Yapay Zeka ve Makine Öğrenmesi, Yönetim ve Risk Yönetimi, Yeni Nesil Teknolojiler ve Güvenli Geliştirme
Sprague Kıdemli CEO’sunu Değiştiriyor, PTaaS ve AI Kırmızı Takım Çalışmasını İki Katına Çıkarmayı Planlıyor
Michael Novinson (MichaelNovinson) •
3 Eylül 2024
HackerOne, portföyünü güvenlik açığı ifşa programlarının işletilmesinin ötesine genişletmeye devam etmek için F5’in uzun süredir ürün lideri olan kişiyi yeni CEO olarak seçti.
Ayrıca bakınız: InfoSec: Tutarlılığı Sağlamak İçin Üçüncü Taraf Risk Yönetimine Yapay Zeka Uygulamak
San Francisco merkezli hata ödülü sağlayıcısı, Kara Sprague’yi, şirketin büyük işletmelerdeki cüzdan payını artırmak için AI kırmızı takım ve hizmet olarak penetrasyon testi gibi alanlardaki mevcut HackerOne büyümesinden yararlanma göreviyle görevlendirdi. Sprague, 4 Kasım’da HackerOne CEO’su olarak başlayacak ve Kasım 2015’ten beri HackerOne’a liderlik eden ve stratejik danışmanlık rolüne geçecek olan Marten Mickos’un yerini alacak (bkz: Hızlı Otomasyon Çağında İnsan Gücüyle Güvenlik).
“Hata ödülü, bir güvenlik araştırmacıları topluluğunun kurumsal organizasyonlara değer sağlamasının tek yolu değildir,” dedi Sprague Information Security Media Group’a. “Web uygulamalarının yerini API’lere ve API’lerin yerini sonunda AI modellerine bırakmasından bahsederken, bunların hepsinin farklı tehdit vektörleri vardır, bu nedenle HackerOne platformunda sürekli yenilik yapma ihtiyacı olacaktır.”
Sprague, Seattle merkezli F5’te yedi yıl geçirdikten sonra HackerOne’a geliyor. Burada Aralık 2022’den bu yana baş ürün sorumlusu olarak tedarikçinin 1,3 milyar dolarlık uygulama güvenliği ve teslimat ürünü işini yönetti. F5’in ürün işi, 30 Eylül 2023’te sona eren mali yılda %1,3 büyüdü (bkz: Güvenlik Riskleri Uygulamalarda Yapay Zeka Kullanımını Nasıl Durdurabilir?).
Sprague, “F5’te son yedi yıldır yaptığım çalışmalar, ürün portföyünü geleceğe hazır hale getirmeye, yazılım, bulut ve yapay zeka tabanlı dağıtımlara hazırlamaya odaklandı” dedi.
HackerOne’da Güvenlik Araştırmacılarının Rolü
Sprague, HackerOne’ın güvenlik araştırmacıları topluluğunu, daha fazla etkileşim fırsatı sunarak ve platformun araştırmacıların becerilerini ve yaratıcılıklarını uygulayabilecekleri güvenilir bir yer olmasını sağlayarak büyütmeyi planlıyor. Özellikle, araştırmacıların çeşitli tehdit yüzeyleriyle etkileşime girmeleri ve araştırmacı topluluğunun teknik yeterliliğini artıran ortaklıklar kurmaları için daha fazla fırsat sunmak istiyor.
Sprague, “Farklı yetenek ve kabiliyet setleri getiriyorlar, dolayısıyla onlara tehdit yüzey alanındaki zaafları tespit etme ve bunlara katılma yolları açısından ne kadar çok çeşitlilik sunarsanız, daha geniş ve daha çeşitli bir güvenlik araştırmacıları grubunun buna katılması için o kadar çok fırsat yaratmış olursunuz” dedi.
HackerOne’un güvenlik araştırmacısı topluluğunun ölçeği ve yaratıcılığı, şirketin güvenlik açığı ifşası alanında pazar lideri olmasını sağladı, dedi Sprague. Daha fazla etkileşim fırsatı sunarak ve kurumsal ihtiyaçlar ile araştırmacı topluluğu arasında güçlü bir denge sağlayarak bu temelin üzerine inşa etmeyi planlıyor.
“HackerOne, güvenlik araştırmacıları topluluğuna 300 milyon doların üzerinde hata ödülü verdi ve hata ödüllerine dayanarak 35 milyoner yarattık,” dedi Sprague. “Bu, temel olarak güvenlik araştırmacılarının zamanlarını kullanmalarını ve beceri setlerini dünyanın dört bir yanındaki kuruluşların sahip olduğu sorunları ve problemleri çözmek için kullanmalarını sağlayarak, bir soruna pazar dinamiklerini nasıl uygulayacağınızı göstermenin harika bir yoludur.”
Bir Hata Ödül Programında Güvenin Rolü
HackerOne’ın iş modelinin temeli, hem müşteri ilişkileri hem de güvenlik araştırmacıları topluluğu açısından güvendir; çünkü müşteriler, kuruluşları için risk oluşturan güvenlik açıklarını ortaya çıkarmak için güvenlik araştırmacılarına güvenirler.
“Sonuç olarak, bu bazen kirli çamaşırlarının açığa çıktığı bir yer haline geliyor,” dedi Sprague. “Başarılı bir hata ödül programında veya başarılı bir kalem testi programında, kuruluş için risk oluşturan şeyleri ortaya çıkarmanız muhtemeldir. Platformu kullanarak bu şeyleri tespit edebilmek için platforma güvenebilmeleri gerekir.”
Sprague, metrik açısından bakıldığında, öncelikle gelir artışına, pazar payına ve büyük işletmeye nüfuz etmeye odaklandığını söyledi. Kârlılığın ve gelir artışını etkili bir marjla yönlendirmenin, her ne pahasına olursa olsun genişlemekten daha önemli olduğunu belirtti.
“CISO’lar halihazırda resmi bir güvenlik açığı ifşa programına sahip değilse, buna hazır olun, çünkü bugün gerekli olmasa bile – yönetim kurulunuz veya yönetmelikleriniz tarafından – yakın gelecekte gerekli olacak bir şey olacak,” dedi Sprague. “Bu, tehdit yüzey alanınızın mümkün olduğunca düşük riskli olmasını sağlamanın kritik bir unsurudur.”