HackerOne’ın Security@ konferansları, dayanıklı güvenlik programları oluşturma konusunda görüş ve tavsiyeleri paylaşmak üzere müşterileri, bilgisayar korsanlarını ve sektör uzmanlarını bir araya getiren özel etkinliklerdir.
Booking.com, Polygon Labs, Delivery Hero ve Headspace’in güvenlik liderleri, programlarından yöneticilerin katılımını güvence altına almaktan güvenlik açığı raporlarındaki verileri SDLC’lerine geri beslemeye kadar etik hackerlarla çalışma deneyimlerini tartışmak için sahneye çıktı. Daha güçlü ürün ve hizmetler.
İşte müşterilerimizden öğrendiğimiz en önemli dersler.
1. Doğru Kişilerin Aramıza Alınması Bug Bounty Başarısını Garantiler
Security@ panelistleri, şirket içi şampiyonları teşvik etmenin, açık bir sahipliğe ve üst kademeye yükseltme sürecine sahip olmanın, güvenlik açığı iyileştirmesini motive etmenin ve hata ödül programınızı geliştirme aşamasında erken başlatmanın önemini tartıştı.
“Güvenliğe öncelik veren bir kültüre geçmeye çalışıyorsanız, dahili şampiyonlar güvenlik çabalarınız açısından çok değerlidir. Headspace’de üst düzey yöneticilerimizde savunucular oluşturduk ve departmanlarımız genelinde güvenlik şampiyonları yarattık; artık güvenlik ekibinin bir uzantısıdırlar ve meslektaşlarının da güvenliği benimsemesine destek olabilirler.”
— Shobhit M., Güvenlik ve Uyumluluk Direktörü, Headspace
“Hata ödül programımızı halka açmak için yeterli araç ve otomasyona sahip olduğumuzdan emin olmamız ve doğru sahibi bulmamız gerekiyordu. 3.000’den fazla geliştiricimiz var, bu nedenle her bir güvenlik açığını kimin düzelttiğini belirlemek zor ve sorunu iletecek bir sürece sahip olmak önemli. Bilgisayar korsanlarının düzeltme süresi konusunda hayal kırıklığına uğramasını istemiyoruz; Eğer bir bilgisayar korsanı bir şey rapor ederse, bunu yalnızca şirketin güvenliği için değil, aynı zamanda bilgisayar korsanlarının yararı için de mümkün olan en kısa sürede düzeltmemiz gerekiyor.”
— Eric Kieling, Uygulama Güvenliği Başkanı, Booking.com
“Güvenlik açığı yönetimi programını güvenlik çerçevesinin oyunlaştırma yaklaşımıyla birleştirdik. Belirli güvenlik gereksinimlerini iyileştirmek için farklı bölgelerdeki varlıkları oyunlaştırır ve zorlar. Kritik bir güvenlik açığı olduğunda ekiplere SLA’lar verilir. Bu, güvenlikle ilgili geleneksel olmayan bir düşünme biçimi ama herkesin kendi zayıf noktalarını herkesten önce düzeltmeye çalıştığı anlamına geliyor.”
— Nouman Jamil Hashmi, Kıdemli Yönetici, Güvenlik Mühendisliği, Delivery Hero
“Zamanla, hata ödül programınızın başlangıçta başlatılmasının savunucusu oldum. Bilgisayar korsanları, özellikle kod test edilmemişse katılmayı severler. Kod tamamlandığında ve mühendisler bazı testler yaptıktan sonra, onu ortaya koyun ve daha düşük ödüllerle başlayın. Bileşik saldırıyla DNS’de veya kodda bir şeyler bulacaksınız ve bu hiçbir tarayıcının bulamayacağı bir şey.”
— Christopher Von Hessert, Başkan Yardımcısı, Güvenlik, Polygon Laboratuvarları
2. Müşteriler Yatırım Getirisini Bir İhlalin Potansiyel Maliyetine Göre Ölçer
Panelistler ayrıca güvenliğin yatırım getirisini göstermenin zorlayıcı olabileceğini ancak hata ödül programlarının ölçüm ve paydaşların katılımını kolaylaştırdığı konusunda da hemfikirdi.
