Bug Bounty e cibersegurança
Como já falamos em outros artigos, os ciberataques estão cada vez mais precisos e poderosos. Isso ficou claro no estudo Panorama de Ameaças da Kaspersky de 2022¹, que concluiu que o Brasil sofreu o equivalente a 1.554 tentativas de ciberataques por minuto.
O lado positivo, porém, é que isso significa que temos vista cada vez mais técnicas e profissionais especialistas em combater ameaças como essa. Uma dessas técnicas, que é frequentemente confundida com o Pentest, é o Bug Bounty.
O que é Bug Bounty?
O Bug Bounty consiste em um programa de recompensas pelo descobrimento de falhas. O objetivo é incentivar hackers éticos a analisarem, de forma independente, o sistema de uma empresa para que encontrem vulnerabilidades ali. Dessa forma, a organização pode contar com mão de obra especializada para identificá-los e tomar as providências necessárias para corrigir os erros.
Quando esses profissionais encontram falhas e as relatam para a empresa, são recompensados – a remuneração varia de acordo com a quantidade e a criticidade do problema.
A mecânica do Bug Bounty surgiu em 1983, quando a empresa estadunidense Hunter & Ready criou um programa de recompensas para quem encontrasse bugs e vulnerabilidades em seus sistemas. O nome que conhecemos hoje, entretanto, só começou a ser usado em 1995 pela empresa de serviços de computadores Netscape Communications Corporation.
Hoje em dia, grandes empresas, como o Google², possuem seu próprio programa de Bug Bounty.
Bug Bounty x Pentest
O Bug Bounty e o Pentest têm suas semelhanças.
Assim como o primeiro, o Pentest também tem como objetivo encontrar vulnerabilidades de cibersegurança nos sistemas ou redes de uma organização através de hackers éticos. Apesar disso, existem algumas importantes diferenças entre ambos.
Bug Bounty:
- Profissionais independentes: o profissional pode acessar uma plataforma, se cadastrar, começar a enviar vulnerabilidades e receber as recompensas. Ele não possui nenhum tipo de vínculo com a empresa para a qual está prestando serviço.
- As vulnerabilidades precisam ser enviadas, analisadas e aceitas pela organização, o que aumenta o tempo de espera e o esforço. Ou seja, a empresa acaba ficando no escuro nesse meio tempo.
- Por serem independentes, os profissionais não seguem uma metodologia específica, o que pode prejudicar o entendimento e a credibilidade dos resultados.
Pentest (Pentest as a Service):
- Profissionais terceirizados: aqui, os hackers éticos são contratados pela empresa de Pentest (que é a intermediária entre Pentester e cliente), o que significa que eles possuem algum tipo de vínculo contratual.
- Relatórios de vulnerabilidades e atualizações em tempo real: através de uma plataforma, os profissionais conseguem atualizar seu progresso diariamente, além de enviarem, ao final do Pentest, disponibilizar um relatório completo com todas as informações levantadas.
- Segue metodologias internacionais: metodologias como a da OWASP são seguidas nesse caso, justamente para manter um padrão e para utilizar técnicas que são reconhecidas/aceitas pelo mercado internacional.
Qual escolher?
A escolha entre Bug Bounty e Pentest irá depender muito do objetivo e da necessidade de cada empresa. No entanto, eles também são usados como complementares em vários casos. O Pentest sendo realizado durante o lançamento de novos produtos e/ou sendo realizado periodicamente, enquanto o Bug Bounty continua ativo durante todo esse intervalo.
Para casos específicos, porém, como os de fusão & aquisição (merge & acquisitions) ou compliance, recomendamos a utilização apenas do Pentest, justamente pela credibilidade das metodologias adotadas.
O Pentest, especialmente o Pentest as a Service, também é reconhecido por ser mais ágil e transparente pela nossa plataforma de atualizações e relatórios. Além disso, ele nos permite escolher os melhores profissionais do mercado para atuar em cada situação, ao invés de contar apenas com aqueles que se ofereceram.
Para conhecer a plataforma de Pentest as a Service da Vantico, toque aqui e saiba mais.