Sırasında Eugene H.Spafford‘de bilgisayar bilimleri profesörü olarak otuz yıldan fazla Purdue ÜniversitesiWest Lafayette, Ind.’de bilgisayar ve ağ güvenliğine çığır açan katkılarda bulunmuştur. bir üyesi Siber Güvenlik Onur Listesibilgi güvenliğinde en etkili liderlerden biri olarak kabul edilir.
Ancak siber güvenlik alanında bir kariyer hedefiyle başlamadı. Gerçekten de, üniversiteden mezun olduğunda bu alan gerçekten yoktu. Brockport’taki New York Eyalet Üniversitesi 1979’da matematik ve bilgisayar bilimleri alanında lisans derecesi ile. Spafford daha sonra Gürcistan Tech bilgi ve bilgisayar bilimleri alanında yüksek lisans yapmak.
IEEE Üyesi, 80’lerin başlarında, bilgisayar güvenliğinin temel olarak -matematiksel modeller ve yöntemler kullanan- resmi doğrulama ve anabilgisayarlara odaklanan kriptografiden oluştuğunu hatırlıyor.
Spafford, “Ticari ağımız yoktu” diyor. “Virüsler, kötü amaçlı yazılımlar ve diğer siber tehditler daha yeni ortaya çıkmıştı. Henüz hiçbir alet, uzman veya iş yoktu.”
Ancak bilgisayar güvenliği onun için bir hobi haline geldi.
“Bilgisayarların nerede kullanılabileceği ve nerede yanlış gidebileceği üzerine çok fazla okuma ve çalışma yaptım ve ayrıca bu olasılıkları araştıran bilim kurgu kitapları okudum” diyor.
Bu arada, lisansüstü ve doktora sonrası çalışmaları daha geleneksel bilgi işlem alanları etrafında dönüyordu. “Fakülte [at Georgia Tech] işletim sistemleri için donanım desteği konusunda bir sınıf tasarlamamı ve öğretmemi sağladı,” diye hatırlıyor. “Öğretme ve araştırma yönlerini sevdim. Sonunda doktora yapmak için kaldım. 1986’da, güvenilir dağıtılmış hesaplamayı araştırıyordu.
Doktora sonrası çalışması yazılım mühendisliği alanındaydı: geliştiricinin yapmasını istediği şeyi yapan yazılımın nasıl yazılacağını araştırmak.
İlk siber güvenlik saldırısının araştırılması
1987’de Spafford, Purdue’nin bilgisayar bilimleri fakültesine katıldı. Bir yıl sonra soruşturmaya alındı mor solucanilk yüksek profilli siber güvenlik saldırısı.
Kod, bir araştırma deneyi olması niyetinde olduğu iddia edilen bir üniversite öğrencisi tarafından oluşturulmuştu. İnternet solucanı olarak da bilinir, İnternete bağlı önemli sayıda bilgisayarı yavaşlatan veya çökerten büyük bir hizmet reddi olayına neden olduğunda manşetlere taşındı.
“İnsanların hesaplama ve depolamaya giderek artan bağımlılığı göz önüne alındığında, siber güvenlik uzmanlarına olan talep hiç bu kadar yüksek olmamıştı.”
Spafford, solucanı izole etmek, analiz etmek ve temizlemekle görevli ekibin bir parçasıydı. Solucanın ne yaptığını, onu kimin yazdığını ve nihai etkilerinin ne olabileceğini kimse bilmediğinden, hatırı sayılır bir aciliyet duygusu olduğunu hatırlıyor. Kodu incelemek, ne işe yaradığını belgelemek ve basın sorularını yanıtlamak için 18 saat çalıştı.
“Solucan olayına kadar, devlet kurumlarındaki güvenlik, öncelikle ana bilgisayarlar ve bilgi gizliliği ile ilgiliydi” diyor. “Artık, sistemlerin kullanılabilirliğinin, hatta bütünlüğünün risk altında olabileceği ve koruma ve analiz için iyi araçlara sahip olmadığımız da açıktı. Birdenbire hobicilerden Pentagon çalışanlarına kadar herkes bilgisayarlarının güvenliğini sağlama konusunda endişelenmeye başladı.”
Siber güvenlik nasıl gelişti?
Spafford’un siber güvenlik tehditleriyle mücadeleye erken katılımı, onu bir öğretmen, araştırmacı, konuşmacı, yazar, danışman ve organizasyon kurucu olarak ödüllendirici bir kariyere götürdü.
Bir konferans bildirisi yazdı, İnternet Solucanı Olayı, 1989’da olanları ve çıkarılan dersleri yakalamak için. Diğer güvenlik projeleri arasında açık kaynaklı güvenlik araçlarını geliştirmek vardı. Polisler Ve üçlü tel, yanı sıra erken güvenlik duvarları ve izinsiz giriş tespit sistemleri. Soruşturma için dijital verilerin toplanıp analiz edilmesini ve yasal olarak kabul edilebilir kanıtlar sağlanmasını içeren siber adli tıp alanının kurucularından biriydi. Spafford konuyla ilgili ilk makaleleri yazdı.
