A contratação de hackers para explorar falhas de segurança se tornou uma necessidade para o setor financeiro. Com o aumento na quantidade de informações sendo compartilhadas digitalmente, cresceram também as oportunidades de ataques cibernéticos. Evitar que dados sensíveis sejam expostos é um desafio especial para as instituições financeiras, já que, de acordo com um levantamento realizado pela Apura, no ano passado as tentativas de roubo de dados bancários aumentaram 141% em comparação ao ano anterior.
“Esses hackers éticos são profissionais extremamente capacitados e com certificações que garantem que possuem o conhecimento técnico necessário para desenvolverem testes e contribuírem para a correção de falhas, blindando sistemas e dificultando que as fragilidades sejam exploradas por alguém mal intencionado”, conta o gerente de Segurança da Informação da RTM, Renan Barcelos.
Os testes de intrusão, também conhecidos como pentests, em que aplicações e programas de instituições são colocados à prova, estão comumente no escopo de trabalho dos hackers éticos. Nessas situações, eles buscam invadir o alvo sem deixar vestígios e recolhem informações que possam contribuir para a implementação de novas camadas de segurança.
“Existem três principais testes de intrusão, e a definição de qual é o mais adequado varia de acordo com a maturidade da solução que será avaliada. Em todo caso, é importante que a instituição tenha completa confiança na empresa contratada, pois além de buscar as brechas, os profissionais deverão apontar caminhos para que elas sejam corrigidas”, pontua Renan.
O teste de intrusão White Box é o mais simples, pois nessa situação, a equipe que está em busca de falhas tem acesso a informações necessárias para acessar os sistemas. Por isso, geralmente é realizado ainda em fases de desenvolvimento. Já no Gray Box o hacker terá acesso parcial aos dados necessários para o ataque. Dessa forma, é possível testar de forma mais efetiva a segurança das aplicações, porém a troca de dados entre atacante e empresa contratante não está descartada. Por último, o Dark Box é o teste mais rigoroso, já que os hackers não têm informações que facilitem a entrada nos alvos e devem agir de forma ainda mais cautelosa e planejada para verificarem as camadas de proteção, assim como ocorreria em um ataque real.
“Os hackers éticos são profissionais indispensáveis dentro das estratégias de segurança digital. A atuação deles impede não apenas perdas financeiras consideráveis, como também evitam prejuízos à reputação e à imagem das empresas. Porém, é importante ter em mente que os testes de intrusão oferecem um raio-X dos pontos mais sensíveis da segurança e, a partir desse ponto, é necessária a realização da gestão de vulnerabilidade para que a proteção esteja completa”, acrescenta o gerente.
