VERANSTALTUNGEN

DAHO.AM
24.07.18 - 24.07.18
In München

IT-Sourcing 2018
03.09.18 - 04.09.18
In Hamburg

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Tod BeardsleyHackerOne hat sein „Vulnerability Coordination Maturity“-Modell vorgestellt, in dem Bemühen, die Kommunikation zwischen Forschern und Herstellern rund um die Offenlegung von Sicherheitslücken zu verbessern. Ein Kommentar von Tod Beardsley, Security Research Manager bei Rapid7.

Mit dem „Vulnerability Coordination Maturity“-Modell engagiert sich HackerOne für die Formulierung von angemessenen Mindeststandards, wie Unternehmen mit unaufgefordert eingehenden Schwachstellenberichten umgehen sollen. In der physischen Welt werden wir oft beschworen, „etwas zu sehen und etwas zu sagen“. Dies ist oftmals leider nicht der Fall, wenn es um zufällige oder absichtliche Entdeckung von Software-Schwachstellen geht, auch wenn diese Sicherheitslücken am Ende vielleicht Millionen von Endbenutzern betreffen.

Als Quelle für aktuelle Berichte zu neuesten Schwachstellen sind wir oft frustriert, weil ein Standard fehlt, um unsere Erkenntnisse in einer geregelten Weise an Produktanbieter zu kommunizieren. Seit dem Jahr 2000 konnten wir zumindest auf die Rfpolicy 2.0 zurückgreifen, die zu dieser Zeit in Umlauf gebracht wurde. In sieben von zehn Versuchen kamen bislang jedoch Bounce-Nachrichten zurück beim Versuch, einen Anbieter über Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! zu erreichen. Selbst bei Open-Source-Projekten mit ausgereiftem Bug-Tracking wird in der Regel mit Überraschung und Argwohn reagiert, wenn wir uns melden, um schlechte Nachrichten zu übermitteln.

Ich bin zuversichtlich, dass das HackerOne-Modell genau die Menschen erreichen wird, die es erreichen soll, eben die Nicht-Sicherheitsspezialisten. Das Material dürfte für Sicherheitsexperten weniger interessant sein, aber umso mehr für neue Software- und Hardwareanbieter. Dies gilt vor allem, wenn diese Anbieter erstmals mit dem Software-Entwicklungszyklus zu tun haben. Dies wären beispielsweise Startups im Bereich IoT (Internet der Dinge) oder Unternehmen, die erst vor kurzem mit der Integration von Internet-Technologie in ihre Produkte begonnen haben. Es ist tatsächlich etwas gewöhnungsbedürftig, dass externe Forscher einige brisante Details über das eigene Produkt des betroffenen Anbieters kennen. Sich daran zu gewöhnen, ist ein wichtiger Schritt in Richtung einer Normalisierung dieses Prozesses.

Die Arbeit, die HackerOne in dieses Dokument gesteckt hat, ist deutlich sichtbar. Es sollte nicht die Angst schüren, die normalerweise die aus heiterem Himmel eintreffende Offenlegung einer Sicherheitsanfälligkeit auslöst. Wir sind zuversichtlich, dass dieses Verfahren sowohl für Anbieter als auch Forscher, die an ihren Produkten interessiert sind, hilfreich ist. Dies wird zu einem gemeinsamen Verständnis beitragen, wie ein normales und nützliches Verfahren aussehen kann, wenn es zur Offenlegung einer Sicherheitslücke kommt.

Tod Beardsley, Security Research Manager bei Rapid7

www.rapid7.com

GRID LIST
Router Security

Schlecht gesicherte Router öffnen Malware die Tür

Deutsche Anwender vernachlässigen die Sicherheit ihres Routers und setzen sich damit…
Data Protection Businessman

Unternehmen beklagen Mangel an Datenschutzexperten

Gute Jobaussichten für Datenschutzexperten: Auf dem Arbeitsmarkt sind sie derzeit gefragt…
Tb W190 H80 Crop Int 447340acf4eea4119c910514fc4f7e99

Sicherheitsrisiko: Junge Generation von Arbeitskräften

Jeder zweite junge Angestellte hat am Arbeitsplatz schon einmal fragwürdiges…
Cloud und Security

Cloud-Nutzung: Wer trägt das Sicherheitsrisiko?

Etwa drei Viertel (73 Prozent) der Unternehmen mit bis zu 249 Mitarbeitern nutzen…
Tb W190 H80 Crop Int 6b64bffb97b18fb0e4a32a82c0f0263d

KI in Unternehmen

Erst rund 17 Prozent der befragten Unternehmen setzen Methoden der Künstlichen…
Startup

Mittelstand hat kaum Kontakt zu Startups

Etablierte Mittelständler kennen den Markt und verfügen über innovative Produkte, junge…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security