https://www.youtube.com/watch?v=tk6rxynddu
Katılımcılar, Quora, Reddit ve LinkedIn gibi popüler topluluk platformlarından canlı olarak ve özenle küratörlü soruları cevapladılar. Aşağıda soru kategorilerine hızlı bir bakış:
- Canstring Insights, Deneyimler ve Teknik Yönler
- Pentesters ve böcek ödül araştırmacıları arasındaki farklar
- Topluluk odaklı güvenlik test çözümlerinin artıları ve eksileri
- Pentest sonuçlarının önemini iletme
- Bug -Bounty Rekabetçiliği ve Pentest İşbirliği
- Pentesting’de manuel ve otomatik işlemler
- Pentesting’in endüstri trendleri ve geleceği
- Önde ne var
- Üretken yapay zekanın ve makine öğrenmesinin hack ve pentesting üzerindeki etkisi
Topluluk güdümlü pentesting’in geleneksel modellere karşı avantajlarını tartıyorsanız veya sadece pentestlemedeki gelişen eğilimler hakkında daha fazla bilgi edinmeyi merak ediyorsanız, aşağıdaki orijinal Soru-Cevap formatındaki uzman pentesterlerimizden bazı bilgilere göz atın veya açıklamayı izleyin. -Demand kaydı derinlemesine tartışmalarını ve profesyonel tavsiyelerini duymak.
Hackerone Pentesters ile tanışın
Peter M. (@PMNH)
Peter, güvenlik alanında üç yılı aşkın deneyime ve yazılım ve mühendislik liderliği rollerinde baş geliştirici/mimar olarak 20 yılı aşkın deneyime sahip tam zamanlı bir etik hacker/pentester. HackerOne’da Peter, amiral gemisi programlarında sürekli olarak yüksek/kritik güvenlik açıklarını belirleyerek çok sayıda başarılı penetrasyon testi ve kaynak kodu incelemeleri gerçekleştirdi.
Pranit G. (@rootsploit)
Pranit Garud, pentesting, kırmızı ekip, uygulama güvenliği, güvenlik açığı araştırması ve saldırı yüzey yönetimi de dahil olmak üzere çeşitli saldırgan güvenlik alanlarında yedi yılı aşkın deneyime sahip deneyimli bir güvenlik mühendisi ve böcek ödül avcısıdır. Kanıtlanmış bir sicile sahip olan Pranit, Fortune 500 şirketleri de dahil olmak üzere sektör lideri kuruluşlarla işbirliği yaptı ve bu işletmelerin güvenlik duruşunu önemli ölçüde artırdı.
Erfan F. (@Mico02)
Erfan, Amerika Birleşik Devletleri ve İngiltere’deki finans, sağlık, ulaşım ve teknoloji sektörleri genelindeki kuruluşlarla ortaklık konusunda kapsamlı bir geçmişe sahip deneyimli bir güvenlik danışmanıdır. Profesyonel küresinin dışında Erfan, bu titiz uygulama yoluyla çirkin becerilerini geliştiren hevesli bir böcek avcısıdır.
Juan L.
Juan, çeşitli pozisyonlarda bulunurken on yılı aşkın bir süredir Infosec endüstrisinde. Sektörde bir test cihazı olarak başladı ve zamanla müşteri desteğine geçti. Birkaç yıllık müşteri desteğinden sonra Juan, proje yönetimine geçti ve teknik katılım yöneticisi olduğu Hackerone’e gelmeden önce teknik bir proje yöneticisi oldu.
Canstring Insights, Deneyimler ve Teknik Yönler
S: Bir Pentester’ın sahip olabileceği en önemli beceri nedir?
Erfan: “Yaşam boyu öğrenen bir tutum söyleyebilirim. Siber güvenlik alanı çok hızlı gelişir. Yeni teknikler, hatalar, sömürü yöntemleri – hepsi oldukça hızlı bir şekilde gelişir. Kendinizi eğitme ve endüstrinin öğrencisi olmanın sorumluluğunu almalısınız. Bu öğrenme süreci asla bitmez. Ve kendinizi güncel tutmazsanız, temelde modadan çıkıyorsunuz, çünkü becerileriniz en son ve en büyük hataları alamayacak. ”
S: Pentesters ve böcek ödüllü araştırmacıların çalışma biçimleri arasındaki farklar nelerdir?
