Tehditler çoğaldıkça ve saldırı vektörlerine karşı savunmak daha zor hale geldikçe, dünya çapında siber güvenlik uzmanlarının eksikliği, her büyüklükteki kuruluş için artan bir endişe kaynağıdır.
CyberSeek.org, siber güvenlik alanında yaklaşık 770.000 açık işi sayıyor ve veriler, işverenlerin siber güvenlik çalışanlarına olan talebinin ABD ekonomisindeki genel orandan 2,4 kat daha hızlı büyüdüğünü gösteriyor.
Yeni nesil siber güvenlik uzmanlarını yeterince eğitmek için kuruluşların daha işbirlikçi düşünmeye, sanal teknolojileri öğrenme araçları olarak kullanmaya ve kurum içi yeteneklere fırsatlar sunmak için beceri geliştirmeye yönelmeye başlaması gerekiyor.
Nasıl ile Birlikte Neden’i de Öğretmek
Bir bilgi güvenliği danışmanlık firması olan Lares Consulting’in COO’su Andrew Hay, eğitim ve öğretim yaklaşımlarındaki bazı değişikliklerin temel olduğunu savunuyor.
“Siber güvenlik eğitimi söz konusu olduğunda insanlara genellikle ‘nasıl’ı öğretiyoruz ama asla ‘neden’i öğretmiyoruz” diyor. “Örneğin, birine bir güvenlik açığını tespit etmek için bir aracın nasıl çalıştırılacağını göstereceğiz, ancak onları güvenlik açığının neden ilk etapta ortaya çıktığı konusunda eğitmeyeceğiz.”
İnsanlara güvenlik açıklarının oluşmasını nasıl önleyeceklerini göstermezseniz, olaydan sonra onları nasıl tespit edeceklerini göstermeye devam etmeye mahkum olduğunuzu söylüyor.
“Müşterilerimize organizasyonları içindeki saldırıları nasıl tespit edeceklerini, azaltacaklarını ve önleyeceklerini göstermeye adanmış bütün bir ekibimiz var” diyor. “Sadece etki göstermiyoruz, aynı zamanda sebep de gösteriyoruz.” Hay, insanları ilk etapta güvenli olmayan konfigürasyonları önleme konusunda eğiterek, onların saldırıya açık yüzey alanlarını azaltmalarına yardımcı olabileceğinizi söylüyor.
Siber menzil ve bayrağı ele geçirme (CTF) etkinliklerinin becerilerinizi geliştirmek ve bir siber güvenlik uzmanı olarak büyümek için harika öğrenme ortamları olduğunu ekliyor.
Hay, “Başkalarının bir sisteme saldırmak hakkında nasıl düşündüklerini, hangi araçları ve teknikleri kullandıklarını ve düşünce süreçlerini deneyimleyeceksiniz” diyor. “Bu çok değerli.”
GÜZEL oynuyor
NIST’nin Siber Güvenlik Eğitimi Ulusal Girişimi (NICE) iletişim ve operasyon müdürü Danielle Santos, siber güvenlik eğitimine ve eğitimine yatırım yapmanın bu artan talebi karşılamak için kritik olduğunu söylüyor.
“Mevcut başarılı programları geliştirmek, değişimi ve yeniliği kolaylaştırmak ve yetenekli siber güvenlik uzmanlarının sayısını artırmak için liderlik ve vizyon getirmek için hükümet, akademik ve endüstri ortaklarıyla koordinasyon halindeyiz” diye açıklıyor. Eğitimcilerin, eğitmenlerin ve işverenlerin bir topluluk olarak bir araya gelebileceği bir mekanizmayı kolaylaştırarak, işgücü talebini karşılayan eğitim almak için daha iyi konumlanırlar.
