von Redaktion IT-A…
Lesezeit
3 Minuten
Seite 2 - Sicherheitslücken mittels Pentestern und White-Hat-Hackern identifizieren
Automatisches Testen reicht nicht
Anhand dieser beiden realen Beispiele zeigt sich deutlich, dass falsche oder nicht ausreichende Systemkonfiguration ein erhebliches Sicherheitsrisiko darstellt. Was also tun? Es gibt zwar viele Werkzeuge, die dabei unterstützen Schwachstellen und Sicherheitslücken in den Systemen auszuspüren, aber es gibt – wie im Falle von IDOR – auch solche, bei denen Tools kaum helfen. Bei traditionellen Penetrationstests bleibt diese Art von Schwachstelle unbemerkt, wenn ein Pentest-Administrator nicht jeden denkbaren Parameter in jedem Abfrageendpunkt durchgeht. Darüber hinaus erfordert diese Form digitaler Attacken bei Cybersecurity-Teams besondere Kreativität und manuelle Sicherheitstests, um sie korrekt zu identifizieren.
Alternative zu traditionellen Sicherheitsmodellen
Nachdem Tools einfach nicht in der Lage sind, die menschliche Kreativität komplett abzubilden, stellt sich den Verantwortlichen somit die Frage, welche Optionen ihnen sonst noch zur Verfügung stehen. Die IT-Teams sind ohnehin ausgelastet genug. Als Folge der zusätzlichen Belastung könnte möglicherweise die Sorgfalt leiden, die bei dieser Aufgabe allerdings dringend geboten ist.
Eine sinnvolle Option ist daher zweifelsohne die unabhängige Überprüfung der Konfigurationen durch Experten – und zwar bevor die Konfigurationen in den produktiven Einsatz gehen. Geschieht das nicht, besteht durchaus die Gefahr, dass Kriminelle eventuell bestehende Sicherheitslücken eher finden und dann entweder selbst ausnutzen oder an den Meistbietenden versteigern. Doch wo findet man diese Experten und welche Mittel gilt es für die Zeit der Experten dann einzukalkulieren? Außerdem sollten diese Experten die Taktiken und Strategien der Hacker kennen, um die Sicherheit weiter zu verbessern. Bei diesen Überlegungen denken bis heute nur wenige Unternehmen daran, genau diejenigen anzusprechen, vor denen man sich eigentlich schützen will: Die Hacker.
Hacker als Helfer
Es gibt Hacker, die keine destruktive oder gar kriminelle Absichten verfolgen, die sogenannten White-Hat-Hacker. Der Kontakt zu diesen "guten" Hackern kommt in der Regel über Bug-Bounty-Plattformen wie HackerOne zustande. Diese agieren als Mittler zwischen den Unternehmen und den Hackern und sorgen dafür, dass beide Seiten von der Zusammenarbeit profitieren.
Entscheidet sich ein Unternehmen für diese Vorgehensweise, gestattet es den Hackern – je nach Vereinbarung und Ziel – beispielsweise Konfigurationen von Anwendungen, Websites, Apps oder auch Infrastrukturen auf Schwachstellen hin zu untersuchen. Die gefundenen Sicherheitslücken werden in der Folge dokumentiert und an den Auftraggeber zurückgespielt, damit er diese zeitnah beseitigen kann.
Die Bezahlung der Hacker erfolgt dabei nach einem vorher vereinbarten Prämienmodell, sodass Kosten nur dann entstehen, wenn die Hacker genau diesem ebenso vorab definierten Prozess folgen. Die Höhe der Prämie für ein gefundenes Sicherheitsproblem richtet sich dabei nach der Bedeutung und Schwere der Lücke – je gravierender das Problem, desto höher die Prämie. Für die Unternehmen entsteht durch diese Herangehensweise eine sehr skalierbare Methode, ihre Ausgaben und Kosten stets im Blick zu behalten. Es bedarf keines zusätzlichen Personals , sondern Unternehmen vergeben die Tasks an externe Experten.
Hacken mit Vertrag
Allerdings ist das, was die Hacker im Auftrag der Unternehmen vorhaben, rechtlich zunächst nicht ohne weiteres möglich. Entsprechend müssen sich beide Parteien juristisch absichern, was erlaubt ist und was nicht. Dies ist in sogenannten VDPs (Vulnerability Disclosure Program) definiert. Diese sind elementarer Bestandteil des Vertrags, den ein Unternehmen nicht mit jedem Hacker individuell vereinbaren muss, sondern dies übernimmt die Bug-Bounty-Plattform.
