Heutzutage muss die Unternehmenssicherheit als kontinuierlicher Prozess und nicht als punktuelle Bewertung betrachtet werden. Es ist wichtig, die geschäftlichen Sicherheitsmaßnahmen regelmäßig zu überprüfen und zu verbessern.
Angreifer sind hartnäckig und kreativ: Stetig finden sie neue Wege, um Schwachstellen auszunutzen, was bedeutet, dass die Lösungen von gestern möglicherweise morgen nicht mehr funktionieren. Eine Möglichkeit, potenziellen Sicherheitsbedrohungen einen Schritt voraus zu sein, sind Validierungsmethoden wie Pentests und Bug Bounty Programme. Das Softwareunternehmen Grammarly führt seit über fünf Jahren ein eigenes Bug Bounty Programm durch und hat erhebliche Vorteile aus der Zusammenarbeit mit ethischen Hackern gezogen.
Definition eines Bug Bounty Programms
Bug Bounty ist ein allgemeiner Name für Programme, bei denen Unternehmen mit White-Hat-Hackern zusammenarbeiten. Ethische Hacker untersuchen ein Produkt und berichten über gefundene Fehler. Diese Schwachstellen dürfen vor ihrer Behebung nicht öffentlich gemacht werden. Die Unternehmen wiederum müssen schnell auf die Berichte der Forscher reagieren und die gefundenen Schwachstellen schließen.
Quelle: GrammarlyBug Bounty kann in einem privaten und öffentlichen Modus funktionieren. Im ersten Fall ist es für einen selektiven Kreis von Hackern auf einer ausgewählten Plattform offen. Im Falle eines öffentlichen Programms kann jeder Forschende seinen Bericht einreichen und eine Belohnung beanspruchen.
Daher gelten Bug Bounty Programme als ein zusätzliches Instrument, um Ad-hoc-Penetrationstests durch ein kontinuierliches Programm zu ergänzen, das dazu beiträgt, möglichst sichere Produkte bereitzustellen, die Daten der Nutzer zu schützen, das Vertrauen zu erhalten und Kundinnen und Kunden gegenüber Transparenz zu zeigen.
Wie betreibt man ein privates Bug Bounty Programm?
Zunächst muss das Unternehmen eine geeignete Plattform für die Arbeit wählen und festlegen, was genau es für die Tests zur Verfügung stellen wird. Im Jahr 2017 entschied sich Grammarly für HackerOne, eine der größten Plattformen für die Zusammenarbeit mit White-Hat-Hackern, die von einigen der größten Unternehmen der Welt genutzt wird, wie Adobe, IKEA, GitHub, PayPal, Lufthansa.
Nach der Auswahl der Plattform und des Plans sollten Unternehmen drei wichtigen Folgeschritte beachten:
- Das Definieren der Regeln,
- die Auswahl der Teilnehmenden und
- die Vorbereitung auf den ersten Zustrom von Berichtenden.
Beim Start eines privaten Bug Bounty Programms ist es wichtig, klare Richtlinien für die Zusammenarbeit zwischen dem Unternehmen und den Hackern aufzustellen. Diese Regeln sollten umreißen, was getestet wird, wie Berichte eingereicht werden sollten und wie das Belohnungssystem aussieht. Die Plattform sendet persönliche Einladungen an Forschende mit entsprechenden Profilen. Nach dem Start des privaten Programms bei Grammarly war der erste Monat aufgrund des Zustroms von Berichten, von denen viele doppelt vorhanden waren, eine Herausforderung. Auf Empfehlung der Plattform wurde ein Rotationssystem für Ingenieure eingeführt, um Berichte effizient zu verarbeiten und an die Entwicklungsteams zu verteilen.
Wie arbeitet man mit ethischen Hackern?
Der Erfolg des Bug Bounty Programms hängt weitgehend davon ab, wie man die Arbeit mit Forschenden organisiert. Auch hierzu gibt es Ratschläge: Es gilt, die Kommunikation aufrecht zu erhalten, prompt zu reagieren und Anreize zur Teilnahme zu schaffen. Es ist wichtig, auf Nachrichten von Hackern schnell zu antworten: Die Reaktionsgeschwindigkeit ist für Forscher oft ein entscheidender Faktor, um am Programm eines Unternehmens teilzunehmen.
