1. Gelen Güvenlik Açığı Raporlarını Yönetmeye Hazır mısınız?
Doğal olarak, bir hata ödül programını çalıştırmanın amacı, güvenlik ekibinizin bulabileceğinin ötesindeki güvenlik açıklarını belirlemek ve bunları düzeltmektir. Bununla birlikte, bir hata tespit programı başlatırken, birçok güvenlik ekibi kaç tane güvenlik açığının tespit edileceğine hazırlıksızdır ve bunları gidermek için çalışmakta zorlanır. Doğru puanlama sistemleri mevcut olmadığında, güvenlik ekiplerinin gelen güvenlik açığı raporlarına öncelik vermesi ve bunları düzenli bir şekilde düzeltmesi çok zor olabilir.
Çözüm: Etkinliğinizi ve Puanlama Platformunuzu Düzenleyin ve Hazırlayın
Güvenlik ekiplerinin, hata ödülü korsanlarından gelen raporları yönetmeye yardımcı olmak için etkili bir güvenlik açığı etkinliğine ve önceliklendirme puanlama platformuna ihtiyacı var. HackerOne’ın platformu, güvenlik ekiplerinin güvenlik açıklarını etkili bir şekilde ele almalarını sağlamak için gerekli tüm içgörüleri, organizasyonu, puanlamayı ve kaynakları sağlar.
Örneğin, Hacktivity platformumuz, müşterilere hangi CVE’lerin bilgisayar korsanları tarafından aktif olarak rapor edildiğine dair bilgiler sunan bir CVE (Ortak Güvenlik Açıkları ve Etkilenmeler) Keşfi özelliği içerir. Ayrıca platform, kapsamlı faktörlere dayalı stratejik önceliklendirmeyi güçlendiren CVSS (Ortak Güvenlik Açığı Puanlama Sistemi) ve EPSS (Exploit Tahmin Puanlama Sistemi) puanlamasını kullanır.
HackerOne Müşteri Başarı Yöneticileri (CSM’ler) aynı zamanda, hacker davetlerini kendilerine özgü ihtiyaç ve hedeflere göre uygun miktarda ölçeklendirmek için kuruluşlarla yakın işbirliği içerisinde çalışarak, yönetilemez sayıda hacker ve rapora sahip aşırı güvenlik ekiplerinin önüne geçer.
2. Saldırı Yüzeyinizi Test Ettiniz mi?
Birçok güvenlik ekibinin bir hata tespit programına hazır olup olmadıklarından emin olmamalarının nedenlerinden biri, saldırı yüzeylerinin güvenliği konusunda tam bir anlayışa sahip olmamalarıdır. Hata ödül programı doğru hedef olsa da, güvenlik ekipleri genellikle kod incelemeleri ve sızma testleri gibi gelecekteki hata ödül raporlarından neler beklenebileceğine ışık tutmaya yardımcı olan bazı önceki adımları atlar.
Çözüm: Kod İncelemelerini ve Sızma Testlerini Çalıştırın
HackerOne topluluğunun uzman bir grubu tarafından gerçekleştirilen her kod incelemesinin tamamlanması ortalama 88 dakika sürüyor ve ortalama 1,2 güvenlik açığını ortaya çıkarıyor. Güvenlik düzeltmelerinin yüzde 18’i eksik, bu da onları denetlenmesi gereken en önemli kod değişikliği türlerinden biri haline getiriyor.
Hata ödülü genellikle devam eden bir program olsa da, sızma testleri genellikle sistemin kapsamlı, zamana bağlı bir incelemesini kapsayan ve saldırganların yararlanabileceği güvenlik açıklarını belirlemeye odaklanan yapılandırılmış bir metodolojiyi takip eder.
Kod incelemeleri ve sızma testleri yoluyla tespit edilen en önemli güvenlik açıkları genellikle hata ödülüyle örtüşür ve aşağıdaki gibi yaygın güvenlik açıklarını belirler:
Ek olarak, kod incelemelerine ve sızma testlerine ayrılan kapsam ve zaman aralığının daha küçük olması, bunları saldırı yüzeyinizi anlama ve bir hata ödül programına hazırlanma yolunda önemli basamaklar haline getirir. HackerOne pentester’ları bir kuruluşun devam eden hata ödül programına da eklenebilir ve böylece daha fazla değer sağlayan öncü bilgisayar korsanları geliştirilebilir.
