Sicherheit

Für Cloud-Services: neue Hackerone-Plattform unterstützt beim Erkennen, Analysieren und Beheben von Fehlkonfigurationen

<p><strong><a href="https://u7061146.ct.sendgrid.net/… target="_blank" rel="noopener noreferrer">Hackerone</a>, die führende Sicherheitsplattform für ethisch motivierte Hacker – die so genannten White Hat Hacker –, erweitert sein Produktportfolio um zahlreiche innovative Funktionen. Diese neuen Funktionen unterstützen Organisationen weltweit bei der einfachen Skalierung ihrer Sicherheit und der Reduzierung von Security-Risiken, bei denen herkömmliche Sicherheitstools versagen. Der Hintergrund der jetzt erfolgten Erweiterung ist die massive Zunahme an Fehlkonfigurationen von Cloud-Services. Dies zeigt sich unter anderem in einem Anstieg von 310 Prozent bei entsprechenden Berichten auf der Hackerone-Plattform. Ferner weist eine Prognose von Gartner darauf hin, dass bis 2022 95 Prozent der Cloud-Sicherheitsprobleme das direkte Ergebnis von Fehlkonfigurationen sein werden. </strong></p> <p>Anwendungen, die auf Cloud-Infrastruktur-Services basieren, sind komplex und ändern sich ständig. Dies macht die Absicherung von Cloud-Workloads und -Services im großen Maßstab fast unmöglich, sofern man sich auf unterschiedlichste Tools verlässt. Die neuen Funktionen der Hackerone-Produkte bieten Unternehmen die Transparenz, den Kontext und den On-Demand-Zugang zu qualifizierten Sicherheitsexperten, die sie benötigen, um Cloud-Workloads zu schützen, anomale Aktivitäten zu untersuchen oder Compliance-Anforderungen zu erfüllen – alles an einem Ort. Die neuesten Erweiterungen bieten Unternehmen über alle Branchen hinweg und unabhängig von Ihren Angriffsflächen Zugang zu einer Suite von Tools, um:  </p> <ul role="list"> <li role="listitem" aria-setsize="-1" data-listid="3" data-leveltext="" data-font="Symbol" data-aria-posinset="1" data-aria-level="1"> <p>Design, Entwicklung und Bereitstellung von Anwendungen abzusichern – mit Hilfe von: </p> <ul> <li><strong>Hackerone-Assessments:</strong> Von Webanwendungen über Mobile bis hin zu Application Program Interfaces (APIs), Cloud- und Netzwerksicherheit – Hackerone Assessments gehen über automatisierte Tools und Prozesse hinaus. Organisationen können den Umfang des Assessments definieren und Experten mit spezifischen Fähigkeiten rekrutieren.</li> <li><strong>Erkenntnissen von Hackerone zu Schwachstellen:</strong> Damit erhalten Kunden ein hilfreiches Tool, das ihnen eine Momentaufnahme des Risikos von Schwachstellen liefert, die bereits von Hackern auf der Hackerone-Plattform offengelegt wurden. Zudem lassen sich damit wichtige Bereiche innerhalb des Schwachstellen-Lebenszyklus verfolgen und die Ergebnisse mit früheren Tests und anderen Security-Experten aus der eigenen Branche vergleichen.  </li> </ul> </li> <li role="listitem" aria-setsize="-1" data-listid="3" data-leveltext="" data-font="Symbol" data-aria-posinset="1" data-aria-level="1"> <p>Das Erkennen, Priorisieren und Beheben von Schwachstellen zu beschleunigen – mit Hilfe von: </p> <ul> <li><strong>Erweiterten Workflows:</strong> Planen, Erstellen, Testen, Verwalten und Weiterentwickeln von Workflows mit benutzerdefinierten Startpunkten, maßgeschneiderten Empfehlungen und intelligentem Musterabgleich. Mit den erweiterten Workflows von Hackerone können Kunden automatisierte Prozesse erstellen, die Aktionen auslösen – basierend auf der Kritikalität von Schwachstellen. Dazu gehören unter anderem auch bidirektionale Synchronisationen, die Daten und Datensätze zwischen wichtigen Plattformen wie Github, Jira, ServiceNow, Gitlab, Microsoft Azure DevOps und dem Rest ihres Tech-Stacks aktualisieren. ​​​​​​</li> <li><strong>Anleitungen zur Beseitigung von Schwachstellen:</strong> Die Hackerone-Plattform stellt Hinweise zur Beseitigung jeder gefundenen Schwachstelle zur Verfügung, um das Verständnis für diese Sicherheitslücke und deren Behebung zu unterstützen. </li> </ul> </li> <li role="listitem" aria-setsize="-1" data-listid="3" data-leveltext="" data-font="Symbol" data-aria-posinset="1" data-aria-level="1"> <p>Die Programmeffizienz zu verbessern – mit Hilfe von: </p> <ul> <li><strong>Attestierungsberichten: </strong>Aufgrund erweiterter Sicherheitsvorgaben (gemäß <a href="https://u7061146.ct.sendgrid.net/… target="_blank" rel="noopener noreferrer">NIST 800-53 Revision 5</a>) müssen Unternehmen nun den Nachweis eines funktionierenden Prozesses zur Offenlegung von Schwachstellen erbringen, um gesetzliche Regularien einzuhalten. Sogenannte Testation Reports erledigen dies für Compliance-Teams mit einem einzigen Klick. Kunden können Programm-Metriken mit umfassenden Berichten einsehen, um die mittlere Zeit bis zur Behebung (MTTR) und den Grad der Kritikalität von Schwachstellen zu berücksichtigen – und somit die Compliance nachzuweisen. Unternehmenskunden von Hackerone haben nun zusätzlich die Möglichkeit, ihre Berichte zu Schwachstellen mit dem eigenen Markenzeichen zu versehen, um ihr Vulnerability Disclosure Program (VDP) nahtlos in das Branding zu integrieren.  </li> <li><strong>Benutzerdefinierten Feldern für Hacker:</strong> Kunden können dank der neuen Funktionen zusätzliche Felder zu Formularen hinzuzufügen und Einreichungsformulare anpassen, um mehr Informationen von den Security-Experten zu erhalten, darunter Versionsnummern, verwendeter Browser, IP-Adresse und mehr.  </li> <li><strong>Verbesserter Kommunikation mit den Hackern:</strong> Unternehmen erhalten die Option, auch Videos von ihrer Kommunikation mit den Hackern aufzuzeichnen. Dies ermöglicht es in der Folge, auch zu einem späteren Zeitpunkt, kontextbezogene, reproduzierbare Schritte zur Validierung von Schwachstellen und Abhilfemaßnahmen bereitzustellen. Für Unternehmen mit strengen behördlichen oder datenschutzrechtlichen Anforderungen stellt <a href="https://u7061146.ct.sendgrid.net/… target="_blank" rel="noopener noreferrer">Hackerone Clear</a> zudem entsprechende Hintergrundinformationen über die Hacker zur Verfügung. </li> <li><strong>Verbesserter Zusammenarbeit mit den Hackern:</strong> Dies macht es möglich, dass mehrere Hacker, gemeinsam an Berichten arbeiten. Dadurch erhöht sich die Wahrscheinlichkeit, Lücken in der Cloud-Infrastruktur zu entdecken, entsprechend bedeutsame Erkenntnisse zu gewinnen und den Hackern bietet es die Chance auf höhere Prämien für die erfolgreichere Jagd nach kritischen Schwachstellen in der Cloud-Infrastruktur.  </li> </ul> </li> </ul> <p>„Das ist die Zukunft der Cybersicherheit. Hackerone ist unser Sicherheitsarsenal und unsere zuverlässigste Verteidigungslinie“, sagt Dr. Jaysn Voshell, Director Product Security bei Zebra Technologies. „Durch die Partnerschaft mit Hackerone haben wir einen höheren Return on Investment erhalten als mit jedem anderen Sicherheitsanbieter. Zebra war in der Lage, das Sicherheitsprogramm über die verschiedenen Produktangebote innerhalb von Hackerone zu skalieren – von Sicherheitsbewertungen für Produktveröffentlichungen über Bug Bounty für Continuous Testing bis hin zu einem Mechanismus für Sicherheitsforscher von Drittanbietern, um Schwachstellen einzureichen. Die Möglichkeit, sich in ein Plattform-Portal einzuloggen, benachrichtigt zu werden, wenn eine Schwachstelle gemeldet wird, und Bugs im selben Workflow zu beheben, ist etwas, was wir bisher nicht konnten.“ </p> <p>„Unternehmen migrieren schneller als je zuvor in die Cloud“, erklärt Alex Rice, Chief Technology Officer und Mitbegründer von Hackerone. „Höhere Geschwindigkeit und Agilität der IT, angetrieben durch die neueste Technologie, verstärken den Bedarf an Sicherheit, um sich den neuen digitalen Geschäftsanforderungen anzupassen.“ </p> <p>Experten gehen laut einer <a href="https://u7061146.ct.sendgrid.net/… target="_blank" rel="noopener noreferrer">aktuellen Studie</a> davon aus, dass die Ausgaben für Public-Cloud-Services von 229 Milliarden US-Dollar im Jahr 2019 auf 500 Milliarden US-Dollar im Jahr 2023 steigen werden. Dennoch werden 99 Prozent der Sicherheitsvorfälle bei der Cloud vom Anwender verschuldet sein. Dies bedeutet, dass von Cloud-Administratoren jetzt erwartet wird, dass sie wissen, wie Cloud-Security-Services funktionieren, sie diese richtig konfigurieren und ebenso die Cloud-Implementierungen warten.  </p> <p>„Mit der Akzeptanz kommt das Risiko", fährt Rice fort. „Doch der Schlüssel zur Verteidigung gegen sich entwickelnde Bedrohungen ist Geschwindigkeit. Die Begrenzung der Expositionszeit und die Verkürzung der mittleren Zeit zum Erkennen und Reagieren ist wesentlich für den Schutz aller Daten, wenn sie in die Cloud verlagert werden. Hacker haben die Möglichkeit, genau das für die Unternehmen zu übernehmen.“ </p> <p>Nähre Informationen zu den angekündigten Neuerungen sowie weiteren Details, Screenshots und mehr, finden Sie im <a href="https://u7061146.ct.sendgrid.net/… target="_blank" rel="noopener noreferrer">aktuellen Blog von Hackerone</a>. </p>
Über Hackerone

