Ana Sayfa Haberler Zafiyetleri bulmanın en çevik yolu ödül avcılığı

Zafiyetleri bulmanın en çevik yolu ödül avcılığı

bugbounter-globaltechmagazineAraştırmalara göre bir veri ihlalini tespit etmek ve kontrol altına almak ortalama 287 gün sürüyor. Bu da her sektör için çok uzun bir süre ancak özellikle de finans gibi hassas bir sektörde faaliyet gösteren şirketler için daha da kritik. Platformunda 1500’den fazla bağımsız siber güvenlik uzmanı bulunan BugBounter, finansal teknolojiler geliştiren şirketler için kritik uygulamalardaki açıkların uzman eliyle 7/24 araştırıldığı ödül avcılığı programları sunuyor.

Dünyada artık nakit kullanımı azalıyor ve dijital ödeme seçenekleriyle yapılan işlemlerin sayısı artıyor. Şirketlerin güvenlik açıklarını denetleme, bulma ve doğrulama ihtiyacını bünyesindeki 1500’ün üzerinde siber güvenlik uzmanıyla hızlı ve güvenilir bir şekilde karşılayan BugBounter.com, fintekleri ve yeni nesil finansal teknolojiler geliştiren şirketleri siber güvenlik risklerine karşı uyarıyor ve sistemlerini düzenli değil, sürekli olarak denetletmenin önemini vurguluyor.

Her geçen gün siber güvenlik şirketler ve kurumlar için çok daha önemli hale geliyor. 2020’de fidye yazılımları yüzde 150 arttı ve her 39 saniyede yeni bir saldırı gerçekleştirildi1. Bu saldırılardan birinin başarıya ulaşması, bankalar ve fintekler için büyük sorunlar oluşturabilme potansiyeline sahip. Öte yandan siber saldırılar yapay zeka ve kendi kendine öğrenen kötü amaçlı yazılımlarla çok daha etkili hale geliyor. Bu noktada kimlik doğrulama alanındaki tek seferlik şifreler (OTP) ve bilgi tabanlı doğrulamalar (KBA), siber saldırganların en çok başvurduğu saldırı alanları olarak öne çıkıyor.

Sanallaşma için atılan her adım, yeni zafiyetler yaratıyor

Verileri birçok şekilde ihlal etmek mümkün. Ancak hepsinin ortak sonucu ise finansal ve itibar kayıpları oluyor. Finansal işlemlerin dijital platformlardan yapılması, mobil bankacılık ve bulut hizmetlerinin daha fazla kullanılması ise veri ve işlem güvenliğinin sağlanmasını daha da zorlaştırıyor. Sürekli geliştirilen ve güncellenen uygulamalar siber suçluların, müşterilerin hassas finansal verilerine ulaşabilmesini sağlayacak potansiyel açıklarla birlikte geliyor.

Durmaksızın varlığı bilinmeyen açıkları arayan siber saldırganlar, finans sektörünü maliyet açısından veri ihlallerinden en çok etkilenen ikinci sektör haline getirmeye devam ediyor2. 2021’de finansal kuruluşlar, veri ihlalleriyle doğrudan bağlantılı ortalama 5,72 milyon dolar kayıpla karşı karşıya kaldı. Ayrıca araştırmaya3 göre bir veri ihlalini tespit etmek ve kontrol altına almak ortalama 287 gün sürüyor. Ortalama bir veri ihlali de dokuz aydan uzun süre fark edilmiyor. Bu da tehlike altında olan bankacılık kayıtlarından ve çalınan kayıtlardan ötürü oluşan mali etkiyi ciddi oranda artırıyor.

Veri ihlallerinden ötürü oluşan maliyetin 2021’de yeni bir rekor kırdığını belirten BugBounter.com Kurucu Ortağı Murat Lostar, konuyla ilgili şunları söylüyor: “Bankaları ve fintekleri yeni zorluklar bekliyor. 2019’dan beri uzaktan işlem yapmaya imkan tanıyan bankacılık hizmetlerine yönelik talep artıyor ve bu hizmetler veri tabanının güvenliğindeki sorunları çoğaltıyor. Bunun sonucunda ele geçirilen bilgiler de artıyor. Yapay zekanın daha fazla kullanılması da finansal sektördeki şirketlerin sorunlarına yenilerini ekliyor. Yapay zeka, müşterilerin daha memnun olmasını ve süreçlerin iyileşmesini sağlıyor. Ancak saldırganlar da yapay zekaya önemli ölçüde yatırım yaparak açıklarını keşfediyor. Böylece oluşturduğu kullanıcı isimleri ve şifrelerle online bankacılık sistemlerine ve mobil uygulamalara giriş yapmaya çalışıyor. Bu yüzden düzenli değil, sürekli denetim gerekiyor.

Beyaz şapkalı hackerlar tarafından siber güvenliğinizi denetlemek için uygulanan bir yöntem olan ödül avcılığı (bug bounty) ile 1500’den fazla uzman, şirketlerin belirlediği uygulamaları ve hedeflenen adresleri 7/24 denetleyebiliyor ve açıkları bulduğu anda raporluyor. Türkiye’de öncülüğünü üstlendiğimiz bu yöntemle şirketler ödül avcılığı programını oluştururken ödülleri de kendisi belirliyor. Böylece kendi bütçelerine ve önceliklerine uyacak bir program kurgulayabiliyor. Bug bounty programları siber saldırganlarla aynı becerilere sahip uzmanların dışa açık uygulamaları durmaksızın test etmesini sağlayarak, regülasyonun şart koştuğu sızma testlerinin (pentest) mükemmel bir tamamlayıcısı oluyor.”