AS Watson Group bunu herkes kadar iyi biliyor. Dünyanın en büyük uluslararası sağlık ve güzellik perakendecisi olarak, 29 pazarda 16.400’den fazla mağaza, 5,5 milyar müşteri ve 130.000 çalışanı kapsayan bir alanın güvenliğinden sorumludurlar. Güvenlik stratejilerinin bir parçası olarak, genişleyen dijital varlıklarını güçlendirmek ve saldırı yüzeyleri değiştikçe varlıklarının mümkün olduğunca güvenli kalmasını sağlamak için HackerOne Bounty’ye başvurdular.
Etik bilgisayar korsanlarının dijital dönüşüme nasıl yardımcı olduğunu ve ekibinin saldırı yüzeyini güçlendirmesini nasıl sağladığını öğrenmek için kısa süre önce AS Watson’ın Bilgi Güvenliği Baş Sorumlusu (CISO) Feliks Voskoboynik ile görüştük. Feliks’in güvenlik stratejisinin bir parçası olarak hata ödül programını dahil etme konusundaki tavsiyelerini, etik bilgisayar korsanlarının sağladığı dersleri ve diğer CISO’larla hangi en iyi uygulamaları paylaşabileceğini öğrenmek için okumaya devam edin.
S: Bize AS Watson’dan bahsedin.
Felix:
1841 yılında kurulan AS Watson Group, 29 pazarda 16.400’ü aşkın mağazasıyla dünyanın en büyük uluslararası sağlık ve güzellik perakendecisidir. Son yıllarda siber güvenlik tehditleri hafife alamayacağımız kadar büyüyen bir endişe haline geldi. Perakende sektörü, son derece değerli müşteri bilgilerinin saklanması nedeniyle siber suçlular için oldukça çekici bir hedeftir. Bu bilgileri potansiyel siber tehditlere karşı korumalıyız ve işte bu noktada siber güvenlik devreye giriyor. AS Watson Group’ta BT Güvenliği ekibimiz, kuruluştaki siber savunmayı sürekli olarak güçlendirmek için çabalıyor. Nihai hedefimiz, çalışanlarımızın ve müşterilerimizin güvenli bir ortamda çalışmasını ve iş yürütmesini sağlamak için kuruluşumuzu güvenli ve emniyetli tutmaktır.
S: Bilgisayar korsanları AS Watson’a dijital dönüşüm hedeflerinde yardımcı oluyor mu?
Felix:
Müşteri bağlantısı için her gün daha güçlü bir uluslararası ağ ve O+O (Çevrimdışı artı Çevrimiçi / O artı O) platformları oluşturmaya çalışıyoruz. Kusursuz çevrimdışı ve çevrimiçi müşteri deneyimleri sağlayan O+O stratejisine odaklanıyoruz. Bu dijital dönüşüm programı bizim için büyük bir saldırı yüzeyi oluşturuyor ve etik bilgisayar korsanlarından oluşan topluluğumuz, riskleri azaltmamıza ve güvenlik olgunluğumuzu artırmamıza yardımcı oluyor. Küresel bir bilgisayar korsanlığı topluluğunu davet etme olanağına sahip olmak istedik çünkü bu, üst düzey beceriye sahip bilgisayar korsanlarının varlıklarımızın güvenliğini değerlendirmesini sağlamanın en kolay yoludur.
S: Etik bilgisayar korsanları güvenlik açığı eğilimlerini belirlemeye nasıl yardımcı olur?
Felix:
Bilgisayar korsanları, e-ticaretle ilgili farklı türdeki güvenlik açıkları konusunda bize birçok kez yardımcı oldu. Bulguların yaratıcılığı, ürün ve geliştirme ekiplerimizin güvenli yazılım yayınlama konusundaki güvenlik farkındalığını artırdı. Güvenlik araştırmacıları, yeni güvenlik araçlarını test etmemizin yanı sıra bunları yapılandırma ve dağıtma şeklimizde bize yardımcı oluyor. Bunun bir örneği, kimlik bilgisi karşıtı bir doldurma aracını kullanıma sunmak istediğimiz zamandı ve bilgisayar korsanları zayıf noktaları bulmamıza ve bunları azaltmamıza yardımcı oldu.
S: Etik bilgisayar korsanları saldırı yüzeyinizi güçlendirmeye nasıl yardımcı olur?
Felix:
Bilgisayar korsanlarının yaratıcılığı, saldırı yüzeyimizi sağlamlaştırmanın anahtarıdır. Bir bilgisayar korsanından yaratıcı bir kavram kanıtı (POC) aldığımızda, bu süreci belirli bir güvenlik açığının (veya benzer bir güvenlik açığının) yeni varlıklarda tekrarlanamayacağını incelemek ve doğrulamak için kullanabiliriz. Bu yaklaşım bize potansiyel güvenlik açıklarının nerede olabileceğine dair içgörüler sağlıyor ve yeni varlıklara aktarılan kodlar gibi birden fazla bileşen üzerindeki tek bir riski doğrulamak için araştırma ve iyileştirme sürecinin bir parçası olarak yeni çapraz kontrol faaliyetleri başlatmamıza yol açtı.
S: Dahili ekipleri eğitmek için güvenlik açığı öngörülerini nasıl kullanıyorsunuz?
Felix:
Bilgisayar korsanlarının spesifik bulguları, geliştirme ekiplerimiz için yeni bir güvenli kod eğitim programı oluşturmamızı sağladı. Güvenlik açıklarının eğilimlerini izliyor ve varlıklarımıza yönelik riskleri azaltmak amacıyla bir eğitim temeli oluşturmak için bunlardan yararlanıyoruz. Eğitim programı kodun kalitesini artırmamıza ve güvenlik açıklarını azaltmamıza yardımcı oldu. Ayrıca SDLC’yi güvence altına almak için mümkün olduğu kadar sola kaydırarak önleme yeteneklerimizi de artırdık. Yıllar geçtikçe toplam geçerli rapor sayısında bir azalma olduğunu fark ettik ve canlı ortamlardaki sorunları düzelterek maliyetleri düşürdük.
S: Etik bilgisayar korsanlarıyla çalışmanın değerini nasıl değerlendiriyorsunuz?
Felix:
Büyük saldırı yüzeyimiz göz önüne alındığında, üçüncü tarafların katılımıyla bile penetrasyon testi ekiplerinin ölçeğini büyütmek oldukça zor. İlk KPI’mız, standart, zaman sınırlamalı sızma testi faaliyetlerine kıyasla tasarruf ettiğimiz kaynaklarla ilgiliydi. Ayrıca belirli markalara ilişkin güvenlik açığı eğilimleri, iyileştirme, risk azaltma ve daha fazlasına ilişkin dahili bir KPI geliştirdik. Toplulukla birlikte, zaman sınırlı bir sızma testi yürüten tek bir kaynağa kıyasla birçok farklı uzmanlık alanınız olur.
S: Hata ödül programınızdan ne kadar yatırım getirisi görmeyi bekliyorsunuz?
Felix:
Yatırım getirisi, her gün kritik sorunları bulma ve sunma konusunda HackerOne’a güvenmemizden kaynaklanmaktadır. Bu nedenle ROI, HackerOne’ın sorunları günlük olarak bulmasıdır.
S: Hata ödül programı başlatmayı planlayan diğer CISO’lara ne gibi tavsiyelerde bulunursunuz?
Felix:
Raporları doğru şekilde ele almak ve programı ölçeklendirmek için sağlam bir güvenlik açığı yönetimi programı oluşturarak başlayın. Katılım kurallarını tasarlarken önceliklendirmek istediğiniz riskleri net bir şekilde anlamanız ve risk iştahınızı belirlemeniz gerekir.
Bir programa başladığınızda, sürekli bağlılığınızı gerektiren bir topluluğa dahil olacaksınız. Bilgisayar korsanları müşteriler gibidir ve bir ilişki kurmak ve sürdürmek için zamana ve çabaya ihtiyaç duyarlar. Programın KPI’larını, yanıt verme süresini, ödüle kadar geçen süreyi vb. düzgün bir şekilde yönetmek çok önemlidir ve bunun üstesinden gelmek için uygun bir ekip gerekir.
AS Watson Group olarak topluluğu ekibimizin bir uzantısı olarak görüyoruz. Ayrıca bilgisayar korsanlarının programlarımıza katılımını sağlamak için birçok farklı etkinlik ve yarışma düzenliyor ve yapmayı planlıyoruz.
S: Bilgisayar korsanlarından öğrendiğiniz en büyük ders nedir?
Felix:
Güvenlik bir varış noktası değil, bir yolculuktur. Ne yaparsanız yapın veya kuruluşunuz ne kadar güvenli olursa olsun riskler ve güvenlik açıkları hâlâ mevcuttur. Araştırmacılardan ve etik bilgisayar korsanlarından oluşan bir topluluğun katılımı, siber suçlularla karşılaştırılabilecek becerilere sahip olanların varlıklarınızı test etmesini sağlar; bu da bulgulara, iyileştirmelere ve derlemelere yardımcı olur.
AS Watson’ın hata ödül programı hakkında daha fazla bilgi edinin veya HackerOne ile kendi başınıza başlayın.