<p>Ele constata que hacking ético abriu o caminho para as chamadas recompensas por bugs – ou falhas -, já que empresas de todos os tamanhos têm se voltado ao crowdsourcing em uma tentativa de combater cibercriminosos. Nos últimos meses, a BugHunt observou um aumento no interesse por programas de Bug Bounty, tanto por especialistas, quanto por empresas. O Brasil sofreu mais de 3,2 bilhões de tentativas de ataques cibernéticos no primeiro trimestre de 2021, liderando o ranking da América Latina, segundo dados da Fortinet. Os ataques de segurança continuam a aumentar não apenas em números, mas também em sofisticação e complexidade.</p>
<p>“Uma grande mudança que reparamos foi a diversificação dos setores que estão preocupados com esse tipo de coisa. Instituições dos mais diversos segmentos, como bancos e fintechs, marketplaces, empresas de varejo, startups de tecnologia, portais de notícias, operadoras de telefonia, indústrias e até mesmo grupos de educação, têm nos procurado”, revela Caio Telles, CEO da startup. Atualmente, a plataforma conta com mais de 5 mil especialistas inscritos e já identificou mais de mil falhas em instituições brasileiras.</p>
<p>Para o executivo, entretanto, apesar da popularização dos programas de recompensa, muitas empresas e líderes ainda desconfiam desse método, que tem como objetivo aprimorar defesas de segurança e mitigar vulnerabilidades. “A única certeza que temos é que as equipes de segurança têm recursos limitados, e os cibercriminosos não. Há muitos mitos e conceitos errôneos sobre as plataformas de bugs que precisam ser esclarecidos”, alerta.</p>
<p><strong>1. Os programas de Bug Bounty precisam ser públicos</strong></p>
<p>Não é verdade. Gigantes da tecnologia como Google, Facebook e Microsoft são frequentemente creditados por revolucionar a segurança de aplicativos com programas públicos de recompensas de bugs. Mas atitudes e abordagens evoluíram ao longo dos anos. Segundo Telles, ao contrário da opinião popular, a maioria dos programas de recompensas por bugs é privada. “90% dos programas da BugHunt consistem em iniciativas de recompensas por bugs somente para convidados”, destaca.</p>
<p>“Agora, a maioria das organizações prefere a segurança e o anonimato de um programa privado, em que eles podem dominar o processo de identificação de vulnerabilidades. Em vez da abordagem barulhenta de convidar o mundo a testar seus negócios, os modelos privados oferecem um ponto de entrada mais sensato para experimentar um programa de recompensas pro bugs pela primeira vez”, explica Telles.</p>
<p>Um grupo menor de especialistas qualificados pode ser convidado com base em sua experiência, habilidades e localização. “A opção muito mais discreta geralmente é concluída sem alarde ou reconhecimento externo. Para muitas empresas, o hacking ético é uma jornada, não um destino. Os programas de recompensas por bugs públicos também trazem enormes benefícios adicionais, mas raramente é o primeiro passo para uma organização”, pontua o CEO.</p>
<p><strong>2. O Bug Bounty é apenas para empresas de tecnologia</strong></p>
<p>Mito. Foram as maiores empresas de tecnologia do mundo que ajudaram a popularizar o modelo de recompensas por bugs. “Mas hoje há um argumento de que toda empresa é uma empresa de tecnologia neste universo cada vez mais digital, onde o trabalho remoto ganha cada vez mais destaque. Como resultado dessas mudanças, o modelo evoluiu para se ajustar também às organizações e indústrias tradicionais”, explica Telles.</p>
<p>De acordo com a BugHunt, empresas de todos os segmentos participam de programas de recompensas por bugs. Organizações tradicionais, de empresas de serviços financeiros a entidades governamentais, se envolveram em programas públicos e privados nos últimos anos.</p>
<p>“Atualmente, a BugHunt consegue ajudar na rápida evolução da maturidade em cibersegurança de empresas de qualquer segmento e tamanho”, destaca Telles. “As empresas que, por algum motivo, têm receio de iniciar um programa público de recompensas podem investir nos programas privados, que oferecem um cenário mais controlado e podem ser o início deste caminho”, recomenda.</p>
<p><strong>3. Confiar em hackers é um negócio arriscado</strong></p>
<p>Essa afirmativa é falsa. A perspectiva de convidar hackers para identificar vulnerabilidades em seus negócios pode parecer assustadora. “Pode parecer arriscado convidar pessoas com o objetivo de identificar vulnerabilidades em seus sistemas, porém, o que a maioria dos gestores não sabe é que isso não aumenta o risco”, destaca o CEO. “Atualmente, as empresas já têm seus sistemas expostos para a internet e, muito provavelmente, recebem ciberataques constantemente. A implementação de um programa de recompensas por vulnerabilidades busca incentivar que isso seja realizado de uma maneira organizada e que se tenha um benefício para quem identificar e reportar a falha”, explica.</p>
<p>Para Telles, a pesquisa de segurança deve ser vista como uma oportunidade para desbloquear insights valiosos, ousando explorar vulnerabilidades desconhecidas. “É hora de corrigir o conceito desatualizado da palavra hackers. Em um ambiente controlado, esses especialistas em segurança podem ajudar a organização na identificação de falhas e redução de riscos”, alerta.</p>
<p><strong>4. Bug Bounty substitui o Pentest</strong></p>
<p>Não substitui. Toda empresa exige uma ampla gama de ferramentas à disposição. “Tradicionalmente, uma empresa recorre ao pentest e a verificações automatizadas de vulnerabilidades por um valor fixo, que precisará ser pago mesmo que não detecte nenhuma vulnerabilidade”, explica o executivo.</p>
<p>“Por outro lado, os programas de Bug Bounty geralmente recompensam bughunters, os hackers éticos, apenas se encontrarem vulnerabilidades relevantes. As empresas determinam o que esses especialistas irão testar e quanto elas irão pagar pela descoberta de falhas de segurança. É uma solução muito mais econômica”, revela Telles.</p>
<p>Para o executivo, a realidade é que nem o pentest e nem os programas de recompensas por bugs têm o poder de descobrir todos os riscos e vulnerabilidades em potencial. “Juntos, eles podem se complementar como parte de uma abordagem unificada da segurança cibernética, focada na redução de riscos e na eliminação de falhas de segurança”, destaca.</p>
<p>“Recompensar uma equipe de crowdsourcing por encontrar falhas de segurança exigirá que a empresa atualize o seu pensamento corporativo e também requer que as companhias não tenham fricção para inovação”, pontua Telles. “Ter um grupo de bughunters atuando em conjunto com estratégias internas irá elevar a segurança da empresa e reduzir riscos por meio de uma nova postura com abordagem mais proativa”, finaliza.</p>
