Güvenlik Açıklarını Düzeltme
Bilgisayar korsanları ve güvenlik ekipleri arasındaki iletişimi kolaylaştıran HackerOne müşterileri, güvenlik açıklarını ihlalle sonuçlanmadan önce hızlı ve kapsamlı bir şekilde düzeltebiliyor.
“Bir güvenlik açığı raporunu bir olay olarak ele alarak mühendislik ekibiyle etkileşime geçiyoruz, böylece gerçek bir olayda göreceğimiz bağlılık düzeyini elde ediyoruz. Yedi yıllık hata ödülünden sonra, ek bir katmanla iyi bir sürecimiz var. Dahili sızma testi ekiplerimizin güvenlik açıkları üzerinde inceleme yapmasına olanak tanır, böylece mühendislik ekibi onlara öncelik vermelerini söylediğimiz şeylere güvenir.”
— Omar Benbouazza, Siber Güvenlik Müdürü, IKEA Grubu
“Mühendislerle iletişim kurmak iletişime bağlıdır. Bazen hızlı bir şekilde ele alınması gereken bulgularımız oluyor, bu nedenle acil iletişim kanallarımızın yanı sıra olağan iş akışının dışında bol miktarda doğrudan iletişimimiz de var ve bu da güven oluşturmaya yardımcı oluyor.”
— Dominik Koehler, Kıdemli Uygulama Güvenliği Uzmanı, KONE
“Kendi güvenliklerine sahip olmak ürün ekiplerinin sorumluluğundadır. Gelen güvenlik açığı raporlarıyla ilgili büyük bir merak ve heyecan var. Ürün ekipleri sahip olma zihniyetine sahip olduğundan, bulgularla gerçekten ilgileniyorlar.”
— Dmitri Lerko, Mühendislik Müdürü, loveholidays
Etik Hackerlardan En İyi Sonuçları Almak
Hazırlıktan iletişime kadar HackerOne müşterilerinin etik hackerlardan en iyi sonuçları almak için süreçlerini geliştirmesinin çeşitli yolları vardır.
“Hacker zihniyetini anlamak önemlidir. Dili ve topluluğun politikalarınızı nasıl yorumlayacağını anlamak, başarılı bir hata ödülü yürütmenize yardımcı olacaktır.”
— Omar Benbouazza, Siber Güvenlik Müdürü, IKEA Grubu
“Hata ödülüyle iki hedef kitleyle karşı karşıyasınız: raporu getiren bilgisayar korsanı ve sorunu çözen kişi. Bu nedenle iletişim tarzı zorunlu olarak farklıdır. Bilgisayar korsanının öncelikler konusunda içsel bir bağlama sahip olmadığına ve herkesin nörotipik olmadığına dikkat etmeniz ve açık ve profesyonel bir şekilde iletişim kurduğunuzdan emin olmanız gerekir. Bilgisayar korsanının rapor üzerinde çok çalıştığını ve bu nedenle bunun ele alındığını görmek istediklerini kabul edin. Dahili olarak bu kişinin öncelikler listesini anlayın ve raporun daha geniş iş öncelikleri bağlamında nereye uyduğunu açıklayın.
— Matthew Copperwaite, Kıdemli Siber Güvenlik Mühendisi, Financial Times
Bunlara benzer daha fazla bilgiyi ilk elden edinmek için Security@Global Tour’un sonraki duraklarına göz atın. Güvenlik programınız için etik bilgisayar korsanlarının gücü hakkında daha fazla bilgi edinmek istiyorsanız bugün HackerOne uzmanlarıyla iletişime geçin.