Chanzo: www.hackerone.com – Mwandishi: Hackerone. Kama Watson Group anajua hii na mtu yeyote. Kama muuzaji mkubwa zaidi wa kimataifa wa afya na urembo ulimwenguni, wanasimamia usalama kwa alama ya miguu ambayo inajumuisha maduka zaidi ya 16,400 katika masoko 29, wateja bilioni 5.5, na wafanyikazi 130,000. Kama sehemu ya mkakati wao wa usalama, waligeukia fadhila ya Hackerone kusaidia kuimarisha uwepo wao wa dijiti na kuhakikisha kuwa mali zao zinabaki salama iwezekanavyo wakati uso wao unabadilika. Hivi majuzi tulikutana na Afisa Mkuu wa Usalama wa Habari wa Watson (CISO), Feliks Voskoboynik, kujifunza jinsi watekaji wa maadili wamesaidia kwa mabadiliko ya dijiti na kuwezesha timu yake kufanya ugumu wa uso wao. Soma ili ujifunze ushauri wa Feliks juu ya pamoja na mpango wa fadhila ya mdudu kama sehemu ya mkakati wa usalama, watapeli wa maadili wametoa, na ni mazoea gani bora ambayo anaweza kushiriki na CISO zingine. Swali: Tuambie kama Watson. Feliks: Ilianzishwa mnamo 1841, kama Watson Group ndio muuzaji mkubwa zaidi wa kimataifa wa afya na urembo ulimwenguni, na maduka zaidi ya 16,400 katika masoko 29. Katika miaka ya hivi karibuni, vitisho vya cybersecurity vimekuwa wasiwasi unaokua ambao hatuwezi kudharau. Sekta ya rejareja ni lengo la kuvutia sana kwa cybercriminals kwa sababu ya kutunza habari muhimu sana ya wateja. Lazima tulinde habari hii kutokana na vitisho vya cyber, na ndipo ambapo cybersecurity inapoingia. Katika AS Watson Group, timu yetu ya usalama ya IT inajitahidi kuendelea kuimarisha utetezi wa cyber katika shirika. Kusudi letu la mwisho ni kuweka shirika letu salama na salama ili kuwezesha wafanyikazi na wateja kufanya kazi na kufanya biashara katika mazingira salama. Swali: Je! Hackare husaidia kama Watson na malengo ya mabadiliko ya dijiti? Feliks: Kila siku, tunajitahidi kujenga mtandao wenye nguvu wa kimataifa na O+O (nje ya mkondo pamoja na mkondoni / O Plus O) majukwaa ya kuunganishwa kwa wateja. Tunazingatia mkakati wa O+O, ambao hufanya mshono nje ya mkondo na uzoefu wa wateja mkondoni. Programu hii ya mabadiliko ya dijiti inaleta uso mkubwa wa kushambulia, na jamii yetu ya watekaji wa maadili inatusaidia kupunguza hatari na kuongeza ukomavu wetu wa usalama. Tulitaka kuwa na uwezekano wa kukaribisha jamii ya utapeli wa ulimwengu kwa sababu hii ndio njia rahisi kupata watekaji wenye ujuzi wa kutathmini usalama wa mali zetu. Swali: Je! Hackare za maadili husaidiaje kutambua mwenendo wa mazingira magumu? Feliks: Mara kadhaa, watapeli walitusaidia na aina tofauti za udhaifu zinazohusiana na e-commerce. Ubunifu wa matokeo hayo uliongeza uhamasishaji wa usalama wa bidhaa zetu na timu za maendeleo kutolewa programu salama. Watafiti wa usalama hutusaidia kupima zana mpya za usalama, na pia jinsi tunavyosanidi na kuzipeleka. Mfano mmoja wa hii ni wakati tunataka kusambaza zana ya kupambana na credential, na watekaji nyara walitusaidia kupata matangazo dhaifu na kuyapunguza. Swali: Je! Hackare za maadili husaidiaje kufanya ugumu wa uso wako? Feliks: Ubunifu wa watapeli ni ufunguo wa kufanya ugumu wa uso wetu wa shambulio. Tunapopokea uthibitisho wa ubunifu wa dhana (POC) kutoka kwa kiboreshaji, tunaweza kutumia mchakato huo kukagua na