Bug bounty pode substituir testes de intrusão? Entenda a diferença
Alguns gestores enxergam ambas as práticas como iguais, mas elas podem ser complementares para aumentar a segurança de seus sistemas.
O conceito de bug bounty não é novo, mas tem recebido maior atenção nos últimos tempos graças ao nascimento de plataformas intermediadoras e manchetes jornalísticas de recompensas milionárias oferecidas aos pesquisadores. Por conta disso, muitos gestores de segurança da informação acreditam que criar um programa desses pode substituir os bons e velhos testes de intrusão, sendo mais barato e mais prático — afinal, você só pagará quando alguém efetivamente encontrar alguma brecha em seus sistemas, não é mesmo?
Bom, a situação não é exatamente essa. Os conceitos são similares, mas possuem diferenças que precisam ser levadas em conta antes que você tome qualquer decisão. Os testes de intrusão — mais conhecidos como pentest — nada mais são do que simulações de ataques realizados de forma controlada, nos quais uma equipe de profissionais remonta técnicas e táticas de cibercriminosos para detectar brechas em um ambiente computacional. Ao fim dos testes, é elaborado um relatório com o que foi encontrado.
Já no bug bounty, qualquer pessoa interessada pode vasculhar seu ambiente em busca de brechas e submeter um report (notificação). Caso o problema encontrado seja real, a empresa bonifica o pesquisador independente com uma quantia pré-estabelecida em dinheiro. O problema é que não é tão fácil administrar um programa de bug bounty: é preciso ter um profissional dedicado a ler tais relatórios — muitas vezes duplicados — e verificar se eles são, de fato, válidos.
Uma boa estratégia para empresas que estão começando agora a fortificar suas infraestruturas é realizar primeiro um teste de intrusão para encontrar as principais brechas e corrigi-las sem pressa. Isso é importante sobretudo para novos produtos, como aplicativos que estão sendo lançados agora no mercado. Após essa auditoria inicial, um programa de bug bounty pode ser estabelecido, visto que o sistema estará parcialmente blindado e menos falhas serão detectadas pelos pesquisadores.
No fim das contas, embora os conceitos sejam parecidos, no fim das contas, eles podem ser complementares — testes de intrusão periódicos (semestrais ou anuais) junto com programas públicos para encontrar brechas que um red team pode ter passado despercebido. E, por falar em red team, não deixe de conhecer as soluções de segurança ofensiva da Aser Security; converse com nossos consultores e entenda como nós podemos ajudá-lo nesse jornada!
