diario-de-noticias

Hacking ético – o futuro da cibersegurança

André Baptista
Publicado a
Atualizado a

As notícias sobre ciberataques às empresas são arrebatadoras e deixam qualquer um de cabelos em pé. A dúvida é sempre a mesma: o que devo fazer para me prevenir?

Ao longo dos últimos anos, o pentesting, ou teste de penetração, tornou-se praticamente uma norma. Trata-se de um serviço de segurança ofensiva amplamente utilizado por organizações, sobretudo para responder a requisitos relacionados com regulamentação ou certificações, que obrigam a identificar as vulnerabilidades nos seus sistemas, verificar controlos de segurança e garantir compliance para colaborar com outras entidades.

As organizações encontraram refúgio no pentesting para satisfazer esta necessidade, mas esta solução está longe de ser capaz de responder aos desafios cada vez mais exigentes da cibersegurança, porque se limita a varrer listas de verificação de controlos e execução de ferramentas e à descoberta de vulnerabilidades de baixa severidade que podem dar às organizações uma falsa sensação de segurança. Mas dão um selo de aprovação!

Na verdade, face à complexidade da situação, é necessária uma abordagem mais eficaz para proteger as organizações, os seus dados e os dados dos seus clientes, bem os seus utilizadores e trabalhadores.

E o problema já deixou de ser apenas uma questão de engenharia social. É que à medida que as superfícies de ataque se tornam cada vez mais complexas e as pessoas têm mais consciência relativamente a ataques baseados em interações, existem novas vulnerabilidades que estão a ser exploradas, não dependentes apenas do fator humano.

A partir do momento em que uma organização expõe serviços na Internet, são instantaneamente atraídas análises maliciosas de várias fontes para identificar e explorar potenciais fragilidades. Estamos a assistir a um crescimento de tentativas maliciosas automatizadas, intensificando uma corrida à identificação manual e automática de vulnerabilidades. Uma corrida que envolve desde verdadeiros atacantes, a fornecedores de segurança defensiva, como fabricantes de firewalls, que pretendem detetar rapidamente estes vetores e implementar novas heurísticas e assinaturas para proteger os seus sistemas.

Contudo, a verdadeira esperança num futuro ciberseguro está no hacking ético, uma disciplina que está a ganhar visibilidade porque permite identificar e comunicar de forma responsável as vulnerabilidades significativas, permitindo às equipas de segurança atuarem diretamente sobre os problemas, de forma eficaz e economicamente mais rentável.

O hacking ético permite descobrir caminhos desconhecidos e inexplorados para realizar ações não supostas nas profundezas das tecnologias e é executado por indivíduos criativos por natureza, que podem ajudar as organizações a anteciparem-se aos ataques criminosos.

Felizmente, na última década testemunhámos mudanças muito positivas, com o desenvolvimento de programas de bug bounty e a comunicação de vulnerabilidades. Empresas como a HackerOne, a Bugcrowd e a Intigriti abriram um novo caminho para que os hackers éticos trabalhem legitimamente num ambiente colaborativo. A iniciativa mais relevante neste contexto, foi, sem dúvida, a designada "Hacking is NOT a Crime", uma organização sem fins lucrativos que "defende a reforma da política global para descriminalizar o hacking ético".

A Bélgica já deu o primeiro passo, ao legalizar esta atividade, e sabemos que em Portugal a ideia está a circular nos corredores, mas ainda não sabemos quando tal solução legislativa poderá ver a luz do dia.

O hacking ético vai transformar o panorama internacional e vai proporcionar uma Internet mais segura e um número crescente de organizações está a deixar de parte as abordagens tradicionais, como o pentesting, para adotarem soluções mais holísticas para a gestão da superfície de ataque. Estas abordagens modernas incluem a análise contínua de vulnerabilidades, programas de bug bounty, colaborações externas com red teams e pentesting via crowdsourcing. Este foco na raiz do problema - as vulnerabilidades -, permite uma identificação e correção mais rápidas e eficientes, reduzindo significativamente o risco de exploração desconhecida, maliciosa e criminosa.

É fundamental, por isso, reconhecer que os testes de segurança baseados em hacking ético devem ser introduzidos num processo contínuo e permanente. Já não é suficiente que as organizações solicitem testes de penetração uma vez por ano ou limitem os testes a alturas específicas do dia ou da semana. Ataques reais podem ocorrer a qualquer momento e, por outro lado, novas vulnerabilidades são divulgadas todos os dias.

Tal como na segurança das instalações físicas, o digital precisa de vigilância 24h sobre 24h. E não apenas passiva, com data e hora marcada. Nomeadamente, porque os criminosos atuam de forma dinâmica e a partir de fusos horários distintos e combinam ataque-humano com ataque-máquina. O mesmo modelo que é usado pelo hacking ético, precisamente para mitigar a exploração maliciosa e criminosa de vulnerabilidades.

É por isso que o futuro da cibersegurança vai, incontornavelmente, depender do hacking ético!

Hacker Ético e Cofundador & CTO da ETHIACK

Artigos Relacionados

No stories found.
Diário de Notícias
www.dn.pt