A INTEGRITY, empresa portuguesa que fornece serviços de segurança da informação em auditoria e consultoria , apresentou o seu relatório Overview 2020 TOP Vulnerabilidades e Recomendações onde se destacam as principais conclusões da actividade de prevenção, detecção e resolução de vulnerabilidades, tanto nos clientes nacionais como internacionais.
Dos activos a teste para detectar vulnerabilidades em cibersegurança destaca-se, em 2020, um crescimento de Web e Mobile, apresentando as infra-estruturas uma tendência decrescente.
Este aumento nas vertentes web e mobile acompanha uma tendência geral de crescimento de serviços online.
Nos últimos anos tem havido um reforço da presença das empresas no panorama digital, sobretudo nestas duas áreas, e que a pandemia veio alavancar.
Quanto às infra-estruturas, o seu decréscimo reflete a passagem de parte da infra-estrutura para serviços cloud, em modelo SaaS ou IaaS.
Em 2020 cerca de 32% das vulnerabilidades identificadas têm severidade Critical ou High, sendo que 9% destas são Critical.
Ao longo dos últimos anos há uma ligeira tendência de decréscimo nas vulnerabilidades Critical, que apresentam risco iminente e grave para a informação ou sistemas.
O que demonstra uma maturidade crescente de algumas organizações ao longo do tempo, levando a que tendencialmente tenham cada vez menos vulnerabilidades deste tipo.
O decréscimo de vulnerabilidades Critical está também relaccionado com a utilização generalizada de Frameworks, que incorporam controlos de segurança e mitigam de forma “automática” uma parte das vulnerabilidades mais comuns relacionadas.
Sector financeiro com mais maturidade
Quando analisadas por sectores, o Sector Financeiro destaca-se pelo menor número de vulnerabilidades com severidade Critical, o que reflete um nível de maturidade superior relativamente aos outros sectores. Este é um sector que tradicionalmente se preocupa com a segurança, por ser um dos mais visados pelos ataques cibernéticos, tendo por isso já alguns processos montados e apostado na adopção de medidas de prevenção de riscos, o que acaba por torná-lo menos vulnerável.
O sector dos Serviços apresenta maior número de vulnerabilidades com severidade Critical, por abarcar mais tipos de negócios e por ter um conjunto de clientes mais heterogéneo e com maior exposição online no que diz respeito a serviços prestados aos respetivos clientes.
O setor da Indústria & Energia demonstra níveis de severidade Critical abaixo do sector dos Serviços, o que poderá estar relacionado com o facto de ser um setor mais maduro e com menor exposição online no que diz respeito à interação com o cliente final.
Pentesting: uma operação continuada e persistente
“O risco tem de ser gerido, não deve ser negligenciado e é importante os clientes estarem cientes das ameaças a que estão expostos diariamente. É por isso que o trabalho de pentesting tem de ser feito de forma continuada e persistente, devido às inúmeras ameaças que existem e ao risco introduzido pelas inevitáveis alterações nas infraestruturas e aplicações. Só assim se poderá eficazmente reduzir o risco”
Marco Vaz, Partner e Pentesting Services Director
Analisando o top de vulnerabilidades mais comuns em 2020 destacam-se Sensitive Data Exposure (43%) que acontece quando a informação sensível não é adequadamente protegida em trânsito.
O Security Misconfiguration (22%) é o segundo tipo de vulnerabilidade mais comum e que, engloba configurações incorretas que afectam a segurança dos sistemas ou aplicações. Esta vulnerabilidade encontra-se em tendência crescente.
E o Broken Authentication and Session Management (11%) é focado na componente de autenticação e gestão de sessão dos utilizadores de uma aplicação que, quando exploradas com sucesso, permitem a um atacante o acesso ilegítimo às aplicações e sistemas.
Quanto às recomendações, há um conjunto de boas práticas e orientações detalhadas neste relatório, que as empresas e indivíduos devem adoptar e ter em conta com vista à redução efetiva do risco evitando o aparecimento e proliferação de novas vulnerabilidades.
A exploração de uma única vulnerabilidade poderá causar efeitos irreversíveis, portanto a prevenção é o melhor caminho para um ambiente cibernético seguro.
A “resposta para mitigar o crescimento dos ciberataques – que devem e têm de ser encarados como um problema de negócio – tem de passar não só pelo reforço da utilização de soluções tecnológicas, mas também pela implementação de processos, formação das equipas e aposta em serviços de excelência que ajudem efetivamente as organizações a detetar, de forma antecipada, as ameaças antecipando potenciais riscos para a gestão da segurança”
Bruno Morisson, Partner ePentesting Services Director da INTEGRITY
Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine.