Share
Beitragsbild zu Jenseits von Penetrationstests: Crowdsourced Cyber-Security

Jenseits von Penetrationstests: Crowdsourced Cyber-Security

Die Ausgaben für die Cybersicherheit haben einen historischen Höchststand erreicht. Je nachdem, welche Statistik zu Rate gezogen wird, überteffen sich die Milliardenschätzungen. Wäre Cybercrime ein Land, so wäre es wohl die drittgrößte Volkswirtschaft weltweit, nach China und den USA. Und der Telekommunikationssektor hat daran einen beträchtlichen Anteil.

Dabei ist die Telekommunikationsbranche nicht einmal das lukrativste Ziel für Hacker. Diese Ehre gebührt der Finanzdienstleistungsbranche. Die Telco-Branche ist jedoch in doppelter Hinsicht gefährdet: Sie ist ein eigenständiges Ziel, und sie ist gleichzeitig das Tor zu riesigen Mengen geschäftskritischer Daten für andere Branchen. Infolgedessen bilden Telekommunikationsnetze einen erheblichen Teil der Angriffsfläche aller Sektoren und bieten nicht nur Möglichkeiten für Datendiebstahl, sondern auch Einfallstore für Malware und DDoS-Angriffe (Distributed Denial of Service).

Telekommunikationsunternehmen stehen im Zentrum eines Ökosystems, das nur schwer zu kontrollieren ist. Wie gut ihre Sicherheit auch sein mag, sie sind den Hygienepraktiken aller mit ihnen verbundenen Organisationen, einschließlich der Hardware-Anbieter, ausgeliefert. Das bedeutet, dass nicht nur die Kunden anfällig sind, sondern auch Drittanbieter von Diensten, die deren Netze nutzen.

Darüber hinaus sind Telekommunikationsnetze als kritische nationale Infrastruktur zunehmend attraktiv für Bedrohungsakteure, für die sie nicht nur eine wertvolle Datenquelle, sondern auch ein Ziel für Störungen, einschließlich wirtschaftlicher und sogar politischer Einmischung darstellen.

KI erweitert den Angriffsvektor

Jüngste Untersuchungen von British Telecom haben ergeben, dass täglich mehr als 46 Millionen Signale im Zusammenhang mit potenziellen Cyberangriffen auf die weltweiten Netzwerke erkannt werden können. Das sind rund 530 potenzielle Angriffe, die jede Sekunde gestartet werden.

Im Januar dieses Jahres wurden die Daten von 750 Millionen Telekommunikationsnutzern in Indien kompromittiert. Namen, Adressen, Handynummern und eindeutige ID-Nummern für jeden indischen Bürger wurden im Dark-Web für schlappe 3.000 Dollar zum Verkauf angeboten. Im selben Monat kam es bei der Telekom Malaysia zu einem Einbruch, der 200 Millionen Datensätze betraf.

Hinzu kommt ein weiterer Faktor, der die ohnehin schon turbulente Situation noch weiter verschärft: Die künstliche Intelligenz lässt erwarten, sowohl den Umfang als auch den Einfallsreichtum der Bedrohungen zu erhöhen.

Angesichts einer Bedrohung kritischer Infrastrukturen reagieren Regierungen in der Regel mit der Einführung von Vorschriften. Dies hat dazu geführt, dass die Zahl der Compliance-Richtlinien und Gesetze, die zum Beispiel regelmäßige Penetrationstests vorschreiben, gestiegen ist. Dies sind zwar notwendige und nützliche Übungen, aber sie haben ihre Grenzen.

Penetrationstests sind nicht neu

Penetrationstests sind so alt wie die Vernetzung selbst. Sie gehen auf die späten 1960er Jahre zurück, als die Betreiber von Computernetzen Teams aus Sicherheitsexperten formierten, um Schwachstellen in ihrer Infrastruktur zu finden, bevor ein potenzieller Angreifer sie ausnutzen konnte.

Fünf Jahrzehnte später haben sich die Grundsätze von Pentests kaum verändert, aber die Welt ist heute vernetzter, komplexer und schnelllebiger geworden. Die frühen Netzwerke waren hauptsächlich physische Einheiten, die durch relativ wenig Software miteinander verbunden waren. Heute bestehen sie hauptsächlich aus Software, die ständig aktualisiert wird.

