12 yılı aşkın süredir, güvenlik açıklarını bulmak ve bir ürün piyasaya çıkmadan önce bunları düzeltmek amacıyla hackathon’lar düzenliyor ve yürütüyorum. Bu etkinlikler, ürün geliştirme yaşam döngüsünde önemli bir rol oynayabilir, ekip işbirliğini artırabilir, sorunları ortaya çıkarabilir ve yeniliği teşvik edebilir. Bu makalede, kuruluşunuzun bir güvenlik hackathon taktik kitabı oluşturmasına veya geliştirmesine yardımcı olabilecek bazı önemli öngörülerimi ve ipuçlarımı paylaşmak istiyorum.
Neden bir güvenlik hackathon’u yürütmelisiniz?
Hackathon etkinlikleri, yalnızca bir üründeki güvenlik açıklarını bulmak amacıyla ürün ve güvenlik uzmanlarını bir araya getirir. Güvenlik uzmanları, sistemlerin nasıl kırılacağı ve hackleneceği hakkında güvenlik zihniyeti ve bilgi sağlarken, ürün uzmanları belirli hedef ürünün iç işleyişi hakkında bilgi sağlar.
Bu etkinlikler geleneksel olarak kısa vadeli olsa da (yalnızca birkaç hafta sürer), bunları başarıyla gerçekleştirmek, değerlendirmenin net bir kapsamını tanımlamayı gerektirir. Bu, bir mimari veya tasarım incelemesi, silikon öncesi veya silikon sonrası değerlendirme, bir platformun veya cihazın tamamının incelenmesi veya bir ürünün belirli bir yönü veya özelliği olabilir.
Bir hackathon çalıştırırken geleneksel olarak dört temel amaç veya hedef vardır.
Birincisi, tamamlayıcı bir güvenlik değerlendirmesi olarak hizmet etmesidir. İkincisi, katılımcılar arasında bilgi aktarımını sağlayacak bir uygulama topluluğu oluşturmaktır. Üçüncüsü, ürün ekipleri tarafından güvenlik yeteneklerinin ve Güvenlik Geliştirme Yaşam Döngüsü (SDL) yürütme kalitesinin kurumsal değerlendirmesidir. Dördüncüsü ise maliyetli dış danışmanlara bağımlılığı azaltabilecek deneyimli iç güvenlik araştırma ekipleri geliştirip yetiştirerek maliyetleri azaltmaktır.
Bir hackathonu nasıl organize edersiniz?
Başucu kitabınızı oluştururken dikkate almanız gereken bazı ipuçları:
1. Planlama sürecinde kritik ayrıntıları gözden kaçırmayın – Bir hackathon öncesinde planlama çok önemlidir. Bu, katılan ürün ve güvenlik ekiplerinin taahhütte bulunmasını, rollerin atanmasını ve bir hackathon’un ürün veya proje yaşam döngüsünün neresinde anlamlı olduğunu anlamayı içerir.
Ürün mimarisi, tasarım ve güvenlik araştırması gibi farklı alanlar için kilit kişilerin uygunluğunu doğrulamak da önemlidir. Planlama hedefi, güvenlik değerlendirmesi ve testi için yeterince olgun bir ürüne sahip olmanın yanı sıra gerekli görülmesi halinde önemli değişiklikler yapmak için de yeterli zamana sahip olmaktır.
Değerlendirme faaliyetlerini destekleyecek alan, ekipman, araç ve altyapının konumlandırılması da aynı derecede önemlidir. Son olarak, etkinlik başlamadan önce tüm katılımcıların hackathon metodolojisine ve sürecine aşina olduğundan emin olun.
2. Hackathon rollerini tanımlayın – Bu etkinlikler, başlamadan önce planlama ekibi tarafından doldurulması gereken çeşitli tanımlanmış rollere sahiptir:
- Etkinliğin organizasyonundan sorumlu iki lider (birini işlevsel ekipten, birini güvenlik ekibinden öneririm). Bu kişiler gerektiğinde ek roller de oynayabilirler.
- Güvenlik mimarisini analiz etmekten ve öncelikli güvenlik alanlarını belirlemekten sorumlu bir güvenlik lideri.
- Test ortamını ayarlamaktan sorumlu bir etkinleştirici.
- Etkinlik sırasında ekip faaliyetlerine rehberlik etmekten sorumlu olan bir kolaylaştırıcı.
- Değerlendirilen ürüne bağlı olarak donanım, ürün yazılımı, yazılım, ağ protokolleri vb. genelinde bir veya daha fazla kişiden oluşan güvenlik uzmanları.
- Ürün ekibi üyeleri olan fonksiyonel uzmanlar, ürünün fonksiyonel bileşenlerinde uzmandır.
- Mimarlar, geliştiriciler, doğrulayıcılar, altyapı uzmanları ve diğerleri gibi çağrı üzerine sunulan kaynaklar.
3. Güvenlik ekibini boş bir sayfadan başlatın – Metodolojiyi ve süreci anlamak, değerlendirilen ürünün gerçek ayrıntılarını bilmekten farklıdır.
Güvenlik araştırmacıları için ürün bilgisi gerekli değildir, ancak karmaşık ürünler ve/veya teknolojiler için güvenlik ekibinin ürün mimarisi ve tasarımına ilişkin anlayışlarını mümkün olduğunca artırmalarını şiddetle tavsiye ederim. Bu, mimari ve tasarım eğitimi aşamasında biraz daha fazla zaman harcamak anlamına gelebilir (bu, güvenlik değerlendirmesi ve test aşamasını ve son gün toparlama aşamasını da içeren daha büyük etkinliğin bir aşamasıdır).
