Transição de Malware Fighter para Diretor de Conformidade e Segurança

Introdução:

Nesta postagem do blog, quero compartilhar minha jornada de uma carreira de 35 anos no combate ao malware até me tornar diretora de conformidade e segurança de uma startup de software chamada Massive. Vou investigar por que fiz essa transição e como a Massive é pioneira em uma nova abordagem de monetização que prioriza a privacidade, a segurança e a integridade do usuário. Ao longo do caminho, espero oferecer ideias e ideias que também possam inspirar você.

A transição:

Há cerca de dois anos, um colega me abordou com uma oportunidade intrigante. Uma startup estava procurando alguém com uma sólida experiência no combate ao malware, mas o problema era que a função era Diretora de Conformidade. No começo, fiquei confuso. O que a conformidade tem a ver com o antimalware? À medida que me aprofundava nas operações da empresa, ficou evidente que a Massive se dedicava ao desenvolvimento de um modelo de monetização que priorizava os interesses de segurança e privacidade de seus usuários.

A ideia deles era simples, mas inovadora — assim como o modelo SETI at Home — eles pretendiam permitir que os fornecedores de software subsidiassem seus produtos, permitindo que os usuários optassem por usar o Massive Software Engine. O “produto” seriam os recursos ociosos dos usuários, não os próprios usuários.

Navegando pelo cenário de segurança:

O cenário do malware evoluiu para um setor com fins lucrativos, e o mecanismo da Massive incorporou alguns recursos semelhantes. A abordagem inovadora da Massive para recrutar computadores e aproveitar seus recursos ociosos não é nova. As botnets fazem exatamente a mesma coisa e aí está um desafio significativo. Como podemos nos diferenciar dos bandidos, especialmente aos olhos da indústria de antivírus? Minha função era garantir que operássemos de forma aberta, ética e segura. Isso envolveu examinar rigorosamente os parceiros de negócios e os recursos do software. Ao contrário do estereotipado oficial de conformidade corporativo “Sr. NÃO”, vi meu papel como proteger nossa reputação.

Trabalhando com o setor de antimalware:

Um dos nossos desafios iniciais foi colaborar com o setor de antimalware. Muitos produtos de segurança de hospedagem eram inerentemente céticos em relação à monetização, considerando-a insegura e abusiva. Então, nossa primeira tarefa foi interagir com o setor, buscar sua opinião e colaborar com as vendas e a engenharia para estabelecer novos padrões. Isso incluiu a implementação de controles integrados e a eliminação de limites ajustáveis pelo usuário (limitando o uso de recursos a ativados ou desativados) para garantir um impacto mínimo na experiência do usuário final.

Aprimorando a segurança do produto:

Também prestamos muita atenção em como e quando exibimos as notificações e buscamos o consentimento do usuário. Melhoramos a segurança do nosso produto adicionando proteções contra a cópia não autorizada de entradas de registro e diretórios de arquivos para evitar instalações silenciosas sem consentimento. Tivemos até que retificar um distribuidor não autorizado que empacotou nosso aplicativo legítimo com um software questionável. Durante todo esse processo, colaboramos com AppEsteem para garantir a conformidade com seus padrões de certificação e ter nossos aplicativos certificados.

O papel do diretor:

Durante minhas entrevistas, aprendi que meu papel como diretor teria uma linha pontilhada com o CEO, independente de vendas, marketing e engenharia, com autoridade de veto. Isso demonstrou o forte compromisso da empresa com as práticas éticas, o que foi um importante argumento de venda para mim.

As armadilhas da monetização tradicional:

Refletindo sobre os métodos tradicionais de monetização, como o adware, vi suas inseguranças inerentes. Esses modelos expuseram os usuários a possíveis malvertises e infecções indiretas, comprometendo a privacidade e a segurança do usuário. A Massive tinha como objetivo fazer as coisas de forma diferente.

A abordagem massiva da monetização:

Para a Massive, a monetização estava em constante evolução. Os serviços dos parceiros foram rigorosamente examinados para garantir legitimidade e ética. Começamos oferecendo serviços de mineração e gerenciamento de criptomoedas, mas devido às limitações de lucratividade, mudamos para um serviço de proxy distribuído. Para aumentar a segurança, implementamos limitações estritas e filtramos o acesso a categorias específicas de sites.

Aplicações diversas:

Nosso modelo tinha diversas aplicações, desde inteligência de segurança cibernética até monitoramento da integridade da rede. Fizemos parcerias com organizações como a Anti-Malware Testing Standards Organization (AMTSO) para permitir a captura de sites para fins de teste. Isso nos permitiu identificar sites de malware e phishing, medir o tempo de detecção pelos produtos Host Security e muito mais.

O poder de um supercomputador:

A pergunta que mais me intrigou foi: “O que você faria com o poder de um supercomputador e de uma rede global sob seu comando?” Esse conceito ressaltou o enorme potencial da abordagem da Massive.

Conclusão:

A transição para Diretor de Conformidade e Segurança da Massive foi uma decisão fácil para mim. Ele combinou o desejo de monetização do meu desenvolvedor, a aversão do usuário final a anúncios intrusivos e a necessidade de reconhecimento ético de um pesquisador de segurança. O potencial desse método inovador de monetização era claro, e eu queria fazer parte da equipe que o concretizou.

Nas próximas postagens do blog, vou me aprofundar em aspectos específicos da jornada da Massive e explorar as implicações mais amplas da monetização ética na indústria de software. Fique ligado para mais informações e atualizações!

‍