kuthibitisha kuwa hatari maalum (au ile inayofanana) haiwezi kuzaliana kwa mali mpya. Njia hii inatupa ufahamu wa mahali ambapo udhaifu unaweza kuwa na kutuongoza kuanzisha shughuli mpya za kukagua kama sehemu ya uchunguzi na mchakato wa kurekebisha ili kuhakikisha hatari moja kwa sehemu nyingi, kama vile nambari ya kurithi katika mali mpya. Swali: Je! Unatumiaje ufahamu wa mazingira magumu kutoa mafunzo kwa timu za ndani? Feliks: Matokeo maalum ya watapeli yalituwezesha kujenga mpango mpya wa mafunzo ya kanuni kwa timu zetu za maendeleo. Tunafuatilia mwenendo wa udhaifu na kuziongeza ili kujenga msingi wa mafunzo ili kupunguza hatari kwa mali zetu. Programu ya mafunzo imetusaidia kuongeza ubora wa msimbo na kupunguza udhaifu. Pia imeongeza uwezo wetu wa kuzuia kwa kuhama kushoto iwezekanavyo ili kupata SDLC. Tuligundua kupungua kwa ripoti halali kwa miaka, na tulipunguza gharama kwa kurekebisha maswala katika mazingira ya moja kwa moja. Swali: Je! Unaripotije juu ya thamani ya kufanya kazi na watekaji wa maadili? Feliks: Kuzingatia uso wetu mkubwa wa kushambulia, ni changamoto kuongeza timu za upimaji wa kupenya, hata na ushiriki wa mtu wa tatu. KPI yetu ya kwanza ilikuwa kwenye rasilimali tulizokuwa tukiokoa ikilinganishwa na shughuli za upimaji wa kupenya kwa wakati wa wakati. Pia tuliendeleza KPI ya ndani juu ya mwenendo wa hatari kwenye chapa maalum, kurekebisha, kupunguza hatari, na zaidi. Pamoja na jamii, una maeneo mengi tofauti ya utaalam ukilinganisha na rasilimali moja ya kutekeleza mtihani wa kupenya kwa sanduku. Swali: Je! Unatarajia kuona nini kutoka kwa mpango wako wa fadhila ya mdudu? Feliks: ROI inatoka kwa ukweli kwamba tunategemea Hackerone kupata na kutoa maswala muhimu kila siku. Kwa hivyo, ROI ni kwamba Hackerone hupata maswala kila siku. Swali: Je! Ni ushauri gani unaweza kutoa kwa CISOs zingine kupanga kuanza mpango wa fadhila ya mdudu? Feliks: Anza na kujenga mpango wa usimamizi wa mazingira magumu kushughulikia ripoti vizuri na kufanya kiwango cha mpango. Unapounda sheria za ushiriki, unahitaji kuelewa wazi hatari unazotaka kutanguliza na kutambua hamu yako ya hatari. Unapoanza programu, utashirikisha jamii ambayo inahitaji kujitolea kwako kuendelea. Hackare ni kama wateja, na wanahitaji wakati na juhudi kuanzisha na kudumisha uhusiano. Ni muhimu kusimamia vizuri mpango wa KPIs, wakati wa kujibu, wakati-kwa-wakati, nk, ambayo inahitaji timu inayofaa kuishughulikia. Katika kikundi cha Watson, tunachukulia jamii kama nyongeza ya timu yetu. Kwa kuongezea, tunapanga na kupanga kufanya hafla na mashindano mengi ili kuwaweka watekaji nyara wanaohusika na programu zetu. Swali: Je! Ni somo gani kubwa ambalo umejifunza kutoka kwa watapeli? Feliks: Usalama ni safari, sio marudio. Haijalishi unafanya nini au shirika lako liko salama, hatari na udhaifu bado zipo. Kushirikisha jamii ya watafiti na watapeli wa maadili inahakikisha wale walio na ujuzi kulinganishwa na cybercriminals wanajaribu mali zako, ambazo husaidia na matokeo na kurekebisha na kujenga. Jifunze zaidi juu ya mpango wa Bounty wa Watson, au uanze peke yako na Hackerone. URL ya chapisho la asili: https://www.hackerone.com/blog/how-ethical-hackers-help-watson-address-digital-risk