Darüber hinaus sollte sich die Umgebung, in der die Hacker versuchen sollen, die Systeme zu knacken, so realitätsnah wie möglich sein. Das bedeutet, dass die White-Hat-Hacker keinen anderen Zugang zur Zielplattform haben als ein krimineller Angreifer. Durch diesen Ansatz kann der ethische Hacker seine Kreativität unter Beweis stellen, um erfolgreich in das System einzudringen. Parallel dazu erhält das Unternehmen eine realistische Vorstellung davon, welches Gefährdungspotenzial sich aus den gefundenen, dokumentierten und gemeldeten Schwachstellen ergibt. Der Hacker liefert einen validen Report und die Verantwortung, die gefundenen Schwachstellen zu beseitigen, liegt aufseiten der Unternehmen. Durch die Dokumentation wächst auch in der Organisation die Expertise, um diese Schwachstellen und andere potenzielle Einfallstore zu schließen.
White-Hat-Hacker als externe Beteiligte sind Experten auf ihrem Gebiet und versuchen – analog zu einem kriminellen Hacker – in das System einzudringen und Schwachstellen zu entdecken, die von den internen IT-Profis übersehen wurden. Ein Unternehmen sichert sich also mehrfach ab und erspart sich dadurch die als Folge eines erfolgreichen Hackerangriffs drohenden Kosten. Darüber hinaus lässt sich so nicht nur die eigene IT-Infrastruktur schützen, sondern auch die der Kunden und Partner. Dadurch wird das Vertrauen gestärkt und eine größere Kundenbindung entsteht.
Fazit
Für viele Unternehmen ist es bis heute nahezu unvorstellbar, mit Hackern zu kooperieren. Dabei gibt es viele, denen Hacken einfach Spaß macht und die keinerlei böse Absichten verfolgen. Plattformen wie HackerOne bieten zudem vertraglichen Schutz und kennen die wahren Identitäten der Hacker. Es spricht also nichts dagegen, das Engagement und Interesse dieser White-Hat-Hacker mittels Pentests und Prämien für die Verbesserung der Sicherheit des eigenen Unternehmens zu nutzen.
ln/Laurie Mercer, Security Engineer bei HackerOne
Anhand dieser beiden realen Beispiele zeigt sich deutlich, dass falsche oder nicht ausreichende Systemkonfiguration ein erhebliches Sicherheitsrisiko darstellt. Was also tun? Es gibt zwar viele Werkzeuge, die dabei unterstützen Schwachstellen und Sicherheitslücken in den Systemen auszuspüren, aber es gibt – wie im Falle von IDOR – auch solche, bei denen Tools kaum helfen. Bei traditionellen Penetrationstests bleibt diese Art von Schwachstelle unbemerkt, wenn ein Pentest-Administrator nicht jeden denkbaren Parameter in jedem Abfrageendpunkt durchgeht. Darüber hinaus erfordert diese Form digitaler Attacken bei Cybersecurity-Teams besondere Kreativität und manuelle Sicherheitstests, um sie korrekt zu identifizieren.
Alternative zu traditionellen Sicherheitsmodellen
Nachdem Tools einfach nicht in der Lage sind, die menschliche Kreativität komplett abzubilden, stellt sich den Verantwortlichen somit die Frage, welche Optionen ihnen sonst noch zur Verfügung stehen. Die IT-Teams sind ohnehin ausgelastet genug. Als Folge der zusätzlichen Belastung könnte möglicherweise die Sorgfalt leiden, die bei dieser Aufgabe allerdings dringend geboten ist.
Eine sinnvolle Option ist daher zweifelsohne die unabhängige Überprüfung der Konfigurationen durch Experten – und zwar bevor die Konfigurationen in den produktiven Einsatz gehen. Geschieht das nicht, besteht durchaus die Gefahr, dass Kriminelle eventuell bestehende Sicherheitslücken eher finden und dann entweder selbst ausnutzen oder an den Meistbietenden versteigern. Doch wo findet man diese Experten und welche Mittel gilt es für die Zeit der Experten dann einzukalkulieren? Außerdem sollten diese Experten die Taktiken und Strategien der Hacker kennen, um die Sicherheit weiter zu verbessern. Bei diesen Überlegungen denken bis heute nur wenige Unternehmen daran, genau diejenigen anzusprechen, vor denen man sich eigentlich schützen will: Die Hacker.
