Crowdsourced Security hilft Ransomware-Angriffen vorzubeugen

Nahezu die Hälfte der IT-Verantwortlichen in Unternehmen sieht in den nächsten zwölf Monaten ihr Unternehmen von Ransomware-Angriffen bedroht. Das zeigt eine Studie von YesWeHack vom Juli 2021.

Die Komplexität der IT-Infrastruktur hat in den letzten 18 Monaten durch den starken Anstieg digitaler Dienstleistungen, bedingt durch die Pandemie, noch weiter zugenommen. Zahlreiche digitale Produkte mussten sehr schnell auf den Markt und konnten daher oft nicht ausreichend auf Sicherheitsschwachstellen überprüft werden. Viele Unternehmen haben daher ihre IT- und IT-Security Budgets aufgestockt und Ransomware den Kampf angesagt. Aber nicht immer reicht mehr Budget aus, um effektiv gegen Angriffe vorzugehen. Auch die internen Prozesse müssen laufend verbessert und an die Bedrohungslage angepasst werden. Oft bedarf es dabei einem Anstoß von außen, zum Beispiel mit Hilfe von Schwarmintelligenz, wie Bug-Bounty-Programme sie bieten.

Anzeige

YesWeHack skizziert drei Möglichkeiten, wie Bug-Bounty-Programme die Zusammenarbeit in punkto Cybersecurity innerhalb des Unternehmens verbessern, indem sie Transparenz schaffen und somit das gegenseitige Verständnis von Führungskräften, Fachabteilungen und IT-Verantwortlichen zugunsten der Cyberabwehr fördern.

Mehr Sicherheit dank besserer Zusammenarbeit zwischen Teams

Die meisten zukunftsorientierten Unternehmen haben agile Methoden eingeführt, um Software schneller und zuverlässiger zu entwickeln, zu testen und zu veröffentlichen. Auch wenn laut dem Hype Cycle for Agile and DevOps, 2020 vom Analystenhaus Gartner, DevSecOps in der Anfangsphase allgemein akzeptiert sind, kommt es immer wieder zu Differenzen zwischen Entwicklungs- und Sicherheitsteams. Sicherheitsvorgaben werden als unnötig übertrieben bzw. als Ursache für Verzögerungen bei der Anwendungsentwicklung und -bereitstellung angesehen. Für CISOs ist es daher oft schwer, eine Unternehmenskultur zu schaffen, in der Anwendungen so entwickelt werden können, dass sie sicher sind.

Manchmal haben Entwickler auch schlichtweg nicht die Zeit, die Tools, die Fähigkeiten oder die Motivation, um einwandfrei sicheren Code zu schreiben. Bug-Bounty-Programme machen die finanzielle Auswirkung von Sicherheitsmängeln innerhalb eines Prozesses faktenbasiert sichtbar. Auf diese Weise können Entwicklungsteams und Dienstleister für die Erstellung oder Lieferung unsicherer Produkte zur Rechenschaft gezogen werden. Inhärente Sicherheitslücken können auf diese Weise geschlossen und eine kontinuierliche Verbesserung gefördert werden. Im Gegensatz zu konventionellen Methoden der Sicherheitsüberprüfung, wie Audits oder Pentests, ist über die Bug-Bounty-Plattform eine Interaktion mit den Sicherheitsforschern möglich. Dadurch entsteht ein fortwährender Transfer von Wissen und Kompetenzen zwischen ethischen Hackern und Entwicklern, der nicht nur zu besseren Cybersecurity Skills auf Kundenseite, sondern auch zu einem höheren Sicherheitsbewusstsein im Team führt. So können Sicherheitsteams mit immer neuen Ransomware-Angriffsmethoden besser Schritt halten.

