Chanzo: www.hackerone.com – Mwandishi: HackerOne. Mashirika ya rejareja na biashara ya mtandaoni ndio shabaha kuu wakati huu wa mwaka, ndiyo maana upimaji wa usalama wa haraka ni muhimu ili kujiandaa kwa mashambulizi yanayoweza kutokea ya mashambulizi mabaya. Kwa nini wauzaji reja reja wanatumia watafiti wa usalama ili kupunguza hatari msimu huu wa ununuzi wa sikukuu? Tulizungumza na wateja kadhaa wa HackerOne katika rejareja na biashara ya mtandaoni ili kutoa maarifa ya kipekee kwa tasnia yao. 1. Ujuzi Mbalimbali na Ubunifu Mashirika ya rejareja na biashara ya mtandaoni huinua ujuzi na ubunifu mbalimbali wa watafiti wa usalama ili kuchukua mawazo ya watu wa nje wakati wa msimu wa ununuzi wa likizo. “Jumuiya ya kimataifa ya wavamizi wa maadili ya HackerOne imepanua uwezo wetu wa kupima usalama. Tunaungana na kikundi tofauti cha wadukuzi, kila moja ikileta utaalam na nguvu zao kwenye meza. Uanuwai huu ni nyenzo muhimu kwa sababu hakuna mbinu ya aina moja. Baadhi huangazia mashambulizi mahususi, huku wengine wakifanya vyema katika kutambua udhaifu mbalimbali katika mali zetu zote. Aina hii hutusaidia kufichua mapengo yanayoweza kutokea ya kiusalama ambayo tunaweza kuyasahau.”— Isaiah Grigsby, Mhandisi Mwandamizi wa Usalama wa Maombi, REI “Ubunifu wa wavamizi ni muhimu katika kufanya mashambulizi yetu kuwa magumu. Tunapopokea uthibitisho bunifu wa dhana (POC) kutoka kwa mdukuzi, tunaweza kutumia mchakato huo kukagua na kuthibitisha kuwa athari mahususi (au sawa) haiwezi kuzalishwa tena kwenye vipengee vipya. Mbinu hii hutupatia maarifa ya mahali ambapo udhaifu unaweza kuwa na ilituongoza kuanzisha shughuli mpya za kukagua kama sehemu ya uchunguzi na mchakato wa kurekebisha ili kuthibitisha hatari moja kwenye vipengele vingi, kama vile misimbo iliyorithiwa katika mali mpya.”— Feliks Voskoboynik , CISO, AS Watson “Programu za fadhila za mende huzipa kampuni njia ya kuunganishwa na kundi la kimataifa la vipaji vya watafiti wa usalama ambao hutumika kama kiendelezi cha timu ya usalama ya kampuni. na inaweza kupatikana wakati wote ili kupata na kuripoti udhaifu kwa kubadilishana na malipo ya fadhila na sifa. Ushirikiano huu wenye kujenga huruhusu makampuni kugusa wataalamu wa masuala wakati wowote, kwa lengo la mwisho la kufanya mtandao kuwa salama zaidi kwetu sote.”— Alejandro Federico Iacobelli, Mkurugenzi wa Usalama wa Maombi, Mercado Libre 2. Actionable Insights Retail na e- mashirika ya kibiashara yanaweza kuchukua maarifa ambayo watafiti hutoa na kuyabadilisha kuwa vitendo vya kuzuia, kutoka kwa uboreshaji wa SDLC hadi programu za mafunzo. “Maarifa ya kuathiriwa kutoka kwa mpango wetu wa fadhila ya hitilafu yametuwezesha kupata fursa za uboreshaji katika kipindi chote cha maisha ya maendeleo ya usalama (SDLC) na kupunguza kwa dhati udhaifu kama XSS kwa 98%.” Alejandro Iacobelli, Meneja Mwandamizi wa Usalama wa Maombi, Mercado Libre “Matokeo mahususi ya wavamizi walituwezesha kuunda programu mpya salama ya mafunzo ya msimbo kwa timu zetu za maendeleo. Tunafuatilia mielekeo ya udhaifu na kuutumia ili kuunda msingi wa mafunzo ili kupunguza hatari kwa mali zetu. Mpango wa mafunzo umetusaidia kuongeza ubora wa kanuni na kupunguza udhaifu. Pia imeongeza uwezo wetu wa kuzuia kwa kuhamisha kushoto iwezekanavyo ili kulinda SDLC. Tuliona kupungua kwa jumla ya ripoti halali kwa miaka mingi, na tukapunguza gharama za kurekebisha masuala katika mazingira ya moja kwa moja.”— Feliks Voskoboynik, CISO, AS Watson “Kwenye REI, tunazingatia kutafuta udhaifu mkubwa ambao unaweza kuathiri data ya wateja wetu na kwa ujumla. usalama wa maombi. Tunazingatia sana masuala kama vile dosari za uthibitishaji na uidhinishaji, udhaifu wa kudunga, na chochote ambacho kinaweza kusababisha ukiukaji wa data. Daima tuko tayari kufanyia kazi matokeo tunayopokea kwa mchakato wa kukagua ripoti na kutanguliza udhaifu kulingana na uwezekano wa athari zake ili tuweze kuzirekebisha haraka. Kwa kutanguliza hitilafu hizi, tunalenga kuimarisha usalama wetu na kuunda mazingira salama, yanayotegemeka kwa watumiaji wetu.”— Isaiah Grigsby, Mhandisi Mwandamizi wa Usalama wa Maombi, REI 3. Kiwango Mashirika yanapokua, ndivyo mashambulizi yao yanavyoongezeka, yakiunganishwa na siku zote. -mashambulizi ya kisasa zaidi kutoka msimu mmoja wa ununuzi wa likizo hadi mwingine. Wauzaji wa reja reja, hata hivyo, wanaweza kufaidika kutokana na kundi kubwa la watafiti wa usalama ambao daima wanajifunza na kuendeleza zana na ujuzi wao ili kuendelea na wahalifu. “Biashara yetu ya mtandaoni inapokua, tunahitaji kuongeza mkakati wetu tendaji wa usalama kwenye eneo linalokua la uvamizi ili tuweze kukidhi mahitaji ya wateja, kuhakikisha faragha, kuzingatia kanuni za kufuata, na kuwasilisha programu yetu kwa usalama iwezekanavyo. Tulihitaji mshirika kama HackerOne, ili kuleta jumuiya ya watafiti wa usalama ambao hutoa maarifa mbalimbali ya uwezekano wa kuathiriwa kwenye rasilimali zetu za kidijitali ili kutusaidia kuongeza juhudi zetu.”— Alejandro Iacobelli, Meneja Mwandamizi wa Usalama wa Maombi, Mercado Libre “Hapo awali tulianza na hitilafu ya kibinafsi. mpango wa fadhila ili kuanzisha msingi wa upimaji wa usalama. Baada ya miezi michache ya kuwa na mpango wa faida wa hitilafu wa kibinafsi uliofaulu, tulihamia mpango wa kufichua athari za umma, ambao huturuhusu kupokea na kudhibiti ripoti za athari kutoka kwa watafiti wengine. Kwa vile mpango wetu umebadilika, tumeanzisha pia mpango wa fadhila kwa umma, unaotuwezesha kuimarisha ujuzi mbalimbali wa jumuiya ya kimataifa. Uendelezaji huu umekuwa muhimu katika kukuza juhudi zetu za usalama wa programu na kujenga mpango wa usalama wa kiwango cha juu duniani.”— Isaiah Grigsby, Mhandisi Mkuu wa Usalama wa Maombi, REI “HackerOne imekuza viwango vyetu vya usalama wa mtandao kote AS Watson. Mpango wetu unaendelea kukua, na HackerOne imetusaidia kutambua na kuweka kipaumbele pale ambapo lengo letu linahitaji kuwa. Kwa miaka mingi, tumetambua kiasi kikubwa cha udhaifu mpya na masuala hatarishi ambayo yameboresha mkao wa jumla wa usalama wa mali zetu zinazotazamana na mtandao na kuimarisha programu yetu ya usalama wa mtandao.”— Besmir Markku, Mkuu wa Teknolojia na Usalama wa Matumizi, AS Watson Ili kupata maelezo zaidi kuhusu jinsi shirika lako linavyoweza kushinda hatari za msimu wa ununuzi wa sikukuu, pakua Ripoti ya 8 ya Kila Mwaka ya Usalama ya Hacker-Powered: Retail and E-commerce Edition. Url ya Chapisho asili: https://www.hackerone.com/vulnerability-management/retail-ecommerce-trust-security-researchers
Leave a Reply