HackerOne’s Security@ konferansları, esnek güvenlik programları oluşturma hakkında görüş ve tavsiyeleri paylaşmak için müşterileri, bilgisayar korsanlarını ve endüstri uzmanlarını bir araya getiren özel etkinliklerdir.
Booking.com, Polygon Labs, Dağıtım Kahramanı ve Headspace, Güvenlik Liderleri, programlarından yönetici alımını güvence altına almaktan, güvenlik açığı raporlarından veri beslemeye kadar, SDLC’lerine geri göndermeye kadar etik bilgisayar korsanlarıyla çalışma deneyimlerini tartışmak için sahneye çıktılar. daha güçlü ürünler ve hizmetler.
İşte müşterilerimizden öğrendiğimiz en önemli dersler.
1. Gemiye doğru insanları almak böcek başarısını garanti eder
Güvenlik@ panelistleri, iç şampiyonları teşvik etmenin, açık bir sahibi ve yükseltme sürecine sahip olmanın, kırılganlık iyileştirmesini motive etmenin ve hata ödül programınızı geliştirmenin erken başlamasının önemini tartıştılar.
“Güvenliğe öncelik veren bir kültüre geçmeye çalışıyorsanız, iç şampiyonlar güvenlik çabalarınız için çok değerlidir. Headspace’de C-suite’imizde savunucular kurduk ve departmanlarımızda güvenlik şampiyonları oluşturduk; Artık güvenlik ekibinin bir uzantısıdır ve meslektaşlarını da güvenliği benimsemeleri için destekleyebilirler. ”
– Shobhit M., Güvenlik ve Uyum Direktörü, Headspace
“Hata ödül programımızı halka açıklamak için yeterli araç ve otomasyona sahip olduğumuzdan ve doğru sahibini bulmamız gerekiyordu. 3.000’den fazla geliştiricimiz var, bu yüzden her bir güvenlik açığını kimin düzelttiğini belirlemek zor ve sorunu artıracak bir süreç olması önemli. Bilgisayar korsanlarının iyileştirme süresinden hayal kırıklığına uğramasını istemiyoruz; Bir hacker bir şey bildirirse, sadece şirketin güvenliği için değil, aynı zamanda bilgisayar korsanlarının yararına mümkün olan en kısa sürede düzeltmemiz gerekir. ”
– Eric Kieling, Uygulama Güvenliği Başkanı, Booking.com
“Güvenlik Açığı Yönetim Programını güvenlik çerçevesinin oyunlaştırma yaklaşımıyla bağladık. Belirli güvenlik gereksinimlerini iyileştirmek için farklı bölgelerdeki varlıkları oyunlaştırır ve iter. Kritik bir güvenlik açığı olduğunda, takımlara SLAS verilir. Bu, geleneksel olmayan bir güvenlik hakkında düşünmenin bir yoludur, ancak bu herkesin güvenlik açıklarını herkesin önünde düzeltmeye çalıştığı anlamına gelir. ”
– Noeman Jamil Hashmi, Kıdemli Müdür, Güvenlik Mühendisliği, Teslimat Kahramanı
“Zamanla, başlangıçta böcek ödül programınızı açmak için bir savunucu oldum. Bilgisayar korsanları, özellikle kod test edilmemişse katılmayı sever. Kod tamamlandıktan ve mühendisler biraz test yaptıktan sonra, sadece oraya koyun ve daha düşük ödüllerle başlayın. Bileşik saldırı ile DNS veya kodda bir şey bulacaksınız ve bu hiçbir tarayıcının bulamayacağı bir şey. ”
– Christopher von Hessert, VP, Güvenlik, Polygon Labs
2. Müşteriler, bir ihlalin potansiyel maliyetine göre YG’yi ölçer
Panelistler ayrıca, Güvenlik YG’sinin zor olabileceğini gösterirken, hata ödül programlarının niceliği ve paydaşın satın alınmasını kolaylaştırdığı konusunda hemfikirdi.
“Para her zaman güvenlik için bir engeldir. Hiçbir şey olmadığında iyi bir iş yaptığınızı nasıl açıklıyorsunuz? Müşteriler için itibar hasarını veya riski nasıl ölçüyorsunuz? Blockchain’de akıllı sözleşmelerimiz para tutuyor, bu yüzden bunlardan biri ihlal edilirse, tam olarak ne kadar para risk altında olduğunu açıklamak benim için daha kolay. ”
– Christopher von Hessert, VP, Güvenlik, Polygon Labs
“Bir hata ödül programı, sahip olabileceğiniz en yüksek ROI programıdır. En iyi araştırmacılar tarafından dövülüyorsunuz. Kuruldaki araştırmacıların becerilerinden gerçekten çok etkilendim. ”
– Shobhit M., Güvenlik ve Uyum Direktörü, Headspace
“Bug Bounty programı, tüm harcamalarımızdaki en yüksek yatırım getirisidir. YG’yi göstermek gerçekten zor, ama böcek ödülüyle bir taban çizgim var. ‘Bu kırılganlık, kuruluş dışındaki biri tarafından bulunabildi. Bu sisteme erişme yetkisi olmayan biri buna erişebildi. ‘ Programımızda olmayan güvenlik açıklarıyla bile, Bug Bounty onlara bir fiyat etiketi koymama izin veriyor. Bu iş vakasını açıklayabilirim ve paydaşlarımız, ROI üreten diğer araçlardan daha yüksek hata ödülüne öncelik verebiliyorlar. ”
– Eric Kieling, Uygulama Güvenliği Başkanı, Booking.com
3. Bug Bounty, piyasa zorluklarıyla başa çıkmak için uyarlanabilir
Sol, küresel takımlar ve AI’nın ilerlemesi arasında; Hata ödül programları ve etik hackerlar önemli güvenlik açıklarını yakalamaya devam ediyor.
“Sola kaymaya çalışıyoruz. Ancak bu araçların sınırlamaları var ve böcek ödüllü, döngüde kalanları bulmamız için bir yoldur. Diğer araçlar güvenlik açıkları bulamadığında, Bug Bounty onları bulmamıza izin verir. ”
– Eric Kieling, Uygulama Güvenliği Başkanı, Booking.com
“Gruplar farklı ülkelerde faaliyet gösterdiğinde, farklı platformlar ve tehdit senaryoları, durum tespiti vb. Var. Böcek ödül programını başlattığımızdan beri, düşük asılı meyveleri tanımlayabildik ve geri dönüp düzeltebiliriz. ”
– Noeman Jamil Hashmi, Kıdemli Müdür, Güvenlik Mühendisliği, Teslimat Kahramanı
“Bug Bounty programının bana farkında olmadığım şeylere görünürlük vermesini seviyorum. En ilginç güvenlik açıkları olmayabilirler, ama bana göre çok önemlidir çünkü bunlar şirketimdeki bilinmeyenler. Bunlar tarayıcılarımın ve hatta SDLC’imin bakmadığı şeyler. İnsan faktörünün üstesinden gelmek çok zordur ve yapay zekanın eklenmesiyle, muhtemelen bir yılı aramak için harcayacağımız çılgın güvenlik açıkları bulabilecekler. ”
– Christopher von Hessert, VP, Güvenlik, Polygon Labs
HackerOne, güvenlik@ global alıyor. En yakın etkinliği bulun.