Soru: Lütfen kendinizi tanıtın. Bize REI’de ne yaptığınızı ve siber güvenliğin REI için neden önemli olduğunu anlatın.
C: Ben Isaiah Grigsby, kıdemli uygulama güvenliği mühendisiyim. Güvenlik açığı açıklama ve hata ödül programlarımıza liderlik ediyorum, CI/CD hatlarımızdaki güvenlik araçlarımızı denetliyorum ve geliştiricilerimize eğitim veriyorum. Siber güvenlik REI için hayati öneme sahiptir çünkü müşterilerin verilerini korur ve güvenli, güvenilir bir deneyim sağlar. Güvenliğe öncelik vererek topluluğumuzda güven inşa ediyoruz ve markamızı tanımlayan değerleri destekliyoruz. Müşterilerimizin güvenle bizimle iletişim kurabilecekleri güvenli bir ortam yaratmakla ilgilidir.
S: REI hata ödül programınızı başlattığında öncelikli hedefleriniz nelerdi? Peki nasıl geliştiler?
C: Hata ödül programımızı başlattığımızda öncelikli hedefimiz uygulama güvenliği stratejimizi geliştirmekti. Güvenlik testi için bir temel oluşturmak amacıyla başlangıçta özel bir hata ödül programıyla başladık. Başarılı bir özel hata ödül programına sahip olduktan birkaç ay sonra, üçüncü taraf araştırmacılardan güvenlik açığı raporlarını almamıza ve yönetmemize olanak tanıyan genel bir güvenlik açığı açıklama programına geçtik. Programımız geliştikçe, aynı zamanda küresel bir topluluğun çeşitli becerilerinden faydalanmamıza olanak tanıyan bir genel hata ödül programını da başlattık. Bu ilerleme, uygulama güvenliği çabalarımızın olgunlaşmasında ve birinci sınıf bir güvenlik programı oluşturmamızda etkili olmuştur.
S: REI programını yönetmek için neden HackerOne’ı seçti?
C: Programımızı yönetmek için HackerOne’ı seçtik çünkü güvenlik çabalarımızı geliştirecek güvenilir bir platform istiyorduk. Temel faktörler, HackerOne’ın bizi çeşitli etik hackerlar topluluğuyla buluşturma konusundaki güçlü itibarı ve uzmanlığıydı.
S: HackerOne’ın küresel güvenlik araştırmacıları topluluğu, güvenlik testi yeteneklerinizi nasıl genişletti?
C: HackerOne’ın küresel etik hacker topluluğu, güvenlik testi yeteneklerimizi genişletti. Her biri kendi uzmanlıklarını ve güçlü yönlerini ortaya koyan çeşitli bilgisayar korsanları grubuyla bağlantı kuruyoruz. Bu çeşitlilik önemli bir varlıktır çünkü herkese uyan tek bir yaklaşım yoktur. Bazıları belirli saldırılara odaklanırken diğerleri varlıklarımız genelindeki çok çeşitli güvenlik açıklarını tespit etme konusunda uzmandır. Bu çeşitlilik, aksi takdirde gözden kaçırabileceğimiz potansiyel güvenlik açıklarını ortaya çıkarmamıza yardımcı olur. HackerOne topluluğunu gerçekten diğerlerinden ayıran şey, işbirlikçi ruhları ve etik hacklemeye olan bağlılıklarıdır. Bizimki gibi kuruluşların güvenliğimizi güçlendirmelerine gerçekten yardımcı olmak istiyorlar ve bu çok değerli.
S: Bugüne kadar bilgisayar korsanlarıyla unutulmaz etkileşimleriniz oldu mu? Favori böcekler?
C: Tek bir favori etkileşimi seçemiyorum çünkü bilgisayar korsanlarının sistemlerimizi öğrenmeye harcadıkları beceriler ve zaman beni her zaman büyülemiştir. Unutulmaz anlardan biri, bir bilgisayar korsanının üyelik başvuru sürecimizdeki bir güvenlik açığına ilişkin etkileyici bir kavram kanıtı derlemesiydi. Detaylara olan bağlılıkları ve dikkatleri sorunu görmemize yardımcı oldu.
