0
0
O número de vulnerabilidades divulgadas no primeiro semestre do ano superou 11.800, obrigando as empresas a determinar o impacto de uma média de 90 problemas de segurança por dia da semana.
Os números são do relatório “The State of Vulnerability Intelligence — 2022 Midyear Edition” da empresa de segurança cibernética Flashpoint, que observa que o grande número de vulnerabilidades relatadas no primeiro semestre do ano destaca os problemas enfrentados pelas empresas ao tentar fazer a triagem de problemas de segurança de software e determinar quais atualizações de software priorizar.
Sem uma orientação melhor, as organizações que tentam resolver os problemas de segurança lutam para separar aqueles que são altamente críticos de vulnerabilidades menores e aqueles que podem não afetar seu ambiente, diz Brian Martin, vice-presidente de inteligência de vulnerabilidades da Flashpoint.
“Existem alguns problemas que não afetarão nenhuma organização real no mundo – pode ser uma vulnerabilidade em algum blog chinês que tem sete instalações em todo o mundo”, diz Martin. “Por outro lado, temos vulnerabilidades em produtos da Microsoft, produtos do Google, produtos da Apple. Coisas tão importantes e preocupantes quanto qualquer problema de uma Patch Tuesday.”
Nublar o problema é o foco colocado nas vulnerabilidades de dia zero , aquelas rotuladas como “descobertas na natureza” pelos pesquisadores antes que um patch esteja disponível. Estes são difíceis de coletar informações. O Project Zero do Google documentou 20 dessas vulnerabilidades exploradas na natureza no primeiro semestre de 2022, enquanto o Flashpoint encontrou pelo menos mais 17 problemas.
No entanto, os ataques mais comuns geralmente usam vulnerabilidades conhecidas.
“Vulnerabilidades descobertas são frequentemente usadas em violações de alto perfil ou são atribuídas a ataques Advanced Persistent Threat (APT)”, afirma o relatório. “Devido à sua natureza, as organizações geralmente não têm opções defensivas. No entanto, os líderes empresariais precisam ter em mente que as vulnerabilidades descobertas representam uma pequena fração dos comprometimentos que ocorrem em todo o mundo.”
As organizações também tiveram que lidar com um número crescente de dias com centenas de vulnerabilidades relatadas devido às atualizações programadas regularmente pelos fornecedores de software. Em fevereiro, por exemplo, a Flashpoint documentou 351 problemas graças a lançamentos do Patch Tuesday da Microsoft e divulgações de outros fornecedores de software no mesmo dia. Em abril, uma convergência semelhante de divulgações de vulnerabilidades de software viu o maior número de vulnerabilidades, 356, lançadas em um único dia.
“As organizações precisam estar cientes de que o cenário de divulgação de vulnerabilidades é altamente volátil, com dias ‘padrão’ potencialmente introduzindo volumes tradicionalmente vistos apenas em Patch Tuesdays e outros eventos semelhantes”, afirma o relatório Flashpoint .
Níveis de bola de neve de divulgações de vulnerabilidade
O relatório também mostra que o número de vulnerabilidades divulgadas aos fornecedores continua em níveis elevados.
O National Vulnerability Database (NVD) também documentou mais de 11.000 falhas atribuídas a identificadores de Vulnerabilidade e Exposições Comuns (CVE) nos primeiros seis meses do ano. No entanto, uma fração dessas não são verdadeiras vulnerabilidades relatadas, mas fornecedores que reservam identificadores CVE para vulnerabilidades futuras ou ainda a serem divulgadas. A Flashpoint estima que seu banco de dados tenha detalhes sobre 27% mais vulnerabilidades do que as documentadas no NVD.
Embora várias distribuições do Linux tenham liderado o gráfico de aplicativos vulneráveis - como SUSE, openSUSE Leap e Ubuntu – as empresas focadas em código aberto representaram apenas quatro dos 10 fornecedores com as maiores contagens de vulnerabilidades no primeiro semestre de 2022. Ainda assim, contagens altas não são necessariamente um sinal de insegurança, mas geralmente são um sinal de que a empresa de software possui um processo para detectar e corrigir problemas.
“Existem muitas razões subjacentes para o motivo pelo qual certos produtos e fornecedores tendem a ter altas contagens de vulnerabilidades, como participação de mercado geral, participação de mercado específica do produto, rotina – ou falta de – cronograma de divulgações, atenção de pesquisadores de vulnerabilidades e resposta do fornecedor /patch time, entre outros”, afirma o relatório Flashpoint. “Portanto, as organizações não devem se preocupar imediatamente com fornecedores conhecidos com ‘mais’ vulnerabilidades, pois pode ser um sinal de que eles estão divulgando e corrigindo problemas ativamente”.
FONTE: DARK READING