In der Praxis hören wir oft die Frage, wie die "Konkurrenz" der drei Themen Bugbounty-Programme, Penetrationstests und Schwachstellenscans zu bewerten ist. Und Mandanten wollen wissen, welches der drei Verfahren in der Praxis am effektivsten ist.
Kommen wir erst einmal zu Begriffsklärung, bevor wir uns mit Vor- und Nachteilen kritischer auseinandersetzen.
Ein Schwachstellenscan (Vulnerability Scan) ist in der Regel eine automatisierte Überprüfung von Systemen, um bekannte Schwachstellen (z. B. durch veraltete Software, fehlende Patches, unsichere Konfigurationen) zu identifizieren. Diese sind oft in öffentlichen Datenbanken (wie CVE) verzeichnet.
Ein Bug-Bounty-Programm ist ein von einem Unternehmen oder einer Organisation ausgeschriebenes Programm, das Prämien wie Geld- oder Sachpreise für das Entdecken von Schwachstellen in Software, Anwendungen oder Web-Diensten auslobt. Es richtet sich an externe IT-Security-Experten und ist Teil der Sicherheitsstrategie des Unternehmens oder der Organisation.
Der Penetrationstest oder auch kurz „Pentest“ ist der fachsprachliche Ausdruck für einen umfassenden Sicherheitstest einzelner Rechner, Netzwerke oder Anwendungen jeglicher Größe. Ein Penetrationstest prüft die Sicherheit von Systembestandteilen und Anwendungen eines Netzwerks oder Softwaresystems mit Mitteln und Methoden, die tauglich sind, um unautorisiert in das System einzudringen (Penetration). Penetrationstests können Sicherheitslücken aufdecken, aber nicht ausschließen. Werkzeuge bilden bei Penetrationstests Angriffsmuster nach, die sich aus zahlreichen bekannten Angriffsmethoden ableiten lassen.
Dies vorausgeschickt, sollte sich in der Praxis die Art der Sicherheitstests am Gefahrenpotential eines gefährdeten Systems orientieren, gehen wir also in den Vergleich:
Bugbounty
Bugbounty-Programme haben Vorteile:
Es sind kontinuierliche und dynamische Tests, Schwachstellen können jederzeit entdeckt werden, da Forscher rund um die Uhr arbeiten können.
Sie bieten eine Vielfalt an Perspektiven, denn eine breite Gemeinschaft von Sicherheitsexperten bringt verschiedene Ansätze und innovative Techniken ein, die oft über Standardmethoden hinausgehen.
Sie sind flexibel und können auf verschiedenen Systemen gleichzeitig angewendet werden, auch in großen, komplexen Umgebungen.
Sie sind skalierbar, es gibt keine Begrenzung für die Anzahl der Tester – je mehr Forscher, desto mehr Schwachstellen werden wahrscheinlich entdeckt.
Diese haben aber auch Nachteile:
Sie sind unabhängig voneinander, daher oft unstrukturiert und unvorhersehbar, da nicht alle Forscher auf denselben Bereich fokussiert sind.
Die Kosten können hoch sein, wenn die Anzahl der Tests je nach Anzahl und Schwere der gefundenen Schwachstellen variieren. Die „Pay-per-Bug“-Bezahlung kann bei einer hohen Zahl entdeckter Fehler teuer werden.
Sie haben ggf. eine fehlende Tiefe, denn manche Forscher konzentrieren sich nur auf bestimmte, häufige Angriffsvektoren und könnten tiefere, weniger offensichtliche Schwachstellen übersehen.
Penetrationstest
Penetrationstests haben Vorteile:
Sie liefern eine tiefe und gründliche Analyse und bieten detaillierte, manuell durchgeführte Tests, die potenziell tiefere, komplexe Schwachstellen aufdecken können, die von automatisierten Scans nicht erkannt werden.
Sie sind zielgerichtet, der Test kann auf spezifische, riskante Bereiche oder Systeme fokussiert werden, um Schwachstellen in kritischen Bereichen zu finden.
Sie sind strukturiert und von Beginn an dokumentiert, die entstehenden Testergebnisse sind in der Regel gut dokumentiert und enthalten detaillierte Berichte, einschließlich Exploit-Methoden und empfohlenen Lösungen.
Sie haben aber auch Nachteile:
Sie sind von begrenzter Dauer, denn sie sind in der Regel zeitlich begrenzt (ein paar Tage bis Wochen), was bedeutet, dass sie nur einen begrenzten Teil des gesamten Systems abdecken können.
Die Kosten können hoch sein, denn aufgrund des hohen manuellen Aufwands und der Expertise der Tester sind Penetrationstests oft teuer.
