Bug Bounty é a solução para barrar desafios em Cyber?

Ganhando cada vez mais popularidade em praticar o bem, o programa de recompensas se mostra um grande aliado dos profissionais de SI para evitar eventuais ataques cibernéticos causados por possíveis vulnerabilidades. Em entrevista à Security Report, Fabio Soares, Cybersecurity Executive Manager na TIM Brasil, comenta que apostou no Bug Bounty ainda durante a pandemia e compartilha os processos, benefícios e suas perspectivas para o futuro em torno do assunto

A preocupação das empresas em encontrar soluções para se defenderem dos ciberataques aumenta a cada ano diante de um cenário complexo causado pelos ataques cibernéticos. Um dos métodos adotados por algumas empresas e que vem se tornando cada vez mais frequentemente é o Bug Bounty, programa de recompensa que tem como objetivo realizar testes nos sistemas das organizações, para identificar possíveis vulnerabilidades de forma antecipada, sendo possível reduzir os riscos e evitar que os negócios sejam impactados pela ação de agentes mal-intencionados.

Recentemente, a OpenAI, criadora do popular chatbot de inteligência artificial ChatGPT, lançou um novo programa de recompensas de bugs para que pesquisadores de segurança registrados descubram vulnerabilidades em sua linha de produtos e sejam pagos por relatá-los por meio da plataforma de segurança colaborativa Bugcrowd. De acordo com a empresa, as recompensas são baseadas na gravidade e no impacto dos problemas relatados e variam de US$ 200 para falhas de segurança de baixa gravidade até US$ 20 mil, para descobertas excepcionais.

Fabio Soares, Cybersecurity Executive Manager na TIM Brasil, comenta que apostou no programa de recompensas dentro da companhia, após muitos estudos realizados, o Bug Bounty começou efetivamente em janeiro de 2021. Mas antes, segundo o executivo, durante um dos eventos de inovação promovido no mercado, os profissionais da organização viram no exterior que o programa já era muito utilizado. Avaliando o cenário Brasil, Soares ressalta que a companhia contratou uma startup chamada Bug Hunt para o gerenciamento dos serviços de Bug Bounty.

O profissional explica que antes da aquisição do serviço, havia alguns hackers éticos internos na TIM, porém voltados em outros programas. E como a companhia possui em torno de 200 sites externos, existia a necessidade de redobrar ainda mais a Segurança.

“Além disso, tínhamos notado que a qualidade dos testes estava caindo, porque existe a falta de profissionais no mercado e os provedores de serviços estão com dificuldade de reter colaboradores bons. Juntando tudo isso, o custo e tempo, nós achamos o Buy Bounty como uma alternativa. Mas não é a única, seguimos fazendo os nossos processos de Pentest. Inclusive, conseguimos identificar muita coisa que eventualmente não conseguimos pelo Pentest”, comenta Soares em entrevista concedida à Security Report.

De acordo com o executivo, o serviço contratado divulga aos hackers éticos que estão na plataforma Bug Hunt os sites da companhia, bem como o valor de premiação para cada tipo de vulnerabilidade. “A plataforma pega os hackers éticos que identificam a vulnerabilidade e, eles sugerem a criticidade. Isso chegava em nós e fazíamos um filtro, chegando à conclusão se era algo crítico ou não, se fosse o caso, havia um contra-argumento dependendo do que foi localizado”, pontua.

Um outro motivo para a contratação dessa ferramenta de recompensas, segundo Fábio Soares, é que no início, internamente havia um serviço como esse implementado, mas logo constataram que o volume era muito alto. Muitas vezes chegava informações não relacionadas com vulnerabilidade, e em meio ao processo, a triagem e o esforço era muito grande.

“Diante disso, nós contratamos um serviço para a triagem também, passando a fazer esse processo e eles mesmos já faziam a interface com os hackers éticos dizendo se era baixo, médio ou alto. Já vinha algo classificado, reduzindo consideravelmente o nosso esforço interno. Depois, a gente pegava esse relatório gerado com a crítica da vulnerabilidade e entregava ao time de Tecnologia da Informação. Esse processo está ativo até os dias atuais”, afirma o Cybersecurity Executive Manager na TIM Brasil.

Com isso, os próprios membros da TI faziam as devidas resoluções, o que garantiu melhorias significativas ao longo do processo. Soares enfatiza que, com essa tecnologia, a possibilidade de se antecipar em alguma vulnerabilidade presente no sistema, antes que alguém com intenções maliciosas descubra é muito maior.

Ele ressalta ainda que o Bug Bounty foi um dos melhores programas que participou na TIM, já que apresentou melhorias nos processos internos como todo. “O projeto trouxe um debate muito importante sobre a remediação de vulnerabilidade que, consequentemente, agregou muito valor para mim com um profissional na área e para todos aqui internamente”, completa Fábio.

O futuro do Bug Bounty

Assim como a própria OpenAI, outras empresas de verticais diversas seguem aderindo ao programa e na visão de Fábio Soares cada vez mais será uma realidade no mercado. Ele compartilha que existem dois caminhos nesse contexto e as empresas terão que apostar quando entrar em pauta o tema: gestão de vulnerabilidades.

“O primeiro se chama Security By Design. É conscientizar o time de desenvolvimento para a correção das vulnerabilidades para que isso não vá para a produção. É necessário conscientizar os desenvolvedores fazendo com que o profissional pense de forma segura, quando ele estiver construindo o código, por exemplo. O segundo é o próprio Buy Bounty. Para mim, os dois vão ajudar muito as grandes empresas”, avalia Soares.

Além desses dois elementos, um outro grande aliado e que pode se tornar protagonista é o ChatGPT. De acordo com o executivo, a tecnologia pode ser usada pela Segurança para a identificação de alguma vulnerabilidade interna no futuro.

“O ChaGPT já está disponível para todo mundo. Da mesma forma que posso utilizar para identificar vulnerabilidades e tentar me antecipar, alguém pode usar com outras intenções. Diante disso, é extremamente importante cada vez mais que as plataformas estejam seguras e que não exista vulnerabilidades em produção”, finaliza o Cybersecurity Executive Manager na TIM Brasil.