Antes de um novo produto de software ser lançado no mercado, ele é testado quanto a vulnerabilidades. Cada empresa responsável realiza esses testes para proteger seus clientes e a si mesma contra ameaças cibernéticas.
Nos últimos anos, os desenvolvedores têm confiado cada vez mais no crowdsourcing para realizar testes de segurança. Mas o que é exatamente Segurança Crowdsourced? Como funciona e como é diferente de outros métodos populares de avaliação de risco?
Como funciona a segurança crowdsourced
Organizações de todos os tamanhos têm tradicionalmente usado testes de penetração para proteger seus sistemas. Um Pentest é essencialmente um ataque cibernético simulado que expõe falhas de segurança, assim como um ataque real. Mas, diferentemente de um ataque real, uma vez detectadas, essas vulnerabilidades são corrigidas. Isto fortalece o perfil geral de segurança da organização em questão. Parece simples, certo?
Mas existem alguns problemas com os testes de penetração. Geralmente isso só é feito anualmente, o que simplesmente não é suficiente, pois todo o software é atualizado regularmente. Em segundo lugar, como o mercado de segurança cibernética está bastante saturado, as empresas de pentesting às vezes “encontram” vulnerabilidades que na verdade não existem para justificar a cobrança por seus serviços e se destacarem da concorrência. Existem também preocupações orçamentais – estes serviços podem ser bastante caros.
A Crowdsourced Security opera em um modelo completamente diferente. Ele gira em torno de convidar um grupo de indivíduos para testar o software quanto a problemas de segurança. As empresas que usam Crowdsourced Security convidam um grupo de pessoas ou o público em geral para testar seus produtos. Isso pode ser feito diretamente ou por meio de uma plataforma de crowdsourcing de terceiros.
Embora qualquer pessoa possa participar desses programas, o principal público-alvo serão hackers ou pesquisadores de chapéu branco. Muitas vezes há uma recompensa financeira substancial pela descoberta de uma vulnerabilidade de segurança. Obviamente, a determinação do valor depende de cada empresa, mas o crowdsourcing é mais barato e mais eficaz no longo prazo do que os testes de penetração tradicionais.
Comparado ao pentesting e outras formas de avaliação de risco, o crowdsourcing tem várias vantagens. Primeiro, não importa quão boa seja a empresa de testes de penetração que você contrata, um grande grupo de pessoas que está sempre em busca de vulnerabilidades de segurança terá maior probabilidade de descobri-las. Outra vantagem óbvia do crowdsourcing é que qualquer programa deste tipo é aberto, o que significa que pode ser executado continuamente, para que as vulnerabilidades possam ser detectadas (e corrigidas).) durante todo o ano.
3 tipos de programas de segurança crowdsourced
A maioria dos programas de Crowdsourced Security concentra-se no mesmo conceito básico de recompensar financeiramente os descobridores de vulnerabilidades, mas podem ser agrupados em três categorias principais.
1. Receba bônus quando bugs forem descobertos
Quase todos os gigantes da tecnologia – do Facebook à Apple e ao Google – têm um programa ativo de recompensas por bugs. A forma como funcionam é bastante simples: identifique um bug e você receberá uma recompensa. Essas recompensas variam de algumas centenas a alguns milhões de dólares, por isso não é surpresa que alguns hackers de chapéu branco ganhem uma renda em tempo integral descobrindo vulnerabilidades de software.
2. Programa de divulgação de vulnerabilidades
Os programas de divulgação de vulnerabilidades são muito semelhantes ao grupo acima, mas com uma diferença fundamental: estes programas são públicos. Em outras palavras, quando um hacker de chapéu branco descobre uma falha de segurança em um produto de software, essa falha será tornada pública para que todos possam saber. As empresas de segurança cibernética frequentemente se envolvem nessas atividades: descobrem vulnerabilidades, escrevem relatórios sobre elas e fazem recomendações a desenvolvedores e usuários finais.
