Yazılım, işin hemen hemen her bölümünü güçlendirir, yani saldırganlar güvensiz koddan yararlanma şansına sahiptir. CMD+CTRL Security’den yeni bir rapor, takımların siber menzil eğitimi yoluyla savunmalarını nasıl oluşturduğuna bakıyor. 1.000’den fazla siber menzil etkinliğine ve 600.000 tamamlanmış zorluğa dayanarak, çalışma ekiplerin nerede iyileştiğini ve önemli güvenlik becerilerinin hala eksik olduğunu gösteriyor.
Uygulamalı eğitim gerçek sonuçları yönlendirir
Geleneksel eğitim genellikle ekipleri gerçek dünya tehditlerine hazırlayamaz. Siber aralıklar, katılımcıların kırık erişim kontrolleri, enjeksiyon saldırıları ve yanlış yapılandırmalar gibi gerçekçi güvenlik açıklarıyla karşılaştıkları simüle ortamlar yaratır. Rapora göre, tekrar katılımcılar zaman içinde performanslarını yüzde 120’den fazla artırdılar ve ilk kez öğrenenlerin neredeyse iki katı zorluğu çözdüler. Bu, devam eden, siber menzil eğitiminin ekiplerin bilgiyi korumalarına ve becerilerini sürekli olarak geliştirmelerine yardımcı olabileceğini göstermektedir.
Raporda ayrıca katılımcıların yüzde 70’inin yazılım geliştirme rollerinden geldiğini ve güvenli kodlama eğitimine olan ihtiyacı güçlendirdiğini buldu. Bununla birlikte, güvenlik savunucuları ve kırmızı ekip üyeleri, işlevler arası eğitimin değerini vurgulayarak en iyi performans gösterenler olma eğilimindeydi.
Yeni başlayanlar deneyimli profesyonelleri gölgede bırakıyor (Kaynak: CMD+CTRL Security)
Erken kariyer profesyonelleri büyümenin anahtarıdır
En çarpıcı bulgulardan biri, sıfır ila üç yıllık deneyime sahip genç profesyonellerin becerilerdeki en hızlı büyümeyi göstermesidir. Etkinlik başına ortalama olarak daha deneyimli akranlardan daha yüksek puan aldılar ve sürükleyici, oyunlaştırılmış eğitimin özellikle yeni yetenekler için etkili olduğunu gösterdiler.
Güvenlik liderleri için bu, erken kariyer eğitim programlarına yatırım yapmanın ve yapılandırılmış öğrenme yolları sağlamanın hızlı bir şekilde güçlü bir yetenek boru hattı oluşturabileceğini göstermektedir. Deneyimli ekip üyelerinin devam etmek için hala gelişmiş zorluklara ihtiyacı var, ancak en büyük geri dönüş yeni gelenlerin hızla artmasına yardımcı olmaktan geliyor.
Takımların mükemmel ve nerede mücadele ettikleri
En çok tamamlanan zorluklar, özellikle kırık erişim kontrolü, siteler arası komut dosyası ve enjeksiyon kusurları olmak üzere OWASP ilk 10 riskine odaklandı. Bunlar, organizasyonların her gün gördükleri tehditlerle yakından uyumlu olarak, gerçekçi senaryoların eğitim alaka düzeyi için gerekli olduğunu gösteriyor.
Aynı zamanda, hassas veri maruziyeti ve kırık kimlik doğrulama gibi kilit alanlarda birçok temel ve temel zorluk sık sık kaçırıldı. Bu, bazı temel kavramların güçlendirilmediğine işaret eder. Rapor, öğrencilerin bu yapışma noktalarının üstesinden gelmelerine yardımcı olmak için rehberli ipuçları ve yapılandırılmış izlenimler eklemeyi önermektedir.
Dengeli bir eğitim stratejisi oluşturmak
Veriler, orta düzey zorlukların en fazla öğrenme ilerlemesini artırdığını ve tamamlanan tüm zorlukların yüzde 45’inin bu kategoriye düştüğünü göstermektedir. Temel aralıklar işe alım için değerlidir, üst düzey personele meydan okumak için gelişmiş aralıklar gereklidir. Çok yönlü bir program, işgücü boyunca katılımı sürdürmek için üç seviyeye de ihtiyaç duyar.
Rapor aynı zamanda farklı öğrenme türlerini harmanlamanın önemini de vurgulamaktadır. Siber aralıklar, yapılandırılmış bir yolculuğun bir parçası olarak kurslar, değerlendirmeler ve kapak taşı etkinlikleri ile birleştirildiğinde en iyi şekilde çalışır. Bu entegre yaklaşım, bağımsız kurslara kıyasla daha yüksek katılım ve daha güçlü sonuçlara yol açar.
Başarıyı ölçmek ve yatırım getirisini kanıtlamak
Cisos için, siber aralıkların en değerli yönlerinden biri sağladıkları verilerdir. Zorluk tamamlama oranları, hız ve zaman içinde ilerleme liderlerine takımlarının nasıl geliştiğini gösterir. Bu içgörü, ortaya çıkan en iyi performans gösterenleri belirlemeye, promosyonlara rehberlik etmeye ve eğitim bütçelerini haklı çıkarmaya yardımcı olur.
Güvenlik liderleri gerçekçi, uygulamalı ortamlara ve izleme performansına yatırım yaparak beceri boşluklarını kapatabilir, katılımla hızlandırabilir ve esnek ekipler oluşturabilir. Siber aralıklar daha yaygın hale geldikçe, kuruluşların genel güvenlik hazırlıklarını nasıl ölçüp geliştirmede merkezi bir rol oynamaya hazırlanırlar.