:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Bug Bounty Lifecycle und SDLC im Vergleich Sichere Software-Entwicklung mit Hacker-Support
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Ein permanent kritischer Aspekt in der Software-Entwicklung ist die Sicherheit. Mit DevOps-Praktiken wie Continuous-Integration und -Delivery hat sich die Schwachstellen-Problematik allerdings verschärft. Doch woe lassen sich diese am besten aufdecken?
Galt es in der Vergangenheit, die Sicherheit erst am Tag der Verfügbarkeit gewährleisten zu müssen, ist dies heute mit CD (Continuous Delivery) und CI (Continuous Integration) ein nie endender Prozess. So erfordern Cloud-, agile DevOps- und CI/CD-Pipelines, dass die Sicherheit zu einem routinemäßigen Teil des Software Development Lifecycle (SDLC) wird – und die Security folglich ein kontinuierlicher Prozess der Software-Entwicklung.
Glücklicherweise hat die Qualität von Software in den vergangenen Jahren deutlich zugenommen, aber die regelmäßigen Patchdays nahezu aller großen Anbieter von Software zeigen, dass Sicherheit ein relativer Begriff ist, Verbesserung ist immer möglich. Eine der Herausforderung dabei sind sicherlich die begrenzten Kapazitäten der Software-Entwickler, in jedem Sprint ausreichend Zeit für ausführliche und umfassende Security-Tests aufbringen zu können.
Eine Möglichkeit, hier bessere Ergebnisse zu erzielen, ist zweifelsohne der Einsatz von White-Hat-Hackern, also nicht kriminellen Hackern. Diese können nicht erst im Falle fertiggestellter Apps, Plattformen oder Websites ihren Beitrag leisten, sondern schon in den SDLC integriert werden. Analog zum SDLC spricht Verizon Media hier von einem BBLC, einem Bug Bounty Lifecycle.
Der wichtigste Unterschied gegenüber einem Standard-Bug-Bounty-Programm: Die im Rahmen des BBLC gefundenen Schwachstellen werden nicht nur dafür genutzt, genau diesen Fehler zu beseitigen, sondern die gewonnenen Erkenntnisse auch in den Software-Entwicklungsprozess zu integrieren. Herkömmliche Bug-Bounty-Initiativen zielen auf installierten Code ab, der in Produktionsanwendungen läuft.
Die Hacker suchen hier nach Fehlern und Schwachstellen, dementsprechend werden die Fehlerberichte aus der (fast fertigen) Live-/Produktiv-Umgebung stammen. Das Software-Entwicklungsteam erstellt eine Lösung für diesen Fehler und spielt diese ins System ein. Dies ist der klassische Ansatz „Bugs in, Bugs out“, nach dem viele Unternehmen arbeiten. Mit der Beseitigung des Fehlers ist der Prozess beendet.
Sicherheit in umgekehrter Reihenfolge
Beim BBLC ist das jedoch anders. Im Prinzip besteht der BBLC aus genau den gleichen Schritten wie der SDLC, aber in umgekehrter Reihenfolge. Beim traditionellen Software-Entwicklungsprozess stehen am Anfang die Anforderungen, es folgen Design, die eigentliche Entwicklung (Build), das Testen und schließlich das Deployment.
Der Bug Bounty Lifecycle arbeitet folglich in genau umgekehrter Reihenfolge. Man beginnt mit der Analyse des fertigen Produkts, also dem Hacken der implementierten Lösung und arbeitet dann Schritt für Schritt mit den Entwicklerteams daran, von der fertigen Lösung Ebene für Ebene bis zum Design und der Konzeption vorzudringen.
Letztendlich befinden sich die Software-Designer am Ende dieses BBLC-Prozesses bei der Definition der Anforderungen, sodass beispielsweise bereits bestimmte Restriktionen oder Definitionen zu Beginn des SDLC festgelegt werden müssen. Diese Restriktionen oder Definitionen müssen zwar funktionell und technisch nicht per se Teil der Anforderungen sein, da die Lösung auch ohne diese Restriktionen funktioniert, aber sie ist eben unsicher.
