[Back]


Diploma and Master Theses (authored and supervised):

S. Kurtishaj:
"Improving Enterprise IT Security by Integrating Crowdsourced Offensive Security";
Supervisor: T. Grechenig; E194-03, 2021; final examination: 2021-05-20.



English abstract:
Crowdsourced offensive security is a concept which has seen increasing popularity in recent years. In this approach, an organization invites external security researchers to find and report vulnerabilities to them. In return, the organization offers some type of reward, commonly in monetary form. This approach provides some advantages compared to other offensive security methods. First, the target is tested by a large number of testers with various skill sets. This increases the exposure of the target and is likely to lead to more vulnerability findings. Second, the return of investment is attractive. Because an organization only pays for valid vulnerability reports, the cost of this offensive security testing methodology is directly connected to the results it generates.
Despite its popularity, crowdsourced offensive security has seen slow adoption amongst enterprise organizations. This is attributed to the lack of information and formal guidelines for creating and managing a bug bounty program. This thesis aims to fill this void and provide a practical guideline for integrating and running crowdsourced offensive security in enterprise IT. Two alternatives for integrating a bug bounty program in enterprise organizations are discussed: an institutional approach where the bug bounty program is managed in-house, and utilization of a bug bounty services provider. For both options, this work offers detailed instructions for launching, operating and managing a bug bounty program. This includes aspects such as creating the rules of engagement, assembling the operations team, defining success metrics, selecting the right targets and processing vulnerability reports.
To test the concepts of this thesis, a case study for a major project is conducted. Expert interviews are used as an additional methodology to evaluate the performance of these concepts. The results conclude that crowdsourced offensive security is an effective measure to improve IT security in enterprise organizations. The results also show that crowdsourced offensive security does not replace traditional offensive security methods. Instead, it serves as a complementary measure and increases the effectiveness of other offensive security methods when used simultaneously.

German abstract:
Ein Crowdsourcing-Ansatz zur offensiven Sicherheit (auch als Bug Bounty bekannt) gewann in den letzten Jahren zunehmend an Beliebtheit. In diesem Ansatz lädt eine Organisation externe Sicherheitsforscher ein, um Schwachstellen zu finden und diese zu melden. Im Gegenzug bietet die Organisation eine Belohnung an, üblicherweise in Form von Bezahlung. Dieser Ansatz bietet einige Vorteile gegenüber anderen Sicherheitsmethoden. Erstens wird das Ziel von einer großen Anzahl von Testern mit unterschiedlichen Fähigkeiten getestet, sodass die Wahrscheinlichkeit, Schwachstellen zu erkennen, erhöht wird. Zweitens ist das Kostenmodel attraktiv. Da nur gültige Schwachstellenberichte ausgezahlt werden, stehen die Kosten in dieser Sicherheitstestmethode direkt mit den von ihr generierten Ergebnissen in Zusammenhang.
Trotz der Beliebtheit hat sich ein Crowdsourcing-Ansatz zur offensiven Sicherheit in Großunternehmen nur langsam durchgesetzt. Dies ist auf den Mangel an Informationen und formalen Richtlinien zum Erstellen und Verwalten eines Bug Bounty Programms zurückzuführen. Das Ziel dieser Arbeit ist es diese Lücke zu schließen und einen praktischen Leitfaden für die Integration und Ausführung von Crowdsourced-Sicherheitstest in Großunternehmen bereitzustellen. Für die Integration eines Bug Bounty Programms werden zwei Alternativen vorgestellt: ein institutioneller Ansatz, in dem eine Organisation beschliesst ihr Bug Bounty Program selber zu verwalten, und ein Ansatz in dem ein Bug Bounty Dienstleister mit der Verwaltung beauftragt wird. Für beide Optionen bietet diese Arbeit detaillierte Anweisungen zum Starten, Betreiben und Verwalten eines Bug Bounty Programms. Dies umfasst Aspekte wie das Erstellen der Rules of Engagement, das Zusammenstellen des Betriebsteams, das Definieren von Erfolgsmetriken, das Auswählen der richtigen Ziele und das Verarbeiten von Schwachstellenberichten.
Um die Konzepte dieser Arbeit zu testen, wird eine Fallstudie für ein Großprojekt durchgeführt. Experteninterviews werden als zusätzliche Methode zur Bewertung der Leistung dieser Konzepte verwendet. Die Ergebnisse kommen zu dem Schluss, dass Bug Bounties eine wirksame Maßnahme zur Verbesserung der IT-Sicherheit in Großunternehmen darstellt. Die Ergebnisse zeigen auch, dass Crowdsourced-Sicherheitstests nicht herkömmliche Offensive-Sicherheitsmethoden ersetzten. Stattdessen dienen diese als ergänzende Maßnahme und erhöhen bei gleichzeitiger Verwendung die Wirksamkeit anderer offensiver Sicherheitsmethoden.

Created from the Publication Database of the Vienna University of Technology.