S: Deribit neden bir hata ödül programı başlattı?
C: Güvenliği, her ek katmanın çekirdeğe ek koruma sağladığı bir soğan gibi görmeyi seviyorum. Saldırıya uğrama riski, hedef çekiciliğin (olası kazançlara dayalı olarak) ve güvenlik katmanlarının sayısının bir fonksiyonudur. Ne kadar çok güvenlik katmanı eklerseniz çekirdeğiniz o kadar iyi korunur ve riskiniz o kadar azalır.
Bir hata ödül programı başlatarak müşterilerimizin varlıklarını güvence altına almak için başka bir güvenlik katmanı ekledik.
S: Kripto alanında güvenlik genellikle güvenle ilişkilendirilir. Deribit, hata ödül programının kullanıcılarının güvenini güçlendirmesini nasıl sağlıyor?
C: Kriptoda “güvenme, doğrula” deriz. Deribit, güvenlik açısından en iyi uygulamaları uygular ve ISO 27001 ve SOC 2 Tip 2 kontrollerine uygundur. Hem düzenli olarak hem de yeni özellikleri kullanıma sunmadan önce sızma testleri ve kırmızı takım çalışmaları yürütüyoruz. Hata ödül programı, başka bir güvenlik incelemesi katmanı ekler ve Deribit’te bir hata keşfeden herkese yasal bir yol ve mali ödüller sunar.
S: Deribit, programını yönetmek için neden HackerOne’ı seçti?
C: Yalnızca en zayıf halkanız kadar güvendesiniz. HackerOne, her biri farklı becerilere, deneyime ve uzmanlığa sahip en geniş güvenlik araştırmacıları topluluğuna sahiptir ve hiçbir alanın gözden kaçırılmaması için varlıklarımızın tam olarak kapsanmasını sağlar. Ayrıca Deribit, kuruluşundan bu yana kripto para birimlerini ve onların sağladığı güç ve özgürlüğü savundu. HackerOne, güvenlik araştırmacılarına değerlerimizle uyumlu olarak ödemeleri kripto parayla alma olanağı sunan ender platformlardan biridir.
S: Bugüne kadar güvenlik araştırmacılarıyla unutulmaz etkileşimleriniz oldu mu? En sevdiğiniz hatalar?
C: Birkaç yıl önce bir güvenlik araştırmacısı isimsiz olarak bir hata bildirdi ve bileti talep etmedi. Onu ödüllendirebilmek için izini sürmeye zaman ayırdık. Güvenlik araştırmacılarının programımızı araştırmasını istiyoruz ve bunun için onları cömertçe ödüllendirmek istiyoruz!
S: Blockchain teknolojisinin hızlı gelişimiyle birlikte Deribit hangi benzersiz güvenlik sorunlarıyla karşı karşıya kalıyor ve hata ödül programı bunların üstesinden gelmeye nasıl yardımcı oluyor?
C: Blockchain ve kripto laik ve hızla gelişen endüstrilerdir ve ürünlerin çoğu henüz zamana karşı dayanıklı değildir. Daha da kötüsü, para miktarı ve işlemlerin geri döndürülemezliği, kripto şirketlerini kötü niyetli kişiler ve APT (gelişmiş kalıcı tehdit) grupları için çok çekici bir hedef haline getiriyor. Hata ödül programı, güvenlik açıklarını kötü niyetli aktörlerden önce bulmamıza yardımcı olur ve güvenlik ekibimizi potansiyel tehditleri tespit edip bunlara yanıt vermesi için sürekli eğitir.
S: Güvenlik araştırmacıları topluluğuna doğrudan söyleyeceğiniz bir şey var mı?
C: Deribit’in 6 yıldır bir hata ödül programı var. Kendi kendine barındırılan bir program olarak başladık ve ardından yönetilen bir programa dönüştük (önce Bugcrowd’da, şimdi de HackerOne’da). Hata ödül programımızı geliştirmeye yönelik bu kararlılığımız, güvenlik araştırmacılarının değişimi güvence altına almada ne kadar değerli olduklarını gösteriyor. Yolculuğu sevdik; yeni insanlarla tanışmak, veriler hakkında konuşmak ve yeni saldırı tekniklerini öğrenmek. Hata ödül programımız aracılığıyla sorunları bildiren güvenlik araştırmacılarına çok minnettarız. Hacklemeye devam edin!