Fachartikel

Schwachstellen aufdecken mit Bug-Bounty-Programmen

Kleine und spezialisierte Sicherheitsteams verteidigen sich täglich gegen ein Heer verschiedenster Cyberkrimineller. Was können Unternehmen tun, um Schwachstellen zu beseitigen, bevor die Lücken ins Visier von Angreifern geraten? Der akute Fachkräftemangel macht es Unternehmen nicht gerade einfacher, kurzfristig und bedarfsgerecht zu agieren. Der Artikel erklärt, warum sich viele der Unternehmen deshalb für Bug-Bounty-Programme entscheiden, um ihre Sicherheitsvorkehrungen zu verbessern.
Mit Hilfe von Bug-Bounty-Programmen machen sich Unternehmen die Fähigkeiten der Hacker-Community zunutze.
Die potenzielle Zahl an Cyberkriminellen ist weitaus größer als die durchschnittliche Zahl der Analysten in einem Sicherheitsteam. Zudem ändern sich die angewandten Tricks und Techniken täglich. Cyberkriminelle genügt es, nur einen Treffer zu landen. In diesem sich rapide entwickelnden Gefahrenszenario können Unternehmen schnell ins Hintertreffen geraten, besonders wenn die Ressourcen begrenzt sind. Dabei ist auch nicht hilfreich, dass es immer schwieriger wird, Sicherheitsanalysten zu finden, die sich auf Mobile, Web, Single Page-Applikationen, Microservices und APIs spezialisiert haben.

Ressourcen vergrößern durch Bug-Bounty-Programme
Viele Unternehmen erkennen, dass nur wenige "Aufpasser" nicht ausreichen, um ihre Daten zu sichern. Um Fehler in Onlinesystemen zu entdecken, benötigen sie so viele Fachleute wie möglich. Dies ist der Grund, warum sich viele der zukunftsorientierten Unternehmen heute an die Hacker-Community wenden, um ihre Sicherheitsvorkehrungen zu verbessern.

Diese Unternehmen führen Bug-Bounty-Programme durch, in denen sie erfahrene Hacker einladen. Die Hacker suchen daraufhin nach Schwachstellen in den Systemen und melden sie. Unternehmen können so potentielle Sicherheitslecks schließen, bevor Cyberkriminelle diese kompromittieren können. Anstatt einer Person oder einem kleinen Team, die ein- oder zweimal im Jahr nach Schwachstellen suchen, nutzen Sicherheitsverantwortliche so Zehntausende von Hackern mit unterschiedlichen Fähigkeiten, um das ganze Jahr über kontinuierlich Sicherheitsbewertungen durchzuführen.

Bug-Bounty-Programme sind schnell: Neueste Untersuchungen zeigen, dass 77 Prozent der Programme die erste Schwachstelle innerhalb der ersten 24 Stunden aufdecken. Zudem ist diese Vorgehensweise smart: Mit Hilfe der Hacker-Community können Unternehmen von deren weltweiter Expertise profitieren, uneingeschränkt nach Standort und Anzahl. Was sind also die entscheidenden Schritte auf dem Weg zu einem Bug-Bounty-Programm? Die Einführung und Ausführung einer erfolgreichen Bug Bounty unterscheidet sich deutlich von der Verwendung anderer Sicherheitstools und -dienste, es gibt dabei eine Reihe von Aufgaben, die ein Unternehmen dafür vorbereiten muss.
Bounties oder Offenlegung von Schwachstellen?
Für eine Organisation ist es zunächst wichtig zu entscheiden, ob es Bounties überhaupt auszahlen will. Viele beginnen mit einem Vulnerability Disclosure Program (VDP). VDPs sind auch als Programm für "Responsible Disclosure" oder "Software Vulnerability Disclosure" (SVD) bekannt und fungieren als offizieller Kanal, durch den externe Sicherheitsexperten Schwachstellenberichte einreichen können. Ein VDP kann dabei einfach nur eine Webseite sein, die beschreibt, wie und wo man eine Schwachstelle einreicht, etwa eine E-Mail-Adresse "security@" oder eine "security.txt" in der Webroot. Ein VDP kann entdeckte Schwachstellen dabei durchaus auch mit nicht-finanziellen Belohnungen honorieren, wie beispielswiese einem T-Shirt oder einer Medaille.

