Aplicações web e mobile registaram maior incidência de vulnerabilidades criticas

O relatório Overview 2021 TOP Vulnerabilidades e Recomendações, da Integrity , destaca as principais conclusões da atividade de prevenção, deteção e resolução de vulnerabilidades – teste de intrusão, tanto nos clientes nacionais como internacionais.

Podemos observar que as aplicações web e mobile registaram maior incidência de vulnerabilidades criticas, devido à sua complexidade e, porque parte delas são desenvolvidas por medida em diversos clientes, o que aumenta o risco de conterem vulnerabilidades que potenciem  ciberataques a estes ativos. 

Verifica-se também uma tendência de crescimento dos ativos na vertente de Web, ao contrário das Infraestruturas que de 2019 para 2020 decresceram, mantendo-se iguais em 2021 e do Mobile que registou um aumento de 2019 para 2020 mantendo-se em 2021. O decréscimo verificado nas Infraestruturas justifica-se em parte pela tendência de migração para serviços em Cloud, como os modelos PaaS e SaaS.

Analisando por setor, o dos Serviços destacou-se pela positiva em 2021 atendendo a que é o que apresenta a menor percentagem no número de vulnerabilidades de severidades Critical identificadas, comparando com os outros setores, tendo registado um decréscimo de 5%, em relação ao ano anterior.

Os setores Financeiro e Indústria & Energia mantêm-se em linha com o ano de 2020, registando apenas um aumento de 2% e 1%, respetivamente. 

Marco Vaz, Partner, Offensive Security  Services Director e partner da Integrity part of Devoteam destaca “A contagem reduzida de vulnerabilidades de severidade nomeadamente Critical e High face ao total de vulnerabilidades, é uma métrica que a nosso ver tende a refletir, uma escolha assertiva de soluções, implementação adequada de controlos de segurança e boas práticas de desenvolvimento. Apesar de na globalidade os setores se apresentarem nivelados, é de relevar a maior performance do setor Financeiro na capacidade de agir sobre as vulnerabilidades identificadas com maior rapidez e assertividade”.

Neste relatório destacam-se ainda as vulnerabilidades críticas mais comuns, que são aquelas que causam mais prejuízos e com maior gravidade, levando mais rápida e facilmente a pôr em causa a segurança dos sistemas e aplicações. Desta forma, o Cross-Site Scripting é aquele que se evidencia correspondendo a 33% das vulnerabilidades de severidade Critical. Este tipo de vulnerabilidade é tipicamente usado para ganhar acesso ao cookie de sessão de um utilizador, permitindo a um atacante desencadear ações na aplicação sem o  conhecimento da vítima. 

Em relação à vulnerabilidade LOG4J identificada em Dezembro, o número de ocorrências identificadas foi consideravelmente reduzido, ainda que caso exploradas por um atacante teria impactos desastrosos.

Quanto às recomendações, há um conjunto de boas práticas e orientações que as organizações e indivíduos devem adotar e ter em conta, detalhados neste relatório.

Rui Shantilal, Founder e CEO da Integrity part of Devoteam, refere “O risco é algo que tem de ser gerido e as empresas têm de ter noção das ameaças a que diariamente estão expostas. Há cada vez mais ataques cibernéticos reportados e, infelizmente, os atacantes parecem estar mais sofisticados e criativos do que nunca. As empresas têm, por isso, de agir e implementar medidas de combate face a este problema”.  Reforçando ainda “As organizações estão cada vez mais preocupadas com o tema da resiliência, é uma tendência atual, e este conceito reflete a capacidade de superação, adaptação, agilidade diante de dificuldades ou situações adversas consideradas um risco. Desta forma, não é demais reforçar a ideia da necessidade permanente da utilidade de avaliação e ação da segurança da informação nos três eixos: tecnologia, pessoas e processos, os quais são absolutamente imprescindíveis para qualquer organização e cuja simbiose se traduz numa clara vantagem competitiva”.

Aceda ao relatório completo aqui




Deixe um comentário

O seu email não será publicado