Quatro mitos sobre as plataformas de recompensa
Segundo dados da Fortinet, o Brasil sofreu mais de 3,2 bilhões de tentativas de ataques cibernéticos no primeiro trimestre de 2021, liderando o ranking da América Latina. Os ataques de segurança continuam aumentando não apenas em números, como também em sofisticação e complexidade. O hacking ético abriu o caminho para as chamadas recompensas por bugs ou falhas, uma vez que empresas de todos os tamanhos têm se voltado ao crowdsourcing em uma tentativa de combater cibercriminosos.
A BugHunt, plataforma brasileira de programa de recompensa por identificação de falhas, observou nos últimos meses um aumento no interesse pelo serviço, tanto por especialistas, quanto por empresas. Apesar da popularização, muitas companhias e líderes ainda desconfiam desse método, que tem como objetivo aprimorar defesas de segurança e mitigar vulnerabilidade. A seguir, Caio Telles, CEO da BugHunt, listou quatro mitos e conceitos errôneos sobre as plataformas de bugs que precisam ser esclarecidos:
-
Os programas de Bug Bounty precisam ser públicos
Não é verdade. As empresas Google, Facebook e Microsoft e outros gigantes da tecnologia são frequentemente creditados por revolucionar a segurança de aplicativos com programas públicos de recompensas de bugs. Entretanto, a maioria dos programas de recompensas por bugs é privada, 90% da BugHunt consistem em iniciativas de recompensas por bugs somente para convidados. Isso porque a maioria das organizações prefere a segurança e o anonimato de um programa privado, em que eles podem dominar o processo de identificação de vulnerabilidades.
-
O Bug Bounty é apenas para empresas de tecnologia
Mito. Empresas de todos os segmentos participam de programas de recompensas por bugs. Organizações tradicionais, de empresas de serviços financeiros a entidades governamentais, se envolveram em programas públicos e privados nos últimos anos. Embora tenham sido as maiores empresas de tecnologia do mundo a ajudar a popularizar o modelo de recompensas por bugs, hoje há um argumento de que toda empresa é do ramo de tecnologia neste universo cada vez mais digital.
-
Confiar em hackers é um negócio arriscado
Falso. Pode parecer arriscado convidar hackers para identificar vulnerabilidades dos seus sistemas, porém, esse procedimento não aumenta os riscos, o benefício é identificar e reportar as falhas do seu negócio. A implementação de um programa de recompensas por vulnerabilidades busca incentivar que isso seja realizado de uma maneira organizada.
-
Bug Bounty substitui o Pentest
Não. Toda empresa exige uma ampla gama de ferramentas à disposição. Tradicionalmente, uma empresa recorre ao pentest e a verificações automatizadas de vulnerabilidades por um valor fixo, que precisará ser pago mesmo que não detecte nenhuma vulnerabilidade. Por outro lado, os programas de Bug Bounty geralmente recompensam os hackers éticos, apenas se encontrarem vulnerabilidades relevantes. As empresas determinam o que esses especialistas irão testar e quanto elas irão pagar pela descoberta de falhas de segurança. É uma solução muito mais econômica.
Comentários estão fechados.