VDPs sind immer öffentlich und eher reaktiv als proaktiv. Sie sind nichtsdestotrotz ein guter Anfang, und alle Unternehmen, die Software produzieren, sollten über eine entsprechende Plattform verfügen. Ein Unternehmen kann seinen Fokus von reaktiven zu proaktiven Security-Vorkehrungen verschieben, indem es finanzielle Anreize schafft, die Bounties genannt werden. Bug-Bounty-Programme kommen Technologieunternehmen bereits seit den Anfängen des Internets zum Einsatz, die erste Erwähnung des Begriffs stammt aus dem Netscape-Navigator-Team.

Öffentlich oder privat?
Der Unterschied zwischen einem öffentlichen und einem privaten Bug-Bounty-Programm besteht darin, dass bei einem öffentlichen Programm jeder einen gefundenen Bug melden kann, aber nur eingeladene Hacker an einem privaten Programm teilnehmen können. Der Grund, sich für ein öffentliches Bug-Bounty-Programm zu entscheiden, ist normalerweise, dass die größtmögliche Anzahl an Augen nach Bugs suchen soll – was zu einer höheren Anzahl von gemeldeten Schwachstellen und einer kürzeren Zeit zum Auffinden und Beheben führt.

Ein nicht-öffentliches Bug-Bounty-Programm kann dabei helfen, die Anzahl an gemeldeten Schwachstellen zu begrenzen oder um stärker zu kontrollieren, wer Überprüfungsanforderungen erfüllt und teilnehmen kann. Dies kann dann nützlich sein, wenn das hausinterne Sicherheitsteam klein und daher nicht vorhersagbar ist, wie lange es dauern wird, die Probleme zu beheben. Auch wenn das Unternehmen nur wenigen ausgewählten Hackern eine begrenzte Anzahl von Testkonten zuweisen will, kann diese Vorgehensweise hilfreich sein. Für den Fall, dass Geräte per Post versandt werden müssen, können geografische bezüglich der Teilnehmer sinnvoll sein.

Organisationen können natürlich auch öffentliche und private Programme kombinieren. Dies kann entweder parallel oder hintereinander erfolgen. Viele Unternehmen starten mit einem privaten Programm und öffnen es, nachdem sie ihren Prozess der Schwachstellenbehandlung perfektioniert haben. Andere lassen sensible Unternehmensbereiche in einem privaten Programm untersuchen und weniger sensible in einem parallelen öffentlichen Programm.
30.01.2019/ln/Laurie Mercer, Security Engineer bei HackerOne

Nachrichten

Angreifer manipulieren DNS-Einträge bei Registraren [18.04.2019]

Cisco Talos hat eine neue Angriffsmethode entdeckt. So spionierten Cyberkriminelle Registrierungsstellen für Domain-Namen aus. Mit den gestohlenen Anmeldeinformationen konnten sie dann Attacken gegen staatliche Organisationen und andere Ziele ausführen. Deren Website-Besucher wurden auf gespiegelte Seiten umgelenkt, um an sensible Daten zu gelangen. [mehr]

IT-Dienstleister gehackt, Zugriff auf Kundensysteme [17.04.2019]

Der drittgrößte indische IT-Outsourcer Wipro ist offenbar erfolgreich gehackt worden. Laut dem Security-Blog KrebsOnSecurity konnten sich Unbekannte Zugang zu den Konten von Angestellten des indischen IT-Dienstleisters verschaffen und sollen bereits seit mehreren Monaten Zugriff auf das System haben. [mehr]

Tipps & Tools

Jetzt erhältlich: Sonderheft Virtualisierung [8.04.2019]

Lange erwartet, jetzt endlich frisch aus der Druckerei: Das IT-Administrator Sonderheft 'Virtualisierung' wird seit einigen Tagen ausgeliefert und bietet IT-Verantwortlichen auf 180 Seiten Best Practices zur Planung und Umsetzung virtualisierter Server, Netze, Speicher, Anwendungen und Clients. Ordern Sie jetzt, und Sie haben das Heft in Kürze auf dem Schreibtisch. Abonnenten bestellen wie immer zum Vorzugspreis. [mehr]

nVidia-GRID-Treiber auf Citrix bereitstellen [7.04.2019]

In einer Citrix-Umgebung kann das Problem auftauchen, dass nVidia-GRID-Treiber nicht richtig funktionieren, wenn sie per Citrix AppLayering bereitgestellt werden. Wenn sie in einem Layer installiert sind, scheinen die nVidia-GRID-Treiber auf dem später gepublishten Image nicht zu arbeiten. Zur Problemlösung existiert zumindest ein Workaround. [mehr]

Buchbesprechung

IT-Sicherheit

von Prof. Dr. Claudia Eckert

Anzeigen