Cybersicherheit ist kein stehender, vordefinierter Prozess sondern verlangt ständige Anpassung an einen wachsenden Bedarf für Unternehmen und Kunden. Das Hat Grammarly, Entwickler des gleichnamigen Sprachassistenten, früh erkannt und sich bereits vor fünf Jahren für ein Bug Bounty Programm entschieden. Im Rahmen dieser Programme sollen Penetration Testing und Ethical Hacking für mehr Sicherheit sorgen. Und das es funktioniert, zeigt die kontinuierliche Erhöhung des Sicherheitslevels bei Grammarly.
Bug Bounty Programm: von privat zu öffentlich
Wie auch andere Unternehmen hat sich Grammarly dem „Bug Bounty Projekt“ über öffentliche Programme angenähert, nachdem die Möglichkeiten der privaten Bugs ausgeschöpft schienen. Positiv war die Möglichkeit, in kleinerem, vordefinierten Teilnehmerrahmen rasch Erkenntnisse zu sammeln und die internen Prozesse zur Annahme und Behebung von Schwachstellen zu verfeinern. Doch diese kleineren Teams stießen irgendwann an ihre Grenzen. Da beschloss Grammarly, einen der White Hat Hacker, die im Programm waren, in das Security Team einzugliedern.
Seit vier Jahren ist Vladimir Metnew als Application Security Engineer tätig. Er koordinierte und leitet das öffentliche Bug Bounty Programm und arbeitet mit den ethischen Hackern zusammen. Er sagt: „Dem Team von Grammarly beizutreten und dem Unternehmen dabei zu helfen, die Sicherheitsbemühungen zu stärken, war für mich damals eine naheliegende Entscheidung. Während viele Aufgaben, die ich als unabhängiger Sicherheitsforscher ausführte, meinen jetzigen Aufgaben ähnlich sind, ist die Arbeit als Application Security Engineer viel komplexer und mehrschichtiger. Sie erfordert gute Fähigkeiten in der Entwicklung und Softwarearchitektur.“
Grundlage für den Erfolg des Bug Bounty Programms ist für Metnew die Kommunikation: „Kommunikation ist der Schlüssel zum Erfolg eines jeden Bug-Bounty-Programms. Es ist wichtig, einen aktiven Austausch zu pflegen und die Bemühungen der teilnehmenden ethischen Hacker zu würdigen, die sich entschieden haben, Zeit in ihr Programm zu investieren, und nicht in ein anderes.“
Bug Bounty Programme haben sich in der IT Wirtschaft bewährt, sie sind eine Win-Win Situation für beide Seiten. Das Unternhemen erhält schnell Informationen zu Schwachstellen, der Hacker wird dafür belohnt. Metnew erklärt: Ethische Hacker helfen bei der Lösung von logischen Fehlern, Fehlkonfigurationen und Kommunikationsproblemen in verschiedenen Diensten, bei denen die Automatisierung nicht immer hilft. Sie sind in der Regel proaktiv und melden Fehler, sobald sie sie entdecken, da sie bestrebt sind, die besten Ergebnisse zu erzielen.“
Cybersecurity: Strategien für langfristigen Erfolg
Natürlich sind auch Bug Bounty Programme keine Selbstläufer sonder sollten strategisch geplant und immer wieder den Bedürfnissen an die Sicherheit angepasst werden. Grammarly hat sich für Incentives entschieden, wie Metnew erklärt: einen zweifachen „Bounty Bonus“ mit bis zu 100.000 Dollar für relevante Berichte über Schwachstellen mit hohem und kritischem Schweregrad in unserem neuen Authentifizierungs- und Autorisierungsdienst. Bis heute hat Grammarly über 270.000 Dollar an Prämien an ethische Hacker gezahlt. Mit dieser Investition haben wir etwa 190 wertvolle Berichte von Top-Security-Researchern erhalten.“ Solche Boni und regelmäßige Aktualisierungen der Programmbeschreibung halten das Effizienzniveau hoch, was im Endeffekt den Kunden von Grammarly zugute kommt.