SDL ekibi tarafından neyin test edildiğinin anlaşılması bir artıdır. Güvenlik ekibi veya alt ekipler ürünün mimarisine aşina olduktan sonra, saldırı senaryoları ve test senaryolarından oluşan bir liste üzerinde beyin fırtınası yapıp bunları uygulayarak güvenlik değerlendirmesine başlayabilirler.
4. Değerlendirme hedeflerine öncelik verin – Bu etkinliklerin süresi sınırlıdır, bu da hedeflerinizi en yüksek iş riskine göre önceliklendirmeniz gerektiği anlamına gelir. Bunlar, SDL ekibi tarafından yoğun bir şekilde değerlendirilmemiş alanlar, önemli bir güvenlik etkisine sahip olabilecek alanlar veya IP veya bileşen düzeyinde SDL’de değerlendirilmemiş uçtan uca platform çözümleri olabilir.
5. Günlük senkronizasyonları zorunlu kılın – Tüm hackathon ekibinin olumlu ilerleme kaydettiğinden emin olmak için günlük senkronizasyon zorunlu kılınmalıdır. Bu senkronizasyon süresi boyunca alt ekipler durumlarını bildirir ve ürün üzerinde hangi testleri gerçekleştirdiklerini, hangi güvenlik açıklarının keşfedildiğini ve kendilerine atanan ürün alanında testlerin devamı için hangi test planlarına sahip olduklarını açıklar.
Alt ekipler, keşfedilen herhangi bir güvenlik açığından yararlanmaya çalışmamaları ve iyi ilerlemeyen bir test senaryosuna kapılmaları durumunda diğer saldırı vektörlerini keşfetmeye devam etmeleri konusunda teşvik edilmelidir.
6. Değerlendirme çalışmasını belgelemeye zaman ayırın – Bu etkinlikler uçup gidebilir ve ekiplerin kaydettiği ilerlemeyi yakalamak önemlidir. Katılımcıların küçük şeyleri, detayları sık sık not etmelerini, etkinliğin sonunda bunları pekiştirmelerini öneririm.
Katılımcıların yapılan güvenlik değerlendirme çalışmasını belgelemeleri ve raporlamaları için son günün yarısını ayırdığınızdan emin olun. Bu raporlar bireysel katılımcılar tarafından veya alt ekipler tarafından yazılabilir. Amaç, etkinlik sırasında yapılan güvenlik analizinin (örneğin yürütülen testler, kullanılan araçlar vb.) kaydedilmesini ve gelecekteki güvenlik değerlendirmeleri için kullanılabilecek nihai bir hackathon raporuna dahil edilmesini sağlamaktır.
7. Öğeleri takip edin ve döngüyü kapatın – Hackathon sırasında tüm öğeler tamamlanmaz. Örneğin, bir aktivite beyin fırtınasının bir parçası olarak daha fazla test senaryosu veya sorgulama gerektirebilir. Bu bekleyen öğelerin sahiplere atandığından ve tamamlanan faaliyetlerden emin olun. Bu nihai rapor için önemli olacaktır.
8. Güvenlik açıklarını derecelendirin – Onaylanan güvenlik açıklarının gözden geçirilmesi ve CVSS puanlaması kullanılarak önem derecesine göre derecelendirilmesi gerekir.
Hem ürün ekibi üyeleri hem de güvenlik araştırmacıları, bulunan tüm sorunların önem derecesi üzerinde anlaşmaya varmayı hedeflemelidir. Yalnızca güvenlik etkisi ve istismar yolu doğrulanmış olan sorunlar, güvenlik açıkları olarak derecelendirilmelidir (diğerleri, güvenlik geliştirmeleri veya Derinlemesine Savunma veya olay sonrasında daha fazla araştırma gerektiren açık gözlemler için öneriler olarak not edilebilir).
9. Bulgulara ilişkin nihai bir rapor hazırlayın – Hackathon’un ardından ekip üyeleri, nihai bir rapor için bulguları ürün liderine sunmalıdır. Bu, yürütülen tüm saldırı senaryolarına ilişkin ayrıntıları, keşfedilen güvenlik açıklarını ve iyileştirme önerilerini içerir. Beklenen iki temel çıktı, belirlenen sorunları ve güvenlik önerilerini ve güvenliği iyileştirmeye yönelik uzun vadeli etkileri (tehdit modeli boşlukları veya SDL yürütme kalitesi gibi) içerir.
10. İyileştirmeler için hackathon sürecini değerlendirin – Etkili etkinlikler yürütmek karmaşık bir süreç olabilir ve her zaman iyileştirmeye yer vardır. Yalnızca süreci değil, bulguları da geriye dönük olarak değerlendirin. Bu, ürün güvenliği mimarisinde, tasarımında ve değerlendirme sürecinde sistematik iyileştirmeler sağlamak için kullanılabilir. Bu, güvenlik araçlarının ürün ekipleri tarafından benimsenmesini ve hackathon sırasında belirlenen güvenlik açığı sınıflarına yönelik güvenlik önlemlerinin eklenmesini içerebilir.
Hackathon’lar, doğru şekilde organize edilip yürütüldüğünde eğlenceli, ilgi çekici olabilir ve yeniliği teşvik edebilir. Hackathon etkinliklerinizi başlatmaya veya geliştirmeye çalışırken yukarıda eklediğim önemli bilgilerden bazılarını göz önünde bulundurun.