1
0
Falta de atualização de sistemas, softwares e ferramentas de acesso remoto é maior causa de vulnerabilidades, aponta estudo
Estudo conduzido pela GAT InfoSec, empresa de gestão de segurança da informação, aponta que a falta de atualização de sistemas e softwares, a baixa maturidade dos processos de segurança da informação e a ineficiência de treinamentos internos nas organizações continuam sendo os três elos que mais geram vulnerabilidades, independentemente de quais sistemas de segurança tenham sido implantados pela empresa.
De acordo com o levantamento, a infraestrutura abriga os tipos de ativos com maior número de vulnerabilidades identificadas (89%), principalmente devido à falta de atualização de sistemas, softwares e ferramentas de acesso remoto, cuja exposição cresceu 40% desde o início da pandemia.
A pesquisa aponta ainda que 59% das falhas de infraestrutura possuem correção há mais de um ano, com um tempo médio de correção de 115 dias. Nas vulnerabilidades em aplicações, por exemplo, em que 28% estão relacionadas a vazamento de dados, o tempo de correção é cerca de três vezes menor — 38 dias em média.
Mesmo no caso das falhas críticas, o estudo revela que 66% não recebem tratamento nenhum, apesar de já existirem correções disponíveis há anos. “Isso demonstra o tamanho do desafio que as empresas enfrentam no estabelecimento de critérios e processos para mitigação e correção de vulnerabilidades em um prazo aceitável, antes que algum incidente grave cause danos irreversíveis”, observa Leonardo Militelli, CEO da GAT InfoSec.
O que chama atenção, segundo o relatório do estudo, é que alguns dos riscos à segurança com grande impacto são provenientes de vulnerabilidades com baixo número de ocorrências, tais como os riscos gerados por ações não intencionais de usuários ou falhas em práticas de compliance, o que pode ocasionar ataques como ransomware, vazamento de dados e outros.
Entre as vulnerabilidades identificadas, 70% estão relacionadas à falta de atualização de servidores e estações de trabalho, algo facilmente remediável com a implantação e execução eficiente de políticas de boas práticas em segurança.
“Em geral, vulnerabilidades encontradas na infraestrutura têm um efeito considerável em termos de alcance e impacto, mas as ligadas a usuários ou compliance podem levar ao vazamento de dados, ransomware ou até à perda do controle de sistemas e dos dados da empresa”, alerta Militelli.
O executivo diz que o estudo mostra que, apesar da temática de segurança de aplicações ainda não estar tão desenvolvida no Brasil, há um entendimento sobre a importância do tema por parte das equipes de desenvolvimento.
Para a pesquisa, foram analisados mais de 100 mil ativos e detectada a soma de 181.787 vulnerabilidades conhecidas. Este número é cerca de dez vezes maior que as 18.500 vulnerabilidades detectadas em 2016. O mapeamento foi realizado durante os últimos 12 meses, com base em diversos estudos e nas inúmeras varreduras realizadas por plataformas própriasda GAT InfoSec durante esse período.
FONTE: CISO ADVISOR