NICE ayrıca, siber güvenlik çalışmalarını gerçekleştirmek için gereken görevleri, bilgileri ve becerileri tanımlayan Siber Güvenlik için İş Gücü Çerçevesinin korunmasından da sorumludur. İş yerindeki görevlere göre bilgi ve beceri gereksinimleri oluşturmak için eğitim ve sertifika sağlayıcılarına bir standart sağlar.
Ezici Eğitim Siloları
Helsinki merkezli kurumsal güvenlik bilinci çözümleri sağlayıcısı Hoxhunt’un kurucu ortağı ve CEO’su Mika Aalto, bugün eğitim motivasyonunun güvenlik odaklı değil uyumluluk odaklı olduğunu ve bunun da insana hitap edemeyen eğitim uygulamalarına yol açtığını söylüyor. siber güvenlik riski.
Kuruluşların, çalışanların karşılaştığı gerçek saldırılara risk tabanlı bir bakış açısı getirmesi ve doğru kültürü oluşturmaya ve doğru alışkanlıkların benimsenmesini sağlamaya odaklanması gerektiğini savunuyor.
“Temel günahlar söz konusu olduğunda, kuruluşlar çalışanların kalplerini ve zihinlerini ele geçirmeyi başaramayan cezalandırıcı programlar yürütüyor” diyor.
Daha da kötüsü, eğitim sıklığı ara sıradır ve müfredat tek bedene uyan bir zihniyetle oluşturulmuştur. “Günümüzün teknolojisi, bireysel eğitim deneyimlerini otomatik olarak geliştirmemize ve büyük ölçekte sunmamıza, farkındalığı artırmak yerine davranış değişikliğini yönlendirmemize olanak tanıyor” diyor.
Aalto’nun bakış açısına göre, bir başka temel günah, eğitimin sıklıkla ertelenmesidir. “Farkındalık uzmanları, güvenlik operasyonları tarafından yönetilen saldırılara ve ölçümlere karşı kör” diyor. “İstihbaratı paylaşacak ve algılama ve yanıt yeteneklerini artıracak uyumlu süreçlerden ve teknolojiden yoksunlar.”
Modern ekiplerin, çalışanların kuruluşa sızmış saldırıları yakalamasına ve tehditleri gerçek zamanlı olarak azaltmak için bu verileri operasyonlara entegre etmesine olanak tanıyan etkili eğitim platformlarıyla uyum içinde çalışması gerektiğini söylüyor.
“Güvenlik yığınının merkezine farkındalığı genişletmek, eğitimin nasıl yürütüldüğü ve yararlanıldığı konusunda bir oyun değiştiricidir” diye ekliyor.
Eğitimde Yenilikler
Santos, geçtiğimiz birkaç yıl içinde simüle edilmiş eğitimin yeni siber güvenlik becerilerini öğrenmek için bir mekanizma olarak umut vaat ettiğini belirtiyor. Örneğin, siber aralıklar aracılığıyla sunulan eğitim, öğrencilerin simüle edilmiş gerçek dünya senaryolarını deneyimlemelerine ve uygulamalı bilgi ve becerileri sergilemelerine olanak tanır.
“Ayrıca, çıraklık eğitimleri, daha geniş işgücü için yeni olmasa da, siber güvenlik işgücüne uygulandığı için nispeten yeni olsa da, siber güvenlik yeteneğini genişletmek için kanıtlanmış bir yaklaşımdır” diyor.
ABD Ticaret ve Çalışma Departmanlarının 120 günlük bir tarihteki son ortaklığını vurguluyor. Siber Güvenlik Çıraklık Sprint Nitelikli ve çeşitli siber güvenlik iş gücünü geliştirmenin ve eğitmenin bir yolu olarak Kayıtlı Çıraklık modelini teşvik etmek.
Yeni Eğitim Modellerine Geçiş
Bishop Fox’un uygulama güvenliği uygulama direktörü Kelly Albrink, siber güvenlik eğitiminin tarihsel olarak ezbere dayalı çoktan seçmeli bir testle sonuçlandığını belirtiyor.
