Siber Güvenlik Nedir? Nereden Başlanır?
Siber güvenlik, dijital sistemleri yetkisiz erişim, veri sızıntısı, kötü amaçlı yazılım, saldırı ve hatalı yapılandırmalara karşı koruma disiplinidir. Sadece saldırı aracı kullanmak değildir; sistemin nasıl çalıştığını anlayıp riskleri azaltmaktır.
Kısa tanım: siber güvenlik, yazılım, ağ, insan ve süreç zayıflıklarını bulup savunma kurma işidir.
Siber Güvenlik Alanları
| Alan | Odak |
|---|---|
| Web güvenliği | XSS, SQLi, auth, API güvenliği |
| Ağ güvenliği | Port, protokol, firewall, trafik analizi |
| Blue team | Log analizi, izleme, olay müdahalesi |
| Red team | Yetkili saldırı simülasyonu |
| Cloud security | Bulut servis konfigürasyonu |
| AppSec | Güvenli yazılım geliştirme |
Yeni başlayan biri önce Linux, ağ, HTTP ve temel web güvenliği öğrenmelidir.
Siber Güvenlikte Temel Mantık
Siber güvenlikte amaç sadece açık bulmak değildir. Bir sistemin neyi koruduğunu, hangi verinin kritik olduğunu, saldırganın nereden gelebileceğini ve savunmanın nerede güçlenmesi gerektiğini anlamaktır.
Temel sorular:
- Korunacak varlık ne?
- Sisteme kimler erişiyor?
- En kritik veri nerede?
- Yetki kontrolü nerede yapılıyor?
- Loglar yeterli mi?
- Hata durumunda kim haberdar oluyor?
Bu sorular seni araç ezberinden çıkarıp güvenlik düşüncesine yaklaştırır.
Nereden Başlamalı?
- Linux terminal öğren.
- Ağ temellerini öğren.
- HTTP request/response mantığını anla.
- HTML, JavaScript ve backend temellerini gör.
- OWASP Top 10 çalış.
- Log analizi öğren.
- Yasal laboratuvar ortamlarında pratik yap.
Bu yol için Siber Güvenliğe Başlangıç Yolu serisini takip edebilirsin.
Etik ve Yasal Sınır
Siber güvenlikte en önemli ilke yetkidir. Sana ait olmayan veya izin verilmemiş sistemlerde test yapmak suçtur.
Güvenli pratik alanları:
- Kendi local laboratuvarın
- CTF platformları
- Bilerek açık bırakılmış eğitim makineleri
- Yazılı izinli bug bounty programları
Gerekli Temel Bilgiler
- Linux
- TCP/IP
- HTTP
- DNS
- HTML/JavaScript
- Backend mantığı
- Veritabanı
- Log okuma
- Temel kriptografi
Web güvenliği için OWASP Top 10, log analizi için Siber Güvenlikte Log Analizi dersine bakabilirsin.
Başlangıç Laboratuvarı Nasıl Kurulur?
Güvenli pratik için kendi lokal ortamını kurabilirsin:
- Linux terminal
- Docker
- Bilerek açık bırakılmış test uygulaması
- Burp Suite Community
- Tarayıcı geliştirici araçları
- Not tutmak için markdown dosyası
Bu ortamda amaç gerçek sistemlere dokunmadan HTTP, login, form, cookie, header ve log davranışlarını öğrenmektir.
Blue Team mi Red Team mi?
Yeni başlayan biri bu ayrımı hemen seçmek zorunda değildir.
| Yol | Odak |
|---|---|
| Blue Team | İzleme, log, olay müdahalesi, savunma |
| Red Team | Yetkili saldırı simülasyonu, zafiyet zinciri |
| AppSec | Kod güvenliği, güvenli geliştirme, review |
Web geliştiriciysen AppSec iyi bir köprü olabilir. Linux ve log okumayı seviyorsan Blue Team tarafı sana yakın gelebilir.
Sık Sorulan Sorular
Siber güvenlik için yazılım bilmek gerekir mi?
Evet, özellikle web güvenliği ve AppSec için yazılım mantığı çok önemlidir. Kodun nasıl yazıldığını bilmeden açığın neden oluştuğunu anlamak zorlaşır.
Kali Linux ile mi başlamalıyım?
Genel başlangıç için Ubuntu veya Debian daha sağlıklıdır. Kali araç setidir; temel yerine araç ezberiyle başlamak zayıf temel oluşturabilir.
Siber güvenlikte İngilizce gerekir mi?
Evet. CVE raporları, araç dokümanları, teknik bloglar ve güvenlik araştırmaları büyük ölçüde İngilizcedir.