abutton
Close menu
Accessibility Menu
Bigger text
bigger text icon
Text Spacing
Spacing icon
Saturation
saturation icon
Cursor
big cursor icon
Dyslexia Friendly
dyslexia icon
Reset

Protecção de uma empresa através de Bug Bounty Platforms

As Bug Bounty Platform (BBP), ou plataformas de recompensa de insectos, nasceram para moldar uma nova era de segurança cibernética. Estes programas permitem aos hackers reportar bugs a uma organização sobre o seu sistema, bugs tais como explorações de segurança, problemas de processo, falhas de hardware, e várias vulnerabilidades. Encontrar vulnerabilidades permite aumentar as métricas e optar por novos programas para abraçar novos desafios e experiências.

Protecção de uma empresa através de Bug Bounty Platforms

Em essência, é um sistema de compensação oferecido por muitos websites, organizações e criadores de software, através do qual as pessoas podem receber reconhecimento e recompensas por reportar bugs em diferentes sistemas de empresas. Nos últimos tempos, cada vez mais empresas estão a aderir a plataformas de recompensa de insectos.

Programas Bug Bounty

Estes programas existem há mais de duas décadas, mas sofriam de limitações e havia necessidade de middleware no mercado da ciber-segurança. As plataformas Bug Bounty devem respeitar a política de segurança de cada website, entregar relatórios de alta qualidade e fornecer qualquer informação relevante. Entre os programas mais proeminentes em 2021 estão Hackerone, BugCrowd, OpenBugBounty, SynAck e YesWeHack.

Todas estas plataformas decidiram iniciar a sua transformação de testes de segurança para plataformas de segurança informática tudo-em-um, ou seja, oferecer testes de penetração clássicos juntamente com outros serviços.

  • Hackerone

Hackerone é o líder da indústria. Há duas maneiras de utilizar esta plataforma: primeiro, utilizá-la para compilar relatórios de vulnerabilidade e depois a própria empresa encarrega-se da sua resolução ou, segundo, deixar os criadores da plataforma compilar estes relatórios de vulnerabilidade, verificá-los e contactar os hackers para resolução.

Esta plataforma é utilizada por grandes empresas tais como Google Play, GitHub ou Starbucks. Também é conhecida por acolher os programas do Governo dos EUA de Bug Bounty, incluindo os programas de divulgação de vulnerabilidades do Departamento de Defesa.

Hackerone oferece actualmente serviços de testes de penetração, tornando-a uma plataforma muito mais abrangente.  Tem um lugar estabelecido na indústria com amplas certificações de segurança, tais como a ISO 27001.

  • BugCrowd

BugCrowd é indiscutivelmente a plataforma mais criativa de todas, uma vez que promove serviços tradicionais de testes de segurança colectiva, para além da recompensa de bugs, gestão de superfícies de ataque, e um amplo espectro de serviços de testes de penetração para IOT e APIs. Além disso, tem capacidades de integração do ciclo de vida de desenvolvimento de software, tornando o fluxo de trabalho DevSecOps mais fácil e mais rápido.

A BugCrowds trabalha com gigantes como a Amazon, Visa e eBay. Além disso, a sua secção Bug Bounty fornece uma solução SaaS que se integra facilmente no ciclo de vida do software, tornando simples a execução de um programa de recompensa de bugs.

  • SynAck

A SynAck oferece uma equipa altamente qualificada com conhecimentos especializados da indústria. A empresa combina software de segurança com aprendizagem por IA e máquinas com uma rede colaborativa colectiva de hackers.

Esta plataforma adopta uma abordagem contraditória para explorar a inteligência para mostrar à empresa onde se encontram as vulnerabilidades mais críticas para o negócio e como podem ser utilizadas contra elas. Esta inteligência permite que recursos em todo o ciclo de vida de desenvolvimento de sistemas apliquem as melhores práticas de segurança específicas à sua organização.

  • YesWeHack

YesWeHack é uma das empresas europeias de divulgação de vulnerabilidades, que geralmente atrai empresas sediadas na própria Europa, cuja principal preocupação é a privacidade e a protecção de dados. Recentemente, anunciou um crescimento de 250% em relação a 2020 na Ásia, demonstrando a sua fiabilidade, rápida ascensão e escalada para outras geografias.

Para este ano, a plataforma lançou um programa de formação através do DOJO para ajudar os hackers a aperfeiçoar as suas capacidades. Desta forma, hackers de todo o mundo serão capazes de melhorar as suas capacidades de teste de segurança de software.

  • OpenBugBounty

O OpenBugBounty tem mais de 1.200 programas Bug Bounty activos. A chave para o sucesso desta plataforma é que ela é a única sem fins lucrativos, e permite a divulgação coordenada de questões de segurança em qualquer website se o problema for detectado por meios não intrusivos.

A plataforma assegura que as suas políticas de segurança e divulgação se baseiam na ISO 29147, para empresas como a A1 Telekom.

Mitos das plataformas Bug Bounty

Há muito que se acredita que a Bug Bounty deve ser publicamente acessível a todos os hackers, até que grandes empresas como a Microsoft lançaram um programa de recompensa de bugs.

Os programas abertos são um método de demonstrar publicamente a segurança dos produtos oferecidos por diferentes empresas, mas em contraste, num programa privado, um grupo de pessoas é escolhido para encontrar bugs. Assim, as vulnerabilidades não têm de ser públicas e o grupo de pessoas seleccionadas tem a perícia exigida pela empresa que contrata os seus serviços.

A maioria das organizações começa com programas privados até que a gestão da vulnerabilidade seja testada, um orçamento de prémios seja previsto, e as equipas jurídicas sejam informadas. Depois, esta informação é tornada pública, uma vez que exibir publicamente a segurança dá um sentido de confiança e honestidade por parte da empresa.

Por outro lado, não é necessário executar programas de recompensa de bugs contínuos, embora muitas empresas o façam; programas que envolvem testes de curto alcance, utilizando um número definido de hackers comprometidos a curto prazo, são suficientes.

Os programas são totalmente personalizáveis, o que significa que é fácil definir métricas para programas privados, de modo a que o número de relatórios recebidos seja controlável, tanto em termos de tempo como de orçamento. Uma vez alinhadas as equipas de segurança, é possível avançar para um plano de envolvimento contínuo.

Alternativas às Bug Bounty plataforms

Para que as organizações possam ter um canal seguro, é necessário ter um programa de divulgação de vulnerabilidades em vigor. As empresas podem optar por contratar uma empresa de testes de penetração para realizar testes durante um período de tempo limitado. Isto garantirá que a empresa tenha uma equipa treinada e competente.

Os testes de penetração duram geralmente algumas semanas, enquanto que os programas de recompensa de insectos costumam durar anos, sem limite para o número de testes que podem ser realizados.

A principal diferença entre estes tipos de programas é o preço, uma vez que as empresas pagam aos hackers de penetração pelo objectivo a alcançar, enquanto que as recompensas por bug bounties são pagas por vulnerabilidade válida encontrada.

Desvantagens

Um dos principais inconvenientes, do ponto de vista de um hacker, é que só se recebe uma recompensa quando se é o primeiro a encontrar um bug ou vulnerabilidade. Isto resulta em instabilidade económica dentro do mundo da Bug Bounty.

Do lado das empresas, deve entender-se que só faz sentido utilizar estes programas se a empresa tiver poder e estabilidade suficientes para resolver rapidamente os problemas encontrados. Além disso, se uma organização optar por fazer uso da Bug Bounty pública, deve ser capaz de lidar com um aumento considerável de alertas, muitos dos quais serão inúteis.

Finalmente, a grande maioria dos hackers que trabalham para estas plataformas dedicam-se à procura de vulnerabilidades do website; muito poucos optam por procurar bugs no sistema operativo, uma vez que o hacking de hardware ou memória de rede requer conhecimentos altamente especializados. Assim, se o objectivo da empresa é encontrar bugs no seu sistema operativo, a recompensa será mais cara.

Conclusões

Os programas de recompensa de bugs são uma grande estratégia a incluir nos processos de teste e codificação da web, uma vez que fornecem uma perspectiva de vulnerabilidade que os programas internos normalmente não conseguem alcançar.

Estes tipos de programas são óptimos para utilização em websites altamente visíveis. Graças às plataformas Bug Bounty, a perícia de dezenas ou centenas de investigadores de segurança está disponível. As recompensas convidativas têm aproximadamente o dobro do sucesso das recompensas públicas, principalmente devido à qualidade dos insectos que os hackers encontram devido à sua maior perícia.

Em geral, espera-se um aumento considerável destas plataformas nos próximos anos, e é uma questão a ser considerada por qualquer empresa, uma vez que será capaz de corrigir rapidamente vulnerabilidades encontradas em combinação com outras técnicas de ciber-segurança.