S: Deribit neden bir hata ödül programı başlattı?
C: Güvenliği, her ek katmanın çekirdeğe ek koruma sağladığı bir soğan olarak görmeyi seviyorum. Saldırma riski, hedef çekiciliğin (olası kazançlara dayanarak) ve güvenlik katmanlarının sayısının bir fonksiyonudur. Ne kadar çok güvenlik katmanları eklerseniz, çekirdeğiniz o kadar iyi korunur ve riskiniz o kadar düşük olur.
Bir hata ödül programı başlatarak, müşterilerimizin varlıklarını güvence altına almak için başka bir güvenlik katmanı ekledik.
S: Kripto alanında güvenlik genellikle güvenle ilişkilidir. Deribit, hata ödül programının kullanıcılarıyla güveni güçlendirmesini nasıl sağlar?
C: Kriptoda, “Güvenmeyin, doğrulayın” diyoruz. Deribit, güvenlik en iyi uygulamalarını uygular ve ISO 27001 ve SOC 2 Tip 2 kontrollerine uyur. Hem düzenli olarak hem de yeni özellikler başlatmadan önce pentests ve kırmızı takım egzersizlerini çalıştırıyoruz. Bug Bounty programı başka bir güvenlik incelemesi katmanı ekler ve Deribit’te bir hata keşfeden herkese yasal bir rota ve finansal ödüller sunar.
S: Deribit, programını yönetmek için neden hackerone seçti?
C: Sadece en zayıf bağlantınız kadar güvenlisiniz. Hackerone, farklı beceri setleri, deneyim ve uzmanlığa sahip en büyük güvenlik araştırmacıları topluluğuna sahiptir, böylece varlıklarımızın tamamen kapsamını sağlar, böylece hiçbir alanın göz ardı edilmemiştir. Ayrıca, kuruluşundan bu yana Deribit, kripto para birimlerini ve sağladıkları güç ve özgürlüğü savundu. Hackerone, güvenlik araştırmacılarına kriptoda değerlerimizle uyumlu ödeme alma olasılığını sunan nadir platformlardan biridir.
S: Güvenlik araştırmacıları ile bugüne kadar unutulmaz etkileşiminiz oldu mu? Favori böcekler?
C: Birkaç yıl önce, bir güvenlik araştırmacısı anonim olarak bir hata bildirdi ve bileti asla talep etmedi. Onu ödüllendirebilmemiz için onu takip etmek için zaman ayırdık. Güvenlik araştırmacılarının programımızı avlamasını istiyoruz ve bunları bunun için cömertçe ödüllendirmek istiyoruz!
S: Blockchain teknolojisinin hızlı evrimi ile, hangi benzersiz güvenlik zorlukları ile karşılaşır ve Bug Bounty programı bunları ele almaya nasıl yardımcı olur?
C: Blockchain ve kripto laik ve hızla gelişen endüstrilerdir ve ürünlerin çoğu henüz zaman testini yapmamıştır. Daha da kötüsü, para miktarı ve işlemlerin geri dönüşümsüzü, kripto şirketlerini kötü niyetli bireyler ve uygun (gelişmiş kalıcı tehdit) gruplar için çok cazip bir hedef haline getirir. Hata Bounty programı, kötü niyetli aktörlerden önce güvenlik açıkları bulmamıza yardımcı olur ve potansiyel tehditleri tespit etmek ve yanıtlamak için güvenlik ekibimizi sürekli olarak eğitir.
S: Doğrudan güvenlik araştırmacısı topluluğuna söyleyecek bir şey var mı?
C: Deribit’in 6 yıldır bir hata ödül programı vardı. Kendini barındıran bir program olarak başladık ve daha sonra yönetilen bir programa döndük (önce Bugcrowd’da ve şimdi hackerone’de). Bu hata ödül programımızı geliştirmeye olan bu bağlılık, güvenlik araştırmacılarının değişimi güvence altına almada ne kadar değerli olduklarını göstermektedir. Yolculuğu sevdik; Yeni insanlarla tanışmak, yükleri konuşmak ve yeni saldırı tekniklerini öğrenmek. Hata ödül programımız aracılığıyla sorunları bildiren güvenlik araştırmacılarına çok minnettarız. Hacklemeye devam edin!