News

Estudo indica que setor dos serviços é o que tem menos vulnerabilidades críticas

Relatório evidencia que as aplicações web e mobile registaram maior incidência de vulnerabilidades, segundo os dados da Integrity

26/05/2022

Estudo indica que setor dos serviços é o que tem menos vulnerabilidades críticas

A Integrity part of Devoteam apresentou o seu relatório Overview 2021 TOP Vulnerabilidades e Recomendações onde se destacam as principais conclusões da atividade de prevenção, deteção e resolução de vulnerabilidades - teste de intrusão, tanto nos clientes nacionais como internacionais.

De acordo com o relatório, é possível observar que as aplicações web e mobile registaram maior incidência de vulnerabilidades críticas, devido à sua complexidade e, porque parte delas são desenvolvidas por medida em diversos clientes, o que aumenta o risco de conterem vulnerabilidades que potenciem  ciberataques a estes ativos. 

Verifica-se também uma tendência de crescimento dos ativos na vertente de Web, ao contrário das Infraestruturas que de 2019 para 2020 decresceram, mantendo-se iguais em 2021, e do Mobile que registou um aumento de 2019 para 2020 mantendo-se em 2021. O decréscimo verificado nas Infraestruturas justifica-se em parte pela tendência de migração para serviços em cloud, como os modelos PaaS e SaaS.

Analisando por setor, o dos Serviços destacou-se pela positiva em 2021 atendendo a que é o que apresenta a menor percentagem no número de vulnerabilidades de severidades Critical identificadas, comparando com os outros setores, tendo registado um decréscimo de 5%, em relação ao ano anterior. Os setores Financeiro e Indústria & Energia mantêm-se em linha com o ano de 2020, registando apenas um aumento de 2% e 1%, respetivamente. 

Marco Vaz, Partner, Offensive Security  Services Director e partner da Integrity part of Devoteam destaca que “a contagem reduzida de vulnerabilidades de severidade nomeadamente Critical e High face ao total de vulnerabilidades, é uma métrica que a nosso ver tende a refletir uma escolha assertiva de soluções, implementação adequada de controlos de segurança e boas práticas de desenvolvimento. Apesar de na globalidade os setores se apresentarem nivelados, é de relevar a maior performance do setor Financeiro na capacidade de agir sobre as vulnerabilidades identificadas com maior rapidez e assertividade”.

Neste relatório destacam-se ainda as vulnerabilidades críticas mais comuns, que são aquelas que causam mais prejuízos e com maior gravidade, levando mais rápida e facilmente a pôr em causa a segurança dos sistemas e aplicações. Desta forma, o Cross-Site Scripting é aquele que se evidencia correspondendo a 33% das vulnerabilidades de severidade Critical. Este tipo de vulnerabilidade é tipicamente usado para ganhar acesso ao cookie de sessão de um utilizador, permitindo a um atacante desencadear ações na aplicação sem o  conhecimento da vítima.

Em relação à vulnerabilidade Log4j identificada em Dezembro, o número de ocorrências identificadas foi consideravelmente reduzido, ainda que caso exploradas por um atacante teria impactos desastrosos.

Rui Shantilal, Founder e CEO da Integrity part of Devoteam, refere que “o risco é algo que tem de ser gerido e as empresas têm de ter noção das ameaças a que diariamente estão expostas. Há cada vez mais ataques cibernéticos reportados e, infelizmente, os atacantes parecem estar mais sofisticados e criativos do que nunca. As empresas têm, por isso, de agir e implementar medidas de combate face a este problema”.  Reforçando ainda que “as organizações estão cada vez mais preocupadas com o tema da resiliência, é uma tendência atual, e este conceito reflete a capacidade de superação, adaptação, agilidade diante de dificuldades ou situações adversas consideradas um risco. Desta forma, não é demais reforçar a ideia da necessidade permanente da utilidade de avaliação e ação da segurança da informação nos três eixos: tecnologia, pessoas e processos, os quais são absolutamente imprescindíveis para qualquer organização e cuja simbiose se traduz numa clara vantagem competitiva”.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº8 Outubro 2022

IT SECURITY Nº8 Outubro 2022

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.