Olá caro leitor!
Você já deve ter ouvido falar sobre pessoas que ganharam recompensas, em dinheiro, por terem encontrado falhas de segurança em aplicações disponíveis na internet. Pois então é sobre Bug Bounty Program que nós falaremos hoje.
Mas o que é Bug Bounty Program?
Bug Bounty Program é um meio pelo qual as organizações evidenciam esforços para materem seus sistemas em um nível razoável de segurança, minimizando os chamados bugs. Eles permitem, que pesquisadores de segurança independentes relatem falhas em sistemas de uma organização e recebam recompensas por este trabalho. Estas falhas ou bugs são, geralmente, falhas que poderiam servir de vetores para explorações, embora também possam incluir problemas de processo, falhas de hardware e assim por diante.
Fonte: www.catonmat.net
Há organizações conhecidas que mantém Programas de Recompensas Por Descobertas de Falhas?
Muitas organizações internacionais trabalham com programas de recompensas como parte de seu sistema de segurança, apenas para exemplificar, algumas destas organizações são: Apple, Airbnb, Aliexpress, Dropbox, Google e muitas outras, caso queira você encontra uma lista bastante vasta em www.bugcrowd.com/bug-bounty-list.
Quais as razões pelas quais uma organização poderia implementar um Bug Bounty Program?
Bug Bounty Program dão às organizações a capacidade de aproveitar um grande número de especialistas em segurança cibernética na busca por falhas indesejáveis em códigos de suas aplicações. Através de um progama de recompensa a organização tem acesso a um maior número de testadores, muito mais do que teria se fosse contratar uma equipe de pentest. Há de se considerar também que isso pode aumentar as chances de que bugs sejam encontrados antes que agentes maliciosos possam explorá-los. Outra razão é que uma programa desses pode ser uma boa estratégia de marketing, já que à medida que os bugs tornaram-se mais comuns, ter um programa de recompensa que estimule a busca por falhas pode sinalizar para autoridades e para o público em geral que a organização tem um certo nível de maturidade em segurança cibernética.
Para um profissional de segurança cibernética vale a pena entrar em um Programa de Recompensas Por Descoberta de Falhas?
Encontrar e relatar falhas por meio de um programa de recompensa pode resultar em ganho financeiro. Em alguns casos, pode ser uma ótima maneira de mostrar experiência do mundo real quando você estiver procurando uma colocação no mercado. Pode ser uma renda em tempo integral ou renda complementar ou ainda uma maneira de mostrar e treinar suas habilidades. Bem, ser um bug hunter e ter isso como sua única fonte de renda pode ser um pouco difícil, ou seja, garantir uma boa renda apenas dessa atividade por não ser uma tarefa fácil, pois para reivindicar uma recompensa, você precisa ser a primeira pessoa a notificar a falha para o programa. Isso significa que, na prática, você pode passar semanas procurando por uma falha e quando a encontra e vai notificá-la, ela já fora notificada e suas semanas foram então perdidas.
Vantagens e desvantagens em um Bug Bounty Program para uma organização?
Um programa de recomensas só agrega valor ao negócio da organização se resultar na descoberta de falhas que a organização sozinha não pudesse encontrar e se esta falha puder ser corrigida pela própria organização em um tempo razoável, caso contrário o programa não trará grandes benefícios para a organização. Além disso, programas de recompensas podem atrair um grande número de submissões, muitas das quais podem ser apenas perda de tempo para o time da segurança.
Bem, por hoje é só pessoal!
Você pode ler a revista online aqui no site ou realizar o download. Para isto basta acessar o menu superior Edição Atual e Anteriores, escolher o ano, rolar a página para encontrar a edição desejada. Clicar no botão Ler Online ou Download.
Ew Sistemas TI.