ETH CAL HACK NG
Ethical Hacking Nedir, Ne Değildir? Kurumlar için Neden Önemlidir? Kurumlar Neden Ethical Hacker Arıyorlar?
Mesai saatlerinde Mesai saatlerinde ve boş zamanlarımda Bahçeşehir Üniversitesi Siber Güvenlik Yüksek Lisans Programı https://www.mertsarica.com http://www.guvenliktv.org CISSP, SSCP, OSCP, OPST, CREA, CEREA
Finans sektörünün ihtiyaçlarına ve günün teknolojilerine uygun hizmetler sunan, ürünler meydana getiren, NBG Grup şirketlerinden Finansbank ın Bilgi Teknolojileri iştiraki olan IBTech firmasında Kıdemli Sızma Testi Uzmanı olarak çalışmaktayım. http://www.finansbank.com.tr http://www.ibtech.com.tr
Siyah şapkalı hackerın bilgi, beceri ve yetkinliğine sahip olan güvenlik uzmanıdır. Programlama dillerine hakimdir. (C/C++, Assembly,.Net, Python/Ruby vs.) Tersine mühendislik konusunda bilgilidir. Kendi aracını, istismar kodunu (exploit) geliştirebilecek ve mantıksal zafiyetleri tespit edebilecek yetkinliğe sahiptir. Hacking yöntemleri konusunda ileri seviye bilgiye sahiptir.
Oku Öğren Uygula
365 günde 30 gün yapılan sızma testleri yeterli olmayabilir. Hacklendiğimizi sızma testi esnasında öğrenmek istemeyebiliriz. Hacklenme ihtimalini düşürmek isteyebiliriz. Siber saldırıyla karşı karşıya kaldığımız zaman vakayı kendi içimizde çözmek isteyebiliriz. Ethical Hackerlar ile çalışarak marka değerimizi yükseltmek ve kullanıcılarımıza güven vermek isteyebiliriz. (Twitter, Google vs.)
Sistemlerin, siyah şapkalı hacker gözüyle denetlenmesi, tespit edilen zafiyetlerin kontrollü bir şekilde istismar edilmesidir. Zafiyet değerlendirme (VA) testlerinden farklı olarak bu testlerde tespit edilen zafiyetler istismar (exploit) edilir. Sızma testlerinde olduğu gibi dar kapsamda ve kısıtlı bir zaman aralığında gerçekleştirilmez. Ethical Hacker, zafiyetleri ortadan kaldıracak çözüm önerilerini sunmakla yükümlüdür.
Sadece otomatize araçlar ile «Tara ve Geç» şeklinde gerçekleştirilmez. Nessus ve Metasploit gibi araçlar kullanmak o kişiyi Ethical Hacker yapmaz. Mantıksal zafiyetler araçlarla bulunamaz. (Hikaye #1) Sadece web uygulamaları ve ağ testi ile sınırlı değildir. (Hikaye #2) Teknik bilgi ve yetkinlik oldukça önemlidir.
1-3- 2-4- 3-2- 4-1- Regülasyonlara (PCI, BDDK vs.) uyum İtibar Müşteri güvenliği Sistemleri savunma (En iyi savunma saldırıdır!)
Mesai saati sonrasını ve resmi tatilleri çok severler. Güvenlik araçlarının tespit edemediği zafiyetleri bulurlar. 3. parti yazılımların en zayıf halka olduğunu iyi bilirler. Kurumlar gibi kaynak ve zaman kısıtları yoktur. Günün sonunda peşlerine düşeceğinizi asla unutmazlar.
Ethical Hacker istihdam etmek, yetiştirmek için henüz geç değil. Araştırma ve geliştirme yapmaları için zaman tanıyın ve bol bol eğitim aldırın. (işi işte öğrenmezler) Uzmanlaşmalarına önem verin. (Doktor örneği) Çalışan sistemlere dokunmalarına müsade edin! Zararlı yazılım analizi ve bilgisayar olaylarına müdahale / SOME de yan görevler verin. Saldırganların zaman ve kaynak kısıtları olmadığını asla unutmayın!
https://www.mertsarica.com mert.sarica@gmail.com https://twitter.com/mertsarica