Hacker als Helfer
Es gibt Hacker, die keine destruktive oder gar kriminelle Absichten verfolgen, die sogenannten White-Hat-Hacker. Der Kontakt zu diesen "guten" Hackern kommt in der Regel über Bug-Bounty-Plattformen wie HackerOne zustande. Diese agieren als Mittler zwischen den Unternehmen und den Hackern und sorgen dafür, dass beide Seiten von der Zusammenarbeit profitieren.
Entscheidet sich ein Unternehmen für diese Vorgehensweise, gestattet es den Hackern – je nach Vereinbarung und Ziel – beispielsweise Konfigurationen von Anwendungen, Websites, Apps oder auch Infrastrukturen auf Schwachstellen hin zu untersuchen. Die gefundenen Sicherheitslücken werden in der Folge dokumentiert und an den Auftraggeber zurückgespielt, damit er diese zeitnah beseitigen kann.
Die Bezahlung der Hacker erfolgt dabei nach einem vorher vereinbarten Prämienmodell, sodass Kosten nur dann entstehen, wenn die Hacker genau diesem ebenso vorab definierten Prozess folgen. Die Höhe der Prämie für ein gefundenes Sicherheitsproblem richtet sich dabei nach der Bedeutung und Schwere der Lücke – je gravierender das Problem, desto höher die Prämie. Für die Unternehmen entsteht durch diese Herangehensweise eine sehr skalierbare Methode, ihre Ausgaben und Kosten stets im Blick zu behalten. Es bedarf keines zusätzlichen Personals , sondern Unternehmen vergeben die Tasks an externe Experten.
Hacken mit Vertrag
Allerdings ist das, was die Hacker im Auftrag der Unternehmen vorhaben, rechtlich zunächst nicht ohne weiteres möglich. Entsprechend müssen sich beide Parteien juristisch absichern, was erlaubt ist und was nicht. Dies ist in sogenannten VDPs (Vulnerability Disclosure Program) definiert. Diese sind elementarer Bestandteil des Vertrags, den ein Unternehmen nicht mit jedem Hacker individuell vereinbaren muss, sondern dies übernimmt die Bug-Bounty-Plattform.
Darüber hinaus sollte sich die Umgebung, in der die Hacker versuchen sollen, die Systeme zu knacken, so realitätsnah wie möglich sein. Das bedeutet, dass die White-Hat-Hacker keinen anderen Zugang zur Zielplattform haben als ein krimineller Angreifer. Durch diesen Ansatz kann der ethische Hacker seine Kreativität unter Beweis stellen, um erfolgreich in das System einzudringen. Parallel dazu erhält das Unternehmen eine realistische Vorstellung davon, welches Gefährdungspotenzial sich aus den gefundenen, dokumentierten und gemeldeten Schwachstellen ergibt. Der Hacker liefert einen validen Report und die Verantwortung, die gefundenen Schwachstellen zu beseitigen, liegt aufseiten der Unternehmen. Durch die Dokumentation wächst auch in der Organisation die Expertise, um diese Schwachstellen und andere potenzielle Einfallstore zu schließen.
White-Hat-Hacker als externe Beteiligte sind Experten auf ihrem Gebiet und versuchen – analog zu einem kriminellen Hacker – in das System einzudringen und Schwachstellen zu entdecken, die von den internen IT-Profis übersehen wurden. Ein Unternehmen sichert sich also mehrfach ab und erspart sich dadurch die als Folge eines erfolgreichen Hackerangriffs drohenden Kosten. Darüber hinaus lässt sich so nicht nur die eigene IT-Infrastruktur schützen, sondern auch die der Kunden und Partner. Dadurch wird das Vertrauen gestärkt und eine größere Kundenbindung entsteht.
Fazit
Für viele Unternehmen ist es bis heute nahezu unvorstellbar, mit Hackern zu kooperieren. Dabei gibt es viele, denen Hacken einfach Spaß macht und die keinerlei böse Absichten verfolgen. Plattformen wie HackerOne bieten zudem vertraglichen Schutz und kennen die wahren Identitäten der Hacker. Es spricht also nichts dagegen, das Engagement und Interesse dieser White-Hat-Hacker mittels Pentests und Prämien für die Verbesserung der Sicherheit des eigenen Unternehmens zu nutzen.
ln/Laurie Mercer, Security Engineer bei HackerOne