“Para her zaman güvenlik için bir engeldir. Hiçbir şey olmuyorken iyi bir iş çıkardığınızı nasıl açıklarsınız? Müşterilere yönelik itibar hasarını veya riski nasıl ölçersiniz? Blockchain’de akıllı sözleşmelerimiz para tutuyor, bu yüzden bunlardan birinin ihlal edilmesi durumunda tam olarak ne kadar paranın risk altında olduğunu açıklamak benim için daha kolay.”
— Christopher Von Hessert, Başkan Yardımcısı, Güvenlik, Polygon Laboratuvarları
“Bir hata ödül programı, sahip olabileceğiniz en yüksek yatırım getirisi programıdır. En iyi araştırmacılar tarafından dövülüyorsun. Tüm araştırmacıların becerilerinden gerçekten etkilendim.”
— Shobhit M., Güvenlik ve Uyumluluk Direktörü, Headspace
“Hata ödül programı, tüm harcamalarımız arasında en yüksek yatırım getirisini sağlayan programdır. Yatırım getirisini göstermek gerçekten zor ama hata ödülüyle birlikte bir temel çizgim var. ‘Bu zafiyet kurum dışından biri tarafından bulunmayı başardı’ diyebilirim. Bu sisteme erişme yetkisi olmayan biri sisteme erişebildi.’ Programımızda yer almayan güvenlik açıklarına rağmen, hata ödülü onlara bir fiyat etiketi koymamı sağlıyor. Bu iş senaryosunu açıklayabilirim ve paydaşlarımız hata ödülüne aynı zamanda yatırım getirisi sağlayan diğer araçlardan daha fazla öncelik verebilirler.”
— Eric Kieling, Uygulama Güvenliği Başkanı, Booking.com
3. Bug Bounty Pazar Zorluklarıyla Başa Çıkabilecek Şekilde Uyarlanabilir
Sola geçişin, küresel ekiplerin ve yapay zekanın ilerlemesinin ortasında; hata ödül programları ve etik bilgisayar korsanları önemli güvenlik açıklarını yakalamaya devam ediyor.
“Sola kaydırmaya çalışıyoruz. Ancak bu araçların sınırlamaları vardır ve hata ödülü, döngüde kalanları bulmamızın bir yoludur. Diğer araçlar güvenlik açıklarını bulamadığında, hata ödülü onları bulmamıza olanak sağlıyor.”
— Eric Kieling, Uygulama Güvenliği Başkanı, Booking.com
“Gruplar farklı ülkelerde faaliyet gösterdiğinde, farklı platformlar, tehdit senaryoları, durum tespitleri vb. ortaya çıkar; bu, birçok farklı güvenlik gereksiniminin karmaşık bir karışımıdır. Hata ödül programını başlattığımızdan beri, aşağıda asılı olan meyveyi tespit edebildik ve geri dönüp onları düzeltebiliriz.
— Nouman Jamil Hashmi, Kıdemli Yönetici, Güvenlik Mühendisliği, Delivery Hero
“Hata ödül programının bana farkında olmadığım şeyleri görme olanağı vermesini seviyorum. Bunlar çok ilginç güvenlik açıkları olmayabilir ama benim için çok önemliler çünkü bunlar şirketimdeki bilinmeyenler. Bunlar tarayıcılarımın ve hatta SDLC’min ilgilenmediği şeyler. İnsan faktörünün üstesinden gelmek çok zor ve yapay zekanın da eklenmesiyle, muhtemelen bir yıl boyunca aramakla geçireceğimiz çılgın güvenlik açıklarını bulabilecekler.”
— Christopher Von Hessert, Başkan Yardımcısı, Güvenlik, Polygon Laboratuvarları
HackerOne, Security@’ı global olarak alıyor. Size en yakın etkinliği bulun.