0
0
Em seu primeiro Relatório de Visão de Segurança Ofensiva de 2023, a NetSPI revela descobertas que destacam tendências de vulnerabilidade em aplicativos, nuvem e redes.
Padrões de vulnerabilidade
O relatório oferece uma visão retrospectiva – e futura – de alguns dos padrões de vulnerabilidade mais significativos do ano passado para ajudar os líderes de segurança e de negócios a concentrar os esforços de descoberta, gerenciamento e correção nas vulnerabilidades mais arriscadas que provavelmente existem em sua superfície de ataque.
De acordo com o NIST National Vulnerability Database, a contagem de vulnerabilidades tem aumentado constantemente ano após ano nos últimos cinco anos – e não mostra sinais de desaceleração. Isso, aliado à realidade das equipes de segurança e desenvolvimento esgotadas, cria uma necessidade iminente de priorização.
O relatório analisou mais de 300.000 descobertas anônimas de milhares de engajamentos pentest, abrangendo mais de 240.000 horas de testes, para identificar as vulnerabilidades mais prevalentes em vários setores – que incluem saúde, varejo, finanças e manufatura.
Hoje, a segurança ofensiva é tão valiosa quanto sua capacidade de ajudá-lo a priorizar a correção dos problemas mais importantes para o seu negócio.
Barreiras à reparação atempada e eficaz
A falta de recursos, a priorização de vulnerabilidades e as prioridades de negócios foram relatadas como as três principais barreiras para uma correção oportuna e eficaz. A tendência entre os três? As equipes de segurança precisam de suporte priorizando o número crescente de vulnerabilidades presentes em seu ambiente.
O contexto empresarial e humano continua sendo necessário para superar os desafios de priorização de vulnerabilidade, mas as equipes permanecem com pouca equipe.
O que os pesquisadores encontraram:
- Em média, o maior volume de vulnerabilidades críticas e de alta gravidade foi descoberto no governo e no setor sem fins lucrativos. Pelo contrário, os seguros apresentaram o menor volume de vulnerabilidades críticas e de alta gravidade.
- As redes internas têm 3x mais vulnerabilidades exploráveis do que as redes externas.
- Das aplicações testadas, as aplicações web têm uma maior prevalência de vulnerabilidades altas e críticas em comparação com aplicações móveis e espessas.
- As duas maiores barreiras para uma remediação oportuna e eficaz hoje são a falta de recursos (70%) e a priorização (60%).
- 71% dos entrevistados compartilharam que menos de um quarto das funções de segurança orçadas eram de nível básico, com 46% dos entrevistados relatando não ter planos de contratação de nível básico em 2023.
“Uma narrativa evidenciada em nosso Relatório de Visão de Segurança Ofensiva é que a priorização de vulnerabilidade é crítica”, disse Vinay Anand, CPO da NetSPI.
“A realidade é que não podemos corrigir todas as vulnerabilidades descobertas, mas se a priorização e o suporte continuarem a faltar, o setor de segurança ficará aquém. Essa percepção, juntamente com o setor experimentando taxas crescentes de burnout entre as equipes de desenvolvedores, deve evocar um senso de urgência. Nossas descobertas podem ajudar os líderes a entender a gravidade da situação para priorizar o gerenciamento de vulnerabilidade”, continuou Anand.
“Este relatório deixa muito claro que ainda há muito a ser feito para apoiar e permitir que a indústria melhore o gerenciamento de vulnerabilidades”, disse Cody Chamberlain, chefe de produto da NetSPI.
“Esperamos que as observações e recomendações acionáveis ao longo do nosso relatório inaugural de Visão de Segurança Ofensiva sejam um ótimo ponto de partida orientado por dados para as equipes de segurança reforçarem sua segurança”, concluiu Chamberlain.
FONTE: HELPNET SECURITY