E-Ticaret Şirketi, Uygulamasının Yeni Güncellemelerini BugBounter.com ile Nasıl Koruyor?
04.06.2021 - 16:24 | Son Güncellenme:
E-ticaret, müşterilerin artan ihtiyaçlarını karşılamak ve müşteri deneyimini geliştirmek için yeni teknolojilerin sürekli olarak uygulandığı öncü sektörlerden birisi. Ancak web/mobil uygulamalarına eklenen yeni özellikler ve teknoloji yatırımlarında bulunan güvenlik açıkları, e-ticaret şirketlerinin dijital varlıkları için tehdit haline gelebiliyor. Bu yüzden e-ticaret şirketlerinin siber saldırıları başarıya taşıyacak potansiyel güvenlik açıklarına karşı sürekli tetikte olması gerekiyor.
Yukarıda bahsedilen sebeplerden ötürü büyük bir e-ticaret şirketi, uygulamasının yazılım sürümlerini periyodik pentestlere kıyasla daha etkili bir yöntemle test etmenin yollarını arıyordu.
Şirket, ağını korumak için 3 ayda bir düzenli olarak pentest yaptırıyordu ancak web ve mobil uygulamalarını da neredeyse iki haftada bir güncelliyordu. Dolayısıyla pentestler yapıldıktan kısa bir süre sonra geçerliliğini yitiriyordu. Şirket bünyesindeki kırmızı takımlar da her yeni özelliği canlıya almadan önce test edebilecek kaynaklara sahip değildi.
Bir de son yıllarda siber saldırıların sıklığının ve gelişmişlik düzeyinin gözle görülür bir şekilde artmasıyla, şirketin mobil uygulamasının siber güvenliğini sürekli kontrol etmek ve kötü niyetli hacker’lardan önce harekete geçmek için güvenilir bir yönteme ihtiyacı vardı.
Özetle, e-ticaret şirketinin aşağıdakilere ihtiyacı vardı:
- Mobil ve web uygulama güncellemelerinde güvenlik kontrollerini düzenli olarak gerçekleştirmek
- Sık yapılan güncellemelere ayak uydurmak için hızlı bir şekilde harekete geçme imkanı
- Yeni teknolojilere ve bilinmeyen açıkları keşfetmeye alışmış çeşitli uzmanlıklara sahip kişilerden oluşan kalabalık bir test ekibi
- Böyle güçlü bir uzman kadrodan bütçe dostu ve zamandan tasarruf ettiren bir şekilde faydalanmasını sağlayan iş modeli
Çözüm: BugBounter.com’un Platform Tabanlı Test Hizmetleri
Değişen trendlerle birlikte açığa çıkan test beklentilerinin üstesinden gelmek için kurulan BugBounter, bug bounty (ödül avcılığı) programları aracılığıyla güvenlik açıklarını keşfetmek ve raporlamak için serbest çalışan yüzlerce uzman güvenlik araştırmacısını bir araya getirdi. BugBounter farklı ülkelerden, kültürlerden, geçmişlerden ve uzmanlık alanlarından gelen bağımsız araştırmacılar ile kurulan bir ekosistemi yönlendiriyor. Bu ekibin pentestler, otomatik taramalar ve pahalı kırmızı takım hizmetleri gibi olağan test yöntemlerinden daha iyi performans göstermesini sağlıyor.
E-ticaret şirketi periyodik test sürecini hızlandırmak, genişletmek ve derinleştirmek için BugBounter aracılığıyla bir ödül avcılığı (bug bounty) programı yürütmeye karar verdi.
Yöntem: Bug Bounty Programı
Ödül Avcılığı (Bug Bounty), başarıya dayalı bir iş modeli üzerinde çok sayıda ofansif güvenlik uzmanıyla birlikte çalışan bir platform hizmetidir. Bu model:
Son Derece Etkili: Ekosistemde yer alan beyaz şapkalı etik hacker’lar, şirketin kapsama alınan atak yüzeylerindeki zafiyetleri keşfetmeyi hedefliyor. Sektörde bağımsız araştırmacılar olarak kabul edilen bu etik hacker’lar, aynı zamanda en çok sömürülen güvenlik açıklarını da bulmayı iyi biliyor.
Zamandan Tasarruf Ettiriyor: Araştırmacılar zamana karşı yarışırken birbirleriyle de yarışıyor. Bir açığı tespit eden ilk araştırmacı ödülü almayı hak ettiği için güvenlik açıkları çok daha hızlı bulunuyor. İlk açıklar çoğu zaman yeni bir programın yayınlandığı andan itibaren 24 saat içinde bulunuyor.
Uygun Maliyetli: Program ödül temelli olduğu için şirketlerin bütçelerine ve risk faktörlerine göre ödül yapısı oluşturuluyor. Belirlenen ödül bütçesine ulaşıldığında şirket programı askıya alabiliyor veya ek bir bütçe ayırarak değerlendirilecek raporları almaya devam edebiliyor.
BugBounter.com’un Yaklaşımı
BugBounter.com, atak yüzeylerini analiz etti, e-ticaret şirketinin ihtiyaçlarını karşılayan bug bounty programının kapsamını belirledi ve tavsiyelerde bulundu. Ödül avcılığının yapısı (kapsama alınan hedefler, kapsam dışında bırakılan hedefler, hariç tutulan alanların listesi, ödül yapısı, özel şartlar, doğrulama yöntemi, ücretler, araştırmacı kriterleri gibi) tasarlandıktan sonra program BugBounter ekosisteminde duyuruldu. Böylece araştırmaya katılmak için çeşitli yeteneklere sahip bir grup teste davet edildi.
BugBounter.com’un sınırlı bir süre için yayınladığı ödül programı, şirketin yeni web ve mobil uygulamalarını kapsıyordu. Bu ödül avcılığı programı, yakın zamanda erişime açılan yeni yazılım sürümlerinin testini kapsayacak şekilde 7-10 gün boyunca geçerli tutuldu ve DevOps döngüsüne entegre edildi. Bu döngü, bütçenin el verdiği oranda her yeni yazılım sürümü için yeniden yapıldı.
Sonuçlar
BugBounter.com platformuna sürekli eklenen yeni ve yetenekli araştırmacıların oluşturduğu ekosistem sayesinde e-ticaret şirketi:
- Yeni yazılım sürümlerinin etkili ve uygun maliyetli bir şekilde korunmasını sağladı
- Müşterileri ve tedarikçiler arasında önemli ve güvenilirliğe sahip oldu
- Yeni özellikler uygun bir test bütçesi ve zafiyet keşfinin oluşturduğu büyük güvenle canlıya alındı
- Farkında olmadıkları güvenlik açıklarını hızla tespit etti ve kötü niyetli saldırganların bir adım önüne geçti.
Bu bir ilandır.
