Katie Moussouris ile hata ödül programlarının yapılması ve yapılmaması gerekenler – TechCrunch

0
13

Siber güvenlik, lansman telaşında her zaman hak ettiği ilgiyi görmez ve yine de girişimlerin yanlış gidebileceğini ve gideceğini öğrendiği ilk şeylerden biridir.

Hacker ve güvenlik araştırmacıları, girişiminizin güvende kalmasına yardımcı olan en büyük varlıklarınızdan bazıları olabilir. Güvenlik açığı ifşası ve hata ödül programları, daha güçlü ve daha dayanıklı bir şirket kurmak için bilgisayar korsanı topluluğuyla birlikte çalışmanın bir parçasıdır. Ancak bunlar, büyüyen bir şirket olarak göz ardı etmemeniz gereken güvenlik yatırımlarının yerine geçmez.

Katie Moussouris, dünyanın en büyük teknoloji şirketlerinden bazıları yeni başlayanlar olduğu için siber güvenlik çevrelerinde yer aldı ve ilk güvenlik açığı ifşa ve hata ödül programlarının kurulmasına yardımcı oldu. Danışmanlık firması Luta Security’yi yöneten Moussouris, artık şirketlere ve hükümetlere bilgisayar korsanlarıyla nasıl konuşulacağı ve güvenlik açığı ifşa programlarını oluşturmak ve iyileştirmek için ne yapmaları gerektiği konusunda tavsiyelerde bulunuyor.

TC Erken Aşama’da Moussouris, startup’ların ne yapması (ve yapmaması) gerektiğini ve hangi önceliklerin önce gelmesi gerektiğini açıkladı.

Temelleri bilmek

Tek başına bir hata ödülü yeterli değildir ve süreci bir platforma dış kaynak kullanmak size zaman kazandırmayacaktır. Moussouris, temel bilgileri ve güvenlik açığı ifşası, sızma testi ve hata ödülleri arasında nelerin farklı olduğunu açıkladı.

Güvenlik açığı ifşası, güvenlik açığını dışarıdan duyduğunuz süreçtir. Bu güvenlik açığını bir şekilde kuruluşunuzun içinde sindirir ve onunla ne yapacağınızı – bir yama oluşturup oluşturmadığınızı, bu yamanın nasıl önceliklendirileceğini ve ardından neyi halka açıklayacağınızı – çözersiniz. [ … ] Asıl mesele, kuruluşların bu sorunları uygun şekilde nasıl ele alacakları konusunda yönergelere ihtiyaç duymalarıdır.

Sırada sızma testimiz var: sözleşmeli profesyonel bilgisayar korsanlarını işe almak [who have] Problem setinize uyan belirli bir beceri seti ve onlara ödeme yaparsınız. İhtiyaç duyduğunuz sürece – belki sonsuza dek – güvenlik açıklarınızı gizli tutmak için bir ifşa etmeme anlaşması (NDA) altındalar ve bu güvenlik açıklarını düzeltip düzeltemeyeceğiniz konusunda boş zamanınızdasınız.

Son olarak, hata ödülleri, güvenlik açığı ifşa programları sürecine yalnızca bir nakit ödül ekliyor. (Zaman damgası: 3:20)

ISO standartları arkadaşınızdır

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz