“Elbette, Yaratılışımızdan bu yana kalıcı bir hata ödülüne sahibiz. Siber güvenlik söz konusu olduğunda vaaz ettiğimiz şeyi uyguluyoruz” diye açıklıyor Gilles Yonnet, şirketin CTO’su. Tam tersi gerçekten şaşırtıcı olurdu: EvetWeHack ana teklifi tam olarak “hata ödüllerinin” barındırılması ve denetlenmesi olan bir Fransız şirketidir; bu programlar, güvenlik araştırmacılarının gelip güvenlik açıklarını ödeme karşılığında bir şirkete bildirmelerine olanak tanır.
DT, “2023 yılı boyunca altyapımızdaki çeşitli kritikliklere sahip on iki güvenlik açığı konusunda bilgilendirildik ve en ciddi olanlar iki gün içinde düzeltildi” diye açıklıyor.
Ve kusurların düzeltilmesi açıkça platformun güvenliğinin güçlendirilmesini mümkün kılıyorsa, aynı zamanda sistemin doğru çalışmasının sağlanmasını da mümkün kılıyor: “Bize bildirilen kusurlardan biri, örneğin şunu mümkün kıldı: platformda bilgisayar korsanları tarafından kullanılan puanlardan biri olan puan etkisini biraz artırdı. Hesaplama algoritmalarımızdan birinde küçük bir hata yaşadık, gizlilik ve kullanılabilirlik açısından herhangi bir risk teşkil etmiyordu, ancak insanların “hile yapmasına” izin veriyordu.
Korunma tedaviden daha iyidir
YesWeHack’ta siber güvenlik konusu şirketin DNA’sında var. Dahili olarak bu, teknik departman içinde yer alan ancak “grubun tüm departmanlarıyla çalışmasına izin verecek geniş yetkilere sahip” bir CISO ve “günlüklerimizin bir bakıma SOC çalışması gibi kalıcı olarak izlenmesini” sağlayan bir altyapı hizmeti etrafında organize edilmiştir. ”
YesWeHack, herkesin güvenlik konularından haberdar olmasını sağlamak için çalışanlarını eğitmeye de çalışmaktadır. Bu nedenle risk farkındalığı kampanyaları ve daha teknik profilleri hedefleyen alıştırmalar biçimindeki daha teknik zorluklar sıradan hale geliyor: “Yılda bir veya iki kez, gönüllü olarak savunmasız hedefler öneriyoruz ve riskleri daha iyi anlamaları için çalışanları güvenlik açıklarından yararlanmaya davet ediyoruz. ve kendilerini onlardan nasıl koruyacaklarını.
Ve şirket, kendi topluluğundan “etik bilgisayar korsanlarını” gelip bu tür çalışmalara yaklaşımlarını göstermeleri ve gerekçelerini açıklamaları için davet etmekten çekinmiyor. Buna, şirketin tüm yönetimini ve çalışanlarını kapsayan, gerçek koşullarda kriz yönetimi tatbikatları da ekleniyor.
Daha iyi farkındalığa olanak tanıyan “uygulama yoluyla” farkındalık: “Örneğin, tek başına ele alındığında çok ciddi olmayan iki güvenlik açığının, birlikte kullanıldığında sonuçta çok fazla hasara yol açabileceğini fark etmeyi mümkün kılar ” Gilles Yonnet’i özetliyor.
Kraliyet mücevherleri
Tüm bu farkındalık çalışmaları, YesWeHack’in altyapısını güvence altına alarak operasyonunun sürekliliğini sağlamanın yanı sıra barındırdığı hassas verilerin üçüncü şahısların erişimine engel olmasını da amaçlıyor. YesWeHack, bir SaaS güvenlik açığı raporlama platformu sunar ve bağımsızlar tarafından tespit edilen güvenlik açıklarının müşterileri arasında sınıflandırılmasından sorumludur.
Bu nedenle YesWeHack’teki bir veri sızıntısı, müşteriyi hassas bir duruma sokabilecek bir dizi 0 günlük güvenlik açığını ortalıkta bırakabilir. Gilles Yonnet yine de bu riski hafifletiyor: “İdeal olarak, platformumuz aracılığıyla bildirilen kusurların çoğu hızlı bir şekilde düzeltiliyor, bu da riskleri bir dereceye kadar sınırlıyor.”
Ancak platformun mimarisi gizlilik göz önünde bulundurularak tasarlandı: “Savunmamız örneğin şifrelemeye dayanıyor: Hizmetimizin her öğesinin, bizim tarafımızdan barındırılan ancak uzak bir sunucuda bulunan bir şifreleme anahtarı vardır. Buna eklendi. öğelerin farklı VLAN’larda bölümlenmesi, altyapı ekibinin izlenmesi, birisinin kraliyet mücevherlerine erişmesini engelleyen çeşitli engellerimiz var.”
Şirket şu ana kadar herhangi bir hassas veri sızıntısı bildirmedi ancak girişimleri sıklıkla gözlemliyor. Ve bunların hepsinin mutlaka kötü niyetli olması gerekmiyor: “Müşterilerimizi yine de hizmetlerimiz üzerinde izinsiz giriş testleri yapmaya teşvik ediyoruz.”