Güvenlik güvenlik açıkları perakende ve e -ticaret alanını benzersiz bir şekilde nasıl etkiler ve perakende ve e -ticaret kuruluşları riski azaltmak için etik bilgisayar korsanlarını nasıl kullanabilir? Sektörlerine özgü bilgiler sağlamak için perakende ve e -ticaret alanında birkaç hackerone müşterisi ile konuştuk.
1. Çeşitli beceri setleri ve yaratıcılık
Perakende ve e -ticaretteki güvenlik uzmanları, endüstrinin karşılaştığı çok çeşitli saldırıları tanımlamak ve düzeltmek için etik bilgisayar korsanlarının çeşitli beceri setlerinden ve yaratıcılığından yararlanmaktadır.
“Bilgisayar korsanlarının yaratıcılığı, saldırı yüzeyimizi sertleştirmenin anahtarıdır. Bir bilgisayar korsanından yaratıcı bir konsept (POC) kanıtı aldığımızda, bu süreci incelemek ve belirli bir güvenlik açığının (veya benzer bir) yeni varlıklarda tekrarlanabilir olmadığını doğrulamak için kullanabiliriz. Bu yaklaşım bize potansiyel güvenlik açıklarının nerede olabileceğine dair bilgiler verir ve miras alınan kodlar gibi birden fazla bileşen üzerinde yeni varlıklara tek bir riski doğrulamak için soruşturma ve iyileştirme sürecinin bir parçası olarak yeni çapraz kontrol faaliyetleri sunmamıza neden olur. ”
– Felix VocoorOrobooth, Ciso, Assers
“Bug Bounty programları, şirketlere şirketin güvenlik ekibinin bir uzantısı olarak hizmet veren ve ödül ödemeleri ve itibar karşılığında güvenlik açıklarını bulmak ve bildirmek için her zaman mevcut olabilen küresel bir güvenlik araştırmacı havuzu ile bağlantı kurmanın bir yolunu sunar. Bu yapıcı işbirliği, şirketlerin interneti hepimiz için daha güvenli hale getirmek amacıyla herhangi bir zamanda konu uzmanlarından yararlanmalarını sağlar. ”
– Alejandro Federico Iacobelli, Uygulama Güvenlik Direktörü, Mercado Libre
“Yeni güvenlik açıklarının ortaya çıkma hızı, herhangi bir şirketin ayak uydurması zor. Birlikte çalıştığımız araştırmacılar bu güvenlik açıkları konusunda konu uzmanlarıdır ve bunları hızlı bir şekilde test etmenin ve raporlamanın yollarını bulmuşlardır. Beceri ve yetenekleri, hız önemli olduğu için riski azaltmamıza yardımcı olur. Güvenlik açıklarının kullanılmadan önce bulunmasını ve düzeltilmesini istiyoruz ve bunu araştırmacıların yardımıyla başardık. ”
– James Johnson, Ciso, John Deere
2. Eylem edilebilir içgörüler
Perakende ve e -ticaret kuruluşları sadece sektörlerine özgü yüksek düzeyde güvenlik açığı anlayışları almakla kalmaz, aynı zamanda SDLC arıtımından eğitim programlarına kadar bu bilgileri iyileştirme eylemlerine dönüştürebilirler.
“Bug Bounty programımızdan güvenlik açığı anlayışları, Güvenlik Geliştirme Yaşam Döngüsü (SDLC) boyunca iyileştirme fırsatları bulmamızı ve XSS gibi güvenlik açıklarını%98 oranında azaltmamızı sağladı.”
– Alejandro Iacobelli, Uygulama Güvenliği Kıdemli Müdürü, Mercado Libre
“Bilgisayar korsanlarının özel bulguları, geliştirme ekiplerimiz için yeni bir güvenli kod eğitim programı oluşturmamızı sağladı. Güvenlik açıklarının eğilimlerini izliyoruz ve varlıklarımızdaki riskleri azaltmak için bir eğitim taban çizgisi oluşturmak için onları kullanıyoruz. Eğitim programı, kodun kalitesini artırmamıza ve güvenlik açıklarını azaltmamıza yardımcı oldu. Ayrıca, SDLC’yi güvence altına almak için mümkün olduğunca sola kayarak önleme yeteneklerimizi artırdı. Yıllar boyunca toplam geçerli raporlarda bir düşüş fark ettik ve canlı ortamlardaki sorunları iyileştiren maliyetleri düşürdük. ”
– Felix VocoorOrobooth, Ciso, Assers
3. Ölçek
Kuruluşlar büyüdükçe güvenlik açıkları riski de artmaktadır. Bu perakende ve e -ticaret kuruluşları, büyümelerini desteklemek ve ölçeklendirmek için geniş güvenlik araştırmacıları havuzuna girer.
“E -ticaret işimiz büyüdükçe, reaktif güvenlik stratejimizi büyüyen bir saldırı yüzeyinde ölçeklendirmemiz, böylece müşteri ihtiyaçlarını karşılayabilir, gizliliği sağlayabilir, uyum düzenlemelerine uyabilir ve yazılımımızı mümkün olduğunca güvenli bir şekilde sunabiliriz. Çabalarımızı en üst düzeye çıkarmamıza yardımcı olmak için dijital varlıklarımızda çeşitli güvenlik açığı anlayışları sağlayan bir güvenlik araştırmacıları topluluğunu getirmek için Hackerone gibi bir ortağa ihtiyacımız vardı. ”
– Alejandro Iacobelli, Uygulama Güvenliği Kıdemli Müdürü, Mercado Libre
“Hackerone, Watson olarak siber güvenlik seviyelerimizi geliştirdi. Programımız büyümeye devam ediyor ve Hackerone, odak noktamızın nerede olması gerektiğini belirlememize ve öncelik vermemize yardımcı oldu. Yıllar boyunca, internete bakan varlıklarımızın genel güvenlik duruşunu geliştiren ve siber güvenlik programımızı güçlendiren çok sayıda yeni güvenlik açıkları ve yüksek riskli sorunlar tanıdık. ”
– Watson olarak teknoloji ve uygulama güvenliği başkanı Besmir Marku
Perakende veya e -ticaret kuruluşunuzun etik bilgisayar korsanlarının ve hata ödüllerinin gücünü nasıl kullanabileceği hakkında daha fazla bilgi edinmeye hazırsanız, bugün HackerOne ile iletişime geçin.