Aktuelles, Branche - geschrieben von cp am Mittwoch, August 22, 2018 22:00 - noch keine Kommentare
Cybersicherheit: Erfolgsfaktoren für Bug Bounty-Programme
Ziel ist die Identifikation und Behebung von Sicherheitslücken, bevor diese ausgenutzt werden
[datensicherheit.de, 22.08.2018] Bug Bounty-Programme bieten Unternehmen eine Vielzahl von Vorteilen: qualifizierte Cybersicherheitsexperten mit dem Ziel einladen, Probleme zu identifizieren um diese zu beheben, bevor diese Sicherheitslücken ausgenutzt werden können.
Erfolgreiche Bug Bounty-Programme werden von Sicherheitsteams benötigt, die:
- Sicherheit als oberste Priorität haben und gemeldete Probleme in diesem Bereich schnell und transparent lösen wollen.
- diejenigen unterstützen, die Schwachstellen ausfindig machen und diese mit öffentlicher Anerkennung für ihre Beiträge honorieren.
- genaue Analyse belohnen und gegebenenfalls finanzielle Anreize dafür bieten.
- jenen, die erfolgreich Schwachstellen identifiziert haben, nicht drohen und keine unangemessenen Strafmaßnahmen gegen sie ergreifen, wie beispielsweise rechtliche Schritte oder Verweise an die Strafverfolgungsbehörden.
Bevor ein solches Programm durchgeführt wird, muss das gesamte Unternehmen informiert werden, dass dabei Vulnerability-Reports von außerhalb akzeptiert werden. Dadurch wird sichergestellt, dass jeder den Vorgang nachvollziehen kann, wenn Bugs gemeldet werden. Insbesondere IT-Security-Teams müssen im Bild sein und sich ihrer Aufgaben und Verantwortungen dabei bewusst sein.
Die effektivsten Programme nehmen sich die Zeit, Hacker zu verstehen, Beziehungen aufzubauen und auf diese Anfragen aktiv zu reagieren.
Berechnung angemessener Prämien
Prämien sollten den Schweregrad, die Auswirkungen und die geschätzte Zeit für die gefundene Schwachstelle berücksichtigen. Darüber hinaus sollten Unternehmen für die angemessene Prämienberechnung die Konkurrenz im Blick haben – Prämien sollten wettbewerbsfähig sein.
Eine Bug Bounty sollte auch klar definiert und strukturiert sein, damit die zu erzielenden Prämien nachvollziehbar sind.
Wichtig ist zudem, dass die Spezialisten pünktlich entlohnt werden, denn diese Zahlungen beeinflussen die Reputation des Unternehmens bei zwei Gruppen: Hacker, mit denen derzeit gearbeitet wird und Hacker, mit denen zukünftig gearbeitet werden kann. Schnelle Zahlungen verbessern das Ansehen eines Unternehmens bei beiden Gruppen.
Risiken und Herausforderungen bei der Ausführung eines Bug Bounty-Programms
Eine der größten Herausforderungen für Unternehmen, die ein Bug Bounty- Programm durchführen besteht darin, Falschmeldungen zu vermeiden und ausreichende Ressourcen zur Verfügung zu stellen, um auf die Menge eingereichter Vulnerability-Reports eingehen zu können. Um dieses Problem zu vermeiden, müssen sie vor dem Ausführen eines Bug Bounty-Programms einen transparenten Prozess für Vulnerability-Reports einrichten, in dem allen internen Teammitgliedern ihre Aufgaben zugewiesen werden.
Eine weitere Herausforderung ist die Befürchtung, dass externe Spezialisten einen Bug öffentlich machen, bevor dieser behoben wurde. Dies kann jedoch durch den Einsatz einer etablierten Bug Bounty-Plattform eines Drittanbieters vermieden werden, die eine enge Beziehung zu den Hackern hat, mit denen sie zusammenarbeiten. Zudem stellen klare Richtlinien, an die sich Hacker halten müssen, eine weitere Sicherheit dar.
Unterschiede zwischen einem internen Bug Bounty-Programm und einem ausgelagerten
Das Outsourcing eines Bug Bounty-Programms ermöglicht es Unternehmen, die Vorteile einer etablierten Community zu nutzen, anstatt sie von Grund auf neu aufzubauen. Darüber hinaus sind selbst initiierte Programme aufgrund der internen Prozesse, die dazu entwickelt werden müssten, schwierig zu gestalten. Häufig wird dies versucht, indem ein E-Mail-Alias erstellt wird. Dies ist zwar ein guter erster Schritt, bei der zu erwartenden Menge an Reports wird aber ein E-Mail-Posteingang wahrscheinlich schnell überlastet und somit ineffektiv sein.
Überlegungen vor der Durchführung eines Bug Bounty-Programm im Unternehmen
Bevor ein Bug Bounty-Programm durchgeführt wird, sollte ein Unternehmen zuerst folgende Überlegungen in Betracht ziehen:
- Finden wir die richtige Balance zwischen der Suche von Schwachstellen und deren Behebung?