Hackerone ist die Nr. 1 unter den hackergesteuerten Pentest- und Bug-Bounty-Plattformen. Hackerone hilft Unternehmen dabei, kritische Schwachstellen zu finden und zu beheben, bevor diese ausgenutzt werden können. Mehr Fortune-500-Unternehmen und Forbes Global 1000-Unternehmen vertrauen Hackerone als jeder anderen Hacker-basierten Sicherheitsalternative. Mit rund 2.000 Programmen bei den Kunden, darunter das US-Verteidigungsministerium, General Motors, Google, Goldman Sachs, PayPal, Hyatt, Twitter, GitHub, Nintendo, Lufthansa, Microsoft, MINDEF Singapur, Panasonic Avionics, Qualcomm, Starbucks, Dropbox, Intel, hat Hackerone geholfen, mehr als 170.000 Schwachstellen zu finden und einer wachsenden Gemeinschaft von über 750.000 Hackern mehr als 100 Millionen Dollar an Bug-Bounties zu gewähren. Hackerone hat seinen Hauptsitz in San Francisco und unterhält Niederlassungen in London, New York, den Niederlanden, Frankreich und Singapur. Das Unternehmen wurde von Fast Company zu den 50 World’s Most Innovative Companies 2020 gewählt.

Firmenkontakt und Herausgeber der Meldung:

Hackerone
22 4th Street, 5th Floor
USACA 94103 San Francisco
Telefon: +49 (89) 80090-819
http://www.hackerone.com

Ansprechpartner:
Matthias Uhl
AxiCom GmbH
Telefon: +49 (89) 80090-819
E-Mail: matthias.uhl@axicom.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel