Warum sollte ein Bug Bounty Programm Teil Ihrer IT-Sicherheitsstrategie sein?
In der heutigen Zeit stellen Cyberbedrohungen eine ständige Herausforderung für die Sicherheit Ihrer
IT-Infrastruktur dar. Die Integration eines Bug Bounty Programms in Ihre IT-Sicherheitsstrategie ist
nicht nur eine proaktive, sondern auch eine kostenbewusste Maßnahme. Sie erlaubt es, auf das
Wissen
und Erfahrung tausender echter ethischer Hacker zuzugreifen und so sehr schnell -
ausgehend von einer durchdachten Policy - Sicherheitslücken zu finden, die einen echten negativen
Einfluss auf Ihr Unternehmen und Geschäftsprozesse haben könnten.
Ein Bug Bounty Programm stärkt zudem Ihr Unternehmensimage, indem es zeigt, dass Sie
die Sicherheit und den Schutz von Kundendaten ernst nehmen. Es hilft Ihnen auch dabei, gesetzliche
Anforderungen zu erfüllen und möglichen Sanktionen vorzubeugen.
Bug Bounty Program auf einer Platform Ihrer Wahl
Beratung
Ist es wirklich das richtige Werkzeug? Vor/Nachteile?
Erstellung des Regelwerks und Auswahl geeigneter Hacker
Vorbereitung
Dienstleistungen
Behebung häufiger Probleme
Kontinuierliches Monitoring und fokussierte Penetrationstests
Triage
Kommunikation mit Hackern, Filtern von wertvollen Funden
Vorgehen beim Aufsetzen eines Bug Bounty-Programms
Die Herausforderung in diesem Bereich liegt darin, das Programm so aufzusetzen, dass es Sinn macht, kein Geld verschwendet wird und Sie nicht durch zusätzliche Arbeitslast erdrückt werden. Hierzu müssen Sie verstehen, was auf Sie zukommt und was typische Probleme sind, die sowohl bei Ihnen als auch bei den ethischen Hackern für Frust sorgen können.
1: Beratung
Bug Bounty Programme sind relativ neu. Aus Kundensicht sollte verstanden werden, unter welchen
Umständen so etwas Sinn macht, was dafür nötig ist und was zu erwarten ist. Im Vorfeld sollte das
Program genaustens geplant werden - dies beinhaltet beispielsweise die
Auswahl des Scopes,
optimaler Belohnungen, der Auswahl passender ethischer Hacker aus einem Pool von tausenden
Personen sowie die Erstellung eines Regelwerks, das seitens der Hacker akzeptiert wird.
Themen, wie (valide) kritische Funde in eigentlich "out of scope" Assets sind hier ebenfalls
Thema - genauso, wie "Bug Bounty Hunter" wirklich arbeiten - ein Thema, das viele Betreiber
unterschätzen.
2: Vorbereitung
Es macht keinen Sinn unvorbereitet ein Bug Bounty-Programm zu starten. Wir können hier ebenfalls
behilflich sein. So kann relativ schnell und effizient nach typischen Schwachstellen gesucht werden
oder
komplexere
Pentests durchgeführt werden. Regelmäßig macht es Sinn im Vorfeld selbst
zu wissen, wie
die
komplette Angriffsoberfläche aussieht - speziell wenn ein Programm geplant ist, bei dem
die ethischen Hacker das gesamte Unternehmen angreifen dürfen oder eine große Infrastruktur oder
Wildcard-Domain im Scope ist.
Allgemein sollte hier das Ziel sein die Ausgabenlast im zukünftigen Bug Bounty-Programm so zu
lenken, dass das Programm eine vernünftige Ergänzung zur regulären IT-Sicherheit des Unternehmens
ist.
3: Triage
Nach dem Start eines Bug Bounty-Programms kann zügig mit ersten Reports gerechnet werden. Diese
müssen "getriaged" werden, es muss geprüft werden, ob tatsächlich etwas relevantes gefunden wurde
und wie schwerwiegend die Sicherheitslücke ist - auf der Basis wird die Belohnung ausgezahlt.
Regelmäßig finden in diesem Prozess längere technische Diskussionen zwischen Hacker und Triager
statt. Gerne unterstützen wir unsere Kunden auch hierbei.
In diesen Bereich fallen auch Retests von Funden sowie ein erfolgreicher Abschluss des
Prozesses, der die Zufriedenheit aller zum Ziel haben sollte.
Kontakt aufnehmen
Ergänzt die Bug Bounty-Beratung
Kontinuierliche Überwachung
Unsere eASM Plattform "Argos" ist in der Lage ihre gesamte externe Infrastruktur nonstop zu überwachen - so erkennen Sie und wir schnell potenzielle Probleme. Die Platform sucht und meldet uns Anomalien.
Penetrationstests
Penetrationstests dienen dazu in besonders wichtigen Applikationen sehr fokussiert nach Sicherheitslücken zu suchen.
Darknet Intelligence
Zu oft sind wir Teil von hochkomplexen technischen Penetrationstest, die aber nicht verhindern, dass im Internet Daten von Mitarbeitern für das getestete Portal geleakt werden. Sie sollten als Kunde davon wissen!
Was Kunden über uns sagen
„Wir waren sehr von DSecured beeindruckt. Die Ergebnisse, die vorgestellt wurden, übertrafen unsere Erwartungen bei weitem. Es wurde eine Vielzahl von IT-Problemen und schwerwiegenden Schwachstellen gefunden - die klar und deutlich kommuniziert wurden. Die Zusammenarbeit war unkompliziert und reibungslos.“
„Die Sicherheit der Daten unserer Kunden steht für uns an erster Stelle. Dank DSecured waren wir in der Lage die Resilienz unserer Systeme zu verbessern und festzustellen, wie wichtig das Thema "Shadow IT" ist. Das Engagement des Teams und deren Fähigkeiten haben für uns den entscheidenden Unterschied gemacht.“
„DSecured konnte erstaunlich viele bisher unentdeckte Sicherheitslücken in unserer Infrastruktur entdecken. Hierfür wurde die Plattform Argos als auch klassische Penetrationstests verwendet. Wir haben die ehrliche Beratung rund um das Thema IT-Sicherheit sowie Automatisierung sehr geschätzt und danken Herrn Strobel hierfür.“
„Herr Strobel und sein Team führen regelmäßig Penetrationstests gegen unsere Automatisierungsplattform durch - und werden immer wieder fündig. Die Ergebnisse werden klar und reproduzierbar dargestellt. Die Kommunikation erfolgte bisher auf kurzem Wege via z.B. Slack. Wir können DSecured definitiv weiter empfehlen.“