Üye Sınıfı: IEEE Üyesi
İş veren: Purdue Üniversitesi
Başlık: bilgisayar bilimleri profesörü
Eğitim: SUNY Brockport, Georgia Tech
yayınlar: Spafford, 150’den fazla kitap, bölüm, makale ve diğer bilimsel çalışmaların yazarlığını veya ortak yazarlığını yapmıştır. Siber Güvenlik Mitleri ve Yanılgıları: Bizi Raydan Çıkaran Tehlikelerden ve Tuzaklardan Kaçınmak, Addison-Wesley Professional, 2023, Leigh Metcalf ve Josiah Dykstra ile;
Devlet faaliyetleri: ABD Kongresi önünde dokuz kez ifade verdi, 10 majör katkıda bulundu mahkeme arkadaşı Yargıtay da dahil olmak üzere ABD mahkemeleri önünde özetler.
1998’de Spafford, Purdue’s’u kurdu. Bilgi Güvencesi ve Güvenliği Eğitim ve Araştırma Merkezi, 2016 yılında fahri icra direktörü.
Spafford, bilgi işlem ve siber güvenliğin gelişmesi gibi, bilgi işlem ve siber güvenlik öğretiminin de geliştiğini belirtiyor. “Sahaya başladığımda, donanımdan ağa ve yol boyunca güvenliğin devreye alınması gereken tüm noktalara kadar bir bilgi işlem sisteminin nasıl çalıştığına dair kurslar anlatabilir ve öğretebilirdim” diyor. “Bugüne hızla ilerleyin ve kullanımda olan herhangi bir büyük sisteme bakıldığında, hayatta olan hiç kimsenin aynı şeyi yapamayacağını görürsünüz. Sistemler o kadar büyüdü ve o kadar çok değişken var ki artık kimse tüm yığını kavrayamıyor. Güvenlikte başarılı olmak için yığın taşmasının ne olduğunu ve talimatların zamanlamasını anlamanız gerekir.”
Pek çok bilgisayar bilimi programının artık montaj dilini veya makine organizasyonunu öğretmediğini belirtiyor.
Spafford’un çalışmaları pek çok ödülle tanındı, ancak en gurur duyduğu onur, Purdue Üniversitesi Morrill Ödülü2012 yılında aldı. Ödül, üniversitenin öğretim, araştırma ve toplum hizmeti misyonuna olağanüstü katkılarda bulunan öğretim üyelerini takdir ediyor.
Spafford, “Sadece burs için değil, aynı zamanda bir eğitimci olarak mükemmellik ve topluma hizmetim için verildi” diyor. “Dolayısıyla, akranlarımdan oluşan bir topluluk tarafından birden çok boyuttaki başarılar için tanınmayı temsil ediyordu. Aldığım diğer tüm ödüllere değer veriyorum, ancak bu, çalışmamın en geniş kapsamını kapsayandı.
Siber güvenliğin bugünkü durumu
Şirketler bugün güvenlik cephesinde ne kadar iyi durumda? Spafford, bazılarının sistemlerini bölümlere ayırarak, doğru insanları işe alarak ve doğru türde izleme yaparak oldukça iyi bir iş çıkardığını söylüyor. Ancak diğerlerinin iyi bir güvenliğe sahip olmanın ne anlama geldiğini anlamadıklarını veya sistemlerini güvence altına almak için para harcamak istemediklerini söylüyor.
“Temel iyi uygulamaların genellikle yeni eklentiler ve yeni özellikler lehine göz ardı edildiği bir pazardayız” diyor. “Güçlü, dirençli sistemler oluşturmak için sağlam mühendislik ilkelerini kullanmak yerine, harcanan paranın ve gösterilen ilginin çoğu, başka bir yama katmanı eklemeye ve temelden bozuk teknolojilerin üzerine uzantılar oluşturmaya gitti.”
kariyer ipuçları
Siber güvenliğin geniş ve hala gelişmekte olan yelpazesi göz önüne alındığında – şu anda 40’a yakın siber güvenlik uzmanlığı var – Spafford, bu alanda bir kariyer yapmayı düşünenlere güvenliğin hangi yönlerini heyecan verici ve merak uyandırıcı bulduklarını anlamalarını tavsiye ediyor. Bunu yaptıktan sonra, öğrenmen gereken şeyin ne yapacağına bağlı olduğunu söylüyor.
Örneğin, adli siber güvenlikle ilgilenenlerin işletim sistemlerini, ağları, mimariyi, derleyici tasarımını ve yazılım mühendisliğini anlaması gerekecektir. “Bu, sistemlerin nasıl çalıştığını, parçaların nasıl birbirine uyduğunu, kusurların nasıl ortaya çıktığını ve bunların nasıl kullanıldığını anlamanıza yardımcı oluyor” diyor.
Siber güvenliğin diğer alanlarında, dahil olan insanları daha iyi anlamak için psikoloji ve yönetim teorisini incelemeniz gerekebilir, diyor. Politika hakkında bilgi edinmek isteyenler biraz yasal altyapıya sahip olmalıdır, çünkü kolluk kuvvetleri daha farklı beceriler gerektirir.
İnsanların bilgi işlem ve depolamaya giderek artan bağımlılığı ve artan dijital bağlanabilirlikleri göz önüne alındığında, siber güvenlik uzmanlarına olan talep hiç bu kadar yüksek olmamıştı. Spafford, “Bütün bunlar, bilgi işlemle yaptıklarımızın doğasını değiştirdi ve güvenliği ihlal edenler tarafından kullanılabilecek saldırı yüzeylerini artırdı” diyor. “Otuz yıl önce, internete bağlı araştırma merkezleri; evlerimiz ve otomobillerimiz saldırı yüzeyleri değildi. Artık Neredeyse Her Şeyin İnterneti.”