S: Lütfen kendinizi tanıtın. Bize Rei’de ne yaptığınızı ve siber güvenlik REI için neden önemli olduğunu söyleyin.
C: Ben Üst Düzey Güvenlik Mühendisi Isaiah Grigsby. Güvenlik açığı açıklama ve hata ödül programlarımıza liderlik ediyorum, güvenlik araçlarımızı CI/CD boru hatlarımızda denetliyorum ve geliştiricilerimiz için eğitim veriyorum. Siber güvenlik REI için hayati önem taşır, çünkü müşterilerin verilerini korur ve güvenli ve güvenilir bir deneyim sağlar. Güvenliğe öncelik vererek, topluluğumuza güven oluşturuyoruz ve markamızı tanımlayan değerleri destekliyoruz. Bu, müşterilerimizin bizimle güvenle etkileşime girebileceği güvenli bir ortam yaratmakla ilgilidir.
S: REI hata ödül programınızı başlattığında birincil hedefleriniz nelerdi? Ve nasıl geliştiler?
C: Bug Bounty programımızı başlattığımızda, birincil hedefimiz uygulama güvenlik stratejimizi geliştirmekti. Başlangıçta güvenlik testi için bir temel oluşturmak için özel bir hata ödül programı ile başladık. Birkaç ay başarılı bir özel hata ödül programına sahip olduktan sonra, üçüncü taraf araştırmacılardan güvenlik açığı raporlarını almamıza ve yönetmemize olanak tanıyan bir kamu kırılganlık açıklama programına geçtik. Programımız geliştikçe, küresel bir topluluğun çeşitli becerilerinden yararlanmamızı sağlayan bir kamu böcek ödül programı da sunduk. Bu ilerleme, uygulama güvenlik çabalarımızı olgunlaştırmada ve birinci sınıf bir güvenlik programı oluşturmada etkili olmuştur.
S: Rei, programını yönetmek için neden Hackerone’u seçti?
C: Güvenlik çabalarımızı geliştirmek için güvenilir bir platform istedik çünkü programımızı yönetmek için HackerOne’u seçtik. Anahtar faktörler, Hackerone’un bizi farklı bir etik hacker topluluğuyla birleştirme konusundaki güçlü itibarı ve uzmanlığıydı.
S: Hackerone’un küresel güvenlik araştırmacıları topluluğu güvenlik testi yeteneklerinizi nasıl genişletti?
C: Hackerone’un küresel etik hacker topluluğu güvenlik testi yeteneklerimizi genişletti. Her biri spesiyalitelerini ve güçlü yönlerini masaya getiren çeşitli bir hacker grubuyla bağlantı kuruyoruz. Bu çeşitlilik önemli bir varlıktır çünkü herkese uyan tek bir yaklaşım yoktur. Bazıları belirli saldırılara odaklanırken, diğerleri varlıklarımızdaki çok çeşitli güvenlik açıklarını belirlemede mükemmeldir. Bu çeşitlilik, aksini göz ardı edebileceğimiz potansiyel güvenlik boşluklarını ortaya çıkarmamıza yardımcı olur. Hackerone topluluğunu gerçekten birbirinden ayıran şey, onların işbirlikçi ruhu ve etik hacklemeye olan bağlılığıdır. Bizimki gibi kuruluşların güvenliğimizi güçlendirmesine gerçekten yardımcı olmak istiyorlar ve bu paha biçilmez.
S: Bugüne kadar bilgisayar korsanları ile unutulmaz etkileşiminiz oldu mu? Favori böcekler?
C: Sadece bir favori etkileşim seçemiyorum çünkü bilgisayar korsanlarının sistemlerimizi öğrenmeye yatırım becerilerinden ve zamana her zaman etkileniyorum. Unutulmaz bir an, bir hacker’ın üyelik başvuru sürecimizde bir güvenlik açığı için etkileyici bir kavram kanıtı derlediğiydi. Onların özveri ve detaylara olan ilgileri sorunu görmemize yardımcı oldu.