Deezer, ein Online-Musik-Streaming-Dienst, hat Bug-Bounty eingeführt, um Künstler vor Betrug im Zusammenhang mit seiner Streaming-Plattform zu schützen. Romain Lods, Head of Engineering bei Deezer, empfiehlt Tools wie Bug-Bounty, um die Abhängigkeit von Altsystemen zu minimieren, die im Nachhinein komplexer zu sichern sind. „Es ist besser, die Sicherheitslücken zu kennen, wenn man ein Projekt beginnt, als zu warten, bis es zu viele gibt, mit denen man sich auseinandersetzen muss, nachdem man eine schlechte Wahl der Architektur getroffen hat. Die Bug-Bounty-Schwachstellenberichte haben uns geholfen, wichtige Sicherheitsprojekte anzustoßen. Unsere Haltung gegenüber Cybersecurity hat sich dank Bug Bounty weiterentwickelt”, so Romain Lods.

Bessere Sicherheitskontrolle bei Software von Drittanbietern

Die Tage, an denen Unternehmen Software ohne jegliche Sorgfalt auswählen, installieren und ausführen, sind gezählt. Denn wie die Fälle Kaseya, Solarwinds und Co. jüngst gezeigt haben, sind Software von Drittanbietern und Open-Source-Komponenten längst Hauptziele für Cyberkriminelle. Die meisten IT-Abteilungen und Beschaffungsteams investieren viel Zeit, Budget und Ressourcen, um ein sinnvolles Programm zum Testen von Drittanbieter-Software durchzuführen. Anbieter landen schnell auf der schwarzen Liste, wenn sie zu viele Fehler verursachen und aufgrund von Sicherheitsbedenken teuer oder riskant sind. Auf der anderen Seite können Software-Anbieter ihren Kunden helfen, Sicherheitsanforderungen zu erfüllen, indem sie die Überprüfung durch eigene Bug-Bounty-Programme beschleunigen. Sie können so die Sicherheit ihrer Produkte hervorheben, Sicherheitsbedenken ausräumen und damit schnellere Verkaufsabschlüsse herbeiführen.

Dank dieser Transparenz sorgen öffentliche Bug-Bounty-Programme für mehr Vertrauen bei Kunden und Partnerunternehmen. Sie belegen ein Engagement über konventionelle Sicherheitslösungen hinaus. Unternehmen können damit werben, dass sie nicht nur jährliche, halbjährliche oder periodische Sicherheitstests durchführen, sondern mit Bug-Bounty kontinuierlich nach möglichen Schwachstellen suchen, um diese zu beheben, um so die Einfallstore für Ransomware-Angriffe zu schließen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Mehr Transparenz und bessere Kostenkontrolle bei Sicherheitsaudits

Die meisten Unternehmen haben keinen Überblick darüber, wie viel sie für Sicherheitsaudits ausgeben und ob diese Ausgaben tatsächlich zu einer Verkleinerung der Angriffsfläche geführt haben. Da das Bug-Bounty-Modell plattform- und ergebnisorientiert ist, liefert es die notwendigen Daten, um einen transparenten Prozess für die Kostenkontrolle zu schaffen. Unternehmen zahlen also nur für Ergebnisse, die sich nach ihren Prioritäten richten – und nicht schon für die Testleistung, wie etwa beim Pentesting. Darüber hinaus wird nur der Hunter belohnt, der den ersten gültigen Bericht eingereicht hat.

Die Vergütung richtet sich dabei nach einem für jedes ausgeschriebene Programm vordefinierten Raster: Der Schweregrad der Schwachstelle bestimmt die Höhe des Lohns. Dies hilft, den Nutzen dieser Art von Sicherheitsüberprüfung und die damit verbundenen Kosten besser zu verstehen und im Unternehmen zu kommunizieren. Ein IT-Sicherheitsexperte eines großen europäischen Finanzinstituts berichtete zum Beispiel, dass zwei Pentests eine 18 Monate alte, kritische Schwachstelle übersehen hatten, die innerhalb von nur einer Stunde nach dem Start eines Bug-Bounty-Programms identifiziert wurde. Solche Zahlen liefern IT-Verantwortlichen wichtige Argumente dafür, dass Bug Bounty eine notwendige Ergänzung für die effektive Abwehr von Ransomware-Angriffen und anderen Cyberbedrohungen ist.

www.yeswehack.com
 

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.