Peter: “Tipik olarak benzer ama farklı problemleri çözüyorlar. En pahalı ile daha titizlik elde edersiniz. Çoğu pentester, birçok farklı güvenlik açıkını kapsadıklarından emin olmak için geçtikleri oldukça resmi bir kontrol listesine sahiptir. Bug Bounty ile, tipik olarak, daha açık uçludur. Program kapsamında istediğiniz şeyin peşinden gidebilirsiniz.
Gözlemlediğim diğer en büyük fark, Pentests’in test edilen uygulamaya açık bir hata ödül programında olduğundan daha fazla veya daha derin erişime sahip olacağıdır. Dahili uygulamaları veya kimlik doğrulamalı uygulamaları test edeceksiniz. Son zamanlarda Hackerone için Beyaz Box Pentest yaptım, burada denetime uygulamanın kaynak kodu verildi, açık kaynak tipi araştırmalar dışında hata ödülünde çok nadiren bulacağınız bir şey. Bir müşteri olarak, bu test modlarından farklı sonuçlar alacaksınız. ”
S: Daha geleneksel çözümlerin aksine, siber güvenliğe kitle kaynaklı çözümleri kullanmanın artıları ve eksileri nelerdir?
Pranit: Geleneksel bir Pentest durumunda, bir satıcı kiralarsınız, satıcıyı araştırırsınız, satıcının belirli beceri setine veya yetenek havuzuna sahip olduğunu görürsünüz ve sonra bunları belirli bir kapsam için etkiler. Kapsam her değiştiğinde, Pentest için bütçe değişebilir. Başka bir web uygulaması veya mobil uygulama eklemek istiyorsanız, değişir. Finansal açıdan cebinde oldukça ağır olabilir.
Kalabalık kaynaklı çözümler durumunda, bir satıcınız olduğunda, yetenek havuzunu alacaklar ve insanları atayacaklar. Sadece özel hata ödül programınızda deneyimli bilgisayar korsanlarını istediğinizi söylerseniz, satıcı bilgisayar korsanlarını belirli metriklerle inceleyecek ve atayacaktır. Crowdsourned ile çeşitli beceri setlerine sahip olacaksınız, uygun maliyetli ve daha geniş bir kapsamı kapsayabilirsiniz. ”
S: Web uygulaması güvenliğinin önemini yöneticilere ve yönetim kurulu üyelerine nasıl iletiyorsunuz?
Peter: Raporlarınızı tüketen kişilerin, yaptığınız derin teknik deneyime sahip olmayan yöneticiler ve yöneticiler olduğunu fark etmelisiniz. Yaptığınız şeyi nasıl yaptığınızın teknik detayları, iyileştirme amacıyla önemlidir, ancak bir güvenlik açığının iş etkisini de açıklayabilmeniz gerekir. Bir saldırgan ne yapabilir? Bir saldırganın iş üzerinde bir etkisi olması ne kadar kolay? Bir kırılganlığın etkisini iletebilmek, mühendislik dolarlarının bunu düzeltmesini sağlayacaktır.
S: Hata Bounty Pentesting’den daha rekabetçi olmaz, avcılar diğer araştırmacılarla yararlı bilgileri paylaşmadan ilk ödül almaya çalışıyor mu?
Peter: Bug Bounty ile evet, yaptıklarınızın çoğu yalnız olacak. Ama Bug Bounty hakkında sevdiğim şeylerden biri harika bir topluluk olması. Discord sunucuları, twitter/x ve topluluk içinde bağlantı kurmanın ve başkalarıyla işbirliği yapmanın başka birçok yolu var. ‘Bu program üzerinde çalışıyorum. Buna aşina olan var mı? Bulduğum bu konuda işbirliği yapmak ister misiniz? ‘ Dışarıda aynı soruları olan ve yardım etmekten çok mutlu olan birçok insan var.
Erfan: Pentestlerin bir yeri vardır ve böcek ödüllerinin bir yeri vardır. Gördüğüm iş, tüm düşük asılı meyveleri bulmak için belirli bir uygulamada en pahalı yapmak. Sonra dış dünyaya ittikten sonra, gelip bulmacanın parçaları arasındaki çatlakları bulmak için böcek ödül metodolojileri kullanırsınız. Paylaşım araçları ve teknikleri ile ilgili olarak, Pentests’te daha fazla paylaşmaya çalışıyoruz ve evet, böcek ödüllü daha rekabetçi olabilir, ancak birbirlerine hizmet ediyorlar.
S: Pentesting’de manuel ve otomatik iş yapıyorsunuz?
