Pentesting vs. Bug Bounty

Der Vorteil eines Bug Bounty Programmes ist sicherlich, dass die Sicherheit einer Webapplikation im besten Fall kontinuierlich überprüft wird. Kosten entstehen nur, wenn Schwachstellen gefunden werden.
Aber wer garantiert Ihrer Organisation, dass wirklich getestet wird? Sind es erfahrene, qualifizierte Tester, welche die Funktion der Webapplikation verstehen? Werden genügend hohe Bounties bezahlt, dass sich überhaupt hoch qualifizierte Tester für das eigene Bug Bounty Programm gewinnen lassen?

Bei einem Pentest durch eine Sicherheitsfirma ist garantiert, dass im Rahmen des jeweiligen Budgets durch qualifizierte Pentester entsprechende Tests durchgeführt werden.

Die gefundenen Schwachstellen werden dokumentiert, deren Risiko wird basierend auf dem Verständnis der Anwendung und den Geschäftsprozessen eingeschätzt, nicht anhand der erhofften Höhe der jeweiligen Prämie, und es werden Massnahmen zu deren Behebung vorgeschlagen.
In mehreren Fällen haben wir Webapplikationen getestet, die bereits seit längerer Zeit in einem Bug-Bounty Programm aktiv waren, ohne dass dort kritische Schwachstellen gemeldet wurden. Im anschliessend durchgeführten Penetrationstest konnten jedoch gravierende Sicherheitslücken identifiziert werden, die zuvor unentdeckt geblieben waren. Das Auffinden dieser Schwachstellen erforderte ein tiefes Verständnis der Applikation und Geschäftsprozesse sowie die gezielte und strukturierte Vorgehensweise erfahrener Pentester, etwas das in der Breite eines Bug Bounty Ansatzes nicht immer gegeben ist.

Was ist der bessere Ansatz für Ihre Organisation?

Das eine tun und das andere nicht lassen: Ein Bug Bounty Programm kann eine sinnvolle Ergänzung darstellen, insbesondere bei öffentlich zugänglichen Anwendungen, die sehr bekannt sind. Es ersetzt jedoch keinen strukturierten Penetrationstest. Nur dieser stellt sicher, dass in definierten Zeitabständen gezielt und nachvollziehbar getestet wird und dies auch in weniger offensichtlichen Bereichen.

Definieren Sie in Ihrer Organisation die Kriterien (z.B. Major Release, neue Funktionen werden umgesetzt), wann - trotz aktivem Bug Bounty Programm - ein gezielter Pentest in Auftrag gegeben werden soll.