Enquanto mais empresas estão investindo no reforço de sua segurança de TI, a maioria das práticas de segurança cibernética ainda é reativa por natureza, contando com ferramentas de software para identificar quando uma violação ocorreu – ou foi tentada – e, em seguida, respondendo adequadamente.
Mas, à medida que os ataques cibernéticos continuam a aumentar em frequência e sofisticação, fica claro que as empresas precisam adotar uma abordagem mais proativa para combater as ameaças à segurança cibernética. Hackers éticos estão sendo procurados para ajudar as empresas a identificar ameaças e fraquezas potenciais em suas redes antes que um ataque possa ocorrer, trabalhando efetivamente contra criminosos cibernéticos para vencê-los em seu próprio jogo.
“Não importa quanto orçamento você dedique apenas às ferramentas de segurança cibernética, você precisa de um elemento humano”, diz Haris Pylarinos, CEO da plataforma de treinamento de hackers éticos, Hack the Box.
Pylarinos, um ex-hacker ético e pen-tester com mais de 15 anos de experiência em TI e segurança cibernética, argumenta que as abordagens típicas de segurança cibernética são limitadas, pois não refletem os métodos e técnicas que os hackers usam para ataques cibernéticos.
Ele acredita firmemente que a melhor defesa é um ataque forte. “Você tem que pensar e agir como o invasor para encontrar todas as maneiras, não importa quão criativas sejam, de obter acesso não autorizado aos seus sistemas”, diz ele ao ZDNet.
VEJA: Os bandidos descarados agora estão se passando por empresas de segurança cibernética para induzi-lo a instalar malware
De acordo com um estudo recente80% das violações de dados podem ser atribuídas à falta de habilidades de segurança cibernética na população trabalhadora.
Embora os programas de treinamento em segurança cibernética possam melhorar a conscientização organizacional e a resiliência aos ataques cibernéticos, eles normalmente não fornecem o tipo de experiência prática que permite que as equipes de segurança entrem na mente dos adversários, diz Pylarinos, ou dediquem tempo a redes corporativas de teste de estresse por falhas que possam ser exploradas por hackers.
É aí que os hackers éticos entram em cena. “Eles estão imitando esse comportamento, estão encontrando aqueles buracos que nenhuma ferramenta é capaz de encontrar”, diz ele.
Órgãos do setor público também estão começando a reconhecer o valor do hacking ético. Em maio de 2022, o Gabinete do Governo do Reino Unido lançar um anúncio de emprego para um hacker ético sênior para ajudar a fornecer testes de penetração e recursos de red-teaming para o governo e assumir a responsabilidade de “simular ferramentas e técnicas cibernéticas ofensivas”.
“Presumo que, como a maioria das organizações, eles reconhecem a necessidade crítica de adotar uma mentalidade de hackers no ambiente de alta ameaça de hoje”, oferece Pylarinos. “Essa é a única maneira de ficar à frente dos criminosos e deve ser bem-vinda.”
Apesar disso, a profissão continua sendo um nicho. A coisa mais próxima que a maioria das organizações tem de hackers éticos são os testadores de penetração (pen testers), cujo trabalho é sondar partes específicas do ambiente de TI de uma empresa para descobrir e divulgar quaisquer vulnerabilidades.
Na realidade, o hacking ético compreende um papel muito mais amplo. Eles usarão todas as ferramentas e técnicas à sua disposição para encenar ataques e testar pontos fracos em várias partes do ambiente de TI, da mesma forma que um hacker criminoso faria.
“De um modo geral, para mim, um pen tester descreve o que alguém faz – um profissional de segurança cibernética que se concentra em maneiras de invadir redes”, explica Pylarinos.
Os hackers éticos também não precisam ser profissionais de segurança cibernética: “Se um desenvolvedor em uma equipe pensa como um hacker ético, geralmente pode detectar as vulnerabilidades de segurança antes que elas aconteçam”.
É claro que contratar e treinar pessoas para serem hackers éticos continua sendo um obstáculo significativo, principalmente porque há uma enorme escassez de talentos disponíveis.
Mais uma vez, Pylarinos aponta que hackers éticos não precisam ser pessoas de segurança cibernética – embora eles precisem ser altamente conhecedores de tecnologia e compartilhar algumas das características que tornam os hackers bons no que fazem, diz ele.
“A avaliação das habilidades técnicas deve ter prioridade no processo de recrutamento, mas a boa notícia é que muitas vezes são mais fáceis de avaliar”, diz Pylarinos.
VEJA: As 6 melhores certificações de hacking ético: Aprimore suas habilidades
“Isso permite que os gerentes de contratação avaliem o conhecimento dos hackers sobre as mais recentes explorações e vetores de ataque em novas soluções e plataformas de tecnologia usadas por organizações e empresas hoje, como experiência em nuvem”.
Uma curiosidade inata sobre como as coisas funcionam – o que “sinaliza que o candidato será capaz de detectar vulnerabilidades com facilidade e rapidez” – bem como habilidades sociais como comunicação, influência e capacidade de trabalho em equipe também são características essenciais, de acordo com Pylarinos.
Os melhores hackers éticos têm a capacidade de comunicar claramente e expressar com precisão a gravidade de diferentes situações, diz ele. “O conselho que eles fornecem, bem como suas sugestões de maneiras acionáveis de mitigar os problemas, exigem confiança imediata e adesão de toda a equipe para fazer a diferença em um ambiente de trabalho rápido e de alta pressão”.
Treinar pessoas para serem hackers éticos também traz considerações únicas, pois requer um ambiente técnico seguro onde os trainees possam testar diferentes técnicas e cenários. “Você não pode simplesmente ‘pirar'”, observa Pylarinos. “É ilegal e você pode causar danos.”
As empresas podem criar e construir suas próprias máquinas e redes de teste de sandbox, com vulnerabilidades integradas do mundo real, onde as equipes podem desenvolver suas habilidades em um ambiente seguro onde o código pode ser executado com segurança – ou usar ambientes que já estão disponíveis.
source – www.zdnet.com
