Warum Grammarly mit Hackern zusammenarbeitet Per Bug-Bounty-Programm zu mehr Sicherheit

Anbieter zum Thema

Windhoff Group

Penetration Testing und Ethical Hacking im Rahmen von Bug-Bounty-Programmen versprechen einen großen Sicherheitsgewinn. Wie sich private und öffentliche Bug-Bounty-Programme aufziehen lassen, verraten zwei Security-Experten von Grammarly in diesem Beitrag.

In einer immer schneller und komplexer agierenden Welt muss IT-Sicherheit als kontinuierlicher Prozess und nicht als punktuelle Bewertung betrachtet werden. Angreifer sind hartnäckig und kreativ: Stetig finden sie neue Wege, um Schwachstellen auszunutzen, was bedeutet, dass die Lösungen von gestern möglicherweise morgen nicht mehr funktionieren.

Eine Möglichkeit, potenziellen Sicherheitsbedrohungen einen Schritt voraus zu sein, sind Validierungsmethoden wie Pentests und Bug-Bounty-Programme. Unser Softwareunternehmen Grammarly, das den gleichnamigen Schreibassistenten entwickelt, führt seit über fünf Jahren ein eigenes Bug-Bounty-Programm durch und hat erhebliche Vorteile aus der Zusammenarbeit mit ethischen Hackern gezogen.

Als Chief Information Security Officer bei Grammarly arbeite ich mit meinem Team täglich an neuen Maßstäben für die Sicherheit des Unternehmens. Eines meiner Teammitglieder, Vladimir Metnew, der heute als Application Security Engineer für Grammarly tätig ist, hat langjährige Erfahrung als White-Hat-Hacker und bringt sein Fachwissen sowie seine einzigartige Perspektive ein, um unser Bug-Bounty-Programm erfolgreich zu betreiben.

Ethische Hacker decken Sicherheitslücken auf

Bug Bounty ist ein allgemeiner Name für Programme, bei denen Unternehmen mit White-Hat-Hackern zusammenarbeiten. Diese ethischen Hacker untersuchen ein Produkt und berichten über gefundene Fehler, also Bugs. Die Schwachstellen dürfen dabei vor ihrer Behebung nicht öffentlich gemacht werden. Die Unternehmen wiederum müssen schnell auf die Berichte der Forschenden reagieren und die gefundenen Lücken schließen.

Im Gegenzug erhalten die Forscher Belohnungen („Bounty“), je nach Schweregrad der gefundenen Schwachstellen. Bug-Bounty-Programme sind ein zusätzliches Instrument, um Ad-hoc-Penetrationstests durch ein kontinuierliches Programm zu ergänzen, das dazu beiträgt, möglichst sichere Produkte bereitzustellen, die Daten der Nutzer zu schützen, das Vertrauen zu stärken und Kundinnen und Kunden gegenüber Transparenz zu zeigen.

Bug Bounty kann in einem privaten, also selektiven Kreis von ethischen Hackern auf einer ausgewählten Plattform, und öffentlichen Modus funktionieren. Im Falle eines öffentlichen Programms kann jeder Forschende seinen Bericht einreichen und eine Belohnung beanspruchen. Linus' Gesetz in der Software-Entwicklung besagt: „Bei genügend Augäpfeln sind alle Fehler oberflächlich“.

„Das bedeutet, dass mit ausreichend Beta-Testern und Mitentwicklern fast jedes Problem schnell charakterisiert und behoben werden kann“, erläutert der ehemalige White-Hat-Hacker Vladimir Metnew und fährt fort: „Das gleiche Prinzip gilt für die Bug-Bounty-Programme. Ethische Hacker helfen bei der Lösung von logischen Fehlern, Fehlkonfigurationen und Kommunikationsproblemen in verschiedenen Diensten, bei denen die Automatisierung nicht immer hilft. Sie sind in der Regel proaktiv und melden Fehler, sobald sie sie entdecken, da sie bestrebt sind, die besten Ergebnisse zu erzielen.“

Der Auftakt von privaten Bug-Bounty-Programmen

Um ein privates Bug-Bounty-Programm zu betreiben, sind einige wichtige Schritte erforderlich. Zunächst sollte das Unternehmen eine geeignete Plattform auswählen. Unser Team hat sich für HackerOne entschieden, die von großen Unternehmen wie Adobe, IKEA, GitHub, PayPal und Lufthansa genutzt wird. Daraufhin sollten klare Regeln für die Zusammenarbeit mit den ethischen Hackern festgelegt werden, einschließlich des Testumfangs, der Berichterstattung und des Belohnungssystems.

Die Plattform lädt daraufhin Forscher mit entsprechenden Profilen persönlich ein. Beim Start des Programms kann es eine Herausforderung sein, mit dem Zustrom von Berichten umzugehen. Eine Empfehlung ist die Einführung eines Rotationssystems für Ingenieure, um die effiziente Verarbeitung und Verteilung der Berichte an die Entwicklungsteams zu gewährleisten.

Die Zusammenarbeit mit ethischen Hackern muss definiert werden

Der Erfolg des Bug-Bounty-Programms hängt weitgehend davon ab, wie man die Arbeit mit Forschenden organisiert. Auch hier kann der Autor einige Ratschläge geben. Wir halten die Kommunikation aufrecht, reagieren prompt und schaffen Anreize zur Teilnahme. Es ist wichtig, auf Nachrichten von Hackern schnell zu antworten: Die Reaktionsgeschwindigkeit ist für Forschende oft ein entscheidender Faktor, um am Programm eines Unternehmens teilzunehmen.

Schlussendlich gingen wir einen taktischen Schritt weiter und beschlossen, einen hochrangigen White-Hat-Hacker aus dem Programm intern in das Team einzugliedern. Vladimir Metnew ist jetzt bereits seit über vier Jahren im Unternehmen als Application Security Engineer tätig und leitet derzeit das öffentliche Bug-Bounty-Programm von Grammarly, wobei er direkt mit den ethischen Hackern zusammenarbeitet.

„Dem Team von Grammarly beizutreten und dem Unternehmen dabei zu helfen, die Sicherheitsbemühungen zu stärken, war für mich damals eine naheliegende Entscheidung“, so Vladimir Metnew. Er fährt fort: „Während viele Aufgaben, die ich als unabhängiger Sicherheitsforscher ausführte, meinen jetzigen Aufgaben ähnlich sind, ist die Arbeit als Application Security Engineer viel komplexer und mehrschichtiger. Sie erfordert gute Fähigkeiten in der Entwicklung und Softwarearchitektur.“

Als Bug Bounty Researcher achtet man im Allgemeinen mehr auf Details, berichtet Vladimir Metnew: Reihenfolge der Datenflüsse, Zeitabläufe, erwartete Verhaltensweisen und vieles mehr. „Als Security Engineer muss man dabei auch an ein größeres Bild, das ‚Big Picture‘ denken und in entsprechend großem Maßstab arbeiten: Man hat Hunderte von Datenflüssen, Projekten und Kontrollen.“

Kommunikation ist das Erfolgsgeheimnis

Der ehemalige White-Hat-Hacker Vladimir Metnew ist sich sicher: „Kommunikation ist der Schlüssel zum Erfolg eines jeden Bug-Bounty-Programms. Es ist wichtig, einen aktiven Austausch zu pflegen und die Bemühungen der teilnehmenden ethischen Hacker zu würdigen, die sich entschieden haben, Zeit in ihr Programm zu investieren, und nicht in ein anderes.“

Ein weiterer Tipp des Experten ist, die Kennzahlen des Programms (z.B., time-to-resolution, time-to-response, time-to-bounty, etc.) ständig im Auge zu behalten, da jede dieser Kennzahlen angibt, wie effektiv die Teams Schwachstellen beheben und wie gut sie die Kommunikation mit den Forschern pflegen und sie belohnen.

Jemanden in seinem internen Sicherheitsteam zu haben oder einen Berater einzustellen, der Erfahrung als ethischer Hacker hat, ist ebenfalls von großem Vorteil. Ehemalige Bug Bounty Forscher haben unschätzbare Kenntnisse über die inneren Abläufe und verstehen die Feinheiten der Zusammenarbeit mit Forschern. Sie können Einblicke in die besten Praktiken geben, um die bestmöglichen Ergebnisse für das Unternehmen zu erzielen.

Die Vorteile von öffentlichen Bug-Bounty-Programmen

Unser Team verbrachte die ersten Monate damit, Erkenntnisse zu sammeln und die internen Prozesse zur Annahme und Behebung von Schwachstellen zu verfeinern. Aufgrund der limitierten Anzahl an Teilnehmenden ist ein Rückgang der Berichte allerdings bei einem privaten Bug-Bounty-Programm mit der Zeit unvermeidlich.

Um die Skalierbarkeit zu erhöhen und die Transparenz sowie das Vertrauen zu steigern, beschloss mein Team daher, auf ein öffentliches Bug-Bounty-Programm umzustellen. Dadurch erhöhte sich die potenzielle Teilnehmerzahl um das 150-fache, von 2.000 auf 300.000 Hacker, die zu diesem Zeitpunkt auf der Plattform registriert waren.

Langfristiger Erfolg lässt sich mit richtigen Sicherheitsstrategien sichern

Nach dem erfolgreichen Start des öffentlichen Programms ist es wichtig, nicht nachzulassen und das Effizienzniveau aufrechtzuerhalten. Einer der Faktoren dabei ist die regelmäßige Aktualisierung der Programmbeschreibung, damit sie relevant bleibt und die Teilnehmenden wissen, welche Berichte für das Unternehmen im Moment höhere Priorität haben. Auftraggebende können beispielsweise die Aufmerksamkeit von Forschenden auf ihre neuen Produktveröffentlichungen lenken, indem sie vorübergehend die Auszahlungen für die Berichte über sie erhöhen.

Solche Incentives helfen, schneller hochwertige Berichte für Bereiche mit hoher Priorität zu erhalten. So bieten wir z.B. derzeit einen zweifachen „Bounty Bonus“ mit bis zu 100.000 Dollar für relevante Berichte über Schwachstellen mit hohem und kritischem Schweregrad in unserem neuen Authentifizierungs- und Autorisierungsdienst. Bis heute hat Grammarly über 270.000 Dollar an Prämien an ethische Hacker gezahlt. Mit dieser Investition haben wir etwa 190 wertvolle Berichte von Top-Security-Researchern erhalten.

Fünf Jahre nach dem Start ist das Bug-Bounty-Programm integraler Bestandteil eines mehrschichtigen Sicherheitsansatzes, von dem wir als Software-Development-Unternehmen erheblich profitieren. Ein kollaborativer Sicherheitsansatz und Branchenpartnerschaften, einschließlich der Zusammenarbeit mit ethischen Hackern über vertrauenswürdige Plattformen, können den Schutz der Unternehmenssysteme und der Daten von Kundinnen und Kunden kontinuierlich verbessern.

* Suha Can ist Chief Information Security Officer bei Grammarly und leitet auf globaler Ebene die Bereiche Sicherheit, Datenschutz, Compliance und Identität für das Unternehmen. Seine Teams kümmern sich um die Sicherheit der Daten von über 30 Millionen täglichen Grammarly-Nutzenden und 50.000 Teams weltweit. Zuvor war Suha Can „Director of Security“ bei Amazon und leitete weltweit das Sicherheits-Engineering für Amazon Payments sowie Alexa.

(ID:49577738)