Suchen

Interview mit Julien Levrand, Conformity/Security Director bei OVHcloud Sicherere Cloud dank Bug-Bounty-Programmen

| Redakteur: Peter Schmitz

Cloud-Hyperscaler sind für Cyberkriminelle ein beliebtes Ziel, denn bei ihnen werden wertvolle Daten gehostet und geschützt. Damit dieser Schutz auch langfristig gewährleistet bleibt, müssen Sicherheitsverantwortliche den Angreifern immer einen Schritt voraus sein und ihre Sicherheitsmaßnahmen ständiger Prüfung unterziehen.

Firmen zum Thema

Bei Bug-Bounty-Programmen testet eine Community von Security-Experten unter Einhaltung bestimmter Regeln die Systeme oder Software eines Unternehmens, um Schwachstellen zu entdecken.
Bei Bug-Bounty-Programmen testet eine Community von Security-Experten unter Einhaltung bestimmter Regeln die Systeme oder Software eines Unternehmens, um Schwachstellen zu entdecken.
(Bild: gemeinfrei / Pixabay )

Der Cloud-Anbieter OVHcloud setzt auf mehrere Sicherheitsebenen mit unterschiedlichsten Mechaniken. Darüber hinaus nimmt das Unternehmen an einem Bug-Bounty-Programm von YesWeHack teil, das einen zusätzlichen Blick von außen auf die Sicherheitslage erlaubt.

Die Bug-Bounty-Methode stützt sich auf eine Community von Security-Experten und ihre umfassende Expertise. Die Community testet unter Einhaltung bestimmter Regeln die Systeme des Unternehmens, um Schwachstellen zu erkennen, die bei internen Prüfungen vielleicht nicht bemerkt wurden. Als Anreiz für die Experten in der Community dient eine Belohnung, die sich nach Art und Umfang der von ihnen erkannten, potenziellen Bugs oder Schwachstellen richtet.

Auf diese Weise können Unternehmen ihre eigenen Sicherheitsebenen um diese externe Prüfung erweitern, um Cyberkriminellen kontinuierlich einen Riegel vorzuschieben. Um mehr darüber zu erfahren, wie die Zusammenarbeit mit YesWeHack die Prozesse im Unternehmen verändert hat, haben wir mit Julien Levrand, Conformity/Security Director bei OVHcloud gesprochen.

Security-Insider: Können Sie uns sagen, was Sie dazu bewogen hat, ein Bug-Bounty Programm einzuführen?

Julien Levrand: Historisch gesehen ist Sicherheit ein Teil der DNA von OVHcloud. Es ist inhärent in unserem Geschäft als Infrastrukturanbieter und in allen Dienstleistungen, die wir anbieten. Das hohe Sicherheitsniveau unserer Infrastruktur muss eine ständige Forderung und für unsere Kunden ein Motor des Vertrauens sein. Es basiert auf physischen und logischen Schutzmaßnahmen und Kontrollaktivitäten, Scans, internen und externen Eindringungstests, Codeüberprüfungen, Konfigurationsüberprüfungen und mehr. Einige dieser Maßnahmen werden fortlaufend von unseren Teams durchgeführt, andere beruhen auf der Zusammenarbeit mit vertrauenswürdigen Dritten. Wir haben vor einigen Jahren ein Bug-Bounty-Programm mit YesWeHack gestartet, um eine weitere Sicherheitsebene zu unseren bestehenden Systemen hinzuzufügen.

Wir sehen gemeinsame Werte unserer Unternehmen, entwickeln im gleichen Ökosystem, teilen die gleiche Leidenschaft und die gleichen europäischen Wurzeln. Teilweise haben wir aus diesen Gründen mit dieser Plattform begonnen – wir waren einer der ersten Kunden von YesWeHacks öffentlichem Programm und haben unser Programm bei einer live Bug Bounty in der „Nacht des Hacks“ gestartet.

Security-Insider: Erhöht Bug Bounty das Vertrauen Ihrer Kunden?

Julien Levrand: Ja, das tut es. OVHcloud arbeitet mit verschiedenen Arten von Kunden zusammen. Einige von ihnen betreiben ihre Infrastruktur selbst und sind sehr empfindlich gegenüber technischer Kommunikation. Unsere Kommunikation basiert daher auf Transparenz und Informationstiefe. Andere Kunden sind wachsamer in Bezug auf unsere Fähigkeit, vertrauenswürdige Dritte wie Zertifizierungsprüfer oder externe Dienstleister einzubeziehen. Die Bug Bounty ist daher ein zusätzliches Vertrauenselement für einige unserer Kunden, die mehr als herkömmliche Sicherheitsmittel verlangen.

YesWeHack arbeitet mit großen, sensiblen und "souveränen" französischen Unternehmen wie Betreibern wichtiger Infrastruktur zusammen, und wir positionieren uns in diesem Markt. Bug Bounty mit YesWeHack ist eines der Elemente dieses vertrauenswürdigen Ökosystems und wird zu einem Must-Have für Organisationen wie die unsere. Und es ist auch eine Frage des Images gegenüber der Forschungsgemeinschaft, die Teil dieses Ökosystems ist: Durch YesWeHack können wir mit Menschen interagieren, die über andere Kanäle nicht unbedingt zugänglich sind.

Security-Insider: Was bietet Ihnen ein Bug-Bounty-Programm im Vergleich zu den oben erwähnten Mitteln (Audits, Scans, Eindringtests usw.)?

Julien Levrand: Ein Bug-Bounty Programm bringt uns mit Experten in Kontakt, die unsere Teams in Bezug auf die ganze Vielfalt der von uns verwendeten Technologien ergänzen: OpenStack, Kubernetes, Machine Learning Tools, KI und so weiter. Es ist unmöglich, ein Team von Pentestern mit fortgeschrittenen Fähigkeiten in all diesen Technologien zu finden.

