Cada vez mais temos notícias sobre ataques cibernéticos, vazamento de dados e criminosos exigindo valores exorbitantes em casos de sequestro de dados (leia nosso artigo “O que é um “Ransomware”?” em nosso blog). Com isso surge uma preocupação crescente no mercado em garantir a cibersegurança dos dados, a demanda por profissionais na área e serviços voltados à segurança da informação tem aumentado exponencialmente, e nesse contexto, uma figura ganha notoriedade, o hacker ético.
Mas o que é um hacker ético? Talvez essa expressão soe estranha a algumas pessoas, visto que na mídia, notícias e filmes hollywoodianos o hacker é retratado como um criminoso cibernético, mas não é esse o caso. “Hacker” é uma expressão que surgiu nos Estados Unidos na década de 60, para se referir a uma pessoa com conhecimento em tecnologia que traz soluções inovadoras para problemas, essas soluções são chamadas de “hack”, daí surge o termo “hacker”. Posteriormente essa expressão passou a ser associada com criminosos que utilizavam esses “hacks” para objetivos maliciosos e benefícios próprios, porém o termo tido como apropriado para se referir a hackers maliciosos é “crackers”. O que hoje é denominado como hacker ético, é o profissional que possui conhecimento em tecnologia, e sobretudo nos hacks utilizados por criminosos, e utiliza esses conhecimentos para evitar ou prevenir esse tipo de ameaça, partindo da premissa de que é necessário conhecer as estratégias e ferramentas de seu inimigo (os crackers) para se defender de seus ataques.
Na prática, um profissional hacker ético deve possuir amplos conhecimentos em diversas áreas da tecnologia, como sistemas operacionais, redes, desenvolvimento de aplicações e legislações e normas específicas, e utiliza-os para identificar e tratar vulnerabilidades na segurança de seu cliente, desenvolvendo métodos de proteção, relatórios de vulnerabilidades encontradas, e até ministrando treinamentos de conscientização para os diversos níveis da instituição em questão. Essa abordagem de “procurar falhas” é conhecida como offensive security, ou segurança ofensiva.
Existem diversas formas de atuação de um hacker ético, como os red teams, que são equipes internas ou terceirizadas focadas na segurança ofensiva, constantemente atacando e buscando falhas de segurança no ambiente tecnológico de uma instituição para que tais vulnerabilidades sejam tratadas. Temos também o “pentest”, que é um modelo de trabalho onde o profissional hacker ético é contratado para realizar um teste de intrusão externa no ambiente tecnológico, gerando relatórios e apresentando as “brechas” encontradas. O pentest é realizado por alguém externo à instituição, e pode variar bastante em sua forma, havendo casos onde o total acesso ao ambiente é concedido ao hacker ético, até casos em que nenhuma informação sequer lhe é concedida, simulando um ataque cracker real.
Concluindo, o hacker ético é o profissional que utiliza de conhecimentos em cibersegurança para evitar ataques, identificar vulnerabilidades e proteger seus clientes. É importante destacar a importância da gestão de riscos neste processo, pois é de pouca valia contratar profissionais e serviços que encontrem as vulnerabilidades de minha empresa, caso não haja medidas e controles tomados para melhorar a segurança da informação após a identificação de falhas. Prezar pela segurança da informação em sua empresa agrega valor ao negócio e previne prejuízos financeiros e a imagem da empresa.
Entre em contato com o nosso time de especialistas e descubra como nossa expertise pode ajudá-lo a manter a cibersegurança na sua empresa de forma eficiente e personalizada.
