Mehr Ressourcen für Cyber Security durch Bug Bounty-ProgrammeIT-Schwachstellen vor den Angreifern entdecken
11. Februar 2019Cyber-Angriffe werden immer häufiger und Sicherheitslücken wirken sich zunehmend auch auf Geschäftsmodelle aus. Da so viele kritische Daten online gespeichert werden, war die Bedeutung der Sicherung digitaler Ressourcen noch nie so groß wie heute. Bug Bounty-Programme sind eine Möglichkeit, Schwachstellen zu entdecken, bevor sie von Kriminellen gefunden werden.
Die Zahl potentieller Cyber-Krimineller wird dabei immer größer als die durchschnittliche Teamgröße von Analysten in einem Sicherheitsteam sein, zudem ändern sich die angewandten Tricks und Techniken täglich. In diesem sich rapide entwickelnden Gefahrenszenario können Unternehmen schnell ins Hintertreffen geraten, besonders wenn die Ressourcen begrenzt sind. Dabei ist auch nicht hilfreich, dass es immer schwieriger wird, Sicherheitsanalysten zu finden, die sich auf Mobile, Web, Single Page-Applikationen, Microservices und APIs spezialisiert haben. Ein Bericht von CyberEdge zeigt, dass 80 Prozent der Unternehmen heute unter einem weltweiten Mangel an qualifiziertem IT-Sicherheitspersonal leiden.
Dabei müssen sich die kleinen und spezialisierten Sicherheitsteams heute täglich gegen ein Heer verschiedenster Cyber-Krimineller verteidigen. Vor dem Hintergrund, dass jeder einzelne Angriff unterbunden werden muss, sind die Aussichten denkbar schlecht. Cyber-Kriminelle hingegen müssen nur einen Treffer landen. Dies wirft die Frage auf, was Unternehmen tun können, um Schwachstellen zu beseitigen, bevor sie von Kriminellen entdeckt werden? Der akute Fachkräftemangel macht es Unternehmen dabei nicht gerade einfacher, kurzfristig und bedarfsgerecht zu agieren.
Interessante Problemlösung: Bug Bounty
Viele der größten Unternehmen erkennen heute, dass nur wenige „Aufpasser“ nicht ausreichen, um ihre Daten zu sichern. Um Fehler in Online-Systemen zu entdecken, brauchen sie so viele Fachleute wie möglich. Dies ist der Grund, warum sich viele der zukunftsorientierten Unternehmen heute an die Hacker-Community wenden, um ihre Sicherheitsvorkehrungen zu verbessern.
Diese Unternehmen führen Bug Bounty-Programme durch, zu denen sie erfahrene Hacker einladen. Die Hacker werden auf die Schwachstellen in den Systemen angesetzt, damit diese behoben werden können, bevor sie kompromittiert werden. Anstatt dass eine Person oder ein kleines Team ein- oder zweimal im Jahr nach Schwachstellen suchen, nutzen Sicherheitsteams so Zehntausende von Hackern mit unterschiedlichen Fähigkeiten, um das ganze Jahr über kontinuierlich Sicherheitsbewertungen durchzuführen.
Überlegungen im Vorfeld
Bevor ein Bug Bounty-Programm durchgeführt wird, muss das gesamte Unternehmen informiert werden, dass dabei Vulnerability-Reports von außerhalb akzeptiert werden. Dadurch wird sichergestellt, dass jeder den Vorgang nachvollziehen kann, wenn Bugs gemeldet werden. Insbesondere IT-Security-Teams müssen im Bild sein und sich ihrer Aufgaben und Verantwortungen dabei bewusst sein. Zudem müssen folgende Überlegungen in Betracht gezogen werden:
- Finden wir die richtige Balance zwischen der Suche von Schwachstellen und deren Behebung?
- Haben wir ein effizientes und bewährtes Verfahren zur Behebung von Schwachstellen etabliert?
- Brauchen wir weitere Ressourcen, um Lücken im Sicherheitssystem des Unternehmens identifizieren zu können?
Vorteile von Bug Bounty-Programmen
Bug Bounty-Programme sind schnell: Neueste Untersuchungen zeigen, dass 77 Prozent der Programme die erste Schwachstelle innerhalb der ersten 24 Stunden aufdecken. Zudem sind die Bug Bounty-Programme sehr smart: Durch Nutzung der Hacker Community können Unternehmen von deren umfassender Expertise auf der ganzen Welt profitieren, uneingeschränkt von Standort und Anzahl.
Der einzige limitierende Faktor bei der Durchführung eines Bug Bounty-Programms ist die Geschwindigkeit, mit der gefundene Schwachstellen behoben werden können. Engagierte IT-Sicherheitsteams werden dabei nicht nur die Zeit bis zur Behebung sorgfältig überwachen, sondern auch alle nützlichen Erkenntnisse, die sie aus der Bug Bounty gewinnen, in ihre anderen Sicherheitslösungen einfließen lassen. So können beispielsweise statische und dynamische Analyseregeln festgelegt werden, um ähnliche Schwachstellen in verschiedenen Code Bases zu finden.
Bug Bounty-Programme starten daher oft im kleinen Rahmen mit nur einigen ausgesuchten Hacker-Einladungen. Auf diese Weise können Unternehmen sich behutsam darauf einstellen, mit der Hacker-Community an der Behebung von Schwachstellen zu arbeiten. Wenn dann Schwachstellen entdeckt und gemeldet worden sind, können diese Probleme direkt und sicher behoben werden. Bei der Arbeit mit Hackern ist dabei vor allem wichtig, transparent und reaktionsschnell zu kommunizieren.
Kostenkalkulation
Bug Bounty-Programme können auf der Kostenseite eine große Bandbreite erreichen; – je nachdem, wie konkurrenzfähig die Prämien dafür sein müssen und welchen Umfang die Technologien haben, die Hacker dafür unter die Lupe nehmen müssen. Entsprechend reicht auch die Größe der Unternehmen, die Bug Bounty-Programme von HackerOne einsetzen: Von kleinen Start-ups über Non-Profit-Organisationen bis hin zu großen Konzernen. Die Kosten richten sich dabei nach den speziellen Sicherheitsbedürfnissen. Einige der hochdotiertesten Bug Bounty-Programme zahlen Hackern über eine Million US Dollar an Prämien pro Jahr, gleichzeitig gibt es aber auch viele Programme, die überhaupt keine Bounty-Awards anbieten und trotzdem sehr erfolgreich sind.
Das Risiko durch fehlende Security-Ressourcen ist eine echte Bedrohung, die durch das Ausführen von Bug Bounty-Programmen minimiert werden kann. Zudem sorgen diese Programme für mehr Kapazitäten und mehr Analysefähigkeiten und bieten so eine Möglichkeit, Schwachstellen und Sicherheitsprobleme noch vor Cyber-Kriminellen aufzudecken. Kurz gesagt, Unternehmen wie HackerOne helfen Sicherheitsteams, weniger Zeit für die Suche nach Bugs und mehr Zeit für deren Behebung aufzuwenden.
Hier geht es zu HackerOne