Perakende ve e-ticaret kuruluşları yılın bu zamanında ana hedeflerdir; bu nedenle, potansiyel kötü niyetli saldırılara karşı hazırlıklı olmak için proaktif güvenlik testleri şarttır. Perakendeciler bu tatil alışveriş sezonunda riski azaltmak için neden güvenlik araştırmacılarını kullanıyor? Perakende ve e-ticaret sektöründeki birkaç HackerOne müşterisiyle sektörlerine özgü bilgiler sağlamak için konuştuk.
1. Çeşitli Beceriler ve Yaratıcılık
Perakende ve e-ticaret kuruluşları, tatil alışveriş sezonunda dışarıdan birinin bakış açısını benimsemek için güvenlik araştırmacılarının çeşitli becerilerinden ve yaratıcılığından yararlanıyor.
“HackerOne’ın küresel etik hacker topluluğu, güvenlik testi yeteneklerimizi genişletti. Her biri kendi uzmanlıklarını ve güçlü yönlerini ortaya koyan çeşitli bilgisayar korsanları grubuyla bağlantı kuruyoruz. Bu çeşitlilik önemli bir varlıktır çünkü herkese uyan tek bir yaklaşım yoktur. Bazıları belirli saldırılara odaklanırken diğerleri varlıklarımız genelindeki çok çeşitli güvenlik açıklarını tespit etme konusunda uzmandır. Bu çeşitlilik, aksi halde gözden kaçırabileceğimiz potansiyel güvenlik açıklarını ortaya çıkarmamıza yardımcı oluyor.”
— Isaiah Grigsby, Kıdemli Uygulama Güvenliği Mühendisi, REI
“Bilgisayar korsanlarının yaratıcılığı, saldırı yüzeyimizi sağlamlaştırmanın anahtarıdır. Bir bilgisayar korsanından yaratıcı bir kavram kanıtı (POC) aldığımızda, bu süreci belirli bir güvenlik açığının (veya benzer bir güvenlik açığının) yeni varlıklarda tekrarlanamayacağını incelemek ve doğrulamak için kullanabiliriz. Bu yaklaşım bize potansiyel güvenlik açıklarının nerede olabileceğine dair içgörüler sağlıyor ve yeni varlıklara aktarılan kodlar gibi birden fazla bileşen üzerindeki tek bir riski doğrulamak için araştırma ve iyileştirme sürecinin bir parçası olarak yeni çapraz kontrol faaliyetleri başlatmamıza yol açtı.”
—Felix Voskoboynik, CISO, AS Watson
“Hata ödül programları, şirketlere, şirketin güvenlik ekibinin bir uzantısı olarak hizmet veren ve ödül ödemeleri ve itibar karşılığında güvenlik açıklarını bulmak ve bildirmek için her zaman hazır bulunabilen güvenlik araştırmacılarından oluşan küresel bir yetenek havuzuyla bağlantı kurmanın bir yolunu sağlıyor. Bu yapıcı işbirliği, interneti hepimiz için daha güvenli hale getirme nihai hedefiyle şirketlerin herhangi bir zamanda konunun uzmanlarından yararlanmasına olanak tanıyor.”
— Alejandro Federico Iacobelli, Uygulama Güvenliği Direktörü, Mercado Libre
2. Uygulanabilir Bilgiler
Perakende ve e-ticaret kuruluşları daha sonra araştırmacıların sağladığı içgörüleri alabilir ve bunları SDLC iyileştirmesinden eğitim programlarına kadar önleyici eylemlere dönüştürebilir.
“Hata ödül programımızdaki güvenlik açığı öngörüleri, güvenlik geliştirme yaşam döngüsü (SDLC) boyunca iyileştirme fırsatları bulmamızı ve XSS gibi güvenlik açıklarını proaktif olarak %98 oranında azaltmamızı sağladı.”
— Alejandro Iacobelli, Uygulama Güvenliği Kıdemli Müdürü, Mercado Libre
“Bilgisayar korsanlarının elde ettiği spesifik bulgular, geliştirme ekiplerimiz için yeni bir güvenli kod eğitim programı oluşturmamızı sağladı. Güvenlik açıklarının eğilimlerini izliyor ve varlıklarımıza yönelik riskleri azaltmak amacıyla bir eğitim temeli oluşturmak için bunlardan yararlanıyoruz. Eğitim programı kodun kalitesini artırmamıza ve güvenlik açıklarını azaltmamıza yardımcı oldu. Ayrıca SDLC’yi güvence altına almak için mümkün olduğu kadar sola kaydırarak önleme yeteneklerimizi de artırdık. Yıllar geçtikçe toplam geçerli rapor sayısında bir azalma olduğunu fark ettik ve canlı ortamlardaki sorunları düzelterek maliyetleri düşürdük.”
