S: Bize SNAP’daki rolünüz ve siber güvenlik işiniz için neden hayati öneme sahip olduğunu anlatın.
Jim Higgins: Ben SNAP’ın Baş Bilgi Güvenlik Görevlisi (CISO). Snap’e katılmadan önce Square’de CISO olarak görev yaptım ve on yıldan fazla bir süredir Google’da ürün güvenliği bilgi mühendislik ekibine liderlik ettim. Snap’te, her gün ortalama olarak Snapchat kullanan yaklaşık yarım milyar aktif kullanıcıyı destekliyoruz. Müşterilerimizi bilinmeyen tehditlerin sürekli gelişen manzarasından korumak benim için derin kişisel bir görev.
S: 1 milyon dolarlık kilometre taşına ulaşmak SNAP’ın güvenlik ekibi için ne anlama geliyor?
Jim Higgins: 1 milyon dolarlık ödüllü bir onur rozeti. Bizi güvende tutmaya yardımcı olan akıllı güvenlik araştırmacılarına değer verme taahhüdümüzü yansıtmaktadır. Böcek ödül programlarının oluşturulması çok zordur, ancak Hackerone’un yetenekli topluluğu bize platformumuzu güvence altına almak için ihtiyacımız olan uzmanlık ve yaratıcılığı sağlar.
S: Son 10 yılda hata ödül programınız nasıl gelişti?
Vinay Prabhuşankar: Başladığımızda, programımız daha operasyoneldi ve bireysel sorunları tanımlamaya ve düzeltmeye odaklandı. Olgunlaştıkça, bunları çözmek için sistemik sorunları ve bina çerçevelerini belirleyerek stratejik bir yaklaşıma geçtik. Örneğin, 2025 yol haritamız, doğrudan hackerone aracılığıyla tanımlanan güvenlik açıklarından kaynaklanan girişimleri içerir. Bugün programımız güvenlik, gizlilik ve güvenlik stratejilerini etkilemektedir.
S: Özellikle gurur duyduğunuz unutulmaz kilometre taşları veya anlar var mı?
Vinay Prabhuşankar: 1 milyon dolarlık kilometre taşının ötesinde, üretken AI özelliklerinin güvenliğine odaklanan ilk CTF tarzı zorluklardan birini başlattık.
S: Yapay zeka kırmızı takımı Snap’ın güvenlik yaklaşımını nasıl etkiledi?
Ilana Arbisser: Nitel güvenlik yönlerini belirlemek için AI Red Teaming kullanıyoruz – mümkün olan şey değil, mümkün olan şey. Ayrıca mümkün olan şeyden sürekli şaşırdık – egzersizler tasarlarken açık fikirli olmaya çalışıyoruz. Hackerone ile çalışmanın yararı, insan yaratıcılığının, rakip istemi veri kümelerini veya LLM yazılı saldırıları sürekli olarak kullanmaktan daha etkili olmasıdır. AI kırmızı ekibinin ürünlerimiz üzerindeki etkisi, belirli güvenlik güvenlik açıklarını tanımlamak ve belirli hafifletmelerin eklenmesine rehberlik etmek olmuştur.
S: Gelecekte AI Red takımının başını nerede görüyorsunuz?
Ilana Arbisser: LLM ajanları ile simüle edilmiş AI kırmızı bir ekip önemli ölçüde gelişiyor. Bu yaklaşım, insanlar tarafından AI uzman güdümlü testi ile iltifat edildiğinde, nicel sonuçlar elde etmek için daha yararlıdır, çünkü saldırılar küçük giriş değişikliklerinin çıktıyı nasıl etkilediğini daha iyi anlamak için ölçeklenebilir.
S: Yeni AI araçları sürekli ortaya çıktığında, ekibiniz bu teknolojik gelişmelerin önünde nasıl kalıyor?
Ilana Arbisser: Gelişmelere ayak uydurmak için bir strateji kombinasyonuna güveniyoruz. Bu, haberler ve endüstri kaynakları aracılığıyla bilgilendirilmeyi, AI ağına ve bilgi paylaşım etkinliklerine ve konferanslarına katılmak ve DEFCON AI köyü gibi sektöre özgü toplantılara katılmayı içerir.
S: Hackerone’u ortak olarak ayıran nedir?
Jim Higgins: Hackerone’un topluluğu hiçbiri ikinci. Son on yılda, müşteri ve araştırmacı geri bildirimlerine değer veren bir ekosistem oluşturdular. İnovasyon hızları, özellikle AI özelliklerinde, etkileyiciydi. Örneğin, HackerOne’un Genai Copilot’u Hai’yi, Myai Chatbot’umuz çevresinde seçim güvenliği etrafında özel bir meydan okuma hackathon yaptığımızda 7 farklı AB diline göndermek için kullanabildik.
Teknolojinin ötesinde, aldığımız destek olağanüstü oldu. Hackerone sadece bizi almıyor; Güvenlik araştırmacıları alıyorlar. Her zaman köşede olan güvenilir bir ortağa sahip olmak gibi.
S: Takım en çok yüz yüze ilgi duyuyor? Ne tür hatalar en değerlidir?
Jim Higgins: SNAP’ta güvenlik ve gizliliğe öncelik veriyoruz. Hassas kullanıcı bilgilerini korumak, yaptığımız her şeyin merkezinde yer alır. Snap’ın ekibi, özellikle uzaktan kod yürütme (RCE) veya ayrıcalık artışı gibi platformunun bütünlüğünü tehlikeye atabilecek güvenlik açıklarıyla ilgileniyor. Güvenlik araştırmacılarını çabalarını bu kritik konulara odaklamaya teşvik ediyoruz.
S: Snap, böcek ödül programından hangi dersleri öğrendi?
Vinay Prabhuşankar:
- Düşük ve orta hataları düzeltin: Bunlar küçük görünebilir, ancak birlikte zincirlendiğinde kritik güvenlik açıklarına yol açabilirler. Onları düzeltmek zinciri kırar.
- Güvenlik Araştırmacılarına Güven Oluşturun: Güven zaman alır, ancak yüksek kaliteli başvurularda temettü öder.
- Programınızı Gamify: Zorluklar, yağma ve canlı hack etkinlikleri gibi unsurlar yaratıcılığı ve katılımı teşvik eder.
S: Bir böcek ödül programı başlatan şirketlere ne tavsiye edersiniz?
Jim Higgins: Özel bir programla küçük başlayın, ardından büyüdükçe kapsamı genişletin. Araştırmacılara güvenilir müttefikler olarak davranın – ekibinizin bir uzantısı gibi. Hatta araştırmacılarla etkileşime girme konusunda, DOS ve NO’ların somut örneklerini içeren bir dahili rehberimiz var.
S: Snap’in Bug Bounty programı için sırada ne var?
Jim Higgins: AR bardakları gibi donanım ürünlerini ekleyecek ve AI güvenliğine ikiye katlanacak şekilde kapsamımızı genişletmeyi planlıyoruz. Hackerone AI Red Teaming’in paha biçilmez olduğunu kanıtladı ve Hackerone topluluğuyla işbirliğimizi derinleştirmeye hevesliyiz. Nihai amacımız, Snap’in Bug Bounty programını başkalarının kullanıcılarımızın güvenliğini takip etmesi ve güçlendirmesi için bir model haline getirmektir.