Da künstliche Intelligenz eine immer wichtigere Rolle bei der Netzwerkautomatisierung spielt, wird sich die Netzwerksoftware künftig selbst neu schreiben – und sich dadurch verbessern, aber unweigerlich auch neue Schwachstellen schaffen.

Bei relativ stabilen und sich langsam entwickelnden Systemen waren zeitpunktbezogene Penetrationstests sinnvoll. Dies ist jedoch nicht mehr der Fall. Ein weiteres Problem bei vorgeschriebenen Konformitätstests besteht darin, dass ihr Umfang kaum die reale Welt widerspiegelt, in der die Telekommunikations-unternehmen arbeiten. Um praktikabel zu sein, konzentrieren sich die Tests meist auf ein isoliertes System oder eine begrenzte Anzahl von Systemen. Daher sagen die Ergebnisse solcher Tests möglicherweise nichts darüber aus, wie sich dieselben Systeme in einem breiteren Netz-Ökosystem verhalten werden.

Bei den meisten herkömmlichen Pen-Tests wird der Umfang der Übung gemeinsam vom Netzbetreiber und dem Tester festgelegt. Dies hat zwei Nachteile. Erstens ist der Tester möglicherweise Regeln unterworfen, die von den Gegnern nicht befolgt werden. Zweitens ist der Verwaltungsaufwand, der mit der Planung und Durchführung von Pen-Tests verbunden ist, der Flexibilität abträglich und hält von häufigen Tests ab.

Größerer Genpool als Lösung

Pen-Tests und ein breiteres Spektrum an Cybersecurity-Verteidigungsdiensten haben sich entwickelt, um diese Probleme anzugehen. Die Evolution hat zwei Formen angenommen: einen größeren Genpool und effizientere Möglichkeiten, auf Angreifer zu reagieren.

Das Crowdsourcing von Verteidigern ist eine offensichtliche Möglichkeit, das zahlenmäßige Ungleichgewicht zu beseitigen. Das Anbieten von Belohnungen durch Bug-Bounty-Programme löst das Problem der Motivation. Ethical Hacking bietet jetzt eine lukrative Alternative zum kriminellen Hacking. Es ist nicht mehr notwendig, das Gefängnis zu riskieren, um Millionär zu werden. Auch wenn nur die talentiertesten ethischen Hacker ein siebenstelliges Einkommen erreichen, können gute Hacker ein sehr anständiges Einkommen erzielen.

Die Auslagerung der Cybersicherheit oder die Schaffung von Anreizen durch Bug-Bounties ist nichts Neues. Die bahnbrechende Entwicklung war das Aufkommen von Crowdsourcing-Plattformen, die es den Unternehmen erleichtern, den Genpool der ethischen Hacker anzuzapfen. Einige dieser Plattformen nutzen Intelligenz (einschließlich künstlicher Intelligenz), um Unternehmen mit den von ihnen benötigten Fähigkeiten zusammenzubringen. Sie automatisieren auch andere Prozesse, die die Kunden nur mühsam selbst verwalten können, z. B. Zahlungen und Schwachstellenberichte oder – im Falle von Pen-Tests – Projektdesign und -management. Am wichtigsten ist jedoch, dass sie den Kunden einen beeindruckenden Return on Investment (ROI) bieten.

Der plattformbasierte Ansatz ermöglicht es Unternehmen, Bug-Bounty-Programme zu implementieren, die ethische Hacker einsetzen, die Schwachstellen testen und melden können, die ein starrer, auf der Einhaltung von Vorschriften basierender Test niemals aufdecken würde.

Darüber hinaus verringern Crowdsourcing-Plattformen die Vorlaufzeiten und den Verwaltungsaufwand bei der Durchführung von Pen-Tests und ermöglichen häufigere Tests. Daher werden sie regelmäßig von Telekommunikationsunternehmen wie T-Mobile, Comcast/Xfinity und Telstra als Teil umfassenderer Bug-Bounty- und Schwachstellenentdeckungsprogramme eingesetzt. Diese ermöglichen ein kontinuierliches Testen der Verteidigungsmaßnahmen in einer sich ständig verändernden Bedrohungslandschaft.

