2. Ajanda
- Ödül Avcılığı Nedir?
- Programlar
- Hazırlık ve Kapsam Belirleme
- Faydalar/Riskler
- Program Seçilirken Dikkat Edilecekler
- Sorular
3. Konuşmacı
- 16+ yıl siber güvenlik deneyimi
- Güvenlik yöneticisi @trendyol
- Kırmızı takım üyesi @hitcatred
- OSCP - OSCE - eWAPTXv2 - eCPTX
@caglarcakici
4. Ödül Avcılığı Nedir ?
- Netscape ilk ödül avcılığı programını 1995 yılında
başlattı
- Kurumların, tespit edilen zafiyetlerin risk seviyesine
göre ödeme yaptığı bir iş modeli.
- Bugüne kadar tek seferde verilen en yüksek ödül 201.000$
10. Faydalar/Riskler
Faydalar:
- Pentest ve zafiyet yönetim süreçlerinde tespit edilemeyen zafiyetler
- Bağımsız bir çok araştırmacı tarafından altyapı/uygulamaların sürekli test
edilmesi
- Güvenlik araştırmacıları ile ağ oluşturmak
- Ekiplerin gelişimine katkıda bulunması (SOC/Red team etc.)
Riskler:
- Private programlarda, sosyal medya üzerinden bulguların paylaşılması.
- Araştırmacı ile iletişimi doğru sağlanamaması durumunda ortaya çıkabilecek
repütasyon riskleri
- Triage sürecinde bulguları yanlış değerlendirme. Hatalı Risk/Impact analizleri
- Uygulamalarda kullanılan yerel dil sebebi ile sadece yerel araştırmacılar başarı
sağlayabilmesi