—Felix Voskoboynik, CISO, AS Watson
“REI olarak müşterilerimizin verilerini ve genel uygulama güvenliğini etkileyebilecek kritik güvenlik açıklarını bulmaya odaklanıyoruz. Kimlik doğrulama ve yetkilendirme kusurları, enjeksiyon güvenlik açıkları ve veri ihlallerine yol açabilecek her şey gibi konulara çok dikkat ediyoruz. Raporları incelemeye ve güvenlik açıklarını potansiyel etkilerine göre önceliklendirmeye yönelik bir süreçle, aldığımız bulgulara göre harekete geçmeye her zaman hazırız, böylece bunları hızlı bir şekilde düzeltebiliriz. Bu hataları önceliklendirerek güvenliğimizi güçlendirmeyi ve kullanıcılarımız için güvenli, güvenilir bir ortam yaratmayı hedefliyoruz.”
— Isaiah Grigsby, Kıdemli Uygulama Güvenliği Mühendisi, REI
3. Ölçek
Kuruluşlar büyüdükçe, bir tatil alışveriş sezonundan diğerine giderek daha karmaşık hale gelen saldırılarla birlikte saldırıları da yüzeye çıkıyor. Ancak perakendeciler, suçlulara ayak uydurmak için her zaman öğrenen ve araçlarını ve becerilerini geliştiren geniş güvenlik araştırmacıları havuzundan yararlanabilir.
“E-ticaret işimiz büyüdükçe, müşteri ihtiyaçlarını karşılayabilmek, gizliliği sağlayabilmek, uyumluluk düzenlemelerine uyabilmek ve yazılımımızı mümkün olduğunca güvenli bir şekilde sunabilmek için reaktif güvenlik stratejimizi büyüyen bir saldırı yüzeyine ölçeklendirmemiz gerekiyor. Çabalarımızı en üst düzeye çıkarmamıza yardımcı olmak amacıyla dijital varlıklarımız hakkında çeşitli güvenlik açığı analizleri sağlayan güvenlik araştırmacılarından oluşan bir topluluk oluşturmak için HackerOne gibi bir ortağa ihtiyacımız vardı.”
— Alejandro Iacobelli, Uygulama Güvenliği Kıdemli Müdürü, Mercado Libre
“Güvenlik testi için bir temel oluşturmak amacıyla başlangıçta özel bir hata ödül programıyla başladık. Başarılı bir özel hata ödül programına sahip olduktan birkaç ay sonra, üçüncü taraf araştırmacılardan güvenlik açığı raporlarını almamıza ve yönetmemize olanak tanıyan genel bir güvenlik açığı açıklama programına geçtik. Programımız geliştikçe, aynı zamanda küresel bir topluluğun çeşitli becerilerinden faydalanmamıza olanak tanıyan bir genel hata ödül programı da başlattık. Bu ilerleme, uygulama güvenliği çabalarımızın olgunlaşmasında ve birinci sınıf bir güvenlik programı oluşturmamızda etkili oldu.”
— Isaiah Grigsby, Kıdemli Uygulama Güvenliği Mühendisi, REI
“HackerOne, AS Watson genelinde siber güvenlik düzeylerimizi geliştirdi. Programımız büyümeye devam ediyor ve HackerOne odaklanmamız gereken yeri belirlememize ve önceliklendirmemize yardımcı oldu. Yıllar geçtikçe, internete yönelik varlıklarımızın genel güvenlik duruşunu iyileştiren ve siber güvenlik programımızı güçlendiren çok sayıda yeni güvenlik açığını ve yüksek riskli sorunu tespit ettik.”
— Besmir Marku, Teknoloji ve Uygulama Güvenliği Başkanı, AS Watson
Kuruluşunuzun tatil alışveriş sezonu risklerinin önüne nasıl geçebileceği hakkında daha fazla bilgi edinmek için 8. Yıllık Hacker Destekli Güvenlik Raporu: Perakende ve E-ticaret Sürümü’nü indirin.