Unsere Kunden haben oft einen ganzen Strauss von Beweggründen, die sie zu Bug Bounty Switzerland bringen. Einige davon hören wir aber immer wieder. Fünf dieser Treiber möchten wir in diesem Blog-Post präsentieren.

1. Das Finden von Schwachstellen

Neben den gut etablierten Penetration Tests gelten Bug Bounty Programme als effektive Methode, um rasch Fehler in produktiven oder auch sich in der Entwicklungsphase befindenden IT-Systemen zu entdecken.

Es liegt auf der Hand, dass es wichtig ist, Schwachstellen vor den allgegenwärtigen Angreifern zu entdecken. Denn nur so können sie behoben werden, bevor Kriminelle sie dazu nutzen, um in die jeweilige Organisation einzudringen und Daten zu stehlen oder zu zerstören.

Tatsächlich ist es aber so, dass viele Organisationen ein Stück weit betriebsblind sind, um Schwachstellen in ihren Systemen zu identifizieren. Sie benötigen für diese Arbeit externe Unterstützung.

Mit diesem Anliegen bist auch Du bei Bug Bounty Switzerland am richtigen Ort. Das Finden von bisher unbekannten Schwachstellen ist die Grundidee hinter einem Bug Bounty Programm und war für uns ein wichtiger Anlass unsere Firma zu gründen. Die durch uns vermittelten ethischen Hacker sind mit allen Wassern gewaschen und mit den neusten Angriffsvarianten vertraut.

2. Etablieren eines Schwachstellenmanagements

Es mag überraschen, aber zahlreiche grosse Firmen haben bis heute kein eingespieltes Vulnerability Management. Das heisst, sie sind nicht geübt, mit von externer Stelle rapportierten Schwachstellen umzugehen. Falls sie bereits mit Penetration Tests arbeiten, so werden die auf diesem Weg identifizierten Probleme oft nicht konsequent getrackt und auch nicht alle geschlossen.

Der Start eines Bug Bounty Programms ist dann oft der Anlass die entsprechenden Prozesse zu etablieren und die Abläufe mit den regelmässig rapportierten Schwachstellen einzuüben. Weil dabei häufig das erste Mal der Faktor Zeit im Vulnerability Management eine zentrale Rolle spielt, zeigt sich rasch, ob die eigene Organisation fähig ist Schwachstellen schneller zu beheben als neue eintreffen – eine zentrale Voraussetzung für Resilienz gegenüber Cyberangriffen.

Als Spezialisten für Vulnerability Management sind wir auch dafür der richtige Ansprechpartner. Denn Bug Bounty Switzerland bringt nicht nur die Bugreports, sondern auch das Know-How wie man damit umgeht, wie man sie systematisch behandelt und einen nach dem anderen fixt.

3. Identifizieren der Angriffsoberfläche und der verschiedenen Assets

Während kleinere Firmen ihre Services meist genaustens kennen, verlieren weitverzweigte Konzerne rasch den Überblick über ausgelagerte Dienste, Marketing-Domains der letzten Saison und Abhängigkeiten in der Software Supply Chain.

Wo aber der Überblick fehlt, kann es auch keine Sicherheit geben.

Ein Bug Bounty Programm mit breitem Scope hat in dieser Situation auch die Funktion einer Asset Discovery. Das lohnt sich, denn unsere ethischen Hacker sind naturgemäss sehr erfahren, wenn es darum geht, schlecht verteidigte Aussenstandorte und Hintertüren in eine Firma zu entdecken. Und es ist weitaus besser, diese Schwachstellen werden von gutgesinnten Partnern rapportiert, als wenn sie von Kriminellen missbraucht werden.

4. Identifizieren von neuen Angriffsvektoren

Das Karussell mit den neusten Angriffstechniken dreht sich in atemberaubendem Tempo. Die eigenen Security-Spezialisten und -Spezialistinnen sind aber mit dem Alltagsgeschäft so ausgelastet, dass sie die historisch gewachsene Infrastruktur nicht auf jede publizierte Schwachstelle abklopfen können. Auch Penetration Tests im Wochenrhythmus sind nicht finanzierbar.

Weitaus effizienter als der Ausbau der eigenen Kapazität ist es in diesem Moment, ethische Hacker damit zu betrauen die ganzen neuen Angriffsvektoren auf die weiterverteilte eigene Infrastruktur anzuwenden. So lässt sich rasch feststellen, welche Angriffe in der Realität funktionieren und bei welchen es sich nicht lohnt, weiter zu investieren.

Bug Bounty Switzerland berät ihre Kunden dabei, den Schwerpunkt eines Programmes so zu wählen und das Programm bei den am besten geeigneten ethischen Hackern und Sicherheitsforschern schmackhaft zu machen, damit neue Angriffsvektoren möglichst früh identifiziert werden.

5. Aufbau von Vertrauen als Wettbewerbsvorteil

Die Zeiten sind vorbei in denen Firmen sich hinter hohen Mauern verstecken konnten. Kunden und auch Partner erwarten heute ein hohes Mass an Transparenz und nachweisbare Professionalität.

Die Abwesenheit eines dokumentierten Leistungsausweises beim Umgang mit Schwachstellen wird dabei mehr und mehr als nicht mehr zeitgemässe Geheimniskrämerei und Zeichen für eine schwache Sicherheitskultur gewertet.

Ein öffentliches Bug Bounty Programm ist die Antithese dazu.  Es unterstreicht den modernen Auftritt eines Unternehmens, die durch das Engagement der ethischen Hacker nachweisbare professionelle Verhalten im Umgang mit Schwachstellen.

Es liegt auf der Hand, dass dies nicht nur das Vertrauen in eine Firma erhöht, sondern mittelfristig auch ganz konkret zu einem Wettbewerbsvorteil führt. Während die Konkurrenz eher noch einem «Was ich nicht weiss, macht mich nicht heiss» verpflichtet scheint, sind die Kunden von Bug Bounty Switzerland auf der Höhe der Zeit und setzen ein Bug Bounty Programm als natürlichen Teil ihres Sicherheitsportfolios ein.

Fazit

Genau so vielfältig wie unsere Kunden sind also auch die Gründe, die sie zu uns bringen. Oft ist es aber eine Auswahl der genannten Themen. Was wir darüber hinaus regelmässig erleben ist, dass ein Bug Bounty Programm für unsere Kunden ein effektives Werkzeug ist, um mehrere Probleme parallel anzugehen.

Möchtest Du mehr dazu wissen? Lass uns das am besten bei einem virtuellen Kaffee besprechen. Wir freuen uns Dich und Dein Setup kennen zu lernen!