3. Crowdsourcing de malware
O que acontece se você baixar um arquivo, mas não tiver certeza se é seguro executá-lo? Como você verifica se é malware? Seu pacote antivírus pode não reconhecê-lo como malicioso, então o que você pode fazer é acessar o VirusTotal ou um antivírus online semelhante e carregar o arquivo lá. Essas ferramentas sintetizam dezenas de produtos antivírus para verificar se o arquivo em questão é prejudicial ou não. Esta também é uma forma de segurança crowdsourced.
Algumas pessoas acreditam que o crime cibernético é uma forma de segurança colaborativa. Este argumento faz sentido, porque ninguém está mais motivado para encontrar vulnerabilidades num sistema do que um agente ameaçador que procura explorá-lo por dinheiro e fama. Afinal, são os criminosos que forçam involuntariamente a indústria da cibersegurança a adaptar-se, inovar e melhorar.
O futuro da segurança crowdsourced
De acordo com a empresa de análise Future Market Insights, o mercado global de segurança continuará a crescer nos próximos anos. Na verdade, as estimativas dizem que valerá cerca de 243 milhões de dólares até 2032. Isto não se deve apenas às iniciativas do sector privado, mas também porque os governos de todo o mundo adoptaram medidas de segurança de crowdsourcing.
Estas previsões podem certamente ser úteis se quiser avaliar a direcção que a indústria da cibersegurança está a tomar, mas não é preciso ser um economista para descobrir porque é que as organizações empresariais estão a adoptar esta abordagem. Não importa como você olhe para isso, os números são importantes. Além disso, que mal poderia haver em ter uma equipe de pessoas responsáveis e confiáveis monitorando seus ativos em busca de vulnerabilidades 365 dias por ano?
Em suma, a menos que algo mude drasticamente na forma como o software é comprometido pelos agentes de ameaças, é mais provável que vejamos programas de segurança de crowdsourcing aparecerem em ambos os lados. Esta é uma boa notícia para desenvolvedores, hackers de chapéu branco e consumidores, mas uma má notícia para os criminosos cibernéticos.
Você vê uma notificação de ativação do Windows 10 no canto direito da tela? Este artigo irá orientá-lo sobre como excluir o aviso de solicitação de direitos autorais no Windows 10.
Recentemente, a Microsoft lançou a atualização cumulativa mais recente para usuários de PC com Windows 10, chamada Build 14393.222. Esta atualização lançada para o Windows 10 corrige principalmente bugs com base no feedback do usuário e melhora a experiência de desempenho do sistema operacional.
Você tem computadores em sua rede local que precisam de acesso externo? Usar um host bastião como gatekeeper para sua rede pode ser uma boa solução.
Às vezes, pode ser necessário excluir logs de eventos antigos de uma só vez. Neste guia, Quantrimang.com mostrará três maneiras de excluir rapidamente todos os logs de eventos no Visualizador de Eventos do Windows 10.
Se você preferir usar um teclado clássico antigo, como o IBM Modelo M, que não inclui uma tecla física do Windows, existe um método fácil de adicionar mais, pegando emprestada uma tecla que você não usa com frequência.
WindowTop é uma ferramenta que tem a capacidade de escurecer todas as janelas de aplicativos e programas em execução em computadores com Windows 10. Ou você pode usar uma interface de fundo escuro no Windows.
Em muitos artigos anteriores, mencionamos que permanecer anônimo online é extremamente importante. Informações privadas vazam todos os anos, tornando a segurança online cada vez mais necessária. Essa também é a razão pela qual devemos usar endereços IP virtuais. Abaixo, aprenderemos sobre métodos para criar IPs falsos!
A barra de idiomas do Windows 8 é uma barra de ferramentas de idiomas em miniatura projetada para ser exibida automaticamente na tela da área de trabalho. No entanto, muitas pessoas desejam ocultar esta barra de idiomas na barra de tarefas.
Maximizar a velocidade da Internet é essencial para otimizar sua conexão de rede. Você pode ter uma ótima experiência de entretenimento e trabalho usando computadores, TVs com Internet, consoles de jogos, etc.
A conectividade sem fio é uma necessidade hoje e por isso a segurança sem fio é essencial para garantir a segurança da sua rede interna.
