Güvenlik eğitimi kisvesi altında 50 slaytlık bir PowerPoint’in önünde oturmanın etkisiz olduğunu hepimiz biliyoruz. Üzerini kaplayan şeker yok. Üniversitedeyken, bir karatahta üzerindeki denklemlerle doluydu – esasen analog bir PowerPoint destesi. Hiç eğlenceli değildi ve eğitim yöntemlerinin en ufak bir gelişme göstermediğini gösteriyor.
Yetişkinlere öğrettiğinizde, çocuklarla veya daha genç öğrenicilerle çalışma şeklinizden çok farklıdır. Öğrenme ne kadar deneyimsel olursa o kadar iyidir. Eski bir öğretim görevlisi olarak, bu benim tutkulu olduğum ve hala tutkulu olduğum bir şeydi. Siber zekanızı yalnızca kitaplardan veya sunumlardan almak artık yeterli olmayacak – siber suçluların önüne geçmemizin tek yolu onların kafalarına girmek; nasıl davrandıklarını, nasıl düşündüklerini öğrenir, yöntemlerini ve motivasyonlarını keşfeder. Bunu ancak yaparak ve düşünce tarzınızı değiştirerek başarabilirsiniz.
Oyun oynayalım mı?
Uygulamalı eğitim, hem gelişmekte olan hem de mevcut siber güvenlik uzmanlarına, ihtiyaç duydukları becerileri simüle edilmiş bir ortamda uygulama fırsatı sunar. Bu tür bir eğitim, bir kuruluşu riske atmadan gerçek hayat senaryolarında deneyim kazanmalarını sağlar. Becerilerini test edebilir, neyin işe yarayıp neyin yaramadığını görebilir ve hatalarından ders çıkarabilirler. Gerçek siber tehditlerle uğraşmak söz konusu olduğunda bu deneyim paha biçilmezdir. Hem Nominet’in güvenliğini sağlamanın hem de yeni saldırı vektörleri ile suç davranışlarını takip etmenin bir yolu, mor ekip oluşturma olarak bilinen nispeten yeni bir kavramdır.
Mor bir ekip tatbikatında, kırmızı ekip, bir kuruluşun siber güvenlik önlemlerini tehlikeye atmaya çalışan saldırgan güvenlik uzmanlarından oluşur. Kırmızı takım saldırır ve mavi takım savunur ve engeller. Bu alıştırmada, son derece yetenekli siber güvenlik uzmanlarından oluşan iki ekip, ikisi arasında çok önemli bir geri bildirim döngüsüyle birbirleriyle rekabet ediyor.
Bizim için harika oldu. Sadece organizasyonu güvence altına almak için değil, çalışanlarımızın becerilerini geliştirmek için. Yeni veya gelişmekte olan tehditler kavramını tanıtıyor ve siber suçluların ne yaptığı ve hangi araçları, teknikleri ve süreçleri takip ettikleri hakkında istihbarat topluyor. Bu, bu tür düşmanca fikirleri ve zihniyetleri ekibime ifşa ediyor. Bir dizi saldırı simülasyonu oluşturduğumuzda, sorunu ve sorunu tespit etmek, hafifletmek ve doğru süreçlere, günlüklere ve analitiklere sahip olduğumuzdan emin olmak için ne yapmanız gerektiğini belirleyip anlayabilirsiniz. işi savunmak için gereken her şey.
Bu şekilde uygulamalı deneyim kazanmak, güvenlik ekiplerinin daha geniş saldırı ortamının daha fazla farkında olmalarını, yeni beceriler ve düşünme biçimleri geliştirmelerini ve analitik kaslarını esnetmelerini sağlar. Bu sadece teknolojiyle ilgili değil, aynı zamanda savunucular olarak en iyi savunma biçimine sahip olmak için saldırgan gibi nasıl düşündüğümüzle ilgili.
Bunun önemi abartılamaz. Siber suçlular taktiklerinde daha akıllı ve daha gelişmiş hale geliyor ve sürekli olarak sistemlerimize sızmak için yeni yollar buluyorlar. Bununla mücadele etmek için onların hareketlerini tahmin edebilmeli ve onlar gibi düşünebilmeliyiz. Bu kolay bir iş değil, ancak hassas bilgilerimizi ve sistemlerimizi korumak istiyorsak gereklidir.
Onunla bilişsel olun
DevSecOps şu anda en çok aranan güvenlik becerilerinden biridir ve ilerlemek için bir güvenlik topluluğu olarak becerilerimizi geliştirmeliyiz. Rol için teknik deneyimin kutsal üçlüsüne (geliştirme, güvenlik ve operasyonlar) sahip olmanız gerektiğinden, bu insanları bulmak inanılmaz derecede zordur.
Ekiplerimde bu becerileri geliştirmenin bir yolu, uygulamalı öğrenme ile algılama mühendisliğine odaklanmaktır. Örneğin, bir uyarının algılama merkezinden onu çözmek için yaptığımız eyleme kadar tüm yaşam döngüsünü izlemek. Algılama mühendisliğinin tüm süreci, güvenlik operasyonlarındaki becerilerin geliştirilmesiyle el ele gider. Ayrıca, sürükleyici eğitime geçmesi için ekibimize fon sağlıyoruz. Ancak bir sonraki seviye, yine, sadece mühendisliğin nasıl yapıldığını anlamak değil, sorunu bir saldırgan gibi görmek ve özgürce düşünmekle ilgili.
Örneğin, bir bilgisayar sistemi üzerindeyseniz, bu bilgisayara saldırmayı düşünebilirsiniz. Ama onu kim işletiyor? Finansta Kelly mi, pazarlamada Sohail mi, BT’de Emma mı? Bu nedenle, insana nasıl saldırırsınız ve insan etrafındaki sürece nasıl saldırırsınız? Nihai hedef, olaylara her zaman bu şekilde yaklaşmaktır.
DevSecOps eğitiminin herhangi bir organizasyonun üst sınırı için önemli bir tüy olduğunu hissetsem de, geleceğin becerileri artık sadece teknik olarak yetkin olmakla ilgili değil. Bu aynı zamanda bilişsel olarak yetkin olmakla da ilgili.
kendini uygula
Güvenlik kursları veya eğitimi artık sadece bir sunumun önünde oturmak veya sayfalarca teknik içerik okumaktan ibaret olmamalı. Pek çok kursta hala buna yer verildiği doğrudur, ancak bunlar sadece bir kutunun nasıl kullanılacağının öğretilmesinden ziyade bu bilginin uygulanması ve soruna nasıl yaklaşılacağı ile ilgilidir. Bu, belirli güvenlik eğitimini çevreleyen birçok öğrenme materyali tarafından kanıtlanmaktadır.
Teorik bilgi çok önemli olsa da, uygulamalı eğitim esastır. Bize pratik deneyim sağlar, temel sosyal beceriler geliştirir, alandaki en son gelişmelerden haberdar olmamızı sağlar ve güven oluşturmaya yardımcı olur. Ve bir siber suçlunun zihnine girerek, siber saldırıları simüle ederek ve tetikte kalarak, bilgisayar korsanlarından bir adım önde olabilir ve bilgilerimizin güvende kalmasını sağlayabiliriz. Özellikle bu sektörde daha kıdemli hale geldikçe, sadece bir şeyin nasıl yapılacağı konusunda eğitilmek yerine, bilginin uygulanması daha önemli hale gelir.
İş gücümüzü kötü adamların önüne geçecek şekilde eğitmek için hepimiz işe koyulmalı ve kötüler gibi düşünmeliyiz.