En çok sevdiğim şey, hackerların masaya getirdiği yaratıcılığı görmek. Her bir sunum, bizi ayak parmaklarımızda tutan ve bizi savunmamızı geliştirmeye sürekli olarak motive eden benzersiz yaklaşımlarını ve güvenlik anlayışını vurgular.
S: Güvenlik araştırmacıları hangi REI varlıklarını test edebilir?
C: Bilgisayar korsanları, politikamızdaki kapsam dışında gördüğümüz yollar dışında ana varlık REI.com’u test edebilir. Kapsam içi ve kapsam dışı varlık listemizi görüntüleyin.
S: Takım en çok yüz yüze ilgi duyuyor?
C: REI olarak, müşterilerimizin verilerini ve genel uygulama güvenliğini etkileyebilecek kritik güvenlik açıkları bulmaya odaklanıyoruz. Kimlik doğrulama ve yetkilendirme kusurları, enjeksiyon güvenlik açıkları ve veri ihlallerine yol açabilecek her şey gibi sorunlara dikkat ediyoruz. İş mantığı hataları da önemli bir endişe kaynağıdır, çünkü operasyonlarımızı ve müşteri deneyimimizi etkileyebilirler. Bu hatalara öncelik vererek, güvenliğimizi güçlendirmeyi ve kullanıcılarımız için güvenli ve güvenilir bir ortam yaratmayı amaçlıyoruz.
S: Saldırı yüzeyini sertleştirmek için güvenlik araştırmacılarıyla çalışmayı düşünen başka kuruluşlara ne tavsiye edersiniz?
C: Güvenliğinizi artırmak için etik bilgisayar korsanlarını kullanmayı düşünüyorsanız, öğrendiklerimize dayanan bazı tavsiyeler. İlk olarak, hedeflerinizi açıkça tanımlayarak başlayın. Hangi belirli güvenlik açıklarını veya alanlara odaklanmak istediğinizi bilin.
Bir platform seçerken, sizi iyi bir itibar ve sağlam topluluk geri bildirimleriyle yetenekli, etik bilgisayar korsanlarıyla birleştiren bir platform arayın. İletişim anahtardır, bu nedenle varlıklarınız hakkında bağlam sağlayın ve en iyi bilgileri elde etmek için işbirliğini teşvik edin.
Ayrıca, aldığınız bulgular üzerinde harekete geçmeye hazır olun. Raporları gözden geçirmek ve güvenlik açıklarını potansiyel etkilerine göre önceliklendirmek için bir süreç oluşturun, böylece bunları hızlı bir şekilde düzeltebilirsiniz.
Son olarak, bir kerelik bir proje yerine güvenlik stratejinizin devam eden bir kısmını etik hacklemeyi düşünün. Bu proaktif zihniyet, zaman içinde daha sağlam bir güvenlik çerçevesi oluşturmanıza yardımcı olacaktır.
S: doğrudan araştırmacı topluluğuna söyleyecek bir şey var mı?
A: Kesinlikle! Hacker topluluğuna teşekkür ederiz; Güvenliğimizi geliştirmedeki önemli rolünüzü takdir ediyoruz. Becerileriniz ve içgörüleriniz, bizim gibi kuruluşların kaçırabileceğimiz güvenlik açıklarını tespit etmesine yardımcı olmak için çok değerlidir.
Sınırları zorlamaya ve bilginizi paylaşmaya devam edin. İşbirliği esastır; Birlikte ne kadar çalışırsak, hepimiz o kadar güçlü oluruz. Unutmayın, çalışmanız şirketleri korur ve kullanıcıları ve daha geniş dijital manzarayı korur.
Yenilik yapmaya devam edin ve statükoya meydan okumaya devam edin. Çabalarınız gerçekten bir fark yaratıyor. Daha güvenli bir geleceğe doğru bu yolculukta sizinle ortak olmaktan heyecan duyuyoruz. Etik hacklemeye olan bağlılığınız için teşekkür ederiz!