Os ataques de segurança cibernética continuam a aumentar não apenas em números, mas também em sofisticação e complexidade. Uma violação de dados que viole a LGPD pode envolver multas que variam de 2% do faturamento bruto até R$ 50 milhões (por infração). Compreensivelmente, 40% dos CEOs estão muito nervosos por serem a próxima vítima de um ataque de hackers, de acordo com relatório da PWC intitulado CEO Survey Report.
O hacking ético abriu o caminho para as chamadas recompensas por bugs, já que empresas de todos os tamanhos se voltaram para o crowdsourcing em uma tentativa de combater os hackers. Os programas públicos de recompensas por bugs são amplamente utilizados para aprimorar as defesas de segurança e mitigar vulnerabilidades. Algumas empresas chegam a desafiar os hackers a encontrar um bug em seus site.
A única certeza é que as equipes de segurança têm recursos limitados e os hackers não. Quanto às plataformas de bugs, existem muitos mitos e conceitos errôneos que precisam ser retirados.
1. Os programas de Bug Bounty precisam ser públicos
Gigantes da tecnologia como Google, Facebook e Microsoft são frequentemente creditados por revolucionar a segurança de aplicativos com programas públicos de recompensas de bugs. Mas atitudes e abordagens evoluíram ao longo dos anos. Ao contrário da opinião popular, a maioria dos programas de recompensas por bugs é realmente privada. Por exemplo, 90% dos programas BugHunt consistem em iniciativas de recompensas por bugs somente para convidados.
Agora, a maioria das organizações prefere a segurança e o anonimato de um programa privado, onde eles podem dominar o processo de manipulação de vulnerabilidades. Em vez da abordagem barulhenta e convidativa de convidar o mundo a invadir seus negócios, os modelos privados oferecem um ponto de entrada mais sensato para experimentar um programa de recompensas pro bugs pela primeira vez.
Um grupo menor de indivíduos qualificados pode ser convidado com base em sua experiência, habilidades especializadas e localização. A opção muito mais discreta geralmente é concluída sem alarde ou reconhecimento externo. Para muitas empresas, o hacking ético é uma jornada, não um destino. Os programas de recompensas por bugs públicos também trazem enormes benefícios adicionais, mas raramente é o primeiro passo para uma organização.
2. Bug Bounty são apenas para empresas de tecnologia
Claro, foram as maiores empresas de tecnologia do mundo que ajudaram a popularizar o modelo de recompensas por bugs. Mas há um argumento de que toda empresa é uma empresa de tecnologia neste mundo cada vez mais digital, onde o trabalho remoto se tornou o novo normal. Como resultado dessas mudanças, o modelo evoluiu para se ajustar também às organizações e indústrias tradicionais.
Empresas de todos os segmentos participam de programas de recompensas por bugs. Organizações tradicionais, de empresas de serviços financeiros a entidades governamentais, se envolveram em programas privados nos últimos anos.
Seria imprudente, na melhor das hipóteses, indústrias tradicionais mostrarem imediatamente suas vulnerabilidades em uma arena pública virtual. Mais uma vez, os programas privados de recompensas por bugs oferecem um cenário favorável e competitivo, mas em um ambiente muito mais controlado.
3. Confiar em hackers é um negócio arriscado
A perspectiva de convidar hackers para explorar vulnerabilidades nos seus negócios pode parecer assustadora. Por que você arriscaria convidar problemas para sua empresa? Mas há um contra-argumento de que enterrar a cabeça na areia é possivelmente a pior coisa que você pode fazer. A segurança é uma jornada, não um destino, e a prestação de contas é possivelmente uma das suas maiores armas contra os bandidos.
Sabemos com certeza que vulnerabilidades, riscos e hacks continuam aumentando. A atualização contínua de políticas, procedimentos e programas de conscientização de segurança é crítica. Quando incumbido de reduzir o risco em uma organização, a vulnerabilidade on-line supera em muito os perigos de estar associado à execução de um programa de recompensas por bugs.
A pesquisa de segurança deve ser vista como uma oportunidade para desbloquear insights valiosos, ousando explorar vulnerabilidades desconhecidas. É hora de retirar o conceito desatualizado de hackers com capuz e paranóia infundada. Em um ambiente controlado, esses especialistas em segurança modernos podem ajudar sua organização corrigindo falhas e reduzindo os riscos do que prejudicando-os.
4. Bug Bounty substitui o Pentest
É verdade que o teste interno por si só não é a resposta. Infelizmente, não há uma bala de prata ou uma solução pronta para uso. Mas toda empresa exigirá uma ampla gama de ferramentas à sua disposição. Tradicionalmente, uma empresa recorre ao pentest e a verificações automatizadas de vulnerabilidades por um valor fixo, que precisará ser pago mesmo que não detecte nenhuma vulnerabilidade.
Por outro lado, os programas de recompensas por bugs geralmente recompensam hackers éticos apenas se encontrarem vulnerabilidades relevantes. As empresas determinarão com precisão o que os hackers éticos irão testar e quanto dinheiro eles pagarão pela descoberta de falhas de segurança. Muitos verão isso como uma solução muito mais econômica.
A realidade é que nem o pentest nem os programas de recompensas por bugs têm o poder de descobrir todos os riscos e vulnerabilidades em potencial. Juntos, eles podem se complementar como parte de uma abordagem unificada da segurança cibernética, focada na redução de riscos e na eliminação de falhas de segurança.
Recompensar uma equipe de crowdsourcing por encontrar falhas de segurança provavelmente precisará que você atualize seu pensamento corporativo. Mas ter um grupo de hackers trabalhando em seu nome, e não contra você, pode criar mais oportunidades para aumentar sua segurança e reduzir o risco em uma abordagem mais proativa contra os verdadeiros bandidos.
Ficou com alguma dúvida? Entre em contato com nosso time e comece hoje mesmo seu programa na BugHunt!