Hacker-unterstützte Pentests für Unternehmen

So sieht der Pentest von Hackerone aus.

Quelle: (Quelle: hackerone.com )

"Penetrationstests in ihrer traditionellen Form werden aufgebrochen", sagt Guillaume Vives, Chief Product Officer bei Hackerone. "Der langwierige Prozess des Wartens auf ein umfangreiches Dokument, das gefundene Schwachstellen beinhaltet - relevant oder nicht - passt nicht zu der Geschwindigkeit moderner Software- und Web-Entwicklung. In heutigen, agilen Umgebungen sollten sich Pentest-Plattformen nahtlos in jeden Aspekt der Softwareentwicklung integrieren lassen, so dass die Erkenntnisse schnell an den richtigen Entwickler weitergeleitet und Schwachstellen schneller behoben werden können. Mit einer All-in-One-Plattform können Kunden den Fortschritt über die Kickoff-, Test-, Wiederholungs- und Behebungsphasen hinwegverfolgen."

Zu den wichtigsten Eigenschaften von Hackerone Pentest gehören:

Die globale Pentester-Community von Hackerone besteht aus mehr als 750.000 professioneller White-Hat-Hacker und bietet dem Kunden große Flexibilität bei diversen Testanforderungen.
Die Tests werden so durchgeführt, dass gesetzliche Vorschriften eingehalten werden. Die Reports entsprechen Standards, zum Beispiel SOC2, HITRUST und ISO 27001. Die Ergebnisse werden in einem methodenbasierten Bericht zusammengefasst, damit Dritte im Unternehmen die Ergebnisse entsprechend einordnen können.
Der Onboarding-Prozess ist schnell und einfach. Bereits nach sieben Tagen können die Tests durchgeführt werden, und erste Ergebnisse sind nach vier Wochen abrufbar.
Die Integration in bestehende Plattformen wie Jira, Github, GitLab, Slack und Zendesk ermöglicht es den Kunden, sich in bereits verwendete Prozesse und Anwendungen einzufügen, um Verzögerungen zu vermeiden. Dies stellt sicher, dass Entwickler die gefundenen Schwachstellen schneller beheben können. Eingehende Berichte sind vollständig und umfassend, um reproduzierbare Ergebnisse zu ermöglichen, und jede erneute Prüfung ist inbegriffen. Hacker verwenden zur Gewährleistung der Konsistenz branchenübliche CVSS-Schwachstellenbewertungen.
Die Durchführung der Tests ist transparent und lässt den gesamten Prozess jederzeit überwachen. In regelmäßigen Abständen werden Updates geteilt. Dies fördert effektivere Tests und liefert zuverlässigere, qualitativ hochwertigere Ergebnisse.
Hackerone Pentest ergänzt bestehende Hackerone Response-, Bounty- und Challenge-Programme, um die fortlaufenden Test- und Compliance-Anforderungen zu erfüllen, die eine umfassende und offensive Sicherheitsstrategie verstärken.

"Wenn Kunden darauf vertrauen, dass Sie ihre Daten in der Cloud speichern und verwalten, und die Aufsichtsbehörden zuschauen, brauchen Sie eine kreative Sicherheitslösung, die über die Checkliste hinausgeht," erklärt George Gerchow, Chief Security Officer bei Sumo Logic. "Keine zwei Angriffsflächen sind identisch. Dennoch waren die meisten traditionellen Pentests, die wir erlebten, eine standardisierte Blackbox. Sie bot wenig bis gar keine Interaktion mit den Testern oder eine Möglichkeit, den Wert dessen, was wir über einen Bericht hinaus erhalten, zu interpretieren."

Pentester und Hacker @randomdeduction kommentiert den Schritt von Hackerone mit diesen Worten: "In traditionellen Firmen kann der Wechsel von einer Zeit mit einer sogenannten Blackbox, bei der der Hacker als Angreifer und Gegenspieler der Entwickler fungiert, schnell zu einem Burn-Out führen. Während wir hacken, verbringen wir unsere Zeit mit intensiven technischen Überprüfungen der Systeme, die einige der größten Unternehmen der Welt antreiben. Dieses Wissen führt zu einer Präzision und detaillierten Berichterstattung jedes Pentests, die anderswo nur schwer zu finden ist."

Hackerone Pentest ist jetzt für Unternehmen in Europa verfügbar. Weitere Informationen darüber, wie sich Penetrationstests in eine umfassende Sicherheitsstrategie integrieren können, erhalten Unternehmen auf der Website: hackerone.com/product/pentest.