04.06.2021 - 16:24 | Son Güncellenme:
Yukarıda bahsedilen sebeplerden ötürü büyük bir e-ticaret şirketi, uygulamasının yazılım sürümlerini periyodik pentestlere kıyasla daha etkili bir yöntemle test etmenin yollarını arıyordu.
Şirket, ağını korumak için 3 ayda bir düzenli olarak pentest yaptırıyordu ancak web ve mobil uygulamalarını da neredeyse iki haftada bir güncelliyordu. Dolayısıyla pentestler yapıldıktan kısa bir süre sonra geçerliliğini yitiriyordu. Şirket bünyesindeki kırmızı takımlar da her yeni özelliği canlıya almadan önce test edebilecek kaynaklara sahip değildi.
Bir de son yıllarda siber saldırıların sıklığının ve gelişmişlik düzeyinin gözle görülür bir şekilde artmasıyla, şirketin mobil uygulamasının siber güvenliğini sürekli kontrol etmek ve kötü niyetli hacker’lardan önce harekete geçmek için güvenilir bir yönteme ihtiyacı vardı.
Özetle, e-ticaret şirketinin aşağıdakilere ihtiyacı vardı:
Değişen trendlerle birlikte açığa çıkan test beklentilerinin üstesinden gelmek için kurulan BugBounter, bug bounty (ödül avcılığı) programları aracılığıyla güvenlik açıklarını keşfetmek ve raporlamak için serbest çalışan yüzlerce uzman güvenlik araştırmacısını bir araya getirdi. BugBounter farklı ülkelerden, kültürlerden, geçmişlerden ve uzmanlık alanlarından gelen bağımsız araştırmacılar ile kurulan bir ekosistemi yönlendiriyor. Bu ekibin pentestler, otomatik taramalar ve pahalı kırmızı takım hizmetleri gibi olağan test yöntemlerinden daha iyi performans göstermesini sağlıyor.
E-ticaret şirketi periyodik test sürecini hızlandırmak, genişletmek ve derinleştirmek için BugBounter aracılığıyla bir ödül avcılığı (bug bounty) programı yürütmeye karar verdi.
Ödül Avcılığı (Bug Bounty), başarıya dayalı bir iş modeli üzerinde çok sayıda ofansif güvenlik uzmanıyla birlikte çalışan bir platform hizmetidir. Bu model:
Son Derece Etkili: Ekosistemde yer alan beyaz şapkalı etik hacker’lar, şirketin kapsama alınan atak yüzeylerindeki zafiyetleri keşfetmeyi hedefliyor. Sektörde bağımsız araştırmacılar olarak kabul edilen bu etik hacker’lar, aynı zamanda en çok sömürülen güvenlik açıklarını da bulmayı iyi biliyor.
Zamandan Tasarruf Ettiriyor: Araştırmacılar zamana karşı yarışırken birbirleriyle de yarışıyor. Bir açığı tespit eden ilk araştırmacı ödülü almayı hak ettiği için güvenlik açıkları çok daha hızlı bulunuyor. İlk açıklar çoğu zaman yeni bir programın yayınlandığı andan itibaren 24 saat içinde bulunuyor.
Uygun Maliyetli: Program ödül temelli olduğu için şirketlerin bütçelerine ve risk faktörlerine göre ödül yapısı oluşturuluyor. Belirlenen ödül bütçesine ulaşıldığında şirket programı askıya alabiliyor veya ek bir bütçe ayırarak değerlendirilecek raporları almaya devam edebiliyor.
BugBounter.com, atak yüzeylerini analiz etti, e-ticaret şirketinin ihtiyaçlarını karşılayan bug bounty programının kapsamını belirledi ve tavsiyelerde bulundu. Ödül avcılığının yapısı (kapsama alınan hedefler, kapsam dışında bırakılan hedefler, hariç tutulan alanların listesi, ödül yapısı, özel şartlar, doğrulama yöntemi, ücretler, araştırmacı kriterleri gibi) tasarlandıktan sonra program BugBounter ekosisteminde duyuruldu. Böylece araştırmaya katılmak için çeşitli yeteneklere sahip bir grup teste davet edildi.
BugBounter.com’un sınırlı bir süre için yayınladığı ödül programı, şirketin yeni web ve mobil uygulamalarını kapsıyordu. Bu ödül avcılığı programı, yakın zamanda erişime açılan yeni yazılım sürümlerinin testini kapsayacak şekilde 7-10 gün boyunca geçerli tutuldu ve DevOps döngüsüne entegre edildi. Bu döngü, bütçenin el verdiği oranda her yeni yazılım sürümü için yeniden yapıldı.
Sonuçlar
BugBounter.com platformuna sürekli eklenen yeni ve yetenekli araştırmacıların oluşturduğu ekosistem sayesinde e-ticaret şirketi:
Bu bir ilandır.