Bei diesem Ansatz werden somit die Erfahrungen der Hacker der jeweiligen Stufe systematisch zur Verbesserung der Sicherheit in der – aus der Perspektive des Software-Entwicklungsprozesses – vorherigen Stufe eingesetzt. Der Einfluss der Hacker ist dann längst nicht mehr an die reine Fehlersuche im Endprodukt gebunden, sondern Security beginnt damit schon bei dem Erstellen der Anforderungen an das zu entwickelnde System.
Basis dafür ist in der Regel nicht eine einzelne Form von Schwachstelle, die lediglich ein Mal gefunden wird. In vielen Fällen ist es eher so, dass im Laufe der „Hackerangriffe“ zur Fehlersuche immer wieder bestimmte Arten von Schwachstellen gefunden werden. Dabei handelt es sich dann offensichtlich um ein Problem bei der Definition der Anforderungen oder dem Design, weniger um wiederkehrende Unachtsamkeit im Build-Prozess oder gar einer späteren Stufe des SDLC.
Letztendlich bedeutet der Einsatz der Hacker in Form des Bug Bounty Lifecycle das Thema Sicherheit immer weiter nach links, also weiter an den Anfang des Entwicklungsprozesses zu verschieben. Security wird damit zu einer wichtigen Anforderung an die Software-Architekten. Das bedeutet gleichzeitig, die Security als strategischen Vorteil zu implementieren.
Während in den meisten Ansätzen lediglich das Endprodukt getestet wird und Schwachstellen erst dort beseitigt werden, ist mit dem BBLC die Wirkung deutlich breiter und verändert die Art und Weise, wie Sicherheit in die Systeme implementiert wird. So könnten beispielsweise die Hacker aufgrund ihrer Erfahrung beim Hacken nach BBLC eng mit dem Architekturteam zusammenarbeiten, um ein neues Steuerelement zu entwerfen, z.B. eine Whitelist-Validierung für alle Eingabefelder zu verlangen.
GitLab und Assembla als Beispiele
Organisationen wie Assembla und GitLab verfolgen schon heute diesen proaktiven Ansatz – die Integration der Arbeit von Hackern in den SDLC – um Sicherheitslücken zu eliminieren. Auf diese Weise tragen die Sicherheitsteams erheblich dazu bei, Unterbrechungen des SDLC zu reduzieren. Die Entwickler haben entsprechend die Möglichkeit, Schwachstellen zu beseitigen, bevor diese den Entwicklungsprozess komplett durchlaufen haben und nachträglich behoben werden müssen.
Dafür müssen jedoch Entwickler- und Security-Teams die gleiche Sprache sprechen, der Einsatz von Industriestandards ist hier von großer Bedeutung. Dies stellt sicher, dass die Entwickler die Informationen, die ihnen vom Sicherheitsteam vorgelegt werden, schnell verstehen und darauf reagieren können. Der Industriestandard Common Weakness Enumeration (CWE) eignet sich hier bestens.
Unternehmen, die sich für die Unterstützung durch Hacker entscheiden, sollten ihre Schwachstellenberichte klassifizieren. Die Hackerone-Plattform als eine Möglichkeit, Hacker an der Softwareentwicklung zu beteiligen, setzt dabei auf CWE. Dies hilft Sicherheits- und Entwicklungsteams dabei, einheitlich zu kommunizieren, wenn sie Fehlertypen und die Taktiken zur Schadensbegrenzung und -vermeidung diskutieren. Die Verwendung der CWE bedeutet einen reduzierten Zeitaufwand für die Prüfung, Validierung und Priorisierung eingehender Fehlerberichte. Im Nachhinein bedeutet es, dass Entwickler und Ingenieure schnell verstehen, womit sie es zu tun haben.
