Watson Group bunu herkesin yanı sıra bildiği gibi. Dünyanın en büyük uluslararası sağlık ve güzellik perakendecisi olarak, 29 pazarda, 5.5 milyar müşteri ve 130.000 çalışanı 16.400’den fazla mağaza içeren bir ayak izi için güvenlikten sorumludur. Güvenlik stratejilerinin bir parçası olarak, genişleyen dijital varlıklarını güçlendirmeye yardımcı olmak ve varlıklarının saldırı yüzeyleri değiştikçe mümkün olduğunca güvenli kalmasını sağlamak için hackerone ödülüne döndüler.
Kısa bir süre önce, etik bilgisayar korsanlarının dijital dönüşüm konusunda nasıl yardımcı olduğunu öğrenmek ve ekibinin saldırı yüzeyini sertleştirmesini sağlayan Watson’ın Baş Bilgi Güvenlik Görevlisi (CISO) Feliks Voskoboynik ile bir araya geldik. Bir güvenlik stratejisinin bir parçası olarak bir hata ödül programı, etik hackerların sağladığı dersler ve diğer CISO’larla paylaşabileceği en iyi uygulamaları dahil etme konusundaki tavsiyelerini öğrenmek için okumaya devam edin.
S: Bize Watson olarak anlat.
FELKS:
Watson Group, 29 pazarda 16.400’den fazla mağaza ile dünyanın en büyük uluslararası sağlık ve güzellik perakendecisi olduğu için 1841 yılında kurulan. Son yıllarda, siber güvenlik tehditleri hafife alamayacağımız artan bir endişe olmuştur. Perakende sektörü, son derece değerli müşteri bilgilerinin elde tutulması nedeniyle siber suçlular için çok cazip bir hedeftir. Bu bilgileri potansiyel siber tehditlerden korumalıyız ve siber güvenlik burada devreye giriyor. Watson Grubu olarak BT güvenlik ekibimiz organizasyondaki siber savunmayı sürekli olarak güçlendirmeye çalışıyor. Nihai hedefimiz, çalışanların ve müşterilerin güvenli bir ortamda çalışmasını ve iş yapmalarını sağlamak için kuruluşumuzu güvenli ve güvenli tutmaktır.
S: Bilgisayar korsanları Watson olarak dijital dönüşüm hedeflerine yardımcı oluyor mu?
FELKS:
Her gün, müşteri bağlantısı için daha güçlü bir uluslararası ağ ve O+O (çevrimdışı artı çevrimiçi / o artı O) platformları oluşturmaya çalışıyoruz. Çevrimdışı ve çevrimiçi müşteri deneyimlerini sorunsuz hale getiren O+O stratejisine odaklanıyoruz. Bu dijital dönüşüm programı bizim için büyük bir saldırı yüzeyine neden oluyor ve etik bilgisayar korsanları topluluğumuz riskleri azaltmamıza ve güvenlik olgunluğumuzu artırmamıza yardımcı oluyor. Küresel bir hack topluluğunu davet etme olanağına sahip olmak istedik çünkü bu, varlıklarımızın güvenliğini değerlendirmek için en iyi yetenekli bilgisayar korsanlarını almanın en kolay yoludur.
S: Etik bilgisayar korsanları güvenlik açığı eğilimlerini belirlemeye nasıl yardımcı olur?
FELKS:
Birkaç kez, bilgisayar korsanları bize e-ticaretle ilgili farklı güvenlik açıkları konusunda bize yardımcı oldu. Bulguların yaratıcılığı, güvenli yazılım yayınlamak için ürün ve geliştirme ekiplerimizin güvenlik farkındalığını artırdı. Güvenlik araştırmacıları, yeni güvenlik araçlarını test etmenin yanı sıra bunları yapılandırma ve dağıtma şeklimizde bize yardımcı olur. Bunun bir örneği, krediye karşı bir doldurma aracı sunmak istediğimiz zamandı ve bilgisayar korsanları zayıf noktaları bulmamıza ve onları azaltmamıza yardımcı oldu.
S: Etik bilgisayar korsanları saldırı yüzeyinizi sertleştirmeye nasıl yardımcı olur?
