Contato
Quem Somos
Quero Patrocinar

Bug Bounty é a solução para barrar desafios em Cyber?

Compartilhar:

Ganhando cada vez mais popularidade em praticar o bem, o programa de recompensas se mostra um grande aliado dos profissionais de SI para evitar eventuais ataques cibernéticos causados por possíveis vulnerabilidades. Em entrevista à Security Report, Fabio Soares, Cybersecurity Executive Manager na TIM Brasil, comenta que apostou no Bug Bounty ainda durante a pandemia e compartilha os processos, benefícios e suas perspectivas para o futuro em torno do assunto

A preocupação das empresas em encontrar soluções para se defenderem dos ciberataques aumenta a cada ano diante de um cenário complexo causado pelos ataques cibernéticos. Um dos métodos adotados por algumas empresas e que vem se tornando cada vez mais frequentemente é o Bug Bounty, programa de recompensa que tem como objetivo realizar testes nos sistemas das organizações, para identificar possíveis vulnerabilidades de forma antecipada, sendo possível reduzir os riscos e evitar que os negócios sejam impactados pela ação de agentes mal-intencionados.

Recentemente, a OpenAI, criadora do popular chatbot de inteligência artificial ChatGPT, lançou um novo programa de recompensas de bugs para que pesquisadores de segurança registrados descubram vulnerabilidades em sua linha de produtos e sejam pagos por relatá-los por meio da plataforma de segurança colaborativa Bugcrowd. De acordo com a empresa, as recompensas são baseadas na gravidade e no impacto dos problemas relatados e variam de US$ 200 para falhas de segurança de baixa gravidade até US$ 20 mil, para descobertas excepcionais.

Fabio Soares, Cybersecurity Executive Manager na TIM Brasil, comenta que apostou no programa de recompensas dentro da companhia, após muitos estudos realizados, o Bug Bounty começou efetivamente em janeiro de 2021. Mas antes, segundo o executivo, durante um dos eventos de inovação promovido no mercado, os profissionais da organização viram no exterior que o programa já era muito utilizado. Avaliando o cenário Brasil, Soares ressalta que a companhia contratou uma startup chamada Bug Hunt para o gerenciamento dos serviços de Bug Bounty.

O profissional explica que antes da aquisição do serviço, havia alguns hackers éticos internos na TIM, porém voltados em outros programas. E como a companhia possui em torno de 200 sites externos, existia a necessidade de redobrar ainda mais a Segurança.

“Além disso, tínhamos notado que a qualidade dos testes estava caindo, porque existe a falta de profissionais no mercado e os provedores de serviços estão com dificuldade de reter colaboradores bons. Juntando tudo isso, o custo e tempo, nós achamos o Buy Bounty como uma alternativa. Mas não é a única, seguimos fazendo os nossos processos de Pentest. Inclusive, conseguimos identificar muita coisa que eventualmente não conseguimos pelo Pentest”, comenta Soares em entrevista concedida à Security Report.

De acordo com o executivo, o serviço contratado divulga aos hackers éticos que estão na plataforma Bug Hunt os sites da companhia, bem como o valor de premiação para cada tipo de vulnerabilidade. “A plataforma pega os hackers éticos que identificam a vulnerabilidade e, eles sugerem a criticidade. Isso chegava em nós e fazíamos um filtro, chegando à conclusão se era algo crítico ou não, se fosse o caso, havia um contra-argumento dependendo do que foi localizado”, pontua.

Um outro motivo para a contratação dessa ferramenta de recompensas, segundo Fábio Soares, é que no início, internamente havia um serviço como esse implementado, mas logo constataram que o volume era muito alto. Muitas vezes chegava informações não relacionadas com vulnerabilidade, e em meio ao processo, a triagem e o esforço era muito grande.

“Diante disso, nós contratamos um serviço para a triagem também, passando a fazer esse processo e eles mesmos já faziam a interface com os hackers éticos dizendo se era baixo, médio ou alto. Já vinha algo classificado, reduzindo consideravelmente o nosso esforço interno. Depois, a gente pegava esse relatório gerado com a crítica da vulnerabilidade e entregava ao time de Tecnologia da Informação. Esse processo está ativo até os dias atuais”, afirma o Cybersecurity Executive Manager na TIM Brasil.

Com isso, os próprios membros da TI faziam as devidas resoluções, o que garantiu melhorias significativas ao longo do processo. Soares enfatiza que, com essa tecnologia, a possibilidade de se antecipar em alguma vulnerabilidade presente no sistema, antes que alguém com intenções maliciosas descubra é muito maior.

Ele ressalta ainda que o Bug Bounty foi um dos melhores programas que participou na TIM, já que apresentou melhorias nos processos internos como todo. “O projeto trouxe um debate muito importante sobre a remediação de vulnerabilidade que, consequentemente, agregou muito valor para mim com um profissional na área e para todos aqui internamente”, completa Fábio.

