0
0
A Invicti Security divulgou uma pesquisa que revela um aumento das graves vulnerabilidades na Web e a necessidade de os líderes executivos entrelaçarem seus esforços de segurança de aplicativos e transformação digital para reduzir o risco.
O relatório examina as vulnerabilidades da Web de mais de 939 clientes em todo o mundo e foi derivado do maior conjunto de dados até agora, com mais de 23 bilhões de verificações de segurança executadas em aplicativos de clientes que descobrem mais de 282.000 vulnerabilidades de impacto direto.
Os dados mostram que inúmeras vulnerabilidades comuns e bem compreendidas continuam a proliferar em aplicações web, e a presença contínua dessas vulnerabilidades representa um sério risco para as organizações em todos os setores.
Principais descobertas
- A execução remota de código (RCE), o scripting entre sites (XSS) e a injeção SQL (SQLi) são todos os principais infratores, cada um aumentando em frequência ou pairando em torno dos mesmos números alarmantes ano após ano. Essas vulnerabilidades podem levar a consequências como dados de back-end comprometidos, sessões sequestradas ou ações forçadas em nome de outros usuários e serviços.
- A execução remota de código, sempre o objetivo final dos atacantes maliciosos, mas agora especialmente proeminente devido à vulnerabilidade do Log4Shell do ano passado, tem visto um aumento constante desde 2018, saltando 5% em frequência.
- Após uma leve melhora em 2020, o backslid de scripting cross-site (XSS) em 2021, com sua incidência subindo 6% em relação ao ano anterior.
- Dois setores da indústria viram injeções SQL acima da média. 35% das instituições de ensino e 32% das organizações governamentais experimentaram pelo menos uma ocorrência de SQLi, refletindo que o código legado ainda em produção nessas indústrias precisa de modernização, e lacunas de conhecimento para desenvolvedores devem ser tratadas.
As vulnerabilidades de impacto direto simplesmente não estão reduzindo em frequência, mas há elementos fundamentais em todos os programas appSec que podem melhorar a postura de segurança. Para muitas organizações sem medidas de segurança adequadas, a persistência de vulnerabilidades pode ser atribuída a falhas no design seguro, à falta de varredura abrangente e à lacuna de talentos predominante na segurança cibernética. Enquanto esses estressores aumentam o risco, as organizações que adotam uma abordagem proativa e abrangente para a segurança de aplicativos, priorizando o design seguro, a tecnologia de cozimento na própria arquitetura de aplicativos e digitalizando toda a sua pegada de aplicativo, reduzirão significativamente o risco.
“Mais uma vez, vimos que mesmo vulnerabilidades conhecidas ainda são predominantes em aplicações web”, disse o presidente e COO da Invicti, Mark Ralls. “É hora das organizações ganharem o controle de sua postura de segurança. A única maneira de fazer isso é garantir que a segurança esteja no DNA da cultura, processos e ferramentas de uma organização para que a inovação e a segurança andem lado a lado.”
FONTE: HELPNET SECURITY