3. Organizasyonel Katılımınız Var mı?
Pek çok güvenlik lideri, paydaşlardan ve yönetim kurulu üyelerinden hata ödülü almak için başlangıçtaki heyecanı ve desteği sağlamakta zorlanıyor. Bu, doğru bilgi olmadan yapılması zor bir konuşma olabilir, çünkü bazen bir şeyin olmasını engellemenin geri dönüşünü göstermek zordur. Sonuç olarak güvenlik ekipleri ihtiyaç duydukları bütçe kaynaklarını alamıyor ve program etkisiz bir şekilde yürütülüyor.
Çözüm: Ölçülebilir Yatırım Getirisini veya Risk Azaltma Getirisini Hesaplayın
Yönetim kurulu üyelerinin dolar ve sent dilinde konuştuğu bir sır değil ve maliyet tasarrufları ve yatırım getirisinin hesaplanmış bir dökümü olmadan, güvenlik ekiplerine hata ödül programını etkili bir şekilde yürütmeleri için uygun bütçe verilmeyecektir.
7. Yıllık Hacker Destekli Güvenlik Raporu’na göre, HackerOne platformundaki bir hatanın ortalama fiyatı 2022’de 400 dolardan 500 dolara yükseldi. 90. yüzdelik dilimdeki ortalama ödül ise 2.500 dolardan 3.000 dolara çıktı. Ancak bu güvenlik açıklarının fark edilmeden kullanılmasının ve istismar edilmesinin maliyeti, ödülün maliyetinden önemli ölçüde daha fazladır.
HackerOne müşterileri, hata ödül programlarının başarısını ölçerken sürekli olarak maliyet tasarrufunu hesaba katıyor; %59’u itibar veya müşteriyle ilgili olaylardan elde edilen tahmini tasarruflara ve %54’ü riskten kaçınmadan elde edilen tahmini mali tasarruflara değer veriyor.
“2019’dan bu yana Zoom 900 bilgisayar korsanıyla çalıştı ve bunlardan 300’ü, hızlı bir şekilde devam etmek zorunda kaldığımız güvenlik açıklarını gönderdi. 7 milyon doların üzerinde ödeme yaptık. Bu önemli bir yatırım ama geri dönüşleri buna değer: dünyayı buluyoruz- gerçek dünya sorununa dönüşmeden önce gerçek dünya çözümlerini bulma konusunda sınıf yeteneği.”
— Michael Adams, CISO, Zoom
Çoğu durumda, HackerOne müşterileri hata ödülü yoluyla risk azaltmanın getirisini göstermede başarılı oluyor ve bu da bir programın iş gerekçesini güçlendiriyor.
“
Hata ödül programı, tüm harcamalarımız genelinde en yüksek yatırım getirisini sağlayan programdır. Yatırım getirisini göstermek gerçekten zor, ancak hata ödülüyle birlikte bir temel çizgim var. ‘Bu güvenlik açığını kurum dışından birileri bulmayı başardı’ diyebilirim. Bu sisteme erişme yetkisi olmayan biri sisteme erişebildi.’ Programımızda yer almayan güvenlik açıklarına rağmen, hata ödülü onlara bir fiyat etiketi koymamı sağlıyor. Bu iş senaryosunu açıklayabilirim ve paydaşlarımız hata ödülüne aynı zamanda yatırım getirisi sağlayan diğer araçlardan daha fazla öncelik verebilirler.”
— Eric Kieling, Uygulama Güvenliği Başkanı, Booking.com
Diğer HackerOne müşterilerinin hata ödülü için kurumsal katkıyı nasıl aldıklarını görün.
4. Ödülleriniz Doğru Fiyatlandırılmış mı?
Mali tazminattan daha fazla faktör olsa da bilgisayar korsanlarının %80’i bunu öncelikle para için yapıyor (2022’de bu oran %71’di). Bunu akılda tutarak, ödülleri belirlerken mali teşvikin düzeyi önemlidir. Pek çok kuruluş, herhangi bir hata ödülü için uygun miktarın ne olduğunu bildiklerini düşünebilir, ancak bilgisayar korsanları topluluğunun programlarına katılım eksikliğini fark ederler. Bunun nedeni, ödüllerin çok düşük olması durumunda bilgisayar korsanlarının %48’inin bir programa katılmamayı tercih etmesidir.
