A extensão dos CVEs relatados supera os proprietários de ativos de infraestrutura crítica

Início » Cibersegurança » A extensão dos CVEs relatados supera os proprietários de ativos de infraestrutura crítica

Read Time:1 Minute, 41 Second

O grande volume de vulnerabilidades de ICS e CVEs relatados pode fazer com que os proprietários de ativos de infraestrutura crítica se sintam sobrecarregados ou precisem de ajuda para saber por onde começar, de acordo com o SynSaber.

O relatório analisa os mais de 920 CVEs divulgados pela CISA no segundo semestre de 2022 para determinar o seguinte:

Quem está relatando as vulnerabilidades?
Quais correções (se houver) estão disponíveis?
Quais são os níveis de gravidade e impactos potenciais?
Como os dados se comparam aos CVEs relatados no primeiro semestre do ano?

“Ano após ano, há uma enxurrada de divulgações de vulnerabilidades em sistemas de controle industrial, muitas vezes criando ansiedade à medida que a comunidade de segurança tenta corrigir ou remediar cada ponto de exposição – uma façanha impossível”, disse Ron Fabela , CTO da SynSaber.

“Nosso objetivo com este relatório é analisar os mais de 920 CVEs e reunir informações para o setor de ICS sobre quais CVEs devem ser levados mais a sério e quais podem ser aceitos como parte da estratégia de gerenciamento de risco da organização”, acrescentou Fabela.

Principais conclusões

Para os CVEs relatados no segundo semestre de 2022, 35% não têm patch ou remediação atualmente disponível do fornecedor (acima dos 13% no primeiro semestre do ano)
Enquanto 56% dos CVEs foram relatados pelo fabricante do equipamento original (OEM), 43% foram enviados por fornecedores de segurança e pesquisadores independentes (esses números foram consistentes com o primeiro semestre de 2022)
28% dos CVEs requerem acesso local ou físico ao sistema para explorar (acima de 23% durante o primeiro semestre de 2022)
Dos CVEs relatados no segundo semestre de 2022, 22% podem e devem ser priorizados e tratados primeiro (com planejamento de organização e fornecedores)

O volume de CVEs relatados via CISA ICS Advisories e outras entidades provavelmente não diminuirá. É importante que os proprietários de ativos e aqueles que defendem a infraestrutura crítica entendam quando as correções estão disponíveis e como elas devem ser implementadas e priorizadas.

FONTE: HELPNET SECURITY

POSTS RELACIONADOS

Primeiro o essencial: conheça e priorize seus riscos em segurança de dados

Por Brian Robertson Fortaleça sua postura de risco ao mudar o foco da segurança de rede para a segurança centrada

Ler mais

20/12/2024

Thales apresenta Data Risk Intelligence, colocando o perfil de risco das organizações em foco

Por Brian Robertson | Principal Product Marketing Manager da Thales Quando a Thales concluiu a aquisição da Imperva em janeiro

Ler mais

18/12/2024

CISO: o guardião dos dados enquanto navega por riscos

Por Lynne Murray | Director of Product Marketing for Data Security da Thales Os CISOs desempenham um dos papéis mais

A extensão dos CVEs relatados supera os proprietários de ativos de infraestrutura crítica

Principais conclusões

POSTS RELACIONADOS

Primeiro o essencial: conheça e priorize seus riscos em segurança de dados

Thales apresenta Data Risk Intelligence, colocando o perfil de risco das organizações em foco

CISO: o guardião dos dados enquanto navega por riscos

Categorias

Posts Recentes

Primeiro o essencial: conheça e priorize seus riscos em segurança de dados

Thales apresenta Data Risk Intelligence, colocando o perfil de risco das organizações em foco

CISO: o guardião dos dados enquanto navega por riscos

Como superar comportamentos de risco e proteger-se contra ataques de phishing

Aplicando conceitos de ontologia de dados para proteger dados

Fortalecendo a confiança: a abordagem da Thales para criptografia pós-quântica em identidade e segurança digital

Feito por VP DIGITAL