security)

Uygulama güvenliği; yazılımların güvenli geliştirilmesini, şifreleme tekniklerinin uygulanmasını ve olay müdahale mekanizmalarının yazılım düzeyinde oluşturulmasını kapsar.

Fiziksel Güvenlik (Physical Security)

Bu alan, sistemlerin fiziksel olarak güvenli ortamlarda barındırılmasını sağlar. Özellikle yüksek güvenlik gerektiren kurumlarda kritik bir rol oynar.

Kullanıcı Eğitimi (User Education)

Kullanıcı eğitimi, insan kaynaklı hataları azaltmak amacıyla eğitim materyalleri oluşturmayı ve bilinçlendirme çalışmaları yürütmeyi kapsar. İnsan odaklı güvenlik alanlarına ilgi duyanlar için uygundur.

Kariyer Gelişimi (Career Development)

Kariyer gelişimi, sektördeki profesyoneller için eğitim programları ve sertifikasyon süreçleri geliştirmeyi kapsar. Sektörün mesleki gelişimini destekler.

Peki Ne Yapmalısınız?

Her alanı tam anlamıyla öğrenmek mümkün değildir. Bu nedenle öncelikle teknik bir kariyer mi yoksa yönetim odaklı bir kariyer mi istediğinize karar vermeniz gerekir. Teknikten yönetime geçiş mümkündür; ancak yönetimden teknik alana geçiş çok daha zordur. Security+ gibi temel bir sertifika, alanı keşfetmeye başlamak için iyi bir başlangıç noktasıdır.

Security+

Siber güvenlik alanlarını basitleştirmek için üç ana kategori altında toplayabilirsiniz:

  • Kırmızı Takım (Red Team): Saldırı odaklı güvenlik ve risk yönetimi
  • Mavi Takım (Blue Team): Savunma güvenliği ve olay müdahalesi
  • Yönetim (Management): Kaynak yönetimi ve denetim

Kırmızı Takım (Red Team)

Kırmızı takım rolleri; risk yönetimi ve saldırı (offensive) güvenliğini kapsar. Temel düzeyde sızma testi becerileriyle başlayıp zamanla ileri seviye sertifikalara doğru ilerlemek gerekir. Yaygın bir yol haritası şu şekilde olabilir:

  • eJPT
  • eCCPT
  • OSCP

Hedeflerinize uygun sertifikaları seçmek için her birinin değerini ve içeriğini araştırmanız önemlidir.

Mavi Takım (Blue Team)

Mavi takım rolleri birçok uzmanlık alanını kapsar; ancak genel bir yol haritası izlemek mümkündür. Security+ temelinin üzerine aşağıdaki sertifikalara yönelebilirsiniz:

  • BTL1 veya CyberOps Associate (ikisi arasından birini seçmeniz yeterlidir)
  • BTL2

İleri seviye eğitimler ve sertifikalar, seçtiğiniz uzmanlık alanına göre belirlenmelidir. İSMEK, CyberOps Associate için her yıl kurslar açmakta ve katılımcılara indirimli sınav kuponları sağlamaktadır.

Yönetim (Management)

Security+, yönetim odaklı roller için güçlü bir temel sunar. Zorlayıcı olsa da CISSP, bu alanda altın standart olarak kabul edilir. Orta seviye sertifikaları incelemek de faydalı olabilir. Yönetim rolleri, siber güvenlik operasyonlarını etkili biçimde kavrayabilmek ve yönetebilmek için farklı alanlarda genel bilgi sahibi olmayı gerektirir.

Sertifikasyon Haritası ve Genel Tavsiyeler

Bahsedilen sertifikalar, karşılaştığım üst düzey (senior) profesyonellerin deneyimlerine ve kendi yolculuğuma dayanmaktadır. Ben şu anda Security+, eJPT ve BTL1 üzerine çalışıyorum. Şunu belirtmek gerekir: Bu sertifikaları gerçek anlamda kavramak (yönetim odaklı olanlar hariç) genellikle işletim sistemleri ve bilgisayar ağları konusunda temel bilgi gerektirir. CCNA ve LPIC-1 gibi sertifikalar bu temeli güçlendirebilir; ancak asıl hedefiniz hâline gelmemelidir. Bunları yalnızca anlayışınızı derinleştirecek destekleyici hedefler olarak görmelisiniz.

Aşağıda, siber güvenlik sertifikalarının sektörde nerede konumlandığını ayrıntılı biçimde gösteren bir sertifikasyon haritası bulunmaktadır. Yüzde yüz doğru olmasa da en kapsamlı haritalardan biridir. Sertifikaları ve yapılan yorumları inceleyerek kendi çıkarımlarınızı yapabilirsiniz.

Paul Jerimy — Cyber Security Certification Road Map

Son Notlar

Siber güvenlik alanlarını inceledik ve ilgili sertifikalardan bahsettik. Ancak tüm kaynakların sertifikalar etrafında döndüğünü düşünmemenizi isterim. Sektörde sertifikaların taşıdığı önem nedeniyle sertifika odaklı bir yaklaşım sundum. Aşağıda faydalı olabilecek ek kaynakları bulabilirsiniz:

  • Hack the Box: Zorlayıcı makinelerde sızma testi pratiği yapmak için oluşturulmuş bir platformdur.
  • TryHackMe: Hem Kırmızı Takım hem de Mavi Takım eğitimleri için kaynaklar ve laboratuvarlar sunar. Başlangıç ve orta seviye için oldukça iyi bir platformdur.

Ayrıca ISO ve NIST gibi kurumlar, yönetişim (governance) alanı için değerli olabilecek düzenleme belgelerine ücretsiz erişim sağlar. Özellikle NIST, çok geniş bir ücretsiz kaynak yelpazesi sunmaktadır.