A Integrity part of Devoteam apresentou o seu relatório Overview 2021 TOP Vulnerabilidades e Recomendações onde se destacam as principais conclusões da actividade de prevenção, detecção e resolução de vulnerabilidades – teste de intrusão, tanto nos clientes nacionais como internacionais.
Rui Shantilal, Founder e CEO da Integrity part of Devoteam, refere que “o risco é algo que tem de ser gerido e as empresas têm de ter noção das ameaças a que diariamente estão expostas. Há cada vez mais ataques cibernéticos reportados e, infelizmente, os atacantes parecem estar mais sofisticados e criativos do que nunca. As empresas têm, por isso, de agir e implementar medidas de combate face a este problema”.
Como aponta “as organizações estão cada vez mais preocupadas com o tema da resiliência, é uma tendência actual, e este conceito reflete a capacidade de superação, adaptação, agilidade diante de dificuldades ou situações adversas consideradas um risco. Desta forma, não é demais reforçar a ideia da necessidade permanente da utilidade de avaliação e acção da segurança da informação nos três eixos: tecnologia, pessoas e processos, os quais são absolutamente imprescindíveis para qualquer organização e cuja simbiose se traduz numa clara vantagem competitiva”.
Segundo a empresa, as aplicações web e mobile registaram maior incidência de vulnerabilidades critical, devido à sua complexidade e, porque parte delas são desenvolvidas por medida em diversos clientes, o que aumenta o risco de conterem vulnerabilidades que potenciem ciberataques a estes activos.
Verifica-se também uma tendência de crescimento dos activos na vertente de Web, ao contrário das Infraestruturas que de 2019 para 2020 decresceram, mantendo-se iguais em 2021 e do Mobile que registou um aumento de 2019 para 2020 mantendo-se em 2021.
O decréscimo verificado nas Infraestruturas justifica-se em parte pela tendência de migração para serviços em Cloud, como os modelos PaaS e SaaS.
Analisando por sector, o dos Serviços destacou-se pela positiva em 2021 atendendo a que é o que apresenta a menor percentagem no número de vulnerabilidades de severidades Critical identificadas, comparando com os outros sectores, tendo registado um decréscimo de 5%, em relação ao ano anterior.
Os sectores Financeiro e Indústria & Energia mantêm-se em linha com o ano de 2020, registando apenas um aumento de 2% e 1%, respectivamente.
Marco Vaz, Partner, Offensive Security Services Director e partner da Integrity part of Devoteam destaca que “a contagem reduzida de vulnerabilidades de severidade nomeadamente Critical e High face ao total de vulnerabilidades, é uma métrica que a nosso ver tende a refletir, uma escolha assertiva de soluções, implementação adequada de controlos de segurança e boas práticas de desenvolvimento. Apesar de na globalidade os setores se apresentarem nivelados, é de relevar a maior performance do sector financeiro na capacidade de agir sobre as vulnerabilidades identificadas com maior rapidez e assertividade”.
Neste relatório destacam-se ainda as vulnerabilidades críticas mais comuns, que são aquelas que causam mais prejuízos e com maior gravidade, levando mais rápida e facilmente a pôr em causa a segurança dos sistemas e aplicações.
Desta forma, o Cross-Site Scripting é aquele que se evidencia correspondendo a 33% das vulnerabilidades de severidade Critical.
Este tipo de vulnerabilidade é tipicamente usado para ganhar acesso ao cookie de sessão de um utilizador, permitindo a um atacante desencadear ações na aplicação sem o conhecimento da vítima.
Em relação à vulnerabilidade LOG4J identificada em Dezembro, o número de ocorrências identificadas foi consideravelmente reduzido, ainda que caso exploradas por um atacante teria impactos desastrosos.
Quanto às recomendações, há um conjunto de boas práticas e orientações que as organizações e indivíduos devem adotar e ter em conta, detalhados neste relatório.
Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine.
