Bug Bounty-Programm starten
Bug Bounty-Programme sind ein wunderbares Werkzeug um Penetrationstests zu ergänzen. Das Definieren, Aufsetzen und Leiten eines solchen Programms ist mit vielen Herausforderungen verbunden - wir kennen sowohl die Sicht des "ethischen Hackers" als auch des verantwortlichen Programm-Managers.
Warum sollten ein Bug Bounty Programm Teil Ihrer Strategie sein?
In der heutigen Zeit stellen Cyberbedrohungen eine ständige Herausforderung für die Sicherheit Ihrer
IT-Infrastruktur dar. Die Integration eines Bug Bounty Programms in Ihre IT-Sicherheitsstrategie ist
nicht nur eine proaktive, sondern auch eine kostenbewusste Maßnahme. Sie ermöglicht es, die
Expertise
einer globalen Gemeinschaft zu nutzen, um potenzielle Schwachstellen rechtzeitig zu identifizieren
und zu beheben.
Ein Bug Bounty Programm stärkt zudem Ihr Unternehmensimage, indem es zeigt, dass Sie die Sicherheit
und den Schutz von Kundendaten ernst nehmen. Es hilft Ihnen auch dabei, gesetzliche Anforderungen zu
erfüllen und möglichen Sanktionen vorzubeugen.
Bug Bounty Program auf einer Platform Ihrer Wahl
Beratung
Ist es wirklich das richtige Werkzeug? Vor/Nachteile?
Erstellung des Regelwerks und Auswahl geeigneter Hacker
Vorbereitung
Dienstleistungen
Behebung häufiger Probleme
Kontinuierliches Monitoring und fokussierte Penetrationstests
Triage
Kommunikation mit Hackern, Filtern von wertvollen Funden
Vorgehen beim Aufsetzen eines Bug Bounty-Programms
Die Herausforderung in diesem Bereich liegt darin, das Programm so aufzusetzen, dass es Sinn macht, kein Geld verschwendet wird und Sie nicht durch zusätzliche Arbeitslast erdrückt werden. Hierzu müssen Sie verstehen, was auf Sie zukommt und was typische Probleme sind, die sowohl bei Ihnen als auch bei den ethischen Hackern für Frust sorgen können.
1: Beratung
Bug Bounty Programme sind relativ neu. Aus Kundensicht sollte verstanden werden, unter welchen
Umständen so etwas Sinn macht, was dafür nötig ist und was zu erwarten ist. Im Vorfeld sollte das
Program genaustens geplant werden - dies beinhaltet beispielsweise die Auswahl des Scopes,
optimaler Belohnungen, der Auswahl passender ethischer Hacker aus einem Pool von tausenden
Personen sowie die Erstellung eines Regelwerks, das seitens der Hacker akzeptiert wird.
Themen, wie (valide) kritische Funde in eigentlich "out of scope" Assets sind hier ebenfalls Thema -
genauso, wie "Bug Bounty Hunter" wirklich arbeiten - ein Thema, das viele Betreiber unterschätzen.
2: Vorbereitung
Es macht keinen Sinn unvorbereitet ein Bug Bounty-Programm zu starten. Wir können hier ebenfalls
behilflich sein. So kann relativ schnell und effizient nach typischen Schwachstellen gesucht werden
oder
komplexere Pentests durchgeführt werden. Regelmäßig macht es Sinn im Vorfeld selbst zu wissen, wie
die
komplette Angriffsoberfläche aussieht - speziell wenn ein Programm geplant ist, bei dem die
ethischen
Hacker das gesamte Unternehmen angreifen dürfen oder eine große Infrastruktur oder Wildcard-Domain
im Scope ist.
Allgemein sollte hier das Ziel sein die Ausgabenlast im zukünftigen Bug Bounty-Programm so zu
lenken,
dass das Programm eine vernünftige Ergänzung zur regulären IT-Sicherheit des Unternehmens ist.
3: Triage
Nach dem Start eines Bug Bounty-Programms kann zügig mit ersten Reports gerechnet werden. Diese
müssen
"getriaged" werden, es muss geprüft werden, ob tatsächlich etwas relevantes gefunden wurde und wie
schwerwiegend die Sicherheitslücke ist - auf der Basis wird die Belohnung ausgezahlt. Regelmäßig
finden in diesem Prozess längere technische Diskussionen zwischen Hacker und Triager statt.
Gerne unterstützen wir unsere Kunden auch hierbei.
In diesen Bereich fallen auch Retests von Funden sowie ein erfolgreicher Abschluss des Prozesses,
der die Zufriedenheit aller zum Ziel haben sollte.
Ergänzende Dienstleistungen
Kontinuierliche Überwachung
Unsere Plattform "Argos" ist in der Lage ihre gesamte externe Infrastruktur nonstop zu überwachen - so erkennen Sie und wir schnell potenzielle Probleme. Die Platform sucht und meldet uns Anomalien.
Red Teaming
Red Teaming kombiniert alle Disziplinen der IT-Sicherheit, um ein definiertes Ziel zu erreichen. Sind Sie sich sicher, dass ihre Infrastruktur und Applikationen sicher sind, ist Red Teaming ein solides Werkzeug, um sicherzustellen, dass das auch so bleibt.
Darknet Intelligence
Zu oft sind wir Teil von hochkomplexen technischen Penetrationstest, die aber nicht verhindern, dass im Internet Daten von Mitarbeitern für das getestete Portal geleakt werden. Sie sollten als Kunde davon wissen!
Was Kunden über uns sagen
„Wir waren sehr von DSecured beeindruckt. Die Ergebnisse, die vorgestellt wurden, übertrafen unsere Erwartungen bei weitem. Es wurde eine Vielzahl von IT-Problemen und schwerwiegenden Schwachstellen gefunden - die klar und deutlich kommuniziert wurden. Die Zusammenarbeit war unkompliziert und reibungslos.“
Feda Mecan
„Die Sicherheit der Daten unserer Kunden steht für uns an erster Stelle. Dank DSecured waren wir in der Lage die Resilienz unserer Systeme zu verbessern und festzustellen, wie wichtig das Thema "Shadow IT" ist. Das Engagement des Teams und deren Fähigkeiten haben für uns den entscheidenden Unterschied gemacht.“
Red Team Lead
„DSecured konnte erstaunlich viele bisher unentdeckte Sicherheitslücken in unserer Infrastruktur entdecken. Hierfür wurde die Plattform Argos als auch klassische Penetrationstests verwendet. Wir haben die ehrliche Beratung rund um das Thema IT-Sicherheit sowie Automatisierung sehr geschätzt und danken Herrn Strobel hierfür.“
Vorstand
„Herr Strobel und sein Team führen regelmäßig Penetrationstests gegen unsere Automatisierungsplattform durch - und werden immer wieder fündig. Die Ergebnisse werden klar und reproduzierbar dargestellt. Die Kommunikation erfolgte bisher auf kurzem Wege via z.B. Slack. Wir können DSecured definitiv weiter empfehlen.“
