Jedox yakın zamanda finansal planlama yazılımı için Gartner Magic Quadrant’ta lider seçildi. Lider çeyreğine adlandırılmakla ilgili bir kriter, güvenlik, kullanılabilirlik ve risk azaltma söz konusu olduğunda bir kuruluşun ne kadar olgun olduğudur. Jedox yazılımını güvence altına almak ve müşterileri için sınıfının en iyisi siber güvenlik güvencelerinin sağlanması, Jedox güvenlik, ürün ve mühendislik geliştirme ekipleri için bir önceliktir.
Hackerone Pentests ile içgörü kazandıktan ve başarıyı gerçekleştirdikten sonra, Jedox, 2021’de özel, hackerone tarafından yönetilen bir hata ödül programına dahili olarak geliştirilen bir güvenlik açığı açıklama programına (VDP) geçti. JEDOX Destek Biletleme Sistemi Bir API aracılığıyla ve sorun çözülüp tekrar test edilene kadar azaltma çabalarının mevcut durumunu izler.
Vladislav’a Jedox’un bulut güvenliği stratejisine eklenen etik hackerların değerini sorduk.
S: İnsanlar bilgisayar korsanlarıyla çalıştığınızı öğrenmek ve proaktif olarak varlıklarınızı denemeye davet etmek için şaşırabilirler. Bunu neden yapıyorsun?
C: Hackerlarla çalışmak Jedox için stratejiktir. İşte nedeni:
Erken Tespit: Bilgisayar korsanları, aksi takdirde fark edilmeyebilecek güvenlik açıklarını ortaya çıkarabilir. Onları proaktif olarak varlıklarımızı test etmeye davet ederek, potansiyel zayıflıklar hakkında bilgi ediniriz.
Gerçek Dünya Testi: Bilgisayar korsanları, savunmamızı güçlendirmemize yardımcı olan pratik senaryolar sağlayarak gerçek dünya saldırılarını simüle ediyor.
İşbirliği: Bilgisayar korsanlarıyla etkileşim kurmak, güvenlik uzmanları ve kuruluşumuz arasında işbirliğini teşvik ederek sürekli iyileştirmeye yol açar.
S: Başladığınızda, bilgisayar korsanlarıyla çalışma konusunda korkular olduğunu düşünüyorum. Bilgisayar korsanları ve kuruluşunuz arasında güven oluşturmaya nasıl başladınız?
C: Başlangıçta ekibimiz bilgisayar korsanlarıyla çalışmak konusunda isteksizdi. Güven oluşturmak için, iletişim ve süreçler oluşturduk:
Şeffaflık: Niyetlerimizi ve hedeflerimizi açıkça iletiyoruz.
Adalet: Hacker’lara çabalarına ve katkılarına saygı duyarak etik olarak davranıyoruz.
Teşekkür: Bulgularını kamuya açıklamak, etik hacklemenin faydaları için güven oluşturur.
S: Bug Bounty programınız daha geniş güvenlik stratejinize nasıl uyuyor ve Jedox için güvenlik stratejisinin bir parçası olarak onu güzel bir şekilde yerine getirmeye ihtiyaç duyan şey nedir?
C: Hata ödül programımız çok önemli çünkü bize sunuyor:
Dış bilgiler: Dış uzmanlığa dokunarak iç güvenlik çabalarını tamamlar.
Zamanında düzeltmeler: Güvenlik açıklarının hızlı tanımlanması ve çözümü genel güvenlik duruşumuzu geliştirir.
Risk Azaltma: Müşterilerimizi etkileyen tespit edilmemiş sorun riskini azaltmak için ekibimizin boyutunu, becerilerini ve hızını arttırır.
S: Güvenlik araştırmacıları yeni ürünler veya yazılım geliştirirken size nasıl yardımcı oluyor?
A: Güvenlik araştırmacıları
Tehdit Modelleme: Ürün tasarımı sırasında potansiyel riskleri belirlememize yardımcı olurlar.
Kod İncelemesi: Uzmanlıkları güvenli kodlama uygulamalarını sağlar.
Test: Araştırmacılar yeni özellikleri, API’leri ve entegrasyonları titizlikle test ediyorlar.
S: Yapay zekayı ürün stratejinize nasıl dahil ediyorsunuz ve hackerların yapay zeka dağıtımlarınızı/tekliflerinizi güvence altına almanıza nasıl yardımcı olduğunu görüyorsunuz?
C: Yapay zeka ürün stratejimizin ayrılmaz bir parçasıdır, yani tekliflerimize entegre edilmiştir. Bilgisayar korsanları ürünümüzü test ettiğinde, AI tabanlı yeteneklerimizi dolaylı olarak test ederler.
S: Programınızın başarısını nasıl ölçüyorsunuz ve dahili olarak, kuruluşunuza bilgisayar korsanlarıyla çalışma değeri hakkında nasıl rapor veriyorsunuz?
C: Bug Bounty programını finanse ettiğimizde, aşağıdakileri içeren başarı metriklerine bakarız:
Raporların kalitesi: Bilgisayar korsanlarından açık, eyleme geçirilebilir raporlar.
Risk maruziyetinin azalması: daha az kritik güvenlik açıkları.
Güvenlik Açığı Kapatma Süresi: Sorunlar ne kadar hızlı çözülür.
Bu KPI’lar aylık olarak ölçülür ve “CTO kontrol panelime” dahil edilir. Bunu zaman içinde değişiklikleri izlemek ve eğilimlerdeki değişiklikleri ayarlamak için kullanıyorum.
S: Bir hata ödül programı düşünen herkese ne tavsiye edersiniz?
A:
Kapsam netliği: Test için açık sınırları tanımlayın. Programda ne var ve ne değil?
Rekabetçi Finansal Ödüller: Yetenekli bilgisayar korsanlarını çekmek için rekabetçi ödüller sunar. Sınırlarınızı bilin ve bunları akıllıca yaydığınızdan emin olun. Programınızın kapsamını genişletirken, önce ödül için programı açmadan önce dahili bir değerlendirme yapmanızı öneririm – bütçesi hızlı bir şekilde tükenebilirsiniz.
Geri bildirim döngüsü: Hacker’larla düzenli olarak etkileşime geçin ve zamanında geri bildirim sağlayın.
Unutmayın, bilgisayar korsanlarıyla işbirliği sadece belirli bir yazılım veya sistem yaklaşımı içinde kusur bulmakla ilgili değildir; SaaS tekliflerine olan güveni artıran ve miras, yalnızca iç süreçlere kıyasla yeni işbirlikçi stratejiler için nitel ve nicel değer gösteren daha güçlü bir güvenlik ekosistemi oluşturmakla ilgilidir.