Integration mit beliebten Entwicklungswerkzeugen
Da die Fehlerberichte im SDLC zusammengeführt werden, ist es weniger störend, wenn diese Informationen direkt in die Tools integriert werden, die die Entwickler bereits verwenden. Dazu gehören Fehlerverfolgungs-, Projektmanagement- und Ticketingsysteme, aber auch Versionskontroll-, Repository-, Kollaborations-, Kommunikations- und Support-Tools.
Plattformen wie Hackerone bieten hierfür vorgefertigte Integrationen in die beliebtesten Werkzeuge, die im SDLC verwendet werden. Dazu gehören Jira, Assembla, Bugzilla, MantisBT, GitLab, GitHub oder auch Slack, um Reibungsverluste zu vermeiden, wenn Teams zusammenarbeiten und kommunizieren, während sie daran arbeiten, Fehler zu beheben und Sicherheitslücken zu schließen.
Die Integration mit Jira synchronisiert Informationen zwischen einem Schwachstellen-Bericht und dem entsprechenden Datensatz innerhalb von Jira. Sie können dann die Workflows von Jira mit der CWE-Plattform und umgekehrt synchronisieren, was den Entwicklungs- und Sicherheitsteams hilft, aufeinander abgestimmt zu bleiben. Sie trägt auch zur Standardisierung Ihres Prozesses zur Behebung von Sicherheitslücken bei und eliminiert die mühsame Dateneingabe und das Risiko menschlicher Fehler.
Schwachstellen schon in der Architektur vermeiden
Letztendlich kann das Unternehmen auch Lehren aus einer ganzen Klasse von Schwachstellen ziehen, wenn diese wiederholt auftreten und damit neue Anforderungen, Richtlinien oder Standards schreiben, um diese Lücken erst gar nicht mehr entstehen zu lassen. Dieser Ansatz unterstützt die Unternehmen, Verbesserungen in ihrem Software-Produktionsprozess voranzutreiben, um sicherzustellen, dass zukünftiger Code kontinuierlich sicherer wird. Dies sorgt dann nicht nur für Sicherheit in einer neuen Lösung, sondern betrifft in der Regel sodann das gesamte Software-Portfolio.
Die Unterstützung eines solchen BBLC erhalten Software-Entwickler meist über Bug-Bounty-Plattformen. Diese helfen den Unternehmen dabei, mittels eines Prämiensystems mit White-Hat-Hackern zusammenzuarbeiten, also Hackern, die ihr Können nicht für kriminelle Zwecke einsetzen. Auf diese Weise erhalten die Firmen einen einfachen und hürdenlosen Zugang, um die Hacker als Dienstleister in den Entwicklungsprozess zu integrieren.
Dabei muss jedoch beachtet werden, dass beide Seiten für das rechtlich grundsätzlich illegale Hacken einen entsprechenden Vertrag schließen, um für den genannten Ansatz einen legalen Rahmen zu schaffen. In diesem sogenannten VDP (Vulnerability Disclosure Program) werden die Auftragskriterien genau definiert, sodass beide Seiten klare Vorstellungen und Grenzen des Zusammenarbeit festlegen und vor Missbrauch der gewonnenen Erkenntnisse oder Missverständnisse, die zu falschen Anschuldigungen führen können, bestmöglich geschützt sind.
Die Zusammenarbeit mit White-Hat Hackern liefert somit eine sinnvolle Ergänzung der eigenen Sicherheitsstrategie, um sich im harten Wettbewerb durch besonders sichere Lösungen gegen andere Anbieter zu behaupten.
* Laurie Mercer ist Security Engineer bei Hackerone. Er verfügt über einen starken technischen Hintergrund, da er sowohl als Entwickler als auch als Penetrationstester gearbeitet hat. Zuletzt arbeitete er als Solution Engineer für große SAST-Programme.
(ID:47060874)
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte möglichst transparent erfolgen. (© ipopba-stock.adobe.com)")