VERANSTALTUNGEN

Panda Security: IT Security Breakfast
26.10.18 - 26.10.18
In Spanischen Botschaft in Berlin

Transformation World 2018
07.11.18 - 08.11.18
In Print Media Academy, Heidelberg

DIGITAL FUTUREcongress
08.11.18 - 08.11.18
In Congress Center Essen

Data Driven Business Konferenz
13.11.18 - 14.11.18
In Berlin

OMX 2018
22.11.18 - 22.11.18
In Salzburg, Österreich

Tod BeardsleyHackerOne hat sein „Vulnerability Coordination Maturity“-Modell vorgestellt, in dem Bemühen, die Kommunikation zwischen Forschern und Herstellern rund um die Offenlegung von Sicherheitslücken zu verbessern. Ein Kommentar von Tod Beardsley, Security Research Manager bei Rapid7.

Mit dem „Vulnerability Coordination Maturity“-Modell engagiert sich HackerOne für die Formulierung von angemessenen Mindeststandards, wie Unternehmen mit unaufgefordert eingehenden Schwachstellenberichten umgehen sollen. In der physischen Welt werden wir oft beschworen, „etwas zu sehen und etwas zu sagen“. Dies ist oftmals leider nicht der Fall, wenn es um zufällige oder absichtliche Entdeckung von Software-Schwachstellen geht, auch wenn diese Sicherheitslücken am Ende vielleicht Millionen von Endbenutzern betreffen.

Als Quelle für aktuelle Berichte zu neuesten Schwachstellen sind wir oft frustriert, weil ein Standard fehlt, um unsere Erkenntnisse in einer geregelten Weise an Produktanbieter zu kommunizieren. Seit dem Jahr 2000 konnten wir zumindest auf die Rfpolicy 2.0 zurückgreifen, die zu dieser Zeit in Umlauf gebracht wurde. In sieben von zehn Versuchen kamen bislang jedoch Bounce-Nachrichten zurück beim Versuch, einen Anbieter über Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! zu erreichen. Selbst bei Open-Source-Projekten mit ausgereiftem Bug-Tracking wird in der Regel mit Überraschung und Argwohn reagiert, wenn wir uns melden, um schlechte Nachrichten zu übermitteln.

Ich bin zuversichtlich, dass das HackerOne-Modell genau die Menschen erreichen wird, die es erreichen soll, eben die Nicht-Sicherheitsspezialisten. Das Material dürfte für Sicherheitsexperten weniger interessant sein, aber umso mehr für neue Software- und Hardwareanbieter. Dies gilt vor allem, wenn diese Anbieter erstmals mit dem Software-Entwicklungszyklus zu tun haben. Dies wären beispielsweise Startups im Bereich IoT (Internet der Dinge) oder Unternehmen, die erst vor kurzem mit der Integration von Internet-Technologie in ihre Produkte begonnen haben. Es ist tatsächlich etwas gewöhnungsbedürftig, dass externe Forscher einige brisante Details über das eigene Produkt des betroffenen Anbieters kennen. Sich daran zu gewöhnen, ist ein wichtiger Schritt in Richtung einer Normalisierung dieses Prozesses.

Die Arbeit, die HackerOne in dieses Dokument gesteckt hat, ist deutlich sichtbar. Es sollte nicht die Angst schüren, die normalerweise die aus heiterem Himmel eintreffende Offenlegung einer Sicherheitsanfälligkeit auslöst. Wir sind zuversichtlich, dass dieses Verfahren sowohl für Anbieter als auch Forscher, die an ihren Produkten interessiert sind, hilfreich ist. Dies wird zu einem gemeinsamen Verständnis beitragen, wie ein normales und nützliches Verfahren aussehen kann, wenn es zur Offenlegung einer Sicherheitslücke kommt.

Tod Beardsley, Security Research Manager bei Rapid7

www.rapid7.com

GRID LIST
Digital Workplace

Digital Workplace: Von wegen Angst vor neuen Technologien!

Wissensarbeiter in Deutschland haben keine Angst vor Veränderungen – im Gegenteil, sie…
Tb W190 H80 Crop Int Bc9b8e9447d4d11374fda6a24bcb134e

4,5 Milliarden Datensätze kompromittiert

Gemalto veröffentlichte die aktuellen Zahlen und Fakten des Breach Level Index, einer…
KI Kundenservice

Künstliche Intelligenz revolutioniert Kundenservice

Immer mehr Verbraucher profitieren von KI-basierten Nutzererfahrungen. Viele Unternehmen…
mobile Malware

Mobile Malware steigt alarmierend an

Eine aktuelle Analyse von Kaspersky Lab zeigt die Trends der mobilen Bedrohungslandschaft…
Cyber Attack

Die größten Gefahren für KMUs sind Malware und Passwortdiebstahl

Kleine und mittlere Unternehmen (KMU) sowie dezentral organisierte Firmen sahen sich auch…
Mann

IT-Abteilungen müssen mehr Verantwortung übernehmen

Die aktuelle Rolle von IT-Abteilungen und die, die von der Unternehmensleitung ihnen…
Smarte News aus der IT-Welt