“İnternet parmaklarımızın ucundayken, ezberleme problem çözmekten çok daha az önemlidir” diye açıklıyor. Bu nedenle eğitim, gerçek siber güvenlik çalışmasının neye benzediğini doğrudan haritalayan uygulamalı alıştırmalara daha fazla odaklanmalıdır.”
İnsanların hem teknik beceriler hem de sosyal beceriler kazanmalarına yardımcı olmak için şirket içi bir eğitim programı olan Bishop Fox Academy’den bahsediyor. Albrink, “Bishop Fox, genç danışmanlar için gerçek giriş seviyesi rollerine sahip birkaç şirketten biri” diyor. “Danışmanları ilgi alanlarına ve uzmanlıklarına göre eşleştiren resmi bir mentor programımız var.”
Mentor programının önceki sürümlerinde, şirketin hem mentorlardan hem de mentilerden programdan en iyi şekilde nasıl yararlanılacağı konusunda daha fazla yapı ve rehberlik istediklerine dair çok sayıda geri bildirim aldığını ve bunun bir çalışma sayfasının oluşturulmasına yol açtığını söylüyor. ilk konuşmaları yönlendirmeye yardımcı olur. Çiftlerin anında bağlantı kurmasına yardımcı olmak için hem “sizi tanıma” sorularını hem de hedef belirleme konusunda rehberlik içeriyordu.
“Ayrıca, her mentor maçının en uygun olmadığını anlıyoruz, bu nedenle yılda 2-3 kez insanlara yeni bir eşleşme alma veya mevcut eşleşmelerini genişletme fırsatı veriyoruz” diye ekliyor. “Genellikle insanları birden fazla mentora sahip olmaya ve birden fazla konuda mentorluk almaya teşvik ediyorum.”
Beceri Kazanmanın Faydaları
CompTIA’nın siber öğrenmeden sorumlu başkan yardımcısı Ron Culler, “Mevcut siber güvenlik ve personel becerilerini yükselttiğinizde, kuruluşunuzdaki öğrenme eğrisini kısaltabilir ve boşlukları genellikle daha hızlı doldurabilirsiniz,” diye açıklıyor.
Ancak odak noktası olması gereken sadece mevcut siber güvenlik personeli değil – kuruluşların iş gücüne ve tüm BT personeline bakması gerektiğini söylüyor. “Bu kişilerin çoğu, kuruluş hakkında güçlü temel bilgilere sahip” diyor. “Siber güvenlik bir organizasyonun tüm yönlerini kapsadığı için, siber güvenlik alanında çalışmak için en iyi adaylardan bazıları olabilirler.”
Santos, beceri geliştirmenin bir organizasyondaki yetenek boşluklarını daha hızlı doldurmak için etkili bir yaklaşım olduğunu kabul ediyor. “Birçoğu bir siber güvenliğe uygulanabilecek aktarılabilir becerilere sahip olan mevcut işgücünü kullanıyor” diyor.
Siber Güvenlik, Bir Organizasyonun Tüm Yönlerine Dokunur
CompTIA, siber güvenlik alanında çalışmakla ilgilenen ve halihazırda meslekte olanlar için eğitim, öğretim ve sertifika seçenekleri sunar. Dört sertifika, farklı kariyer seviyelerinde siber güvenlik becerilerine özeldir – giriş, orta ve ileri. Siber güvenlik ayrıca şirketin ağ oluşturma, veri, bulut bilişim ve diğer disiplinlerdeki diğer sertifikalarına da yerleştirilmiştir.
Culler, geleneksel yaklaşımların genellikle teknolojide yoğun bir geçmişe sahip bireylere odaklandığına dikkat çekiyor.
“Buna hala ihtiyaç duyulsa da, siber güvenlik sadece teknolojiden çok daha fazlasını kapsıyor” diyor. “Kurumlar genelinde siber güvenlik rollerindeki boşlukları doldurmak için çeşitli deneyimler ve beceriler gerekiyor.”
