Durch Hacker verbessertes Schwachstellen-Management

Hackerone-Plattform vereinfacht Überwachung von Schwachstellen und senkt damit Geschäftsrisiken

Hackerone, die  Sicherheitsplattform für ethisch motivierte Hacker – die so genannten White Hat Hacker –, hat seine Security Intelligence Services erweitert. Die neue Rangliste zur Bewertung von Schwachstellen – Hackerone Global Top 10 – ergänzt die Top 10 des Open Web Application Security Project (OWASP). Bei den Top 10 OWASP handelt es sich um eine Richtschnur, die den SecOps in Unternehmen dabei hilft, ihre Bemühungen beim Schwachstellenmanagement zu priorisieren. Mit Hackerone Top 10 wird diese OWASP-Liste nun um reale Schwachstellen ergänzt, die von der weltweiten Hacker-Community gefunden und über die Hackerone-Plattform dokumentiert wurden.

Mit neuen Intelligence-Funktionen auf Basis eines CVE-Exploitation-Index (Common Vulnerabilities and Exposures) erhalten die SecOps zusätzlich genaueren Einblick in von Hackern ausgenutzte Schwachstellen. Darüber hinaus hat Hackerone im Juli die allererste Hacker-API eingeführt und nun für die Hacker eine Bounty-Tabelle sowie einen Bounty-Rechner ergänzt, um die Transparenz zu steigern. Außerdem gab es eine Reihe von Aktualisierungen zur Verbesserung des Sicherheits-Workflows für große globale Unternehmen, einschließlich verbesserter Zugriffsverwaltung, Kontrolle und verbesserter Konnektivität mit externen Anwendungen.

„Die Vereinfachung der Programme zum Schwachstellen-Management für alle unsere Kunden jeglicher Größe ist seit der Gründung von Hackerone ein wichtiger Schwerpunkt“, erklärt Rand Wacker, SVP of Product bei Hackerone. „Unser Ziel ist es, die Hacker dabei zu unterstützen, bei der Fehlersuche Prioritäten zu setzen. Zudem liefern wir unseren Kunden detaillierte Informationen, die in Kombination mit dem Engagement der Hacker einen echten Unterschied für ihre Sicherheitsstrategien ausmachen. Wir freuen uns darauf zu sehen, wie unsere Kunden die wertvollen Daten unserer Hacker nutzen, um die Sicherheitsprogramme in ihren Unternehmen zu verbessern.“

Intelligente Sicherheit

Nachdem Unternehmen mit den Top 10 des OWASP ein Hilfsmittel haben, um das Schwachstellenmanagement zu priorisieren, erhält diese Liste nun drei neue Kategorien:

• Unsicheres Design
• Software- und Datenintegritätsfehler
• Server-Side-Request-Forgery-Angriffe (SSRF)

Die neue Hackerone Global Top 10 geht noch einen Schritt weiter, indem sie häufiger aktualisiert wird und branchenspezifische Daten liefert. Hackerone nutzt dafür seinen einzigartigen Datensatz, um den Kunden einen noch besseren Einblick in die aus Sicht der Hacker wichtigsten Schwachstellen zu geben. Basis dafür sind die auf der Hackerone-Plattform dokumentierten Erkenntnisse der Hacker, die sonst nicht in den OWASP Top 10 auftauchen würden. Die Hackerone Global Top 10 wird auch in die Hackerone Assessment Scopes als Standard integriert, um über eine typische Pentest-Prüfung hinsichtlich der OWASP Top 10 hinauszugehen.

Der CVE-Exploitation-Index von Hackerone geht noch einen Schritt weiter. Während ein Scan nur Informationen liefert, die auf einem bestimmten Algorithmus oder den Schätzungen eines Analysten basieren, bietet der neue Index einen Überblick darüber, welche dieser herkömmlichen Schwachstellen am meisten von Hackern ausgenutzt werden. Grundlage dafür sind die realen Daten der Hackerone-Plattform. Sie zeigen, welche CVEs am häufigsten von Hackern entdeckt werden. Kunden können den Index in Verbindung mit der CISA-Liste (Cybersecurity and Infrastructure Security Agency) der 30 am häufigsten ausgenutzten CVEs verwenden, um die Lücken zu patchen, die ein Unternehmen am meisten gefährden.

Diese neuen Schwachstellenerkennungsfunktionen werden voraussichtlich Ende dieses Jahres in der Hackerone-Plattform verfügbar sein.

Mehr Effizienz für Hacker

Die Steigerung der Effizienz in den Arbeitsabläufen der Hacker und die Transparenz hinsichtlich der Zahlungen ermöglichen es den Hackern, ihre Zeit für das Auffinden von Schwachstellen aufzuwenden und ihre Arbeit in die bestehenden Entwicklungsabläufe der Kunden zu integrieren.

Die neue Bounty-Tabelle und der Bounty-Rechner von Hackerone bieten Kunden die Möglichkeit, Bounty-Bereiche festzulegen und so die Vergabe von Prämien einheitlich zu gestalten. Dies schafft mehr Transparenz für Hacker und erhöht das Vertrauen zwischen Unternehmen und Hackern, was wiederum zu einer höheren Motivation der Hacker führt.

Umgekehrt ermöglicht die Hacker-API es Hackern, mehr Zeit mit der Suche nach Schwachstellen zu verbringen. Die API automatisiert den Arbeitsablauf eines Hackers, indem sie ihm sofortigen Zugriff auf Programminformationen gewährt, Zugang zur Anzeige aller Schwachstellen sowie zu Berichtsaktualisierungen bietet und ihm die Möglichkeit gibt, seine Einnahmen und Auszahlungen, beispielsweise für die Steuererklärung einfacher zu erfassen.

Neue Sicherheits-Workflows

Die neuen Sicherheits-Workflows von Hackerone zentralisieren das Zugriffsmanagement, die Kontrolle und die Konnektivität zu externen Anwendungen in der Hackerone-Plattform. Die neuen Updates beinhalten:

• Organisierter Zugriff auf die Homepage – einheitliche Ansicht und einfacher Zugriff auf verschiedene Bereiche des Hackerone-Programms, wie die Security Page, Einstellungen, Berichte und die Priorisierung des Posteingangs, um die wichtigsten Berichte zuerst zu sehen.
• Zentralisierte Benutzerverwaltung – Einfaches Hinzufügen neuer Benutzer zur Organisationsansicht zum individuellen Hackerone-Projekt mit zentraler Verwaltung des Zugriffs auf mehrere Programme und Berichte.
• Verbesserte Navigation – Direkter Zugriff auf die Sidebar eines Berichts, um Informationen zu melden sowie weiterzugeben und gleichzeitig einfachen Zugriff auf die Metadaten zu erhalten, die für die Umsetzung von Sicherheitsmaßnahmen erforderlich sind. Dies gibt Anwendern die Flexibilität mit der Hackerone-Plattform zu interagieren, durch die Optimierung für die Anzeige auf mobilen Geräten, auch wenn sie nicht an ihrem Rechner sitzen.
• Verbesserte Jira-Integration – Konnektivität zu einer beliebigen Anzahl von Jira-Instanzen. Dies ermöglicht eine konfigurierbare Unterstützung für verschiedene Teams sowie Projekte und eliminiert die Notwendigkeit manueller Workarounds.

Darüber hinaus hat Hackerone die Cloud-Sicherheit in diesem Quartal durch die Erweiterung der Funktionen für Amazon Web Services gestärkt. Das Thema Cloud-Sicherheit wird darüber hinaus auch ein Schwerpunkt auf der diesjährigen Security@-Konferenz des Unternehmens sein.