Title: Improving Enterprise IT Security by Integrating Crowdsourced Offensive Security
Language: English
Authors: Kurtishaj, Shpend 
Qualification level: Diploma
Advisor: Grechenig, Thomas 
Issue Date: 2021
Citation: 
Kurtishaj, S. (2021). Improving Enterprise IT Security by Integrating Crowdsourced Offensive Security [Diploma Thesis, Technische Universität Wien]. reposiTUm. https://doi.org/10.34726/hss.2021.88102
Number of Pages: 120
Qualification level: Diploma
Abstract: 
In IT-Sicherheit gewann ein Crowdsourcing-Ansatz zur offensiven Sicherheit (auch als Bug Bounty bekannt) in den letzten Jahren zunehmend an Beliebtheit. In diesem Ansatz lädt eine Organisation externe Sicherheitsforscher ein, um Schwachstellen zu finden und diese zu melden. Im Gegenzug bietet die Organisation eine Belohnung an, üblicherweise in Form von Bezahlung. Dieser Ansatz bietet einige Vorteile gegenüber anderen Sicherheitsmethoden. Erstens wird das Zielvon einer großen Anzahl von Testern mit unterschiedlichen Fähigkeiten getestet, sodass die Wahrscheinlichkeit,Schwachstellen zu erkennen, erhöht wird. Zweitens ist das Kostenmodell attraktiv. Da Belohnungen nur für gültige Schwachstellenberichte angeboten werden, stehen die Kosten in dieser Sicherheitstestmethode eng mit den von ihr generierten Ergebnissen in Zusammenhang. Trotz der Beliebtheit hat sich ein Crowdsourcing-Ansatz zur offensiven Sicherheit in Großunternehmen nur langsam durchgesetzt. Dies ist auf den Mangel an Informationen und formalen Richtlinien zum Erstellen und Verwalten eines Bug Bounty Programms zurückzuführen. Das Ziel dieser Arbeit ist es diese Lücke zu schließen und einen praktischen Leitfaden für die Integration und Ausführung von Crowdsourced-Sicherheitstest in Großunternehmen bereitzustellen. Für die Integration eines Bug Bounty Programms werden zwei Alternativen vorgestellt: ein institutioneller Ansatz, in dem eine Organisation beschließt ihr Bug Bounty Program selber zu verwalten, und ein Ansatz in dem ein Bug Bounty Dienstleister mit der Verwaltung beauftragt wird. Für beide Optionen bietet diese Arbeit detaillierte Anweisungen zum Starten, Betreiben und Verwalten eines Bug Bounty Programms. Dies umfasst Aspekte wie das Erstellen der Rules of Engagement, das Zusammenstellen des Betriebsteams, das Definieren von Erfolgsmetriken, das Auswählen derrichtigen Ziele und das Verarbeiten von Schwachstellenberichten. Um die Konzepte dieser Arbeit zu testen, wird eine Fallstudie für ein Großprojekt durchgeführt. Experteninterviews werden als zusätzliche Methode zur Bewertung der Leistung dieser Konzepte verwendet. Die Ergebnisse kommen zu dem Schluss, dass Bug Bounties eine wirksame Maßnahme zur Verbesserung der IT-Sicherheit in Großunternehmen darstellt. Die Ergebnisse zeigen auch, dass Crowdsourced-Sicherheitstests nicht herkömmliche Offensive-Sicherheitstestmethoden ersetzten. Stattdessen dienen diese als ergänzende Maßnahme und erhöhen bei gleichzeitiger Verwendungdie Wirksamkeit anderer offensiver Sicherheitsmethoden.

In IT security, a crowdsourced approach to offensive security has seen increasing popularity in recent years. In this approach, an organization invites external security researchers to find and report vulnerabilities to them. In return, the organization offers some type of reward, commonly in monetary form. This approach provides some advantages compared to other offensive security methods. First, the target is tested by a large number of testers with various skill sets. This increases the exposure of the target and is likely to lead to more vulnerability findings. Second, the return of investment is attractive. Because an organization only pays for valid vulnerability reports, the cost of this offensive security testing methodology is closely connected to the results it generates. Despite its popularity, crowdsourced offensive security has seen slow adoption amongst enterprise organizations. This is attributed to the lack of information and formal guidelines for creating and managing a bug bounty program. This thesis aims to fill this void and provide a practical guideline for integrating and running crowdsourced offensive security in enterprise IT. Two alternatives for integrating a bug bounty program in enterprise organizations are discussed: an institutional approach where the bug bounty program is managed in-house, and utilization of a bug bounty services provider. For both options, this work offers detailed instructions for launching, operating and managing a bug bounty program. This includes aspects such as creating the rules of engagement, assembling the operations team, defining success metrics, selecting the right targets and processing vulnerability reports. To test the concepts of this thesis, a case study for a major project is conducted. Expert interviews are used as an additional methodology to evaluate the performance of these concepts. The results conclude that crowdsourced offensive security is an effective measure to improve IT security in enterprise organizations. The results also show that crowdsourced offensive security does not replace traditional offensive security methods. Instead, it serves as a complementary measure and increases the effectiveness of other offensive security methods when used simultaneously.
Keywords: Großunternehmen; Offensive Sicherheit; Crowdsourced-Sicherheitstests; Bug Bounty
Enterprise IT; Offensive Security; Crowdsourced Security; Bug Bounty
URI: https://doi.org/10.34726/hss.2021.88102
http://hdl.handle.net/20.500.12708/17865
DOI: 10.34726/hss.2021.88102
Library ID: AC16234468
Organisation: E194 - Institut für Information Systems Engineering 
Publication Type: Thesis
Hochschulschrift
Appears in Collections:Thesis

Files in this item:


Page view(s)

9
checked on Aug 3, 2021

Download(s)

17
checked on Aug 3, 2021

Google ScholarTM

Check


Items in reposiTUm are protected by copyright, with all rights reserved, unless otherwise indicated.