Çözüm: Benzer Karşılaştırma Verileriyle Fiyat Ödülleri
Güvenlik ekiplerinin bir adadaki ödülleri fiyatlandırması gerekmiyor. Her sektördeki meslektaşlar, hata ödülünü ve etik hacklemeyi benimsedi. Ekiplerin kendi sektörlerindeki ortalama ödül maliyetlerini incelemesi çok önemlidir çünkü ortalamalar bir sektörden diğerine çok farklı olabilir. Örneğin, aşağıda Seyahat ve Konaklama için ortalama ödülün 700 $ olduğunu, Cryptocurrency & Blockchain’de ise 3.000 $’ın üzerinde olduğunu görebilirsiniz.
5. Bilgisayar Korsanlarını Etkileşimde Tutabilir misiniz?
Bilgisayar korsanları için bir hata ödül programını seçerken para kesinlikle önemli bir faktör olsa da, önemli buldukları tek şey bu değil. Aslında bir bilgisayar korsanını programdan uzaklaştırabilecek pek çok şey vardır.
Gördüğünüz gibi, yavaş yanıt süreleri (%60) ve zayıf iletişim (%55), bilgisayar korsanlarının hata ödül programından caydırılması için düşük ödüllerden (%48) daha önemlidir.
Çözüm: Programınızın Bilgisayar Korsanlarının İşine Yaramasını Sağlayın
Bilgisayar korsanlarının, kuruluşunuzun güvenlik ekibiyle ilişkileri olduğunda programınıza zaman ayırma olasılıkları daha yüksektir. Bu nedenle, hata ödül programınız ödül ödemesinden daha fazlasını sunmalıdır. En iyi bilgisayar korsanlarını çekmek için etkili bir şekilde iletişim kurmanız, bilgisayar korsanlarının öğrenebileceği çeşitli bir kapsam sunmanız ve belirledikleri güvenlik açıklarını hızlı bir şekilde düzeltmek için zaman ayırmanız gerekir. Örneğin GitHub, özel bir promosyon mağazası, eşleşen ödül bağışları ve güvenli liman politikalarına uyum sağlayarak bilgisayar korsanlarını 10 yıl boyunca hata ödül programına dahil etti.
“Yeni bir programa bakarken, önceliklendirme süresi ve ödül açısından metriklere ve programın bu metriklere ne dereceye kadar ulaştığına bakacağım. Şirketlere hem kamu hem de özel bir programa sahip olmalarını tavsiye ederim. Kamu programı, onlara daha fazla erişim ve kaynak sağlayabileceğiniz özel programa taşınabilecek araştırmacıları tarayacak ve onlarla röportaj yapacak. Özel bir program, seçkin bir bilgisayar korsanı grubunun gerçekten derinlemesine araştırma yapmasına ve bu kritik güvenlik açıklarını bulmasına olanak tanır. Örneğin, bazı bilgisayar korsanları keşif yapma ve altyapının kimsenin düşünmediği köşelerini bulma ve köşelere bakma konusunda uzmanlaşırken, yüzlerce sunucuda güvenlik açıklarını tarayan başka bilgisayar korsanları da vardır. Etkili raporlar sunmak için yenilik ve ölçek önemlidir.”
— Tom Anthony, Hacker
HackerOne müşterilerinin bilgisayar korsanlarından en iyi sonuçları nasıl aldığını görün.
Kuruluşunuz Hata Ödül Programına Hazır mı?
Güvenlik liderlerinin tüm bu kutuları işaretlemesi ve kuruluşlarının hata ödülüne hazır olup olmadığını değerlendirmesi oldukça zordur. Raporları yönetmek, bütçeyi almak, doğru ödülleri belirlemek ve hacker ilişkileri kurmak, bunların hepsini doğru şekilde ve aynı anda yapmak fazlasıyla göz korkutucu görünebilir.
HackerOne’da, kuruluşunuzun benzersiz ihtiyaçlarına yönelik doğru hata ödül programını yürütmek için kurum içi uzmanlığın en iyi kombinasyonunu, sizin için çalışmaya hazır kapsamlı bir hacker topluluğuyla birlikte sağlıyoruz. Kuruluşunuz için en etkili hata ödül programını nasıl yürüteceğiniz hakkında daha fazla bilgi edinmek istiyorsanız bugün HackerOne ekibimizle iletişime geçin.