Es gibt selten eine Wiederholung und sobald der Test abgeschlossen ist, gibt es keine kontinuierliche Überwachung. Neue Schwachstellen werden erst bei einem nächsten Test entdeckt.
Schwachstellenscan
Schwachstellenscans (Vulnerability Scans) haben Vorteile:
Diese sind automatisiert und schnell, Schwachstellenscans können in kurzer Zeit große Netzwerke und Systeme überprüfen, ohne dass manuelle Eingriffe erforderlich sind.
Sie sind sehr kostengünstig und im Vergleich zu Penetrationstests viel günstiger, da sie standardisierte, automatisierte Verfahren nutzen.
Es kann eine regelmäßige Durchführung stattfinden, denn Schwachstellenscans können regelmäßig und ohne große zusätzliche Kosten durchgeführt werden, was eine kontinuierliche Überprüfung ermöglicht.
Sie haben aber ebenso Nachteile:
Es ist oft eine begrenzte Tiefe feststellbar, die Schwachstellenscans sind nur so gut wie die verwendeten Datenbanken und können oft nur bekannte Schwachstellen erkennen. Und komplexe, unbekannte oder neuartige Schwachstellen werden möglicherweise nicht entdeckt.
Automatisierte Scans können sogenannte "False positives" liefern, also falsche positive Ergebnisse, damit sind Fehler gemeint, die fälschlicherweise als Schwachstelle identifiziert wurden, aber in Wirklichkeit und in dem Zusammenhang sicher sind, was zusätzliche Ressourcen für die Überprüfung beanspruchen kann.
Sie liefern keine Exploitation, Schwachstellenscans können Schwachstellen nur identifizieren, aber sie versuchen nicht, diese aktiv auszunutzen oder das System zu kompromittieren. Das bedeutet, dass sie keine realistischen Angriffsvektoren liefern.
Fazit
Bugbounty-Programme eignen sich hervorragend für die kontinuierliche und skalierbare Identifizierung von Schwachstellen (z. B. in verschiedenen Ländern, auf anderen Plattformen und Sprachen) und bieten eine hohe Vielfalt bei den Entdeckungen. Sie sind i. d. R. kosteneffizienter, liefern jedoch weniger tiefgehende Tests und können unvorhersehbar in Bezug auf die Ergebnisse sein.
Penetrationstests sind die beste Wahl, wenn es um tiefe und gründliche Analysen geht, vor allem für kritische Systeme oder zu bestimmten Zeitpunkten (z. B. vor einer Produkteinführung). Sie sind jedoch teuer und zeitlich begrenzt, können allerdings in bestimmten Szenarien (z. B. bei konkreten Compliance-Anforderungen) unverzichtbar sein.
Schwachstellenscans bieten eine schnelle und kostengünstige Möglichkeit, bekannte Schwachstellen zu finden. Sie sind ideal für die regelmäßige Überprüfung, aber sie bieten keine tiefgehende Analyse und erkennen keine unbekannten oder komplexen Schwachstellen.
Und die Frage der besten Wahl („Bugbounty, Pentest oder Schwachstellenscan: Was schützt wirklich?“) kann letztlich nicht klar beantwortet werden, da alle andere Ziele und Vorgehensweisen haben, daher haben alle Methoden ihren Platz in einer ganzheitlichen Sicherheitsstrategie. Je nach Bedarf und Ressourcen können Unternehmen entscheiden, ob sie sich für eines der Modelle oder eine Kombination entscheiden.
Bei hohem Risiko sollte eine umfassende Sicherheitsstrategie gewählt werden, dabei könnten Unternehmen je nach Sicherheitsbedarf der Assets alle drei Ansätze kombinieren, um sowohl eine kontinuierliche Überwachung als auch tiefgehende Analysen zu gewährleisten.
Die vorherige Risikobestimmung des Assets ist daher eine wichtige Grundlage für Entscheidungen, Umsetzung und – last but not least – Kosten und Personalaufwand, Opexa hilft gerne dabei, die richtige Wahl zu treffen und die nötigen Maßnahmen umzusetzen.
Und dazu haben wir ein gutes Team und ein erfolgreiches Netzwerk, denn wir führen Schwachstellenscans mit Tools (Die automatisierte Security Audit Plattform für MSSPs | lywand) eigenständig durch, wir arbeiten im Bereich Bugbounty mit Experten von GObugfree (GObugfree - Crowd-basierte Cybersicherheit einfach gemacht) zusammen und im Bereich von Pentestst mit den Fachleuten von Lutra (Lutra Security).
Comments