Vor genau einem Jahr hat Puzzle mit Bug Bounty Switzerland ihren ersten privaten Bug-Bounty-Versuch – einen sogenannten Reality-Check – gestartet. Heute sind wir mit einem kontinuierlichen privaten Programm einen Schritt weiter. Der nächste Schritt – ein öffentliches Programm – steht kurz bevor. Wir sind davon überzeugt, dass wir unserer Sicherheit nur vertrauen können, wenn wir sie ständig von einer Community von ethischen Hackern testen lassen. Dies wollen wir nicht nur uns, sondern auch unseren Kund*innen beweisen.
Vor genau einem Jahr fanden wir, dass wir bereit sind, unsere Infrastruktur und Eigenentwicklungen von ethischen Hackern angreifen zu lassen. Da unser Scope relativ breit ist und wir zu diesem Zeitpunkt nur schwer abschätzen konnten, was uns erwarten würde, haben wir uns in einem ersten Schritt für einen Reality-Check mit der Schweizer Firma Bug Bounty Switzerland entschieden. Ein Reality-Check unterscheidet sich von einem kontinuierlichen Programm dadurch, dass das Programm komplett durch Bug Bounty Switzerland betrieben wird und nur wenige Wochen dauert. Man kann also einfach mal starten und die Zusammenarbeit mit ethischen Hackern ausprobieren, auch wenn interne Prozesse zur Abarbeitung von gefundenen Schwachstellen noch nicht vollständig etabliert sind. Spätestens mit einem Bug Bounty Programm wir der Grundstein für ein gut funktionierendes Vulnerability Management gelegt.
Öffentliches Programm
Heute sind wir weit über den Reality-Check hinaus. Zur Zeit läuft bei uns ein privates Programm kontinuierlich. Wir haben nun bereits einige hundert Hacker auf dem Programm, dass der nächste natürliche Schritt unmittelbar bevorsteht: Wir werden das Programm bald public und somit allen verifizierten Hackern auf der Plattform von Bug Bounty Switzerland zugänglich machen. Voraussetzung dafür ist u.a., dass interne Ansprechpartner*innen und Prozesse eine zeitnahe Reaktion auf gefundene Schwachstellen gewährleisten können. Weiter müssen die Security-Spezialist*innen in der Firma fähig sein, Findings richtig einzuschätzen und entsprechend an die richtigen Leute zur Behebung weiterzugeben. Hier ist es besonders wichtig, dass das Security-Team zB. via Security-Champions in alle Teams vernetzt ist. Alles Dinge, die sich auch durch die iterative Weiterentwicklung von unserem Bug Bounty Programm bereits sehr gut etabliert haben.
Der Nutzen
Der Nutzen eines Bug-Bounty-Programms ist enorm. Es zeigt der Firma Verbesserungspotenzial auf, so das weit über die einzelnen Findings hinausgeht. Die gefundenen Schwachstellen sind für uns relevant und wir sind froh, dass wir sie beheben dürfen, bevor sie von Kriminellen ausgenutzt werden. Die technische Ersteinschätzung von Bug Bounty Switzerland ist sehr wertvoll, nimmt uns viel Arbeit ab und die Zusammenarbeit funktioniert sehr effizient. Der Austausch mit den ethischen Hackern ist nicht nur sehr spannend, ihre unvoreingenommene Sichtweise von aussen auf unsere Systeme ist hilf- und lehrreich für unsere ganze Organisation.
Gute Partnerschaft
Wir sind davon überzeugt, dass die Security in allen Phasen der Softwareentwicklung und in allen Bereichen der Infrastruktur dazugehört. Wissen, ob es auch tatsächlich wasserdicht ist, tut man erst, wenn man eine Community von hoch-spezialisierten Hackern drauflos lässt. Mit Bug Bounty Switzerland haben wir einen kompetenten Partner gefunden, dem wir zu 100% vertrauen.
Wie Bug Bounty Switzerland zu unserer Partnerschaft steht, erfahrt ihr übrigens in dieser Case Study.