News
Relatório evidencia que as aplicações web e mobile registaram maior incidência de vulnerabilidades, segundo os dados da Integrity
26/05/2022
A Integrity part of Devoteam apresentou o seu relatório Overview 2021 TOP Vulnerabilidades e Recomendações onde se destacam as principais conclusões da atividade de prevenção, deteção e resolução de vulnerabilidades - teste de intrusão, tanto nos clientes nacionais como internacionais. De acordo com o relatório, é possível observar que as aplicações web e mobile registaram maior incidência de vulnerabilidades críticas, devido à sua complexidade e, porque parte delas são desenvolvidas por medida em diversos clientes, o que aumenta o risco de conterem vulnerabilidades que potenciem ciberataques a estes ativos. Verifica-se também uma tendência de crescimento dos ativos na vertente de Web, ao contrário das Infraestruturas que de 2019 para 2020 decresceram, mantendo-se iguais em 2021, e do Mobile que registou um aumento de 2019 para 2020 mantendo-se em 2021. O decréscimo verificado nas Infraestruturas justifica-se em parte pela tendência de migração para serviços em cloud, como os modelos PaaS e SaaS. Analisando por setor, o dos Serviços destacou-se pela positiva em 2021 atendendo a que é o que apresenta a menor percentagem no número de vulnerabilidades de severidades Critical identificadas, comparando com os outros setores, tendo registado um decréscimo de 5%, em relação ao ano anterior. Os setores Financeiro e Indústria & Energia mantêm-se em linha com o ano de 2020, registando apenas um aumento de 2% e 1%, respetivamente. Marco Vaz, Partner, Offensive Security Services Director e partner da Integrity part of Devoteam destaca que “a contagem reduzida de vulnerabilidades de severidade nomeadamente Critical e High face ao total de vulnerabilidades, é uma métrica que a nosso ver tende a refletir uma escolha assertiva de soluções, implementação adequada de controlos de segurança e boas práticas de desenvolvimento. Apesar de na globalidade os setores se apresentarem nivelados, é de relevar a maior performance do setor Financeiro na capacidade de agir sobre as vulnerabilidades identificadas com maior rapidez e assertividade”. Neste relatório destacam-se ainda as vulnerabilidades críticas mais comuns, que são aquelas que causam mais prejuízos e com maior gravidade, levando mais rápida e facilmente a pôr em causa a segurança dos sistemas e aplicações. Desta forma, o Cross-Site Scripting é aquele que se evidencia correspondendo a 33% das vulnerabilidades de severidade Critical. Este tipo de vulnerabilidade é tipicamente usado para ganhar acesso ao cookie de sessão de um utilizador, permitindo a um atacante desencadear ações na aplicação sem o conhecimento da vítima. Em relação à vulnerabilidade Log4j identificada em Dezembro, o número de ocorrências identificadas foi consideravelmente reduzido, ainda que caso exploradas por um atacante teria impactos desastrosos. Rui Shantilal, Founder e CEO da Integrity part of Devoteam, refere que “o risco é algo que tem de ser gerido e as empresas têm de ter noção das ameaças a que diariamente estão expostas. Há cada vez mais ataques cibernéticos reportados e, infelizmente, os atacantes parecem estar mais sofisticados e criativos do que nunca. As empresas têm, por isso, de agir e implementar medidas de combate face a este problema”. Reforçando ainda que “as organizações estão cada vez mais preocupadas com o tema da resiliência, é uma tendência atual, e este conceito reflete a capacidade de superação, adaptação, agilidade diante de dificuldades ou situações adversas consideradas um risco. Desta forma, não é demais reforçar a ideia da necessidade permanente da utilidade de avaliação e ação da segurança da informação nos três eixos: tecnologia, pessoas e processos, os quais são absolutamente imprescindíveis para qualquer organização e cuja simbiose se traduz numa clara vantagem competitiva”. |