注册忘记密码

黑客论坛,黑客工具,黑客教程,QQ技术,黑客基地,黑客网络,黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防,黑客编程,黑客定位,手机定位,微信定位,hack,黑客网站,查开房,定位,信息查询

查看: 8846|回复: 0

[黑客新闻] 使用ZENDESK扩展产品安全性并确定其优先级

[复制链接]
   0 UID
   0帖子
   0精华
21
   0威望
500
   0金币
47540
   0贡献
5000
   0阅读权限
   200
   积分
   0
   在线时间
   692 小时
   最后登录
   2021-1-15
发表于 2021-1-3 20:30:49 | 显示全部楼层 |阅读模式
  Zendesk,Inc.(纽约证券交易所:ZEN)是世界上增长最快的客户支持平台之一。Zendesk拥有超过150,000个客户帐户,几乎涵盖了160个县的每个行业,因此始终遵守最高的安全标准和复杂的数据合规性要求。因此,从一开始就将安全性放在首位。
在最近的一次虚拟圆桌会议上,我们与Zendesk产品安全高级经理Scott Reed进行了座谈,讨论了他们如何在整个产品安全策略中整合漏洞赏金,以及如何在高增长的组织中扩展安全性。看看下面我们的对话中的一些亮点。

问:Zendesk上个月刚刚超过了其在黑客论坛上的公共漏洞赏金计划的五周年。您能否分享一下有关起源故事以及该程序多年来的发展情况?
答:六年前我加入Zendesk时,甚至没有产品安全团队。当时,我们正在执行负责任的披露程序,向世界各地邮寄T恤衫,并管理名人堂页面。随着时间的流逝,处理此问题的后勤工作变得势不可挡。为了成为一家全球性公司,我们有一个更大的目标,那就是需要一种更好的方法来确定我们的有效性,从而促使我们启动漏洞赏金计划。五年后,我们在全球各地的办事处拥有约1,000名工程师,该计划使我们能够正确地阻止和解决产品安全方面的问题。

问:Zendesk自2007年以来已增长到4,000多名员工。但是,网络安全方面的资源通常很紧张,尤其是现在。您必须快速扩展,而又不能大量扩展资源。您的团队如何管理由约1,000名工程团队组成的有限产品安全团队的工作?
A:扩展规模是一项需要持续工作的挑战。我们当前解决规模问题的方法是提供一条“黄金之路”,这意味着在可能的情况下使简单的路径成为安全的路径。当然,具有不同技术栈和具有各种开发流程的收购的团队并非总是可能的,这些开发过程需要时间才能完全集成。通过使用分类服务,渗透测试,漏洞扫描工具和自动化解决方案来降低噪音,我们已经看到与黑客论坛合作成功扩展了规模。最终,目标是将权力交到开发人员手中,让他们拥有自己的安全性,但是为了赋予他们权力,您需要提供开发人员可以利用的工具,需求,流程和指标。

问:衡量成功是很难的,有时是安全性上一个备受争议的话题,因为您经常试图衡量未发生的事情。您如何通过漏洞赏金来衡量投资回报率?
答:我们有很多衡量所有安全性的指标,例如涵盖公司安全意识,年度开发人员培训,工具采用情况,但是我认为最重要的指标之一是漏洞的修复速度。您是否已制定SLA,并且正在满足这些SLA?这个数字可以表明团队参与度或他们的时间集中在其他地方。此处的数字很大,至少如果您的错误赏金计划发现了问题,您可以在合理的时间内解决该问题。

问:就一本剧本而言,您将从Zendesk Bug赏金计划中分享什么样的建议或经验教训?从哪里开始的好地方?您在旅途中是否有任何陷阱或教训?
A:公司应该从建立漏洞管理流程开始,因为如果您无法解决所发现的漏洞,那么您将扼杀研究人员的参与。另外,从运行漏洞扫描开始,以确保您不会遇到麻烦。您希望您的研究人员专注于高回报的发现。最后,我建议从私有程序开始,以解决此新过程的问题。您可能需要更改政策,范围或奖励金额。这也使您有时间熟悉与研究人员的交流并获得对发现的一些见解,因此,如果存在弱点,您可以在公开发布并获得大量报告之前加以弥补。而且,请确保您有足够的专用人员。

问:该计划有哪些出色的成功案例?任何令人难忘的黑客互动?
A:在启动我们的私有程序的最初几个月中,报告了服务器端请求伪造(SSRF)漏洞。当时,SSRF还是一个相当新的事物,其潜在影响尚未得到很好的理解。我们最初认为影响仅限于有关内部基础设施信息的某些披露,仅保证中等风险。但是,通过对其有效负载进行一些巧妙的更改,研究人员能够提高漏洞的影响,从而导致远程执行代码。在整个过程中,研究人员很高兴与您合作-始终非常专业并帮助我们了解问题的全部影响。由于这种健康的互动和漏洞的严重性,我们最终获得了三倍于最大赏金的奖励。

问:在展望未来时,Zendesk的网络安全对您有何启发?作为该路线图的一部分,您对黑客的看法是什么?
答: Zendesk工程团队的创新能力非常强,始终利用技术的前沿优势。这并不容易,但是要保持最新状态并始终学习如何确保尖端技术能使我兴奋。此外,Zendesk仍以惊人的速度增长,因此继续进行通过自动化扩展安全性并授权工程师做出良好安全性决策的旅程令人振奋。当然,我们将继续发展产品安全团队同时,我很高兴见到我们的新团队成员,并了解他们的不同个性和观点。随着这种增长的继续,我们的漏洞赏金计划和黑客论坛的黑客将永远是衡量我们工作效率并为我们提供产品领域需要我们团队更多关注的指南。

问:还有什么?您想对过去五年来参与这些活动的黑客或您想参与该计划的黑客说些什么?
A:作为服务至上的CRM公司,我们非常专注于帮助公司在生命周期的各个阶段改善与客户之间所有渠道的关系。现在,我们的客户确实需要我们,我们的团队致力于确保我们满足他们的所有安全需求。对于多年来参与我们的漏洞赏金计划的所有黑客来说,您的关系对我们也很重要!我只想对您的辛勤工作表示感谢,并感谢他们在过去的几年中为我们所有产品提供了更安全的Zendesk客户体验。我们希望继续建立这些关系并建立新的关系,我们期待着整个黑客社区的未来提交。

发表回复

您需要登录后才可以回帖 登录 | 注册会员

本版积分规则


快速回复 返回顶部 返回列表