Como os “bug bounty” podem ajudar no combate aos hackers mal intencionados

Se você sabe como prevenir, impedir e remediar ataques cibernéticos, logo poderá ser chamado por recrutadores ao redor do mundo
Redação15/10/2018 22h09, atualizada em 16/10/2018 00h00

20160701185208

Compartilhe esta matéria

Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Se você sabe como prevenir, impedir e remediar o ataque cibernético de um hacker, logo poderá ser chamado por recrutadores que estão tentando preencher novas vagas de trabalho nas empresas ao redor do mundo. Essa constatação é de Jason J. Hogg*, CEO da Aon Cyber Solutions.

Violações de dados geram um prejuízo total de negócios de US$8 trilhões devido às violações de dados, o que supera o valor global de segurança em TI, que, segundo a Gartner, deve chegar a US$120 bilhões em 2021. Em contrapartida, há uma escassez de talentos e uma previsão de 1,8 milhão de cargos de cibersegurança não preenchidos até 2022. Os millennials provavelmente desempenharão um papel importante nesse setor, conforme as informações do relatório do Centro de Educação e Segurança Cibernética. Essas oportunidades de trabalho surgirão conforme o aumento do número de incidentes de segurança cibernética, que dobrou entre 2016 e 2017, e continua a crescer. Mesmo com o suporte de organizações especializadas em cibersegurança para melhoria da resiliência cibernética, as companhias estão lutando para vencer a batalha contra hackers mal-intencionados.

Assim como a tecnologia é fluida e dinâmica, as ameaças cibernéticas são dotadas de mesma característica; fazendo com que as empresas tenham expandir seus horizontes a fim de encontrar soluções que as ajudem a combater a atuação destes criminosos; por vezes até mesmo buscar ajuda dos próprios hackers, mas não daqueles que são criminosos e mal intencionados e sim dos chamados “chapéus brancos”, White Hat (em inglês). Por meio de programas de bug bounty (programa de identificação de ‘bugs’) cuidadosamente implementados, as organizações podem usufruir do conhecimento de pesquisadores de segurança para identificar vulnerabilidades em troca de remuneração e reconhecimento, para corrigi-las antes que sejam exploradas. Sem esforços preventivos, como programas de bug bounty, as organizações estão mais vulneráveis a riscos financeiros e de reputação gerado por hackers ou pesquisadores de segurança que tentam extorquir ou chantageá-las pelas falhas descobertas.

Essa estratégia é apenas uma das muitas que as empresas têm adotado no combate às ameaças cibernéticas. Não só permite que a empresa encontre profissionais extraordinários e, eventualmente, os integre a seus times, reforçando sua resiliência, mas também inserindo e aproximando-se cada vez mais desse cenário/comunidade de segurança da informação onde as empresas podem usar as informações ali obtidas para migrar de um cenário puramente reativo, onde se tornam “vítimas” dos eventos, e migram para um cenário proativo, intensificando sua atuação quanto ao tema, e solidificando uma posição diligente quanto ao tratamento multidisciplinar das ameaças cibernéticas.

Em 2016 e 2017, vimos players nos setores de tecnologia, público, automotivo e serviços financeiros se destacarem ao utilizar esses programas com sucesso, conforme constatou a Bugcrowd. Pouco depois do lançamento do iOS 11.1, a ZDNet informou que os pesquisadores do Tencent Keen Security Lab descobriram dois bugs, ganhando US$70.000 em recompensas – um preço muito menor que o valor que a Apple poderia ter pago se não fosse essa abordagem proativa para identificar a vulnerabilidade. Basta explorar as consequências que seriam enfrentadas pela empresa num cenário reativo para entender o impacto disso, como o dano à reputação/marca, ou mesmo os gastos com recall, por exemplo.

Na medida em que o ambiente de ameaças se torna mais complexo, as grandes corporações adotarão, cada vez mais, programas de bug bounty em busca de uma maneira mais controlada e econômica de fortalecer a segurança de seus códigos. De acordo com a empresa de segurança Bugcrowd, as organizações com mais de 5.000 funcionários cresceram mais rapidamente em relação a lançamentos de programas na plataforma Bugcrowd nos últimos 12 meses. Conforme os ataques atormentam as empresas de vários setores, prevê-se a implementação de programas de bug bounty para provar que todas as medidas possíveis de proteção contra-ataques cibernéticos foram tomadas. Para empresas menores, os programas de crowdsourcing também continuarão sendo o método de melhor custo-benefício para proteção contra riscos.

Em 2018, nós da Aon esperamos ver outras empresas adotando programas de bug bounty, em setores como viagens aéreas, varejo e hospitalidade, especialmente para proteger seus programas de cartões de crédito, fidelidade e recompensas. Conforme os cartões de crédito se tornam mais seguros, os criminosos miram transações com outros tipos de cartões baseados em pontos e milhas. Os programas de bug bounty podem fornecer uma proteção extra.

Embora esses programas tendem a se tornar parte da prática de segurança padrão, adquirir esse nível de análise gera dificuldades para garantir relatórios seguros, envios de qualidade e execução eficaz. Também traz riscos de uso indevido das informações coletadas pelo programa. O desenvolvimento e implementação irresponsável destes programas, apenas para diminuir os custos por exemplo, pode acabar resultando numa catástrofe maior que o próprio ataque cibernético, pois estamos falando de uma porta de acesso muito fácil e direta.

Programas eficazes e seguros de bug bounty dependem de uma base bem-sucedida nos estágios iniciais de configuração. Antes de aderir a um programa, as empresas devem realmente levar em consideração as bases, as melhores práticas, como definir o escopo de um programa público ou privado, as vulnerabilidades de preços e a gestão dos pagamentos. É fundamental ter um plano para tratar e gerenciar as diversas correções do programa, examinar e rastrear as vulnerabilidades e aprimorar o programa em relação a testes simultâneos de segurança.

Muitas empresas recorrem a fornecedores externos de programas privados de bug bounty e especialistas em segurança cibernética para gerenciar tais complexidades. Na medida em que a demanda cresce, a indústria provavelmente irá ver os principais fornecedores de serviços de segurança cibernética e segurança da informação se associarem ou adquirirem provedores privados de programas de bug bounty para oferecer recursos integrados mais avançados. Como parte de um programa mais amplo de segurança cibernética e gestão de riscos, os programas de bug bounty são essenciais na construção de resiliência mediante a evolução do atual cenário de risco cibernético.

*este artigo foi inspirado no texto de Jason J. Hogg, CEO da Aon Cyber Solutions, publicado originalmente em inglês.

Colaboração para o Olhar Digital

Redação é colaboração para o olhar digital no Olhar Digital