Cyber-Risiken reduzieren: Hochqualifizierte kreative Hacker-Community nutzen

HackerOne veröffentlicht „Hacker-Powered Security Reports 2018“

[datensicherheit.de, 11.07.2018] HackerOne hat am 11. Juli 2018 die Ergebnisse des „Hacker-Powered Security Reports 2018“ bekanntgegeben. Dieser basiere auf über 72.000 behobenen Sicherheitslücken, über 1.000 Kundenprogrammen und mehr als 31 Millionen US-Dollar Prämien für Hacker aus über 100 Ländern. Dieser Jahresreport sei eine Benchmark-Studie zu „Bug Bounties“ und „Vulnerability Disclosure“, basierend auf dem größten verfügbaren Datensatz für entdeckte Schwachstellen oder Sicherheitslücken.

Gesamtzahl hochkritischer bzw. kritischer Schwachstellen 2017 um 22 % gestiegen

Durch Hacker würden immer öfter kritische Schwachstellen entdeckt als je zuvor: Die Gesamtzahl der hochkritischen oder kritischen Schwachstellen sei im Jahr 2017 um 22 Prozent gestiegen. Darüber hinaus seien 24 Prozent der behobenen Schwachstellen branchenübergreifend als „kritisch“ bis „hochkritisch“ eingestuft worden.
Infolgedessen seien die Prämien für Bug-Reports mit besonders hohem Schweregrad gesteigen: Die höchste Prämie 2017 für einen einzelnen Report habe 75.000 US-Dollar betragen. Die größten Anbieter wie Google, Microsoft und Intel böten 250.000 US-Dollar Prämien für kritische Sicherheitslücken. Inzwischen würden dabei Falschmeldungen immer seltener auftreten – über 80 Prozent der eingereichten und qualifizierten Reports seien zutreffend.

„Crowdsourced Security Testing“ setzt sich immer mehr durch

„,Crowdsourced Security Testing‘ setzt sich immer stärker durch, und es wird erwartet, dass dies von Kunden immer schneller und auf breiter Basis akzeptiert wird“ berichtet Gartner. Besonders Regierungen seien dabei weltweit führend: Im Regierungssektor habe es eine 125-prozentige Steigerung gegenüber dem Vorjahr gegeben. Neue Aufträge seien u.a. von der Europäischen Kommission und dem Verteidigungsministerium von Singapur gekommen, die damit wie das US-Verteidigungsministerium mit HackerOne aktiv seien.
Offizielle Ausschreibungen wie „Hack the Department of Homeland Security Act“, „Hack Your State Department Act“, „Prevent Election Voting Act“ und das „Department of Justice Vulnerability Disclosure Framework“ zeigten, wie weitgehend der öffentliche Sektor bereits auf „Hacker-Powered Security“-Programme zurückgreife.

Verunsicherung über Umgang mit kritischen „Bug Reports“ von Drittanbietern

Aber auch Branchen jenseits des Technologiemarktes setzten immer stärker auf „Hacker-Powered Security“-Lösungen. Der Konsumgüter-Bereich, Finanzdienstleistungen und Versicherungen, Behörden und Telekommunikation machten heute 43 Prozent der „Bug-Bounty“-Programme aus. Die Automotive-Programme seien im vergangenen Jahr um 50 Prozent gestiegen und die Telekommunikationsprogramme um 71 Prozent.
Dennoch seien viele große Unternehmen nach wie vor mit Hinblick auf eine effektive Identifizierung, Kommunikation, Behebung und Offenlegung von Schwachstellen weitestgehend unvorbereitet. 93 Prozent der „Forbes Global 2000“-Liste von 2017 hätten keine Richtlinien dafür, wie sie mit kritischen „Bug Reports“ von Drittanbietern umgehen oder darauf reagieren können.

Foto: HackerOne

Marten Mickos: „Crowdsourced Security Testing“ setzt sich immer stärker durch

„Hacker-Powered Security“ erhält großen Stellenwert

„Die Weltwirtschaft öffnet sich der hochqualifizierten und kreativen Hacker-Community, um Cyber-Risiken zu reduzieren“, sagt Marten Mickos, „CEO“ von HackerOne:
„Ein Modell, das einst nur den größten und technologisch fortschrittlichsten Unternehmen vorbehalten war, wird heute von Organisationen jeder Größe und Branche überall auf der Welt eingesetzt. ,Hacker-Powered Security‘ erhält damit einen großen Stellenwert, durch die das Internet insgesamt sicherer wird.“

Weitere Informationen zum Thema:

|1:resources
THE HACKER-POWERED SECURITY REPORT 2018

datensicherheit.de, 21.04.2017
Exploit-basierte Cyber-Angriffe: Zuwachs um fast 25 Prozent im Jahr 2016