Elevada percentagem de vulnerabilidades deixa empresas muito expostas ao cibercrime

Elevada percentagem de vulnerabilidades deixa empresas muito expostas ao cibercrime

Teste a 7.500 ativos digitais revela que muitas empresas estão demasiado expostas ao crime informático

Hackers éticos querem atividade regulada

Entre setembro de 2022 e março de 2023, a Ethiack testou, com as devidas autorizações, a segurança de cerca de 7.500 “ativos digitais”, ou seja, servidores expostos na Internet e identificou mais de 17 mil vulnerabilidades de 400 tipos diferentes, sendo mais de 60% destes considerados impactantes e 12% com impacto “crítico”.

De acordo com André Baptista, cofundador da Ethiack, “os resultados obtidos com esta análise mostram que continua a ser relativamente fácil aceder aos sistemas de informação das empresas e que a deteção de ataques informáticos se encontra longe de ser rápida e eficaz. Isto, porque grande parte destas vulnerabilidades estão em ativos esquecidos pelas empresas ou adormecidos, porque o projecto para o qual foi criado já foi descontinuado, mas a máquina continua lá. Daí a importância dos hackers éticos, que permitem detetar e mitigar problemas antes que tenham impacto sério ao nível da empresa ou instituição”.

De sublinhar que, a partir do site da Ethiack, as empresas podem, durante um mês, a partir do momento de registo, obter gratuitamente um relatório completo que agrega a descrição das vulnerabilidades e a sua severidade, incluindo guias para a mitigação dos problemas, e uma reunião de trabalho para esclarecimento de dúvidas e procedimentos.

A solução desenvolvida pela Ethiack responde a dois desafios críticos para as empresas: permite identificar e proteger eficazmente todos os ativos digitais e permite reduzir os custos e recursos (humanos e financeiros) envolvidos na proteção eficaz da sua infraestrutura digital.

Ainda no âmbito deste estudo, a Ethiack apurou que as vulnerabilidades mais detetadas são a RCE (Remote code execution), uma vulnerabilidade que permite a um atacante tomar conta de uma máquina/ativo digital, a XSS (Cross-site scripting), uma vulnerabilidade que permite "injetar" scripts em websites e o SQL injection, vulnerabilidade que permite alterar bases de dados, bem como obter dados confidenciais. Isto para além dos Business logic errors detetados, que são falhas ou imperfeições na programação que permitem ao hacker tomar conta da aplicação e, por exemplo, mudar as regras, lógicas ou privilégios de decisão da app.

Particularmente relevante - e preocupante - entre as conclusões desta análise da Ethiack, é o tempo que as equipas de segurança internas (Blue Teams) levam a reagir para corrigir e/ou mitigar uma vulnerabilidade, uma resposta que, segundo este estudo, é demasiado lenta.

Na consulta à sua rede de parceiros, a Ethiack concluiu ainda que a maioria considera necessário que o hacking ético tenha a sua atividade regulada e veem com muito interesse ser criado um enquadramento legal que reconheça esta profissão, uma vez que a principal motivação destes profissionais é o desafio intelectual que o hacking ético representa.

Hacking ético é a designação utilizada para os serviços prestados por profissionais especializados em cibersegurança, detetando brechas em sistemas, plataformas, websites e aplicativos, ao realizar análises por meio de testes controlados aos sistemas e servidores.