Mit YesWeHack haben wir leichten Zugang zu Experten in diesen verschiedenen Technologien, die sagen: „Ich bin ein Kubernetes-Experte, also werde ich mir alle Bounty-Bug-Programme anschauen, zu denen es Kubernetes-Angebote gibt, um das Thema zu vertiefen.“ Dies vervollständigt unseren Sicherheitsansatz wirksam, indem es eine komplementäre Sichtweise zu der unserer Teams bringt.

Ein weiterer sehr wichtiger Punkt ist, dass Bug Bounty einen formalen Rahmen für die Schwachstellenberichte bietet und es uns ermöglicht, Jägern einen rechtlich sicheren Einstiegspunkt zu bieten. Dies ist zwar nicht der einzige Kanal für die Schwachstellenberichte bei OVHcloud, aber wir empfehlen, dass Personen, die Schwachstellen identifizieren, unser Programm durchlaufen. Dies ermöglicht uns einen einzigen eingehenden Fluss und einen damit verbundenen Prozess für das Management von Schwachstellenberichten. Sie ist daher ein strukturierendes Element unserer Coordinated Vulnerability Disclosure.

Abgesehen von den Vorteilen des Bug Bounty als Modell, möchte ich die YesWeHack-Plattform hervorheben, die sehr bequem ist und über eine einfach zu bedienende Benutzeroberfläche verfügt. Das OVHcloud-Team, das Bug Bounty verwaltet, gibt uns ausgezeichnetes Feedback zum Workflow-Management, zur Handhabung von Berichten und zur Interaktion mit Forschern.

Die APIs ermöglichen es uns, alle nützlichen Informationen automatisiert in unsere eigenen Tools und Dashboards zu integrieren und auch unser Vergabebudget oder die Aktivität jedes Programms zu verfolgen. Auf einen Blick können wir den Status unserer Programme erkennen und unserem Management Indikatoren präsentieren: Bug Bounty ist vollständig in unsere Strategie und das Management unserer globalen Sicherheit integriert.

Security-Insider: Wie passt Bounty Bug zu Ihrer agilen Vorgehensweise?

Julien Levrand: Unser Bug-Bounty Programm wird von unserem Pentester-Team betrieben: Zwei Manager sind für das Programm sowie für die Animation der Forschergemeinschaft verantwortlich. Dann nehmen sie Kontakt zu den verschiedenen Teams auf, die von den Schwachstellen betroffen sind, damit wir sie in unsere Managementsysteme integrieren und sicherstellen können, dass sie behoben werden.

Sobald die Schwachstellen über die Plattform gefunden wurden, werden sie in unsere Prozesse integriert: Wir verfügen im Rahmen der ISO 27001-Zertifizierung über einen organisatorischen Mechanismus, der Sicherheitsmanagementsystem genannt wird – einschließlich der Prozesse, Rollen und Verantwortlichkeiten, die dokumentiert sind und sicherstellen, dass jede Schwachstelle, jeder Vorfall und jede potenzielle Bedrohung von unseren Teams behandelt und im Laufe der Zeit überwacht wird und Gegenstand eines präzisen Aktionsplans ist, dessen Anwendung – je nach Empfindlichkeit des betreffenden Produkts und des damit verbundenen Anforderungsniveaus – überprüft wird.

Dank der YesWeHack-API haben wir die Schwachstellenberichte leicht in diesen Prozess integriert: alles wird über Tickets verwaltet, die in unseren Dashboards eingesehen und bei Bedarf von unseren externen Auditoren abgerufen werden können.

Security-Insider: Sie sind in einem öffentlichen Programm. Wie läuft der Informationsaustausch mit der Gemeinschaft?

Julien Levrand: Die Verwaltung eines Bug Bounty-Programms ist eine echte Verpflichtung gegenüber allen Interessengruppen, die sich dafür einsetzen, das Internet sicherer zu machen. Wir haben die Verantwortung, bei der Behandlung und Behebung der uns zur Kenntnis gebrachten Schwachstellen rigoros und transparent vorzugehen. Was die Dinge einfacher macht, ist, dass die Plattform die Beziehung zwischen Kunden und Forschern sowohl rahmt als auch erleichtert – mit einem sehr reichen und direkten Informationsaustausch. Wir befinden uns in einem Verhältnis, in der wir offen über die Ergebnisse diskutieren. Auch darüber, wie eine Schwachstelle zu analysieren ist. Wir haben einen sehr produktiven Informationsaustausch, den wir mit keinem anderen Mittel erreichen können.

Security-Insider: Was sind die nächsten Schritte?

Julien Levrand: Wir arbeiten an den Tickets, die von den Schwachstellenberichten generiert werden, um sie auf standardisierte Weise in unser globales Risikomanagementmodell zu integrieren. Ziel ist es, in der Lage zu sein, unser Risikomanagement unabhängig von der Informationsquelle – nachgewiesener Vorfall oder Schwachstellenbericht – zu standardisieren. Ziel ist es daher, alle Möglichkeiten der API auszuschöpfen, um die Verarbeitung von Berichten weiter zu automatisieren.

Wir haben auch bestimmte Forscher identifiziert, die in unserem öffentlichen Programm besonders erfolgreich sind, mit denen wir ausgezeichnete Beziehungen pflegen oder die über sehr spezifische Fähigkeiten verfügen, um sie zu Programmen einzuladen, die bestimmten Produkten gewidmet sind. Das soll noch in diesem Jahr geschehen.

(ID:46753262)