- Haben wir ein effizientes und bewährtes Verfahren zur Behebung von Schwachstellen etabliert?
- Brauchen wir weitere Ressourcen, um Lücken im Sicherheitssystem des Unternehmens identifizieren zu können?
Wenn diese Fragen mit Ja beantwortet wurden, ist es vielleicht an der Zeit, über ein Bug Bounty-Programm nachzudenken. Als eine der führenden Plattformen für Bug Bounties und Vulnerability Disclosure und einer bestehenden Community von mehr als 200.000 Hackern, stellt HackerOne derzeit mehr als 1.000 Kunden weltweit seine Expertise bei der Auffindung und Behebung von Schwachstellen zur Seite.
Weitere Informationen zum Thema:
HackerOne
Bug Bounty – Hacker Powered Security Testing
datensicherheit.de, 21.8.2018
Nextcloud setzt auf Sicherheit mit Bug Bounty-Programm von HackerOne
Theiners SecurityTalk
Neue Folge!Blockchain - Quo vadis?, 27.05.2020
Kooperation
Kooperation
Mitgliedschaft
Multiplikator
Partner
Gefragte Themen
- Polizei Hamburg: Datenbank zum Gesichtsabgleich gelöscht
- Kaspersky ICS CERT: Angriffe auf Zulieferer für Industrieunternehmen identifiziert
- eco-Kommentar zum BGH-Urteil: Mehr Rechtssicherheit im Umgang mit Cookies
- Veracode-Report: 70 Prozent aller Anwendungen haben Open-Source-Schwachstellen
- Corona: Lehren für die Cyber-Sicherheit ziehen
- Personen-Listen in Gaststätten: Pro Gast ein Blatt
- Industrielle Steuerungssysteme: Analysen von Angriffswerkzeugen
- Online-Shopping: Warnung vor Card-Skimming
- Barracuda-Studie: Weltweit wachsende Nachfrage nach Managed Services
- DSGVO-Konformität: Drei Herausforderungen für Unternehmen
- Mittelstand: Transferstelle IT-Sicherheit gestartet
- (24.05.2020) Der Bundesdatenschutzbeauftragte Ulrich Kelber hat vor der Nutzung ...
- Ich habe über Zoom jetzt schon mehrfach gelesen, dass es den Datenschutzrichtlin...
- Hi!
Ich finde Deinen Beitrag schlüssig und gut geschrieben. Ich berate zur Zeit...
- Zum Beitrag von Dr. Michael Littger heute auf T-Online.
Die größte Gefahr ist d...
- Die Links zu den Gruppenrichtlinien funktionieren leider nicht mehr....
- Sehr geehrter Herr Müller,
bezieht sich Ihr obiges Papier zu ePrivacy auf die...
- Es ist nicht zu fassen, was Herr Spahn sich hier mit diesem Gesetz erlaubt! Ein ...
- Von dem Cyberangriff auf Nordvpn hat ursprünglich TechCrunch berichtet und alle ...
Aktuelles, Experten - Mai 28, 2020 19:24 - noch keine Kommentare
Polizei Hamburg: Datenbank zum Gesichtsabgleich gelöscht
weitere Beiträge in Experten
- Personen-Listen in Gaststätten: Pro Gast ein Blatt
- Mittelstand: Transferstelle IT-Sicherheit gestartet
- Prof. Dieter Kugelmann bilanziert 2 Jahre DSGVO
- Bundesverfassungsgericht: Grundsatzurteil zum BND-Gesetz
- Cloud: Bewährte Methoden zur Eindämmung von Insider-Bedrohungen
Branche, Produkte - Mai 28, 2020 13:22 - noch keine Kommentare
Kaspersky ICS CERT: Angriffe auf Zulieferer für Industrieunternehmen identifiziert
weitere Beiträge in Branche
- eco-Kommentar zum BGH-Urteil: Mehr Rechtssicherheit im Umgang mit Cookies
- Veracode-Report: 70 Prozent aller Anwendungen haben Open-Source-Schwachstellen
- Corona: Lehren für die Cyber-Sicherheit ziehen
- Industrielle Steuerungssysteme: Analysen von Angriffswerkzeugen
- Online-Shopping: Warnung vor Card-Skimming
Aktuelles, Branche, Umfragen - Mrz 31, 2020 23:14 - noch keine Kommentare
TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
weitere Beiträge in Service
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
- SANS Institute: Cloud-Nutzung treibt die Ausgaben für Cybersicherheit
- Warnung und Trost zugleich: Keine absolute Sicherheit
- Nährwertkennzeichnung: Große Mehrheit für Nutri-Score-Ampel
- Datenschutz: Mehrheit fühlt sich durch die Gesetze sicher
Kommentieren