Um eine kontinuierliche Teilnahme zu fördern, ist es ratsam, die Autoren von erstklassigen Berichten zu belohnen, selbst wenn sie keine kritischen Schwachstellen aufdecken. Dies ist etwa der Fall, wenn beispielsweise Forscher komplexe Angriffsszenarien erstellen. Die effektive Kommunikation mit den Hackern hat Grammarly noch einen weiteren unerwarteten Vorteil gebracht: Das Team war beeindruckt von der Qualität und der Detailgenauigkeit der Berichte eines der White-Hat-Hacker der Plattform.
Insgesamt hat das Team 15 seiner Berichte bearbeitet, die sich als sehr hilfreich erwiesen haben. Nach einer Zeit produktiver Zusammenarbeit wurde der hochrangige Bug Bounty Hacker eingeladen, sich unserem Sicherheitsteam als Application Security Engineer anzuschließen. Er ist bereits seit über vier Jahren im Unternehmen und leitet unser öffentliches Bug Bounty Programm, wobei er direkt mit den Hackern zusammenarbeitet.
Wie setzt man das öffentliche Bug Bounty Programm um?
Die Arbeit mit Hackern in einem privaten Bug Bounty Programm bestärkte in der Überzeugung, dass Sicherheit ein kontinuierlicher Prozess sein muss. Unser Team verbrachte die ersten Monate damit, Erkenntnisse zu sammeln und die internen Prozesse zur Annahme und Behebung von Schwachstellen zu verfeinern. Aufgrund der limitierten Anzahl an Teilnehmenden ist ein Rückgang der Berichte allerdings bei einem privaten Bug Bounty Programm mit der Zeit unvermeidlich.
Um die Skalierbarkeit zu erhöhen und die Transparenz sowie das Vertrauen zu steigern, beschloss das Team daher, auf ein öffentliches Programm umzustellen. Dadurch erhöhte sich die potenzielle Teilnehmerzahl um das 150-fache, von 2.000 auf 300.000 Hacker, die zu diesem Zeitpunkt auf der Plattform registriert waren.
Womit sorgt man für den langfristigen Erfolg und Nutzen?
Nach dem erfolgreichen Start des öffentlichen Programms ist es wichtig, nicht nachzulassen und das Effizienzniveau aufrechtzuerhalten. Einer der Faktoren dabei ist die regelmäßige Aktualisierung der Programmbeschreibung, damit sie relevant bleibt und die Teilnehmenden wissen, welche Berichte für das Unternehmen im Moment höhere Priorität haben.
Auftraggeber können beispielsweise die Aufmerksamkeit von Forschern auf ihre neuen Produktveröffentlichungen lenken, indem sie vorübergehend die Auszahlungen für die Berichte über sie erhöhen. Solche Incentives helfen, schneller hochwertige Berichte für Bereiche mit hoher Priorität zu erhalten. So bieten wir z.B. derzeit einen zweifachen “Bounty Bonus” mit bis zu 100.000 Dollar für relevante Berichte über Schwachstellen mit hohem und kritischem Schweregrad in unserem neuen Authentifizierungs- und Autorisierungsdienst.
Bis heute hat Grammarly über 260.000 Dollar an Prämien an ethische Hacker gezahlt, mit dem größten Bounty von 10.500 Dollar. Der ROI des Programms erwies sich als erfolgreich: Mit dieser Investition erhielt das Unternehmen etwa 190 wertvolle Berichte von Top-Sicherheitsforschern.
Fünf Jahre nach dem Start des Bug Bounty Programms sieht das Unternehmen es als integralen Bestandteil eines mehrschichtigen Sicherheitsansatzes, von dem ein Softwareentwicklungsunternehmen wie Grammarly erheblich profitieren kann: Ein kollaborativer Sicherheitsansatz und Branchenpartnerschaften, einschließlich der Zusammenarbeit mit ethischen Hackern über vertrauenswürdige Plattformen, können den Schutz der Unternehmenssysteme und der Daten von Kundinnen und Kunden kontinuierlich verbessern.
Suha Can ist Chief Information Security Officer bei Grammarly.