Keywords:

Günümüzde teknolojinin gelişmesi ile birlikte siber güvenliğin önemi giderek artmaktadır. Hayatımızın her adımında yer alan bilgisayar sistemlerinde oluşacak açıklar yüzünden kullanıcıların güvenliği ciddi şekilde zarar görebilmektedir. Bu açıkların olası en kısa zamanda giderilmesi ve sistemin güvenli hale getirilmesi büyük maliyetler gerektirebilir. Bu durumları henüz oluşmadan önüne geçebilmek için birçok önlem alınmaktadır. Bu önlemlerden birisi de ödül avcılığı yarışmalarıdır. Bu kapsamda yarışmacı bir saldırgan mantığında çalışarak hedef sistemin güvenlik açıklarını (zafiyet) keşfetmeye çalışır. Tespit sonrası hedef sistemin zafiyetlerin giderilmesi için gerekli bilgi ve desteği sağlar. Bu tür testler sayesinde sistemler daha güvenli bir şekilde hizmet vermeye devam eder. Tespit edilen zafiyetler kritiklik seviyesi ve etki alanına göre maliyeti değişmektedir. Ödül avcılığı yöntemleri bize doğrudan şirketler ve sektörler hakkında bilgi vermese de çıktıları inceleyerek sektörlerde tespit edilen hataları, etkileri incelenmiştir. Bu çalışma kapsamında “bugcrowd” ismiyle öne çıkan ödül avcılığı platformu üzerinde incelemeler yapılmıştır. Platform üzerinde herkesin erişimine sunulmuş zafiyet raporları içerisinden 11162 adet rapor 7 başlıkta toplanacak şekilde analiz edilmiştir. Bu başlıklar arasında en çok zafiyeti olan 76 şirket baz alınarak, 14 farklı sektörel dağılım üzerinden analizler yapılmış ve sektörler arası güvenilirlik durumları incelenmiştir. İnceleme sonucunda ödül avcılığı için sektörel bazda ne kadar yatırım yapıldığı, her bir zafiyet için ne kadar ödeme yapıldığı ve ödeme miktarına bağlı olarak elde edilen sonuçlar incelenmiş ve kıyaslama yapılmıştır. Buna göre ödül avcılığında en çok yatırıma sahip olan sektörün en çok zafiyet oranına sahip olduğu tespit edilmiştir. Verilen ödüllerin ortalamasına göre en çok ödül veren şirketlerin sektörler bazda sırasıyla Eğlence, Oyun ve E-ticaret iken en düşük ödül verenler ise sırasıyla Tekstil, Konaklama ve Teknik servis sektörü olduğu çıkarımına varılmıştır.

Anahtar Kelimeler: Siber Güvenlik, Ödül Avcılığı, Zafiyet, Sektörel Analiz