Yönetişim ve Risk Yönetimi, Güvenlik Operasyonları, Güvenlik Açığı Değerlendirmesi ve Sızma Testi (VA/PT)
Saldırı Yüzey Yönetimini ve Görünürlüğü Artırmak İçin Bugcrowd Tarihindeki İlk Satın Alma
Michael Novinson (MichaelNovinson) •
23 Mayıs 2024
Bugcrowd, müşterilere dijital varlıklarına dair daha fazla görünürlük sağlamak için eski bir NTT ve BT yöneticisi tarafından yönetilen harici bir saldırı yüzeyi yönetimi sağlayıcısı satın aldı.
Ayrıca bakınız: Kurumsal Şifre Yönetimini Ciddiye Alma Zamanı
CEO Dave Gerry’ye göre, San Francisco merkezli, kitle kaynaklı güvenlik sağlayıcısı, Brighton, İngiltere merkezli Informer’ı satın almasının Bugcrowd’un penetrasyon testi teknolojisinin benimsenmesini hızlandıracağını ve müşterilerin hata ödül programlarının kapsamını genişletmeye teşvik edeceğini söyledi. Informer’ın teknolojisi Bugcrowd aracılığıyla hemen satışa sunuluyor ve Gerry, entegrasyonun Eylül ayı sonuna kadar tamamlanmasını bekliyor.
“Müşteriler hata ödülü kapsamı açısından neye bakmalı? Ne üzerinde kalem testi yapmalılar? Güvenlik açığı açıklama programlarına neleri dahil etmeliler? Bunun platformumuzda bir boşluk olduğu çok kısa sürede ortaya çıktı Gerry, Bilgi Güvenliği Medya Grubu’na “gidip çözmek istediğimizi” söyledi.
Informer 2014 yılında kuruldu ve kuruluşundan bu yana, daha önce NTT Data’da güvenlik testlerine liderlik eden ve BT’de penetrasyon testlerinde yer alan Marios Kyriacou tarafından yönetiliyor. Informer’ın 15 çalışanının tamamı Bugcrowd’a katıldı. Kyriacou, şirketin platformundaki saldırı yüzeyi yönetimi yeteneklerinin gelişimini denetlemek için ürün yönetimi ekibine katıldı (bkz.: Bugcrowd 102 Milyon Dolarlık Stratejik Büyüme Finansman Turuna Ulaştı).
Kitle Kaynaklı Güvenlikten Kitle Kaynaklı İstihbarata
Informer’ın potansiyel marka taklitlerini belirleme yeteneği ve basit DNS taramalarının ötesine geçme kararlılığı, diğer ticari tarayıcılara göre benzersiz bir avantaj sağlıyor; Gerry, bunun Bugcrowd müşterilerinin saldırı yüzeylerini daha iyi anlamalarına ve çevrelerini daha etkili bir şekilde güvence altına almalarına yardımcı olacağını söyledi. Informer’ın yetenekleri, sağlık hizmetleri gibi üçüncü taraf varlıklara büyük ölçüde bağımlı olan sektörlerdeki müşteriler için hayati önem taşıyacak.
Gerry, “Bu insanlar, tarama yeteneği açısından gördüklerinin yanı sıra, diğer yayınlara ve diğer veri kaynaklarına nasıl baktıklarına ilişkin tarama konusunda biraz daha fazla zekaya sahipler” dedi.
Gerry’ye göre bu satın alma, müşterilere daha proaktif içgörüler ve güvenlik duruşlarını iyileştirmenin yollarını sunarak Bugcrowd’un kitle kaynaklı bir güvenlik şirketinden kitle kaynaklı bir istihbarat şirketine dönüşme yönündeki daha geniş stratejisiyle uyumlu. Bugcrowd ve Informer’ı bir araya getirmenin, daha fazla bilgiyi tek bir platformda toplayarak daha kapsamlı raporlama ve analitiği mümkün kılacağını söyledi (bkz: Hata Avcılığı için OpenAI Sezonu).
Gerry, “İşin her bir parçası bir gecede dijitalleşti ve BT ve güvenlik bunun kontrolünü çok hızlı bir şekilde kaybetti” dedi.
Gerry, iş süreçlerinin hızlı dijitalleşmesinin, farklı departmanların merkezi gözetim olmadan bağımsız olarak dijital varlıklar oluşturmasına yol açtığını ve görünürlük konusunda zorluklar yarattığını söyledi. Dijital varlıklara ilişkin tam görünürlük eksikliği, şirketlerin hata ödülü ve kalem testi programları için eksik kapsamlara sahip olmasına neden oluyor ve Bugcrowd, müşterilerin gerçekte neyin kapsam dahilinde olduğunu tanımlamasına yardımcı olacak bir yol istiyordu.
Gerry, “Bu artık müşterilerin ‘Belki de çok daha geniş bir kapsama sahip olmamız gerektiğini’ anlamalarını sağlıyor ve bu da kitle kaynaklı bilgisayar korsanlarının daha fazla kazanç fırsatına sahip olmasını ve sonuçta müşteriler için güvenlik açıklarının belirlenmesinde daha fazla değer elde etmesini sağlıyor.” dedi.
Başarılı Bir Satın Alma Nasıl Görünür?
Gerry, Informer entegrasyonu sayesinde Bugcrowd’un müşterilerin birden fazla oturum açma ihtiyacını ortadan kaldırmasına yardımcı olmayı ve onlara tek bir platformda birleştirilmiş raporlama ve tarama yetenekleri sunmayı planladığını söyledi. Informer’ın Birleşik Krallık’a ve sağlık kuruluşlarına odaklanmasının, Bugcrowd’un Avrupa’daki genişleme planlarıyla ve finansal hizmetler ve teknoloji sektörlerindeki gücüyle uyumlu olduğunu söyledi.
Gerry, “Bu müşterilerin isteyeceği son şey yeni bir portal, oturum açabilecekleri başka bir platformdur” dedi. “Sektör olarak onlara bunlardan bolca verdik. Şimdi mesele şu: ‘Bunu nasıl kolaylaştırırız ve onların zaten sahip olduğu iş akışına kendimizi nasıl dahil ederiz?'”
Gerry’ye göre müşteriler, mülklerinin büyüklüğüne bağlı olarak Informer’ın saldırı yüzeyi yönetimi yetenekleri için genellikle yıllık 20.000 ila 50.000 ABD Doları arasında ödeme yapıyor. Bugcrowd’un 13 yıllık tarihindeki ilk satın alma, şirketin 102 milyon dolarlık finansman turunu tamamlamasından sadece üç ay sonra gerçekleşti ve Gerry, Bugcrowd’un teknoloji yeteneklerini ve pazar erişimini artırmak için daha fazla satın alma yapmasını bekliyor.
Gerry’ye göre, satın almanın başarısını değerlendirmeye yönelik temel ölçütler arasında entegrasyon kilometre taşlarına ulaşılması, mevcut müşterilerin benimseme oranları, müşteriyi elde tutma ve Informer çalışanlarının Bugcrowd’a sorunsuz entegrasyonu yer alıyor. Platformun büyük ve karmaşık web özelliklerine görünürlük sağlamadaki hızı ve ölçeklenebilirliği göz önüne alındığında Informer’ın teknolojisinin büyük kurumsal müşteriler için uygun olduğunu söyledi.
Gerry, “Platformun ölçeklenebilirliği olağanüstüydü” dedi. “Bazı gerçekten büyük, gerçekten karmaşık web özelliklerini ve uygulamalarını bunun üzerinden çalıştırıyorduk ve çok hızlı bir şekilde saldırı yüzeyinin neye benzediğini görebilmeyi başardık.”