0
0
A Coalfire lançou seu quarto relatório anual de risco de penetração de segurança, que analisa vetores de ataques internos e externos de provedores de serviços corporativos e em nuvem (CSPs), desenvolvimento de aplicativos e segurança de aplicativos móveis , engenharia social e phishing e descobertas específicas de PCI e FedRAMP, com dados segmentados por indústria e tamanho da empresa.
O relatório reflete os resultados de mais de 3.100 testes de penetração de quase 1.600 clientes nos setores de tecnologia, serviços financeiros, saúde e varejo.
Dados de longo prazo mostram que o risco cibernético muda significativamente ano após ano com base no tamanho da empresa, no mercado vertical e em muitos outros fatores. Devido a uma onda de violações catastróficas divulgadas, o foco dominante no risco externo significa que as ameaças internas podem persistir. Isso cria pontos fracos que aumentam o potencial de explorações internas do crescente quadro de invasores.
“Com vulnerabilidades de alto risco quase cortadas pela metade desde o primeiro relatório anual da Coalfire, a grande empresa está ficando mais esperta sobre ameaças externas, mas ficando para trás em vulnerabilidades internas”, disse o CEO da Coalfire, Tom McAndrew .
“Empresas menores estão fazendo um trabalho melhor equilibrando riscos internos e externos; no entanto, as empresas de médio porte enfrentam ambientes híbridos complexos, demandas de conformidade pesadas e extensas cadeias de suprimentos que expandem suas superfícies de ataque.”
Principais descobertas sobre vetores de ataques internos e externos de empresas e CSPs
O teste de penetração de aplicativos da Web compensa com o tempo
- As iniciativas bem-sucedidas do AppSec são contínuas e não são mais atividades pontuais. Os resultados mostram que as organizações que executaram programas de teste por pelo menos três anos tiveram resultados de alta gravidade reduzidos em 25%.
Organizações de serviços financeiros são desafiadas a proteger aplicativos móveis
- Nos dados de risco de aplicativos da Coalfire em serviços financeiros, o alto risco foi de 8%. No entanto, o alto risco para aplicativos móveis foi de 37%, o que significa que os aplicativos móveis tiveram um desempenho muito pior do que os aplicativos da Web ou de desktop.
Mais de 3.100 testes de penetração mostram que a configuração incorreta de segurança é sempre a principal vulnerabilidade
A consistência ano a ano das principais vulnerabilidades de aplicativos mostra que muitas empresas:
- Falta uma compreensão de seu próprio inventário de ativos.
- Continue usando sistemas legados que expõem várias vulnerabilidades.
- Ter má higiene cibernética.
Melhorias nos resultados dos testes de engenharia social
- Pela primeira vez, menos de 50% das empresas testadas foram comprometidas por meio de testes de engenharia social, indicando progresso na conscientização dos funcionários e na redução dos riscos de comprometimento humano.
As lacunas de treinamento ameaçam a autoridade do FedRAMP para operar
- Embora os resultados gerais da engenharia social mostrem melhorias, a falta de treinamento, principalmente em engenharia social, é responsável por 41% de todas as vulnerabilidades do FedRAMP – 216% a mais do que em 2020.
Grandes CSPs estão melhorando, mas ainda carregam a maioria das vulnerabilidades de alto risco
- Nos últimos dois anos, os grandes CSPs reduziram a exposição ao risco de alto nível em mais de um terço. Por outro lado, as empresas de nuvem menores tiveram um aumento de 15% no número de vulnerabilidades, principalmente devido a configurações incorretas contínuas e problemas de software desatualizados.
“Os CSPs operam em um setor que depende muito de uma forte postura de segurança cibernética”, disse Jason Rowland , vice-presidente de testes de penetração e serviços em nuvem da Coalfire . “À medida que os CSPs constroem a espinha dorsal digital corporativa com gerenciamento de risco priorizado, estamos vendo melhorias cibernéticas significativas não apenas no setor de tecnologia, mas na economia geral.”
Para organizações de todos os tamanhos, Rowland enfatizou que a migração para a nuvem, a adoção de uma abordagem de gerenciamento de vulnerabilidade priorizada e o aumento da cadência de testes agora são essenciais para a maturidade cibernética da empresa.
FONTE: HELPNET SECURITY