Fachartikel

Schwachstellen aufdecken mit Bug-Bounty-Programmen

Kleine und spezialisierte Sicherheitsteams verteidigen sich täglich gegen ein Heer verschiedenster Cyberkrimineller. Was können Unternehmen tun, um Schwachstellen zu beseitigen, bevor die Lücken ins Visier von Angreifern geraten? Der akute Fachkräftemangel macht es Unternehmen nicht gerade einfacher, kurzfristig und bedarfsgerecht zu agieren. Der Artikel erklärt, warum sich viele der Unternehmen deshalb für Bug-Bounty-Programme entscheiden, um ihre Sicherheitsvorkehrungen zu verbessern.
Mit Hilfe von Bug-Bounty-Programmen machen sich Unternehmen die Fähigkeiten der Hacker-Community zunutze.
Die potenzielle Zahl an Cyberkriminellen ist weitaus größer als die durchschnittliche Zahl der Analysten in einem Sicherheitsteam. Zudem ändern sich die angewandten Tricks und Techniken täglich. Cyberkriminelle genügt es, nur einen Treffer zu landen. In diesem sich rapide entwickelnden Gefahrenszenario können Unternehmen schnell ins Hintertreffen geraten, besonders wenn die Ressourcen begrenzt sind. Dabei ist auch nicht hilfreich, dass es immer schwieriger wird, Sicherheitsanalysten zu finden, die sich auf Mobile, Web, Single Page-Applikationen, Microservices und APIs spezialisiert haben.

Ressourcen vergrößern durch Bug-Bounty-Programme
Viele Unternehmen erkennen, dass nur wenige "Aufpasser" nicht ausreichen, um ihre Daten zu sichern. Um Fehler in Onlinesystemen zu entdecken, benötigen sie so viele Fachleute wie möglich. Dies ist der Grund, warum sich viele der zukunftsorientierten Unternehmen heute an die Hacker-Community wenden, um ihre Sicherheitsvorkehrungen zu verbessern.

Diese Unternehmen führen Bug-Bounty-Programme durch, in denen sie erfahrene Hacker einladen. Die Hacker suchen daraufhin nach Schwachstellen in den Systemen und melden sie. Unternehmen können so potentielle Sicherheitslecks schließen, bevor Cyberkriminelle diese kompromittieren können. Anstatt einer Person oder einem kleinen Team, die ein- oder zweimal im Jahr nach Schwachstellen suchen, nutzen Sicherheitsverantwortliche so Zehntausende von Hackern mit unterschiedlichen Fähigkeiten, um das ganze Jahr über kontinuierlich Sicherheitsbewertungen durchzuführen.

Bug-Bounty-Programme sind schnell: Neueste Untersuchungen zeigen, dass 77 Prozent der Programme die erste Schwachstelle innerhalb der ersten 24 Stunden aufdecken. Zudem ist diese Vorgehensweise smart: Mit Hilfe der Hacker-Community können Unternehmen von deren weltweiter Expertise profitieren, uneingeschränkt nach Standort und Anzahl. Was sind also die entscheidenden Schritte auf dem Weg zu einem Bug-Bounty-Programm? Die Einführung und Ausführung einer erfolgreichen Bug Bounty unterscheidet sich deutlich von der Verwendung anderer Sicherheitstools und -dienste, es gibt dabei eine Reihe von Aufgaben, die ein Unternehmen dafür vorbereiten muss.
Bounties oder Offenlegung von Schwachstellen?
Für eine Organisation ist es zunächst wichtig zu entscheiden, ob es Bounties überhaupt auszahlen will. Viele beginnen mit einem Vulnerability Disclosure Program (VDP). VDPs sind auch als Programm für "Responsible Disclosure" oder "Software Vulnerability Disclosure" (SVD) bekannt und fungieren als offizieller Kanal, durch den externe Sicherheitsexperten Schwachstellenberichte einreichen können. Ein VDP kann dabei einfach nur eine Webseite sein, die beschreibt, wie und wo man eine Schwachstelle einreicht, etwa eine E-Mail-Adresse "security@" oder eine "security.txt" in der Webroot. Ein VDP kann entdeckte Schwachstellen dabei durchaus auch mit nicht-finanziellen Belohnungen honorieren, wie beispielswiese einem T-Shirt oder einer Medaille.

VDPs sind immer öffentlich und eher reaktiv als proaktiv. Sie sind nichtsdestotrotz ein guter Anfang, und alle Unternehmen, die Software produzieren, sollten über eine entsprechende Plattform verfügen. Ein Unternehmen kann seinen Fokus von reaktiven zu proaktiven Security-Vorkehrungen verschieben, indem es finanzielle Anreize schafft, die Bounties genannt werden. Bug-Bounty-Programme kommen Technologieunternehmen bereits seit den Anfängen des Internets zum Einsatz, die erste Erwähnung des Begriffs stammt aus dem Netscape-Navigator-Team.

Öffentlich oder privat?
Der Unterschied zwischen einem öffentlichen und einem privaten Bug-Bounty-Programm besteht darin, dass bei einem öffentlichen Programm jeder einen gefundenen Bug melden kann, aber nur eingeladene Hacker an einem privaten Programm teilnehmen können. Der Grund, sich für ein öffentliches Bug-Bounty-Programm zu entscheiden, ist normalerweise, dass die größtmögliche Anzahl an Augen nach Bugs suchen soll – was zu einer höheren Anzahl von gemeldeten Schwachstellen und einer kürzeren Zeit zum Auffinden und Beheben führt.

Ein nicht-öffentliches Bug-Bounty-Programm kann dabei helfen, die Anzahl an gemeldeten Schwachstellen zu begrenzen oder um stärker zu kontrollieren, wer Überprüfungsanforderungen erfüllt und teilnehmen kann. Dies kann dann nützlich sein, wenn das hausinterne Sicherheitsteam klein und daher nicht vorhersagbar ist, wie lange es dauern wird, die Probleme zu beheben. Auch wenn das Unternehmen nur wenigen ausgewählten Hackern eine begrenzte Anzahl von Testkonten zuweisen will, kann diese Vorgehensweise hilfreich sein. Für den Fall, dass Geräte per Post versandt werden müssen, können geografische bezüglich der Teilnehmer sinnvoll sein.

Organisationen können natürlich auch öffentliche und private Programme kombinieren. Dies kann entweder parallel oder hintereinander erfolgen. Viele Unternehmen starten mit einem privaten Programm und öffnen es, nachdem sie ihren Prozess der Schwachstellenbehandlung perfektioniert haben. Andere lassen sensible Unternehmensbereiche in einem privaten Programm untersuchen und weniger sensible in einem parallelen öffentlichen Programm.
30.01.2019/ln/Laurie Mercer, Security Engineer bei HackerOne

Nachrichten

Hardwarebasierte Sicherheit [6.12.2019]

IGEL hat die neue Version seines Thin-Clients, dem "UD7" vorgestellt, das ab sofort die integrierte AMD-Secure-Processor-Technologie enthält. Diese bietet laut Hersteller ein dediziertes Chain-of-Trust-Sicherheitssystem, das den Schutz der Endgeräte weiter erhöhen und die Sicherheitsrisiken weiter reduzieren soll. [mehr]

TeamViewer integriert Patch-Management-Funktion [5.12.2019]

TeamViewer erweitert seine Software "Monitoring & Asset Management" um eine Patch-Management-Funktion. Damit sollen besonders kleine und mittelständische Unternehmen darin unterstützt werden, ihre Software auf dem aktuellen Stand zu halten. Häufig stellen veraltete Programme nämlich ein Einfallstor für Angreifer dar. [mehr]

Tipps & Tools

Vorschau November 2019: Container & Anwendungsserver [21.10.2019]

Das Bereitstellen von Anwendungen ist eine zentrale Administrationsaufgabe und Fehler hierbei fallen Mitarbeitern wie Kunden unmittelbar auf. Eine wichtige Rolle spielt das Fundament für Applikationen, die Serverlandschaft. In der November-Ausgabe beleuchtet IT-Administrator das Thema "Container & Anwendungsserver". Darin lesen Sie etwa, welche Best Practices Sie bei Microsofts IIS nutzen sollten und wie Sie Container-Logdaten mit Fluentbit auswerten. Außerdem werfen wir einen Blick auf die Orchestrierung von Containern und die Kubernetes-Alternative Nomad. In den Tests tritt der Solarwinds Server & Application Monitor an. [mehr]

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Buchbesprechung

Handbuch Online-Shop

von Alexander Steireif, Rouven Rieker, Markus Bückle

Anzeigen