Peter: Arka planım göz önüne alındığında, çoğunlukla manuelim ve tipik olarak kullanıma hazır otomatik taramadan gördüğüm subpar sonuçları veriliyor. Bir insan çatı katına sahip olmanın değeri, bu insan bilgisini en çirkinliğe uygulamaktır – gerçekten iş işlevselliğine derinlemesine kazmak ve otomatik bir aracın sezgisine sahip olamayacağı test vakalarını belirlemek. Ve işte burada gerçekten etkili, alınması zor hataları buluyorsunuz.
S: Pentest sonuçlarını bildirmenin en etkili yolları nelerdir? Ve tanınmış bir metodolojiyi takip etmenin önemi nedir?
Erfan: Sonuçları rapor etmenin en etkili yolu: Bilgilendirmeler. Bir test yapıldıktan sonra müşterilerle toplantı yapmak, neler olup bittiğini iletmenin en etkili yoludur. Birçok farklı takımdan birçok rapor alırlar; Onlara göre, her şey yanıyor gibi görünüyor. Bu nedenle, en pentin isteyen ekibin arkasında doğru dolar almasını isteyen ekibin yardımcı olması için bulduğunuz şey hakkında bir dava açmalısınız.
Ne yazık ki, deneyimlerime göre, birçok müşteri bilgilendirme istemiyor. Ücretsiz. Sunuldu. Lütfen bunun için gidin. İyi bir dava açmanıza yardımcı olacak ve en pentini anlamanıza yardımcı olacak.
Penetrasyon testi metodolojisini takip etmek neden önemlidir? Standartlaştırmanın ve tutarlılığa sahip olmak için bir yolumuz olmalı. İşte bu yüzden bir metodolojiye sahip olmalıyız. Her Pentester’ın en azından izlediği bir kontrol listemiz var. Son olarak, yasal ve uyumluluk yönleri vardır. Bazı standartlar, pentestlerin belirli bir şekilde yapılmasını gerektirir.
Endüstri trendleri ve pentestlemenin geleceği
S: Pentesting’in geleceği neye benziyor? Önümüzdeki birkaç yıl içinde sektör nereye gidiyor?
Pranit: Pentesting açısından, gerçekten geliştirme ekiplerine bağlıdır. Yeni bir ürün veya yeni bir teknoloji varsa, bu alan adını güvence altına almak için bir gereklilik vardır. Örneğin, Blockchain Bitcoin ilk başlatıldığında çok iyi bilinmiyordu, ancak son zamanlarda güvenlik ihtiyacı hızlandıkça blockchain’de birçok proje oldu. Sonuç olarak, pentesters her zaman farklı şeyler öğrenmelidir.
S: Üretici AI hacklemeyi nasıl değiştirdi? Yapay zeka ve makine öğrenimi penetrasyon testi için kullanılabilir mi?
Pranit: AI ve ML siber güvenlik alanına yabancı değildir. Tek soru, Pentest’te nasıl daha iyi kullanabileceğimizdir. Kendi ML modelleriyle ortaya çıkan birçok şirket var. AI ve ML çalışma şekli, ilk olarak modelleri önceden ayarlanmış verilere göre eğitmenizdir. Bu nedenle, kendi örneğinizi dağıtıyorsanız, AI ve ML’yi güvenlik amaçlı ve pentesting için nasıl kullanacağınız hakkında daha fazla bilgi edinebilirsiniz.
Peter: Bu teknolojilerin kendi güvenlik açıkları sınıfları vardır, ancak diğer dahili API’larınız ve veri kaynaklarınızla da entegre edilmiştir. Güvenlik açıkları ve altta yatan API’lerin bir ML veya Chatbot tipi etkileşim yoluyla maruz kalması çok yaygındır. Daha büyük bir ekosistemin parçasıdırlar ve sadece her ısmarlama teknolojiye değil, tüm ekosisteme ve güvenlik profiline baktığınızdan emin olmanız gerekir.
Hackerone Pentesting ile güvenlik programınızı tamamlayın
Hackerone Pentest’in en üst düzey güvenlik ve pentest uzmanlığına dokunarak işletmeleri nasıl koruduğunu ve devam eden pentestlere gerçek zamanlı bilgiler sunan bir platformla birleştirerek, temel metrikleri inisiyasyondan iyileştirmeye izin vererek nasıl koruduğunu keşfetmekle ilgilenmekle ilgilenmekle ilgilenmekle ilgilenmek?
Pentesting’in kuruluşunuzun özel ihtiyaçlarını ve hedeflerini karşılayacak şekilde nasıl uyarlanabileceğini daha iyi anlamak için, isteğe bağlı ürün demomuza bakın veya bugün hackerone’nin pentest uzmanlarıyla iletişime geçin!