FELKS:
Bilgisayar korsanlarının yaratıcılığı, saldırı yüzeyimizi sertleştirmenin anahtarıdır. Bir bilgisayar korsanından yaratıcı bir konsept (POC) kanıtı aldığımızda, bu süreci incelemek ve belirli bir güvenlik açığının (veya benzer bir) yeni varlıklarda tekrarlanabilir olmadığını doğrulamak için kullanabiliriz. Bu yaklaşım bize potansiyel güvenlik açıklarının nerede olabileceğine dair bilgiler verir ve miras alınan kodlar gibi birden fazla bileşen üzerinde yeni varlıklara tek bir riski doğrulamak için soruşturma ve iyileştirme sürecinin bir parçası olarak yeni çapraz kontrol faaliyetleri sunmamıza yol açar.
S: İç ekipleri eğitmek için güvenlik açığı bilgilerini nasıl kullanıyorsunuz?
FELKS:
Bilgisayar korsanlarının özel bulguları, geliştirme ekiplerimiz için yeni bir güvenli kod eğitim programı oluşturmamızı sağladı. Güvenlik açıklarının eğilimlerini izliyoruz ve varlıklarımızdaki riskleri azaltmak için bir eğitim taban çizgisi oluşturmak için onları kullanıyoruz. Eğitim programı, kodun kalitesini artırmamıza ve güvenlik açıklarını azaltmamıza yardımcı oldu. Ayrıca, SDLC’yi güvence altına almak için mümkün olduğunca sola kayarak önleme yeteneklerimizi artırdı. Yıllar boyunca toplam geçerli raporlarda bir düşüş fark ettik ve canlı ortamlardaki sorunları iyileştirerek maliyetleri düşürdük.
S: Etik bilgisayar korsanlarıyla çalışmanın değeri hakkında nasıl rapor veriyorsunuz?
FELKS:
Büyük saldırı yüzeyimiz göz önüne alındığında, üçüncü taraf katılımıyla bile penetrasyon testi ekiplerini ölçeklendirmek zor. İlk KPI’miz, standart, zaman kutusu ile penetrasyon testi faaliyetlerine kıyasla tasarruf ettiğimiz kaynaklardaydı. Ayrıca belirli markalar, iyileştirme, risk azaltma ve daha fazlası üzerinde güvenlik açığı eğilimleri üzerine bir dahili KPI geliştirdik. Topluluk ile, zaman kutusu penetrasyon testi yürüten tek bir kaynağa kıyasla birçok farklı uzmanlık alanınız var.
S: Hata ödül programınızdan hangi YG’yi görmeyi bekliyorsunuz?
FELKS:
YG, her gün kritik sorunlar bulmak ve sunmak için hackerone’a güvenmemiz gerçeğinden geliyor. Bu nedenle, YG, Hackerone’un günlük sorunları bulmasıdır.
S: Bir hata ödül programı başlatmak için diğer CISOS planlamasına ne tavsiye edersiniz?
FELKS:
Raporları düzgün bir şekilde ele almak ve program ölçeğini yapmak için sağlam bir güvenlik açığı yönetimi programı oluşturmaya başlayın. Katılım kurallarını tasarlarken, risk iştahınızı önceliklendirmek ve tanımlamak istediğiniz riskleri açıkça anlamanız gerekir.
Bir programa başladığınızda, sürekli taahhüdünüzü gerektiren bir topluluğa katılacaksınız. Bilgisayar korsanları müşteriler gibidir ve bir ilişki kurmak ve sürdürmek için zaman ve çaba gerektirirler. KPI, yanıt verme süresi, ödüllendirme zamanı vb. Programını düzgün bir şekilde yönetmek çok önemlidir.
Watson Grubu olarak toplumu ekibimizin bir uzantısı olarak görüyoruz. Buna ek olarak, bilgisayar korsanlarını programlarımızla meşgul etmek için birçok farklı etkinlik ve yarışmayı organize ediyor ve planlıyoruz.
S: Bilgisayar korsanlarından öğrendiğiniz en büyük ders nedir?
FELKS:
Güvenlik bir hedef değil, bir yolculuktur. Ne yaparsanız yapın veya kuruluşunuzun ne kadar güvenli olduğu önemli değil, riskler ve güvenlik açıkları hala mevcuttur. Bir araştırmacı ve etik hacker topluluğunun dahil edilmesi, siber suçlularla karşılaştırılabilir becerilere sahip olanların varlıklarınızı test etmesini sağlar, bu da bulgulara, iyileştirmeye ve yapılara yardımcı olur.
Watson’ın Bug Bounty programı hakkında daha fazla bilgi edinin veya Hackerone ile kendi başınıza başlayın.