Siber güvenlik bir teknoloji meselesi değil, bir organizasyonun her yönüne dokunan bir şeydir.
Yeni Nesil Hackerların Eğitimi
Albrink’in bakış açısına göre, piyasanın taleplerini karşılayacak kadar üst düzey yetenek satın alamazsınız. Tek geçerli çözüm, yeni nesil bilgisayar korsanlarını eğitmektir.
“En iyi uygulamalar açısından, yeni gelenler genellikle her şeyi öğrenmek ve bunalmamak isterler” diyor. “İki odak seçerlerse ve bu iki şey iyi bir sinerji oluşturursa, başarıya çok daha iyi hazırlanacaklardır.”
Sadece kitap okumak veya video izlemek gibi boşlukta öğrenmenin iyi sonuçlara yol açmadığını da ekliyor. “Öğrenmeye çalıştığınız şeyi uygulamak için her zaman uygulamalı bir proje seçmenizi öneririm” diyor. “Örneğin, her webapp korsanı kendi uygulamasını oluşturmalı ve dağıtmalıdır.”
Bunun size genel savunma önerilerini uygulamaya koymanın ne kadar zor olabileceği konusunda çok daha iyi bir bakış açısı sağladığını ve geliştiricilerin karşılaştığı zorlukları daha iyi anlamanıza yardımcı olduğunu söylüyor.
Daha Fazla Esneklik, Daha Fazla Yatırım
Albrink, daha çok isteğe bağlı abonelik tabanlı bir modele geçiş yapan, herkese açık bir eğitim eğilimi gördüğünü söylüyor. “Bu, öğrencilere eğitim programlarını yoğun yaşamlarına uydurma esnekliği veriyor” diyor. “Yani, 30, 60 veya 90 günde bir kırmızı takım laboratuvarını nakavt etmeye çalışmak yerine, bir yıllığına erişim elde ediyorlar.”
Dezavantajı, eğitimin çok daha pahalı hale gelmesi ve çoğu insan için kendilerinin ödediği erişilemez hale gelmesidir.
Santos, ABD Ticaret Bakanlığı’nın, işveren odaklı bölgesel bir yaklaşıma dayanan, eğitimi içeren bir işgücü geliştirme modelini desteklediğini açıklıyor. “İşveren odaklı bir yaklaşım, siber güvenlik yeteneği arzının işe hazır olmasını sağlamayı amaçlıyor” diyor.
Culler, siber güvenlik tehditleri ortadan kalkmadığı veya azalmadığı için şimdi siber güvenlik eğitimine yatırım yapmanın önemli olduğunu kabul ediyor. “Kuruluşların rekabetçi kalabilmeleri ve mevcut ortamda ve gelecekte başarılı olabilmeleri için siber farkındalığa sahip ve siber becerilere sahip bir iş gücüne ihtiyacımız var” diyor.
Aalto’nun bakış açısından, anahtar kelime “yatırım” dır. İhlallerin yaklaşık %90’ının, neredeyse her zaman bir kimlik avı saldırısı tarafından başlatılan bir insan unsuru içerdiğine ve güvenlik bütçelerinin yalnızca %3’ünün farkındalığa gittiğine dikkat çekiyor.
“Bu dengesizlik, avantajı, saldırıları gün geçtikçe daha acımasız ve karmaşık hale gelen tehdit aktörlerine doğru kaydırıyor” diyor.
Siber güvenliğin giderek daha pahalı ve elde edilmesinin zor olduğu ve düzenlemelerin her zaman sıkılaştığı bir risk ortamında, kendilerini en savunmasız oldukları yerde, yani insanlarını korumak için risk tabanlı bir yaklaşım benimsemek kuruluşlara kalmıştır.
Aalto, “Eğitiminiz doğru yapılırsa işe yarar” diyor.