O futuro do Bug Bounty

Assim como a própria OpenAI, outras empresas de verticais diversas seguem aderindo ao programa e na visão de Fábio Soares cada vez mais será uma realidade no mercado. Ele compartilha que existem dois caminhos nesse contexto e as empresas terão que apostar quando entrar em pauta o tema: gestão de vulnerabilidades.

“O primeiro se chama Security By Design. É conscientizar o time de desenvolvimento para a correção das vulnerabilidades para que isso não vá para a produção. É necessário conscientizar os desenvolvedores fazendo com que o profissional pense de forma segura, quando ele estiver construindo o código, por exemplo. O segundo é o próprio Buy Bounty. Para mim, os dois vão ajudar muito as grandes empresas”, avalia Soares.

Além desses dois elementos, um outro grande aliado e que pode se tornar protagonista é o ChatGPT. De acordo com o executivo, a tecnologia pode ser usada pela Segurança para a identificação de alguma vulnerabilidade interna no futuro.

“O ChaGPT já está disponível para todo mundo. Da mesma forma que posso utilizar para identificar vulnerabilidades e tentar me antecipar, alguém pode usar com outras intenções. Diante disso, é extremamente importante cada vez mais que as plataformas estejam seguras e que não exista vulnerabilidades em produção”, finaliza o Cybersecurity Executive Manager na TIM Brasil.

Destaques

Cisco emite esclarecimento sobre suposto vazamento de dados

Regulação da IA: CISOs e operadores do direito analisam Projeto de Lei

CISO no Board: o desafio de comunicar a linguagem da SI ao negócio

Google, Facebook e Amazon são as marcas mais usadas em roubos de credenciais, diz relatório

Febraban alerta para golpes mais aplicados nas compras de Natal

Bloqueio de fraudes na Black Friday crescem 270% em 2024

Colunas & Blogs

Avatar photo
Comunicação em Cyber: Qual o impacto do Social Styles na sua carreira?
Denis Nesi
Avatar photo
Estamos prontos para o futuro com a IA?
Fabio Correa Xavier
Avatar photo
Da Trincheira à Mesa do Conselho: A Jornada de um CISO rumo à Governança Corporativa
Glauco Sampaio
Avatar photo
Brasil: Um terreno fértil para o Cibercrime
Rodrigo Jorge
Avatar photo
A Nova Geração de CTI: Quando a Inteligência (Artificial) encontra as Ameaças
Julio Signorini
Avatar photo
Equilibrando a transformação dos negócios e os riscos de Segurança
Luiz Firmino
Avatar photo
O inimigo pode estar onde menos esperamos
Rangel Rodrigues
Avatar photo
Piloto Automático: por que o ser humano é o elo mais fraco em Cybersecurity?
Rui Borges
Avatar photo
Capacitação em Deep Learning e Inteligência Artificial para a Segurança Cibernética
Fabiana Tanaka

Conteúdos Relacionados

Security Report | Destaques

Cisco emite esclarecimento sobre suposto vazamento de dados

Publicações apontando um possível vazamento de dados anunciado em um fórum na Dark Web circularam durante essa semana. Em nota,...
Leia Mais
  • Matheus Bracco
  • dezembro 19, 2024
Security Report | Destaques

Regulação da IA: CISOs e operadores do direito analisam Projeto de Lei

O Senado Federal aprovou a lei em plenário neste mês de dezembro, avançando com a possibilidade de estabelecer normas mais...
Leia Mais
  • Matheus Bracco
  • dezembro 19, 2024
Security Report | Destaques

CISO no Board: o desafio de comunicar a linguagem da SI ao negócio

Como líderes de Cibersegurança podem ajustar seu discurso para estabelecer uma ponte efetiva com os conselheiros e influenciar decisões estratégicas
Leia Mais
  • Léia Machado
  • dezembro 19, 2024
Security Report | Destaques

Unidas Aluguel de Carros identifica tentativa de invasão aos sistemas

Registros de que a companhia havia sido atacada por um ransomware começaram a circular nesta semana, quando grupos de monitoramento...
Leia Mais
  • Matheus Bracco
  • dezembro 18, 2024

Maior portal de Segurança da Informação e Cibernética do Brasil

Linkedin-in Instagram Facebook-f Flickr

Sua marca no único portal de Segurança da Informação e Cyber Security do País

Seja um patrocinador

Inscreva-se na nossa Newsletter

Security Leaders
Próximos Eventos
Eventos realizados
Security Report
TVSecurity
Executive Report
Decision Report
Quem somos
Política de Privacidade
Quero patrocinar
Contato
Home
© 2024 Security Leader. Todos os Direitos Reservados. Agência Unit