Fachartikel

Schwachstellen aufdecken mit Bug-Bounty-Programmen

Kleine und spezialisierte Sicherheitsteams verteidigen sich täglich gegen ein Heer verschiedenster Cyberkrimineller. Was können Unternehmen tun, um Schwachstellen zu beseitigen, bevor die Lücken ins Visier von Angreifern geraten? Der akute Fachkräftemangel macht es Unternehmen nicht gerade einfacher, kurzfristig und bedarfsgerecht zu agieren. Der Artikel erklärt, warum sich viele der Unternehmen deshalb für Bug-Bounty-Programme entscheiden, um ihre Sicherheitsvorkehrungen zu verbessern.
Mit Hilfe von Bug-Bounty-Programmen machen sich Unternehmen die Fähigkeiten der Hacker-Community zunutze.
Die potenzielle Zahl an Cyberkriminellen ist weitaus größer als die durchschnittliche Zahl der Analysten in einem Sicherheitsteam. Zudem ändern sich die angewandten Tricks und Techniken täglich. Cyberkriminelle genügt es, nur einen Treffer zu landen. In diesem sich rapide entwickelnden Gefahrenszenario können Unternehmen schnell ins Hintertreffen geraten, besonders wenn die Ressourcen begrenzt sind. Dabei ist auch nicht hilfreich, dass es immer schwieriger wird, Sicherheitsanalysten zu finden, die sich auf Mobile, Web, Single Page-Applikationen, Microservices und APIs spezialisiert haben.

Ressourcen vergrößern durch Bug-Bounty-Programme
Viele Unternehmen erkennen, dass nur wenige "Aufpasser" nicht ausreichen, um ihre Daten zu sichern. Um Fehler in Onlinesystemen zu entdecken, benötigen sie so viele Fachleute wie möglich. Dies ist der Grund, warum sich viele der zukunftsorientierten Unternehmen heute an die Hacker-Community wenden, um ihre Sicherheitsvorkehrungen zu verbessern.

Diese Unternehmen führen Bug-Bounty-Programme durch, in denen sie erfahrene Hacker einladen. Die Hacker suchen daraufhin nach Schwachstellen in den Systemen und melden sie. Unternehmen können so potentielle Sicherheitslecks schließen, bevor Cyberkriminelle diese kompromittieren können. Anstatt einer Person oder einem kleinen Team, die ein- oder zweimal im Jahr nach Schwachstellen suchen, nutzen Sicherheitsverantwortliche so Zehntausende von Hackern mit unterschiedlichen Fähigkeiten, um das ganze Jahr über kontinuierlich Sicherheitsbewertungen durchzuführen.

Bug-Bounty-Programme sind schnell: Neueste Untersuchungen zeigen, dass 77 Prozent der Programme die erste Schwachstelle innerhalb der ersten 24 Stunden aufdecken. Zudem ist diese Vorgehensweise smart: Mit Hilfe der Hacker-Community können Unternehmen von deren weltweiter Expertise profitieren, uneingeschränkt nach Standort und Anzahl. Was sind also die entscheidenden Schritte auf dem Weg zu einem Bug-Bounty-Programm? Die Einführung und Ausführung einer erfolgreichen Bug Bounty unterscheidet sich deutlich von der Verwendung anderer Sicherheitstools und -dienste, es gibt dabei eine Reihe von Aufgaben, die ein Unternehmen dafür vorbereiten muss.
Bounties oder Offenlegung von Schwachstellen?
Für eine Organisation ist es zunächst wichtig zu entscheiden, ob es Bounties überhaupt auszahlen will. Viele beginnen mit einem Vulnerability Disclosure Program (VDP). VDPs sind auch als Programm für "Responsible Disclosure" oder "Software Vulnerability Disclosure" (SVD) bekannt und fungieren als offizieller Kanal, durch den externe Sicherheitsexperten Schwachstellenberichte einreichen können. Ein VDP kann dabei einfach nur eine Webseite sein, die beschreibt, wie und wo man eine Schwachstelle einreicht, etwa eine E-Mail-Adresse "security@" oder eine "security.txt" in der Webroot. Ein VDP kann entdeckte Schwachstellen dabei durchaus auch mit nicht-finanziellen Belohnungen honorieren, wie beispielswiese einem T-Shirt oder einer Medaille.

VDPs sind immer öffentlich und eher reaktiv als proaktiv. Sie sind nichtsdestotrotz ein guter Anfang, und alle Unternehmen, die Software produzieren, sollten über eine entsprechende Plattform verfügen. Ein Unternehmen kann seinen Fokus von reaktiven zu proaktiven Security-Vorkehrungen verschieben, indem es finanzielle Anreize schafft, die Bounties genannt werden. Bug-Bounty-Programme kommen Technologieunternehmen bereits seit den Anfängen des Internets zum Einsatz, die erste Erwähnung des Begriffs stammt aus dem Netscape-Navigator-Team.

Öffentlich oder privat?
Der Unterschied zwischen einem öffentlichen und einem privaten Bug-Bounty-Programm besteht darin, dass bei einem öffentlichen Programm jeder einen gefundenen Bug melden kann, aber nur eingeladene Hacker an einem privaten Programm teilnehmen können. Der Grund, sich für ein öffentliches Bug-Bounty-Programm zu entscheiden, ist normalerweise, dass die größtmögliche Anzahl an Augen nach Bugs suchen soll – was zu einer höheren Anzahl von gemeldeten Schwachstellen und einer kürzeren Zeit zum Auffinden und Beheben führt.

Ein nicht-öffentliches Bug-Bounty-Programm kann dabei helfen, die Anzahl an gemeldeten Schwachstellen zu begrenzen oder um stärker zu kontrollieren, wer Überprüfungsanforderungen erfüllt und teilnehmen kann. Dies kann dann nützlich sein, wenn das hausinterne Sicherheitsteam klein und daher nicht vorhersagbar ist, wie lange es dauern wird, die Probleme zu beheben. Auch wenn das Unternehmen nur wenigen ausgewählten Hackern eine begrenzte Anzahl von Testkonten zuweisen will, kann diese Vorgehensweise hilfreich sein. Für den Fall, dass Geräte per Post versandt werden müssen, können geografische bezüglich der Teilnehmer sinnvoll sein.

Organisationen können natürlich auch öffentliche und private Programme kombinieren. Dies kann entweder parallel oder hintereinander erfolgen. Viele Unternehmen starten mit einem privaten Programm und öffnen es, nachdem sie ihren Prozess der Schwachstellenbehandlung perfektioniert haben. Andere lassen sensible Unternehmensbereiche in einem privaten Programm untersuchen und weniger sensible in einem parallelen öffentlichen Programm.
30.01.2019/ln/Laurie Mercer, Security Engineer bei HackerOne

Nachrichten

Sicherheit für Cloud und 5G [13.02.2019]

Palo Alto Networks hat mehrere neue Funktionen eingeführt, die Angriffe vorhersagen und durch Automatisierung stoppen sollen. Ab sofort erhalten Next-Generation-Firewall-Kunden, die auf die PAN-OS-Version 9.0 upgraden, Zugang zu diesen neuen Sicherheitsfähigkeiten, bestehend aus mehr als 60 neuen Funktionen und Tools zur einfachen Implementierung von Security Best Practices. [mehr]

Im Fadenkreuz [5.02.2019]

Proofpoint lüftet den Vorhang für den 'Proofpoint Targeted Attack Protection Index' (TAP). Dabei handelt es sich um einen Index, mit dessen Hilfe die IT-Security-Teams in den Unternehmen die aktuelle Gefährdung einzelner Personen im Unternehmen einschätzen könnten. Der Hintergrund sei die Strategie der Cyberkriminellen, nicht die technische Infrastruktur direkt anzugreifen, sondern über Mitarbeiter Zugang zu Systemen im Unternehmen zu erlangen. [mehr]

Tipps & Tools

Citrix: Basis-vDisk erstellen [3.02.2019]

In Citrix-Umgebung kann es vorkommen, dass eine vDisk importiert werden muss, bei der Änderungen in verschiedenen Versionen gespeichert sind, aber die zugehörige XML Datei nicht (mehr) verfügbar ist. Glücklicherweise gibt es eine Methode, um eine neu zusammengeführte Basis-vDisk außerhalb von PVS zu erstellen, bevor Sie sie in eine Farm importieren, und die dafür keine XML- oder PVP-Dateien benötigt. [mehr]

Vorschau Februar 2019: Cloudmanagement [21.01.2019]

Die Vorteile der Cloud liegen auf der Hand in Form schnell verfügbarer IT-Ressourcen, um deren Betrieb sich der Administrator nur noch eingeschränkt kümmern muss. Dafür wiederum wollen Cloudlandschaften passgenau in die Unternehmens-IT eingebunden werden, vor allem wenn es um die Sicherheit geht. In der Februar-Ausgabe widmet sich IT-Administrator dem Cloudmanagement und zeigt unter anderem, wie Sie Azure-Logs auswerten und Red Hat CloudForms mit Ansible verwalten. In unserem großen Vergleichstest treten daneben vier deutsche Hosting-Anbieter gegeneinander an. [mehr]

Buchbesprechung

IT-Sicherheit

von Prof. Dr. Claudia Eckert

Anzeigen