Penetrationstests sind nach wie vor entscheidend für den Schutz von Telekommunikationsdiensten. Eine neue Welle von Penetrationstests als Dienstleistung (PTaaS) kombiniert die Vorteile von Crowdsourcing und plattformbasierter Automatisierung, wodurch der Pool an Fachwissen, der den Kunden zur Verfügung steht, vergrößert und gleichzeitig schwerfällige Prozesse, die Verzögerungen und zusätzliche Kosten verursachen, eliminiert werden.

Pen-Tests as Service

PTaaS ermöglicht es Telekommunikationsunternehmen, die gesetzlichen Anforderungen nicht nur zu erfüllen, sondern sie zu übertreffen. Es automatisiert den Prozess der Hervorhebung kritischer Schwachstellen und der Festlegung von Prioritäten für deren Behebung, da PTaaS-Plattformen Schwachstellenberichte direkt in DevSec-Workflows einspeisen können. Am wichtigsten ist jedoch, dass ein flexiblerer Prozess mit kürzeren Einrichtungszeiten bedeutet, dass Tests häufiger durchgeführt werden können, wodurch das Hauptproblem herkömmlicher Punkt-zu-Punkt-Tests – ihre mangelnde Wiederholbarkeit und Skalierbarkeit – überwunden wird.

Das Aufkommen der KI treibt die nächste Entwicklung der Penetrationstests voran. Da Telekommunikations-unternehmen KI für eine Vielzahl von Anwendungen vom Kundenservice bis zur Netzwerkautomatisierung einsetzen, müssen sich auch ihre Sicherheitstests entsprechend weiterentwickeln. KI-Software ist nicht nur für herkömmliche Schwachstellen anfällig, sondern auch für neue, wie z. B. Prompt Injection. Dabei werden irreführende Eingaben verwendet, um ein KI-System dazu zu bringen, seine Ausgaben zu ändern. Prompt Injection ist eine bekannte Gefahr. Es wird weitere geben.

Ob die massiven Investitionen in die Cybersicherheit dazu geeignet sind, das Blatt der Cyberkriminalität entscheidend zu wenden, hängt davon ab, wie sie getätigt werden. Ein kontrollierter Ansatz für Crowdsourcing bietet umindest gute Chance dafür.

Motorola Mobile führte beispielsweise ein internes Bug-Bounty-Programm durch, aber es war ein mühsamer Prozess. Das kleine Sicherheitsteam musste die gesamte Sichtung und Validierung von Schwachstellen durchführen, die Kommunikation mit Tausenden von Sicherheitsforschern auf der ganzen Welt koordinieren, Berichte erstellen und sich mit der Logistik der Auszahlung von Bountys in verschiedenen Währungen befassen. Die Lage änderte sich mit der Entscheidung, all diese Prozesse im Rahmen eines Bug-Bounty-Programms zu automatisieren und eine Partnerschaft mit einem Crowdsourced Security Platform Provider einzugehen. Der Anbieter, Bugcrowd, kümmerte sich auch um alle Hintergrundprüfungen, einschließlich der Überprüfung der Identität und des Standorts der Hacker, die zu Motorolas virtuellem Team wurden.

Der Umfang des Dienstes umfasste die Websites und mobilen Anwendungen von Lenovo und Motorola. Seit dem Start des Dienstes wurden 391 Sicherheitslücken gefunden, für die die Hacker zwischen 100 und 1500 Dollar erhielten. Die durchschnittliche Auszahlung lag bei 344 Dollar, und die Gesamtprämie über einen Zeitraum von drei Jahren betrug 140.000 Dollar. Das ist eine bescheidene Summe, aber der CISO von Motorola Mobility, Richard Rushing, schätzt, dass der Dienst dem Unternehmen 60 Millionen Dollar ersparte, indem er potenzielle Datenschutzverletzungen verhindert hat.

Autor: Dave Gerry, CEO von Bugcrowd


Bild/Quelle: https://depositphotos.com/de/home.html

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden