Antes de um novo produto de software chegar ao mercado, ele é testado quanto a vulnerabilidades. Toda empresa responsável realiza esses testes, a fim de proteger seus clientes e a si mesma das ameaças cibernéticas.
Nos últimos anos, os desenvolvedores confiaram cada vez mais no crowdsourcing para conduzir investigações de segurança. Mas o que exatamente é segurança de crowdsourcing? Como funciona e como se compara a outros métodos comuns de avaliação de risco?
Como funciona a segurança de crowdsourcing
Organizações de todos os tamanhos têm tradicionalmente utilizado testes de penetração para proteger seus sistemas. O teste de penetração é essencialmente um ataque cibernético simulado destinado a expor falhas de segurança, assim como um ataque real faria. Mas, ao contrário de um ataque real, uma vez descobertas, essas vulnerabilidades são corrigidas. Isso aumenta o perfil geral de segurança da organização em questão. Parece simples.
Mas existem alguns problemas gritantes com os testes de penetração. Normalmente é realizado anualmente, o que simplesmente não é suficiente, visto que todo o software é atualizado regularmente. Em segundo lugar, como o mercado de segurança cibernética está bastante saturado, as empresas de testes de penetração às vezes "descobrem" vulnerabilidades onde realmente não existem para justificar a cobrança por seus serviços e se destacar sua competição. Há também preocupações orçamentárias – esses serviços podem ser bastante caros.
A segurança de crowdsourcing funciona em um modelo totalmente diferente. Ele gira em torno de convidar um grupo de indivíduos para testar o software quanto a problemas de segurança. As empresas que usam testes de segurança colaborativos convidam um grupo de pessoas, ou o público como tal, para testar seus produtos. Isso pode ser feito diretamente ou por meio de uma plataforma de crowdsourcing terceirizada.
Embora qualquer pessoa possa aderir a esses programas, é principalmente hackers éticos (hackers de chapéu branco) ou pesquisadores, como são chamados dentro da comunidade, que deles participam. E eles participam porque geralmente há um prêmio financeiro decente para descobrir uma falha de segurança. Obviamente, cabe a cada empresa determinar os valores, mas pode-se argumentar que o crowdsourcing é mais barato e mais eficaz a longo prazo do que os testes de penetração tradicionais.
Comparado ao teste de penetração e outras formas de avaliação de risco, o crowdsourcing tem muitas vantagens diferentes. Para começar, não importa o quão boa seja a empresa de teste de penetração que você contratar, um grande grupo de pessoas que procuram consistentemente por vulnerabilidades de segurança tem muito mais probabilidade de descobri-las. Outra vantagem óbvia do crowdsourcing é que qualquer programa desse tipo pode ser aberto, o que significa que pode ser executado continuamente, para que as vulnerabilidades possam ser descobertas (e corrigidas) o ano todo.
3 tipos de programas de segurança de crowdsourcing
A maioria dos programas de segurança de crowdsourcing está centrada no mesmo conceito básico de recompensar financeiramente aqueles que descobrem uma falha ou vulnerabilidade, mas podem ser agrupados em três categorias principais.
1. Recompensas de Insetos
Praticamente todos os gigantes da tecnologia - do Facebook, passando pela Apple, até o Google - têm um ativo programa de recompensa por bug. O funcionamento deles é bem simples: descubra um bug e você receberá uma recompensa. Essas recompensas variam de algumas centenas de dólares a alguns milhões, então não é de admirar que alguns hackers éticos ganhem renda em tempo integral descobrindo vulnerabilidades de software.
2. Programas de divulgação de vulnerabilidade
Os programas de divulgação de vulnerabilidades são muito semelhantes às recompensas de bugs, mas há uma diferença fundamental: esses programas são públicos. Em outras palavras, quando um hacker ético descobre uma falha de segurança em um produto de software, essa falha é divulgada para que todos saibam do que se trata. As empresas de segurança cibernética costumam participar delas: identificam uma vulnerabilidade, escrevem um relatório sobre ela e oferecem recomendações para o desenvolvedor e o usuário final.
3. Crowdsourcing de malware
E se você baixar um arquivo, mas não tiver certeza se é seguro executá-lo? Como você verifique se é malware? Se você conseguiu baixá-lo em primeiro lugar, seu pacote antivírus falhou em reconhecê-lo como malicioso, então o que você pode fazer é acessar o VirusTotal ou um scanner on-line semelhante e carregá-lo lá. Essas ferramentas agregam dezenas de produtos antivírus para verificar se o arquivo em questão é prejudicial. Isso também é uma forma de segurança de crowdsourcing.
Alguns argumentam que o cibercrime é uma forma de segurança de crowdsourcing, se não a forma final dela. Esse argumento certamente tem mérito, porque ninguém é mais incentivado a encontrar uma vulnerabilidade em um sistema do que um agente de ameaça que procura explorá-lo para ganho monetário e notoriedade.
No final das contas, são os criminosos que inadvertidamente forçam o setor de segurança cibernética a se adaptar, inovar e melhorar.
O futuro da segurança de crowdsourcing
De acordo com a empresa de análise Insights de mercado futuro, o mercado global de segurança colaborativa continuará a crescer nos próximos anos. Na verdade, as estimativas dizem que valerá cerca de US$ 243 milhões até 2032. Isso não se deve apenas às iniciativas do setor privado, mas também porque os governos de todo o mundo adotaram segurança colaborativa - várias agências do governo dos EUA têm recompensas de bugs ativos e programas de divulgação de vulnerabilidades, por exemplo.
Essas previsões certamente podem ser úteis se você quiser avaliar em que direção o setor de segurança cibernética está se movendo. mas não é preciso ser um economista para descobrir por que entidades corporativas estão adotando uma abordagem de crowdsourcing para segurança. Seja qual for a maneira como você olha para o problema, os números confirmam. Além disso, qual poderia ser o problema de ter um grupo de pessoas responsáveis e confiáveis monitorando seus ativos em busca de vulnerabilidades 365 dias por ano?
Resumindo, a menos que algo mude drasticamente na maneira como o software é invadido por agentes de ameaças, é mais do que provável que vejamos programas de segurança de crowdsourcing aparecendo a torto e a direito. Esta é uma boa notícia para desenvolvedores, hackers de chapéu branco e consumidores, mas uma má notícia para os cibercriminosos.
Segurança de crowdsourcing para proteção contra crimes cibernéticos
A segurança cibernética existe desde o primeiro computador. Ele assumiu muitas formas ao longo dos anos, mas o objetivo sempre foi o mesmo: proteger contra acesso não autorizado e roubo. Em um mundo ideal, não haveria necessidade de cibersegurança. Mas no mundo real, proteger-se faz toda a diferença.
Todos os itens acima se aplicam a empresas e indivíduos. Mas enquanto a pessoa comum pode ficar relativamente segura online, desde que siga os protocolos básicos de segurança, as organizações exigem uma abordagem abrangente para possíveis ameaças. Essa abordagem deve ser baseada principalmente na segurança de confiança zero.