En çok sevdiğim şey, bilgisayar korsanlarının yaratıcılığı ortaya çıkardığını görmek. Her başvuru, bizi tetikte tutan ve savunmamızı güçlendirme konusunda sürekli motive eden benzersiz yaklaşımlarını ve güvenlik anlayışlarını vurgulamaktadır.
S: Güvenlik araştırmacıları hangi REI varlıklarını test edebilir?
C: Bilgisayar korsanları, politikamızda kapsam dışı olduğunu düşündüğümüz yollar dışında ana varlığımız rei.com’u test edebilir. Kapsam içi ve kapsam dışı varlıkların tam listesini görüntüleyin.
S: Ekip en çok hangi bulguları ortaya çıkarmakla ilgileniyor?
C: REI olarak müşterilerimizin verilerini ve genel uygulama güvenliğini etkileyebilecek kritik güvenlik açıklarını bulmaya odaklanıyoruz. Kimlik doğrulama ve yetkilendirme kusurları, enjeksiyon güvenlik açıkları ve veri ihlallerine yol açabilecek her şey gibi konulara çok dikkat ediyoruz. İş mantığı hataları da operasyonlarımızı ve müşteri deneyimini etkileyebileceğinden önemli bir endişe kaynağıdır. Bu hataları önceliklendirerek güvenliğimizi güçlendirmeyi ve kullanıcılarımız için güvenli, güvenilir bir ortam yaratmayı hedefliyoruz.
S: Saldırı yüzeylerini güçlendirmek için güvenlik araştırmacılarıyla çalışmayı düşünen diğer kuruluşlara ne gibi tavsiyelerde bulunursunuz?
C: Güvenliğinizi artırmak için etik bilgisayar korsanlarından yararlanmayı düşünüyorsanız, öğrendiklerimize dayanarak bazı tavsiyeleri burada bulabilirsiniz. Öncelikle hedeflerinizi açıkça tanımlayarak başlayın. Hangi belirli güvenlik açıklarına veya alanlara odaklanmak istediğinizi bilin.
Bir platform seçerken, sizi iyi bir üne ve sağlam topluluk geri bildirimine sahip yetenekli, etik bilgisayar korsanlarıyla buluşturan bir platform arayın. İletişim çok önemlidir, bu nedenle varlıklarınızla ilgili bağlam sağlayın ve en iyi öngörüleri elde etmek için işbirliğini teşvik edin.
Ayrıca elde ettiğiniz bulgulara göre hareket etmeye hazır olun. Raporları incelemek için bir süreç oluşturun ve güvenlik açıklarını potansiyel etkilerine göre önceliklendirin, böylece bunları hızlı bir şekilde düzeltebilirsiniz.
Son olarak, etik hacklemeyi tek seferlik bir proje yerine güvenlik stratejinizin devam eden bir parçası olarak düşünün. Bu proaktif zihniyet, zaman içinde daha sağlam bir güvenlik çerçevesi oluşturmanıza yardımcı olacaktır.
S: Araştırmacı topluluğuna doğrudan söyleyeceğiniz bir şey var mı?
C: Kesinlikle! Hacker topluluğuna teşekkür ederiz; güvenliğimizi geliştirmedeki önemli rolünüzü takdir ediyoruz. Becerileriniz ve içgörüleriniz, bizimki gibi kuruluşların gözden kaçırabileceğimiz güvenlik açıklarını tespit etmelerine yardımcı olmak açısından çok değerlidir.
Sınırları zorlamaya ve bilginizi paylaşmaya devam edin. İşbirliği esastır; ne kadar birlikte çalışırsak hepimiz o kadar güçlü oluruz. Çalışmalarınızın şirketleri koruduğunu, kullanıcıları ve daha geniş dijital ortamı koruduğunu unutmayın.
Yenilik yapmaya ve mevcut duruma meydan okumaya devam edin. Çabalarınız gerçekten fark yaratıyor. Daha güvenli bir geleceğe doğru bu yolculukta sizinle ortak olmaktan heyecan duyuyoruz. Etik hacklemeye olan bağlılığınız için teşekkür ederiz!