Permanente KI-gestützte Crowdsourced-Penetrationstests

Bugcrowd, Spezialist für Crowdsourced-Security, hat eine CASPT-Lösung vorgestellt, die einen proaktiven Sicherheitsansatz zur kontinuierlichen Erfüllung von Compliance-Zielen und zur Verringerung von Sicherheitsrisiken ermöglicht. Mit dem Continuous-Attack-Surface-Penetration-Testing (CASPT) auf Basis der Bugcrowd-Plattform können Unternehmen einen Basistest durchführen und dann inkrementelle Änderungen durch neue und aktualisierte Assets oder Bedrohungen an ein kuratiertes Team weitergeben, das diese Tests durchführt, sobald Änderungen bekannt werden. CASPT wurde für Kunden entwickelt, die nur ein- oder zweimal im Jahr ein Pentesting durchführen und ihre Assets damit neuen Bedrohungen ausgesetzt lassen, ohne diese sofort bekämpfen zu können.

Weniger als 10 % aller Unternehmen haben einen vollständigen Einblick in ihre sich entwickelnde Angriffsoberfläche, doch fast 70 % wurden bereits durch ein unbekanntes oder schlecht verwaltetes Asset kompromittiert – was darauf hindeutet, dass die Angreifer mehr über die Angriffsoberfläche wissen als die Verteidiger. Unternehmen müssen das laufende Risiko für alle digitalen Assets verstehen, bevor Angreifer sie ausnutzen können.

CASPT wird durch die kürzliche Übernahme von Informer durch Bugcrowd ermöglicht, einem führenden Anbieter von External-Attack-Surface-Management (EASM) und kontinuierlichen Penetrationstests. Diese Integration kombiniert detaillierte Asset-Daten, die durch EASM erfasst werden, mit der riesigen Menge an Schwachstelleninformationen, die Bugcrowd in den letzten zwölf Jahren verarbeitet hat, um daraus einen Wert für Kunden und Hacker auf der Plattform zu schaffen.

Bugcrowd-Kunden mit verwalteten Bug-Bounty-Aufträgen können den Umfang manuell oder dynamisch aktualisieren, um neue Assets zu berücksichtigen. Außerdem können sie direkt von ihrem EASM-Dashboard aus einen neuen Pentest oder ein Bug-Bounty-Projekt für bestimmte Assets starten.

Dave Gerry, CEO des Crowdsourced-Security-Anbieters Bugcrowd

„Die langfristige Vision für unsere Plattform ist es, den Kunden kontinuierlich proaktive, datengestützte Einblicke und Empfehlungen zu geben, damit sie ihre Angriffsfläche besser im Blick haben als ihre Gegner“, erläutert Dave Gerry, Chief Executive Officer von Bugcrowd. „Gleichzeitig ist es das Ziel, den Hackern auf unserer Plattform zu helfen, mehr Fähigkeiten zu erwerben und mehr Belohnungen zu verdienen, indem wir sie mit Aufträgen zusammenbringen, die genau ihren Interessen und Erfahrungen entsprechen. Unsere Fähigkeit, reichhaltige EASM-Daten in die Bugcrowd-Plattform einzubringen, ist ein wichtiger Meilenstein auf diesem Weg.“

Bugcrowd bietet eine einheitliche Plattform für EASM, EASM-angereicherte Penetrationstests und EASM-angereicherte Crowdsourced Tests. Eigenständige EASM-Anbieter, Crowdsourcing-Anbieter und traditionelle Pen-Test-Anbieter bieten Teile der Lösung, aber keiner bietet eine vollständige Lösung.

„Angriffsflächen sind nicht statisch – sie werden ständig erweitert und verändern sich aufgrund von Schatten-IT, Cloud-Einführung, multinationalen Organisationen und Fusionen und Übernahmen, was die manuelle Verfolgung digitaler Assets zu einer ständigen Herausforderung macht“, ergänzt Julian Brownlow Davies, Vice President of Advanced Services bei Bugcrowd.

„Continuous-Attack-Surface-Pen-Testing bietet den Kunden ein einzigartiges Maß an Sicherheit, dass sowohl die Ziele der Compliance als auch der Risikominderung kontinuierlich erreicht werden. Unsere Mission ist es, ein vertrauenswürdiger Partner zu sein, der proaktive, datengestützte Einblicke liefert, die sie mit dem ausstatten, was sie zur Verteidigung ihrer Organisationen benötigen.“

#Bugcrowd