Güvenlik açıkları perakende ve e-ticaret alanını benzersiz bir şekilde nasıl etkiliyor ve perakende ve e-ticaret kuruluşları riski azaltmak için etik bilgisayar korsanlarını nasıl kullanabilir? Sektörlerine özgü bilgiler sağlamak için perakende ve e-ticaret alanında çalışan birkaç HackerOne müşterisiyle konuştuk.
1. Çeşitli Beceriler ve Yaratıcılık
Perakende ve e-ticaret alanındaki güvenlik profesyonelleri, sektörün karşı karşıya olduğu çok çeşitli saldırıları tanımlamak ve düzeltmek için etik bilgisayar korsanlarının çeşitli becerilerinden ve yaratıcılığından yararlanıyor.
“Bilgisayar korsanlarının yaratıcılığı, saldırı yüzeyimizi sağlamlaştırmanın anahtarıdır. Bir bilgisayar korsanından yaratıcı bir kavram kanıtı (POC) aldığımızda, bu süreci belirli bir güvenlik açığının (veya benzer bir güvenlik açığının) yeni varlıklarda tekrarlanamayacağını incelemek ve doğrulamak için kullanabiliriz. Bu yaklaşım bize potansiyel güvenlik açıklarının nerede olabileceğine dair içgörüler sağlıyor ve yeni varlıklara aktarılan kodlar gibi birden fazla bileşen üzerindeki tek bir riski doğrulamak için araştırma ve iyileştirme sürecinin bir parçası olarak yeni çapraz kontrol faaliyetleri başlatmamıza yol açtı.”
—Felix Voskoboynik, CISO, AS Watson
“Hata ödül programları, şirketlere, şirketin güvenlik ekibinin bir uzantısı olarak hizmet veren ve ödül ödemeleri ve itibar karşılığında güvenlik açıklarını bulmak ve bildirmek için her zaman hazır bulunabilen güvenlik araştırmacılarından oluşan küresel bir yetenek havuzuyla bağlantı kurmanın bir yolunu sağlıyor. Bu yapıcı işbirliği, interneti hepimiz için daha güvenli hale getirme nihai hedefiyle şirketlerin herhangi bir zamanda konunun uzmanlarından yararlanmasına olanak tanıyor.”
— Alejandro Federico Iacobelli, Uygulama Güvenliği Direktörü, Mercado Libre
“Yeni güvenlik açıklarının ortaya çıkma hızına ayak uydurmak herhangi bir şirket için zorlayıcıdır. Birlikte çalıştığımız araştırmacılar, bu güvenlik açıkları konusunda konunun uzmanlarıdır ve bunları hızlı bir şekilde test edip raporlamanın yollarını bulmuşlardır. Onların beceri ve yetenekleri, hız önemli olduğu için riski azaltmamıza yardımcı oluyor. Güvenlik açıklarının, istismar edilmeden önce bulunup düzeltilmesini istiyoruz ve bunu araştırmacıların yardımıyla başarabildik.”
— James Johnson, CISO, John Deere
2. Uygulanabilir Bilgiler
Perakende ve e-ticaret kuruluşları yalnızca kendi sektörlerine özgü yüksek düzeyde güvenlik açığı öngörüleri almakla kalmıyor, aynı zamanda bu öngörüleri SDLC iyileştirmesinden eğitim programlarına kadar iyileştirme eylemlerine dönüştürebiliyor.
“Hata ödül programımızdaki güvenlik açığı öngörüleri, güvenlik geliştirme yaşam döngüsü (SDLC) boyunca iyileştirme fırsatları bulmamızı ve XSS gibi güvenlik açıklarını proaktif olarak %98 oranında azaltmamızı sağladı.”
— Alejandro Iacobelli, Uygulama Güvenliği Kıdemli Müdürü, Mercado Libre
“Bilgisayar korsanlarının elde ettiği spesifik bulgular, geliştirme ekiplerimiz için yeni bir güvenli kod eğitim programı oluşturmamızı sağladı. Güvenlik açıklarının eğilimlerini izliyor ve varlıklarımıza yönelik riskleri azaltmak amacıyla bir eğitim temeli oluşturmak için bunlardan yararlanıyoruz. Eğitim programı kodun kalitesini artırmamıza ve güvenlik açıklarını azaltmamıza yardımcı oldu. Ayrıca SDLC’yi güvence altına almak için mümkün olduğu kadar sola kaydırarak önleme yeteneklerimizi de artırdık. Yıllar geçtikçe toplam geçerli raporlarda bir azalma olduğunu fark ettik ve canlı ortamlardaki sorunları düzelterek maliyetleri düşürdük.”
—Felix Voskoboynik, CISO, AS Watson
3. Ölçek
Kuruluşlar büyüdükçe güvenlik açıkları riski de artıyor. Bu perakende ve e-ticaret kuruluşları, büyümelerini desteklemek ve ölçeklendirmek için geniş güvenlik araştırmacıları havuzundan yararlanıyor.
“E-Ticaret işimiz büyüdükçe, müşteri ihtiyaçlarını karşılayabilmek, gizliliği sağlayabilmek, uyumluluk düzenlemelerine uyabilmek ve yazılımımızı mümkün olduğunca güvenli bir şekilde sunabilmek için reaktif güvenlik stratejimizi büyüyen bir saldırı yüzeyine ölçeklendirmemiz gerekiyor. Çabalarımızı en üst düzeye çıkarmamıza yardımcı olmak amacıyla dijital varlıklarımız hakkında çeşitli güvenlik açığı analizleri sağlayan güvenlik araştırmacılarından oluşan bir topluluk oluşturmak için HackerOne gibi bir ortağa ihtiyacımız vardı.”
— Alejandro Iacobelli, Uygulama Güvenliği Kıdemli Müdürü, Mercado Libre
“HackerOne, AS Watson genelinde siber güvenlik düzeylerimizi geliştirdi. Programımız büyümeye devam ediyor ve HackerOne odaklanmamız gereken yeri belirlememize ve önceliklendirmemize yardımcı oldu. Yıllar geçtikçe, internete yönelik varlıklarımızın genel güvenlik duruşunu iyileştiren ve siber güvenlik programımızı güçlendiren çok sayıda yeni güvenlik açığını ve yüksek riskli sorunu fark ettik.”
— Besmir Marku, Teknoloji ve Uygulama Güvenliği Başkanı, AS Watson
Perakende veya e-Ticaret kuruluşunuzun etik bilgisayar korsanlarının ve hata ödülünün gücünden nasıl yararlanabileceği hakkında daha fazla bilgi edinmeye hazırsanız bugün HackerOne ile iletişime geçin.