4 mitos sobre as plataformas de Bug Bounty
Apesar da popularização desses programas, muitas empresas e executivos ainda desconfiam do método, que tem como objetivo aprimorar defesas de segurança e mitigar vulnerabilidades
O hacking ético abriu o caminho para as chamadas recompensas por bugs - ou falhas -, já que empresas de todos os tamanhos têm se voltado ao crowdsourcing em uma tentativa de combater cibercriminosos. Nos últimos meses, a BugHunt, primeira plataforma brasileira de Bug Bounty, programa de recompensa por identificação de falhas, observou um aumento no interesse por programas de Bug Bounty, tanto por especialistas, quanto por empresas.
O Brasil sofreu mais de 3,2 bilhões de tentativas de ataques cibernéticos no primeiro trimestre de 2021, liderando o ranking da América Latina, segundo dados da Fortinet. Os ataques de segurança continuam a aumentar não apenas em números, mas também em sofisticação e complexidade.
“Uma grande mudança que reparamos foi a diversificação dos setores que estão preocupados com esse tipo de coisa. Instituições dos mais diversos segmentos, como bancos e fintechs, marketplaces, empresas de varejo, startups de tecnologia, portais de notícias, operadoras de telefonia, indústrias e até mesmo grupos de educação, têm nos procurado”, revela Caio Telles, CEO da startup. Atualmente, a plataforma conta com mais de 5 mil especialistas inscritos e já identificou mais de mil falhas em instituições brasileiras.
Para o executivo, entretanto, apesar da popularização dos programas de recompensa, muitas empresas e líderes ainda desconfiam desse método, que tem como objetivo aprimorar defesas de segurança e mitigar vulnerabilidades. “A única certeza que temos é que as equipes de segurança têm recursos limitados, e os cibercriminosos não. Há muitos mitos e conceitos errôneos sobre as plataformas de bugs que precisam ser esclarecidos”, alerta.
1. Os programas de Bug Bounty precisam ser públicos
Não é verdade. Gigantes da tecnologia como Google, Facebook e Microsoft são frequentemente creditados por revolucionar a segurança de aplicativos com programas públicos de recompensas de bugs. Mas atitudes e abordagens evoluíram ao longo dos anos. Segundo Telles, ao contrário da opinião popular, a maioria dos programas de recompensas por bugs é privada. “90% dos programas da BugHunt consistem em iniciativas de recompensas por bugs somente para convidados”, destaca.
“Agora, a maioria das organizações prefere a segurança e o anonimato de um programa privado, em que eles podem dominar o processo de identificação de vulnerabilidades. Em vez da abordagem barulhenta de convidar o mundo a testar seus negócios, os modelos privados oferecem um ponto de entrada mais sensato para experimentar um programa de recompensas pro bugs pela primeira vez”, explica Telles.
Um grupo menor de especialistas qualificados pode ser convidado com base em sua experiência, habilidades e localização. “A opção muito mais discreta geralmente é concluída sem alarde ou reconhecimento externo. Para muitas empresas, o hacking ético é uma jornada, não um destino. Os programas de recompensas por bugs públicos também trazem enormes benefícios adicionais, mas raramente é o primeiro passo para uma organização”, pontua o CEO.
2. O Bug Bounty é apenas para empresas de tecnologia
Mito. Foram as maiores empresas de tecnologia do mundo que ajudaram a popularizar o modelo de recompensas por bugs. “Mas hoje há um argumento de que toda empresa é uma empresa de tecnologia neste universo cada vez mais digital, onde o trabalho remoto ganha cada vez mais destaque. Como resultado dessas mudanças, o modelo evoluiu para se ajustar também às organizações e indústrias tradicionais”, explica Telles.
De acordo com a BugHunt, empresas de todos os segmentos participam de programas de recompensas por bugs. Organizações tradicionais, de empresas de serviços financeiros a entidades governamentais, se envolveram em programas públicos e privados nos últimos anos.
“Atualmente, a BugHunt consegue ajudar na rápida evolução da maturidade em cibersegurança de empresas de qualquer segmento e tamanho”, destaca Telles. “As empresas que, por algum motivo, têm receio de iniciar um programa público de recompensas podem investir nos programas privados, que oferecem um cenário mais controlado e podem ser o início deste caminho”, recomenda.
3. Confiar em hackers é um negócio arriscado
Essa afirmativa é falsa. A perspectiva de convidar hackers para identificar vulnerabilidades em seus negócios pode parecer assustadora. “Pode parecer arriscado convidar pessoas com o objetivo de identificar vulnerabilidades em seus sistemas, porém, o que a maioria dos gestores não sabe é que isso não aumenta o risco”, destaca o CEO. “Atualmente, as empresas já têm seus sistemas expostos para a internet e, muito provavelmente, recebem ciberataques constantemente. A implementação de um programa de recompensas por vulnerabilidades busca incentivar que isso seja realizado de uma maneira organizada e que se tenha um benefício para quem identificar e reportar a falha”, explica.
Para Telles, a pesquisa de segurança deve ser vista como uma oportunidade para desbloquear insights valiosos, ousando explorar vulnerabilidades desconhecidas. “É hora de corrigir o conceito desatualizado da palavra hackers. Em um ambiente controlado, esses especialistas em segurança podem ajudar a organização na identificação de falhas e redução de riscos”, alerta.
4. Bug Bounty substitui o Pentest
Não substitui. Toda empresa exige uma ampla gama de ferramentas à disposição. “Tradicionalmente, uma empresa recorre ao pentest e a verificações automatizadas de vulnerabilidades por um valor fixo, que precisará ser pago mesmo que não detecte nenhuma vulnerabilidade”, explica o executivo.
“Por outro lado, os programas de Bug Bounty geralmente recompensam bughunters, os hackers éticos, apenas se encontrarem vulnerabilidades relevantes. As empresas determinam o que esses especialistas irão testar e quanto elas irão pagar pela descoberta de falhas de segurança. É uma solução muito mais econômica”, revela Telles.
Para o executivo, a realidade é que nem o pentest e nem os programas de recompensas por bugs têm o poder de descobrir todos os riscos e vulnerabilidades em potencial. “Juntos, eles podem se complementar como parte de uma abordagem unificada da segurança cibernética, focada na redução de riscos e na eliminação de falhas de segurança”, destaca.
“Recompensar uma equipe de crowdsourcing por encontrar falhas de segurança exigirá que a empresa atualize o seu pensamento corporativo e também requer que as companhias não tenham fricção para inovação”, pontua Telles. “Ter um grupo de bughunters atuando em conjunto com estratégias internas irá elevar a segurança da empresa e reduzir riscos por meio de uma nova postura com abordagem mais proativa”, finaliza.