O que é Bug Bounty e qual a diferença para o Pentest?

Picture of vantico

vantico

Bug Bounty - Senki Security

Bug Bounty e cibersegurança

Como já falamos em outros artigos, os ciberataques estão cada vez mais precisos e poderosos. Isso ficou claro no estudo Panorama de Ameaças da Kaspersky de 2022¹, que concluiu que o Brasil sofreu o equivalente a 1.554 tentativas de ciberataques por minuto. 

O lado positivo, porém, é que isso significa que temos vista cada vez mais técnicas e profissionais especialistas em combater ameaças como essa. Uma dessas técnicas, que é frequentemente confundida com o Pentest, é o Bug Bounty. 

O que é Bug Bounty? 

O Bug Bounty consiste em um programa de recompensas pelo descobrimento de falhas. O objetivo é incentivar hackers éticos a analisarem, de forma independente, o sistema de uma empresa para que encontrem vulnerabilidades ali. Dessa forma, a organização pode contar com mão de obra especializada para identificá-los e tomar as providências necessárias para corrigir os erros. 

Quando esses profissionais encontram falhas e as relatam para a empresa, são recompensados – a remuneração varia de acordo com a quantidade e a criticidade do problema.  

A mecânica do Bug Bounty surgiu em 1983, quando a empresa estadunidense Hunter & Ready criou um programa de recompensas para quem encontrasse bugs e vulnerabilidades em seus sistemas. O nome que conhecemos hoje, entretanto, só começou a ser usado em 1995 pela empresa de serviços de computadores Netscape Communications Corporation. 

Hoje em dia, grandes empresas, como o Google², possuem seu próprio programa de Bug Bounty. 

Bug Bounty x Pentest 

O Bug Bounty e o Pentest têm suas semelhanças. 

Assim como o primeiro, o Pentest também tem como objetivo encontrar vulnerabilidades de cibersegurança nos sistemas ou redes de uma organização através de hackers éticos. Apesar disso, existem algumas importantes diferenças entre ambos. 

Bug Bounty: 

  • Profissionais independentes: o profissional pode acessar uma plataforma, se cadastrar, começar a enviar vulnerabilidades e receber as recompensas. Ele não possui nenhum tipo de vínculo com a empresa para a qual está prestando serviço. 
  • As vulnerabilidades precisam ser enviadas, analisadas e aceitas pela organização, o que aumenta o tempo de espera e o esforço. Ou seja, a empresa acaba ficando no escuro nesse meio tempo. 
  • Por serem independentes, os profissionais não seguem uma metodologia específica, o que pode prejudicar o entendimento e a credibilidade dos resultados. 

Pentest (Pentest as a Service): 

  • Profissionais terceirizados: aqui, os hackers éticos são contratados pela empresa de Pentest (que é a intermediária entre Pentester e cliente), o que significa que eles possuem algum tipo de vínculo contratual. 
  • Relatórios de vulnerabilidades e atualizações em tempo real: através de uma plataforma, os profissionais conseguem atualizar seu progresso diariamente, além de enviarem, ao final do Pentest, disponibilizar um relatório completo com todas as informações levantadas. 
  • Segue metodologias internacionais: metodologias como a da OWASP são seguidas nesse caso, justamente para manter um padrão e para utilizar técnicas que são reconhecidas/aceitas pelo mercado internacional. 

Qual escolher? 

A escolha entre Bug Bounty e Pentest irá depender muito do objetivo e da necessidade de cada empresa. No entanto, eles também são usados como complementares em vários casos. O Pentest sendo realizado durante o lançamento de novos produtos e/ou sendo realizado periodicamente, enquanto o Bug Bounty continua ativo durante todo esse intervalo. 

Para casos específicos, porém, como os de fusão & aquisição (merge & acquisitions) ou compliance, recomendamos a utilização apenas do Pentest, justamente pela credibilidade das metodologias adotadas.  

O Pentest, especialmente o Pentest as a Service, também é reconhecido por ser mais ágil e transparente pela nossa plataforma de atualizações e relatórios. Além disso, ele nos permite escolher os melhores profissionais do mercado para atuar em cada situação, ao invés de contar apenas com aqueles que se ofereceram. 

Para conhecer a plataforma de Pentest as a Service da Vantico, toque aqui e saiba mais. 

 

¹Panorama de Ameaças da Kaspersky de 2022 

²Bug Hunters – Google  

veja também

Outros conteúdos sobre Segurança Cibernética