1. Perakende ve E-ticaret Kimlik Bilgisine Dayalı Saldırılara Açıktır
“Kimlik bilgilerine dayalı saldırılar her zaman yeşildir.”
Perakende ve ticaret sektöründe hangi önemli güvenlik tehditlerinin yaygın olduğu sorulduğunda Fynn Fabry, kimlik bilgilerine dayalı saldırılara yöneliyor. Diyorlar ki,
“En büyük tehditlerden biri kimlik bilgilerine dayalı güvenlik sorunlarıdır. Elbette müşterilerinizi güvende tutmak için oran sınırlaması yaparak bazılarını önleyebilirsiniz. Ancak günün sonunda, eğer başka biri veri ihlaline uğrarsa ve müşterilerinizden bazıları şifrelerini geri dönüştürmüşse, bu şifreler açığa çıkar. Bu konuda gerçekten hiçbir şey yapamazsınız. Eğer veri ihlali senin değilse ne yapacaksın?”
2. En İyi Güvenlik Uygulamalarından Yararlanın
“En iyi uygulamalar bir nedenden dolayı en iyi uygulamalardır.”
Fynn Fabry, en iyi uygulamaların çoğunun uydurma olmadığını, perakende ortamları da dahil olmak üzere her sektördeki saldırıları önlemek için proaktif güvenlik önlemlerini uygulamaya yönelik denenmiş ve doğrulanmış yöntemler bulunduğunu açıklıyor.
“Yeni bir güvenlik önlemi veya sistemi tanıtmak istiyorsanız, bununla ilgili en iyi uygulamaların olup olmadığına bakın. Geliştirme ekibinizle geriye dönük olarak konuşmak yerine proaktif olun. Eğer şirket içinde bir şey geliştiriyorsanız, bu, en başından itibaren onların danışmanlığını istemekten çok daha fazla iş gerektirir.”
Fabry, müşteri verilerinin korunmasında “temel” en iyi uygulamanın En Az Ayrıcalık İlkesi olduğunu söylüyor.
“En Az Ayrıcalık İlkesi yalnızca müşteri verileri için değil, verileri tutan tüm sistemler için de geçerli olmalıdır. Bu, insanların yalnızca gerçekten ihtiyaç duydukları sistemlerde ayrıcalıklara sahip oldukları anlamına gelir. Elbette her ayrıcalığı tek tek atayamazsınız ancak çoğu sistem için kullanıcılardan ve yöneticilerden daha fazlasına ihtiyacınız vardır; bazı roller sistemden bekledikleri şeyler açısından daha ayrıntılıdır.”
3. Hata Ödülü Yatırım Getirisi Nasıl Ölçülür?
Her kuruluşun farklı güvenlik ihtiyaçları ve hedefleri vardır; bu da yatırım getirisinin ölçülmesini veya risk azaltma getirisinin her program için benzersiz olmasını sağlar. Fynn Fabry, On’un hata ödülündeki değeri nasıl ölçtüğünü paylaşıyor:
“Altı ayda bir, aldığımız raporlardan kaçının düzeltildiğinin özetini çıkarıyorum. Bazılarının tüylerini diken diken eden ve insanlara bu güvenlik açığını nasıl bilmediğimizi sormalarına neden olan raporları tanımak önemlidir. Hala buna değip değmeyeceğini tahmin etmeye çalışırken bunu hesaba katıyorum ve şimdiye kadar hep öyle oldu. Başlığa baktığınızda hatırlayacağınız çok sayıda rapor alıyorsanız, bu, hata ödül programınızın size değer verdiğinin iyi bir göstergesidir.”
4. Tehditlerin Önünde Kalmak İçin Güvenlik Sağlayıcılarınıza Güvenin
“Güvenlik sağlayıcılarınızla konuşun.”
Güvenlik profesyonellerinin sürekli gelişen tehdit ortamının önünde kalması gerekiyor. Fynn Fabry’nin diğer güvenlik uzmanlarına tavsiyesi, güncel kalmak için güvenlik sağlayıcılarınızla birlikte çalışmanızdır.
“HackerOne’a veya diğer güvenlik sağlayıcılarınıza ne düşündüklerini sorun. Sizinle benzer durumda olan birçok müşterileri daha var. Proaktif olmaya ve sizin için tehdit istihbaratı toplamaya çalışıyorlar, bu nedenle tehdit ortamında neler olup bittiğini anlamak için onlara arada sırada sorular sorun.”
Fabry ayrıca tehditlerden haberdar olmak için siber güvenlik haberlerini takip etmenizi de tavsiye ediyor. On’da, en iyi siber güvenlik haber kaynaklarını veya siber güvenlik haberlerini belirliyorlar ve sabahları şirketin haber akışına ekliyorlar. Başlangıç olarak Fabry’nin favorileri:
5. Hacker Topluluğuyla Etkileşime Geçin
“Hackerlarla konuşun.”
Fabry, hacker topluluğuyla iletişim halinde kalarak elde edilen tehdit istihbaratının değerini vurguluyor.
“Eğer bir HackerOne müşterisiyseniz, zaten bilgisayar korsanlarıyla konuşuyorsunuz demektir. Ancak aynı zamanda güvenlik ekibinizden birinin hacker topluluğuyla iletişim halinde kalmasını sağlamaya çalışın. Pek çok seçenek var: konferanslar, kongreler vb. Ekibinizden biri bir hacker etkinliğine katılmak isterse, onun bunu yapmasına izin verin. Pahalı olabileceğini biliyorum ama hacker topluluğuyla etkileşime geçmek kesinlikle buna değer.”
6. Bilgisayar Korsanlarıyla Çalışmak Küresel Bir Güvenlik Perspektifi Sağlar
“En büyük fayda, bu kadar büyük bir toplulukla etkileşime geçtiğinizde elde ettiğiniz büyük miktardaki bilgidir.”
Fabry, On’un farklı güvenlik araştırmacılarıyla çalışmayı sevdiğini, çünkü aynı profesyonellerin veya satıcıların genellikle bir teste her zaman aynı şekilde yaklaşacağını açıkladı. Ancak farklı araştırmacılar, sırf bakış açıları farklı olduğu için ilkinin gözden kaçırdığı bir şeyi bulabilirler. On, bunu bilgisayar korsanlığı topluluğuyla çalışmanın temel değeri olarak görüyor.
“Dünyanın her yerinden, her ülkeden ve her kültürden insanlarla bir hata ödül programınız varsa, sistemlerin nasıl çalışabileceğine dair farklı görüş ve fikirlerle bu programa giderler. Küçük bir topluluğa sahip olduğunuzda olduğundan çok daha farklı görüşlerle karşılaşıyorsunuz.
Fynn Fabry ve On’dan perakende ve e-ticaretle ilgili daha fazla bilgi almak için isteğe bağlı Perakende Saldırı Altında web seminerini izleyin.