Keren Elazari, uluslararası alanda tanınmış bir güvenlik analisti, yazar ve araştırmacıdır. Keren, 2000 yılından bu yana İsrail’in önde gelen güvenlik firmaları, devlet kurumları, yenilikçi start-up’lar ve Fortune 500 şirketleriyle çalıştı. BSidesTLV ve Lider Siber Bayanlar’ın kurucusu ve Tel Aviv Üniversitesi’nde araştırma görevlisidir.
Bu Help Net Security röportajında hacker zihniyetini ve bunun siber güvenlik üzerindeki etkisini tartışıyor. Siber güvenlik stratejilerinde etik hackleme becerilerinin önemini araştırıyor ve hata ödül programlarının siber savunmaları güçlendirmedeki ve teknoloji ekipleri içinde yeniliği teşvik etmedeki rolünü vurguluyor.
Deneyimlerinize göre, bir kişiyi siber tehditleri belirleme ve önleme konusunda mükemmel kılan temel özellikler nelerdir?
Bence en iyi analistler, paranoya ve yaratıcılığın benzersiz bir karışımını kullanabilen insanlardır. Görünüşte ilgisiz olaylar arasındaki noktaları birleştirmek ve bir anormalliğe bakıp onu daha büyük bir senaryo, potansiyel bir ihlal bağlamında anlamak, gerçekten sezgisel bir yetenektir. Basitçe söylemek gerekirse, sürekli olarak hayal edilemeyeni sorguluyor ve hayal ediyorsanız siber güvenlik sizin için harika bir kariyer seçimidir.
Modern siber güvenlik stratejilerinde etik hackleme becerileri ne kadar hayati önem taşıyor?
Dost bilgisayar korsanlarına internetin bağışıklık sistemi adını vermeyi seviyorum. Bilgisayar korsanları beklenmedik şekillerde düşünme, boşlukları herkesten önce tespit etme ve bulma konusunda esrarengiz bir yeteneğe sahiptir. 2014’ten bu yana araştırma çalışmalarıma odaklandığım konulardan biri de hata ödül programlarının giderek daha fazla benimsenmesidir.
Vahşi Batı’da bir şerifin, halkın kötü adamları bulmasına yardım etmesini sağlamak için nasıl bir ödül teklif edebileceğini hepimiz biliyoruz. Çağımızda, hata ödül programları (güvenlik açığı açıklama/ödül programları), Intel, Microsoft, Google, Apple, Meta gibi şirketlerin bilgisayar korsanlarına yazılım hatalarını veya tasarım hatalarını bulmaları için bir ödül sunmanın bir yoludur – bunlar bile çok büyük, iyi üst düzey mühendislere sahip, finanse edilen şirketler, kendi güvenlik incelemelerinde gözden kaçırılıyor.
Düzinelerce Fortune 500* şirketi, siber savunma stratejilerinin harici bir unsuru olarak dost bilgisayar korsanlarının gücünden yararlanan bu tür programlara sahiptir. Umarım bunu yapan daha fazla şirket görürüz!
*(2024 yılında Forbes 500 listesindeki ilk 50 şirketten 17’sinde, çoğunlukla teknoloji ve iletişim sektöründeki şirketlere yönelik bir hata ödül programı bulunuyor).
Bilgisayar korsanı zihniyeti, özellikle yazılım geliştirme ve veri bilimi alanlarında teknoloji ekipleri içinde yeniliği nasıl teşvik ediyor?
Hacker zihniyetinin sınırlamalara karşı sağlıklı bir saygısızlığı vardır. Statükoya meydan okumaktan ve sorunlara “ya şöyle olursa” zihniyetiyle bakmaktan hoşlanır: “ya bunu kötü niyetli bir aktör yaptıysa?” veya “Veri güvenliğine farklı bir açıdan bakarsak ne olur? Bu, teknoloji ekiplerini kodun dışında düşünmeye ve daha alışılmadık çözümler keşfetmeye itiyor.
Hacking özünde yeni teknolojiler yaratmak veya mevcut teknolojileri beklenmedik şekillerde kullanmakla ilgilidir. Bu merakla, bilgi arayışıyla, “bu başka ne işe yarayabilir?” diye merakla ilgilidir. Bunu The Matrix gibi filmlerle ilişkilendirebilirim; gerçekliği “salt okunur” bir durum olarak kabul etmemekle ilgilidir. Bu, teknik gerçekliğinizi değiştirmekle, hangi yazılım öğelerinin manipüle edilebileceğini, değiştirilebileceğini veya tamamen yeniden yazılabileceğini öğrenmekle ilgilidir.
Merak kültürünü ve sürekli öğrenmeyi teşvik etmek bir kuruluşun özellikle teknolojideki başarısını nasıl etkiler?
Merak, büyümeyi hızlandıran en önemli unsurlardan biridir. “Her şeyi sorgula” yaklaşımına sahip kuruluşlar, yeni tehditlere ilk uyum sağlayacak; fırsatları ilk yakalayan; ve son olarak geçerliliğini yitirecek. Benim için ideal organizasyonlar, denemeyi teşvik eden ve başarısızlığı ilerleme olarak kutlayan, teknoloji odaklı oyun alanlarıdır.
Öğrencilerini teknoloji ve siber güvenlik alanlarında keşfetmeye ve başarılı olmaya teşvik etmek için eğitimcilere ne gibi tavsiyelerde bulunursunuz?
Pink Floyd’un ünlü sözü “Hey öğretmenim, çocukları rahat bırakın”. Eğitimciler öğrencilerin doğal özgürleşme arzusunu benimsemeli ve onları hacklemeye, tamir etmeye ve bir şeyleri kırmaya (tabii ki yasal olarak) teşvik etmelidir. Daha sonra öğrencilere yeniden inşa etmeleri için alan tanıyın – ancak çok önemli bir değişiklikle – cevapları teslim etmeyin.
Sorun giderme sürecinde onlara rehberlik edin, hatalarını analiz etmelerine yardımcı olun ve kırdıkları şeyleri düzeltmek için yaratıcı çözümler bulmalarını sağlayın. Eğlenceli hale getir! Siber güvenliğin tamamen karamsar ve kasvetli olması gerekmiyor.
Öğrencilere muhteşem şeyler inşa etmek ve dünyayı daha iyi bir yer haline getirmek için becerilerinin nasıl kullanılabileceğini gösterin. Bir öğretmenin öğrencileri için yapabileceği en önemli şeyin onlara ahlaki pusulayı, becerilerini NASIL ve NEDEN kullanmaları gerektiğine dair rehberlik sağlamak olduğuna inanıyorum.