WEB COM MAIOR CRESCIMENTO DE VULNERABILIDADES

WEB COM MAIOR CRESCIMENTO DE VULNERABILIDADES

64% das vulnerabilidades são registadas na Web

Indústria & Energia com menos vulnerabilidades críticas face a 2021

Principal vulnerabilidade Sensitive Data Exposure reduz em 14% a sua incidência

A Devoteam Cyber Trust, unidade especializada em cibersegurança do Grupo Devoteam apresentou o relatório Overview 2022 TOP Vulnerabilidades e Recomendações tendo como base KEEP-IT-SECURE-24 – o serviço bandeira da empresa e que comemora este ano 10 anos onde se destacam as principais conclusões da atividade de prevenção, deteção e resolução de vulnerabilidades - teste de intrusão, tanto nos clientes nacionais como internacionais, nos setores Financeiro, Indústria & Energia e Serviços.

A terceira edição deste relatório, disponível no formato EBook , vem mais uma vez identificar os principais desafios que as organizações enfrentam na segurança dos dados. Neste, podemos observar que nos últimos cinco anos se registou uma clara tendência de crescimento na quantidade de ativos em Web, ao contrário das Infraestruturas que de 2019 para 2022 decresceram. Esta tendência natural de crescimento de ativos em Web, já verificada no ano passado, está relacionada com a passagem de serviços para a Cloud e com o facto da maioria dos negócios terem tipicamente as suas aplicações mobile e conteúdos de suporte em web.

De referir ainda que este crescimento de exposição de serviços online aumentou substancialmente com a pandemia em 2020 e, desde então, a tendência verificada é de crescimento.

Estas tendências registadas refletem-se também na quantidade de vulnerabilidades por tipo de ativo, sendo a vertente Web aquela que mais vulnerabilidades registou no decorrer do ano de 2022 - Web 63,77%, Infraestruturas 26,15% e Mobile 10,07%.

Nos últimos cinco anos, apesar de não muito expressiva há tendência de decréscimo nas vulnerabilidades Critical, o que demonstra uma maior perceção do risco e maturidade por parte das organizações visadas pelos testes. Quanto às vulnerabilidades High, houve um decréscimo de 1% que, apesar de pouco significativo em valor, tem sido reiterado nos últimos 3 anos.

Quando comparadas as vulnerabilidades, não se observam diferenças muito acentuadas entre os setores, no entanto, na severidade Critical, o setor da Indústria & Energia foi o que se destacou pela positiva em 2022 já que é o que apresenta a menor percentagem desta categoria de vulnerabilidades, comparando com os outros setores, tendo registado um decréscimo de 3% neste tipo de severidade em relação ao ano passado.

Sobre os tipos de vulnerabilidades mais comuns vemos que a tendência se mantém face aos anos anteriores, havendo, contudo, alterações na quantidade de incidências de Sensitive Data Exposure que registou uma redução de cerca de 14% devido à menor incidência de vulnerabilidades relativas à utilização de cifras fracas.

Marco Vaz, Offensive Security Services Director e partner da Devoteam Cyber Trust destaca “2022 foi um ano muito semelhante a 2021, onde os clientes estão a ganhar cada vez mais maturidade e a mostrar uma maior perceção dos riscos a que podem estar expostos. Por outro lado, o ano de 2022 ainda que tenha tido algum retorno ao escritório manteve-se o recurso ao trabalho remoto”.

Neste relatório destacam-se ainda as vulnerabilidades críticas mais comuns, que são aquelas que causam mais prejuízos e com maior gravidade, levando mais rápida e facilmente a pôr em causa a segurança dos sistemas e aplicações. Cross-Site Scripting (XSS) com 27,5%, continua no topo das vulnerabilidades críticas mais comuns, com um ligeiro decréscimo face ao ano anterior. No entanto, observa-se uma subida significativa das vulnerabilidades de SQL Injection, ocupando a segunda posição com 17,9%. A vulnerabilidade SQL Injection tem um impacto significativo nas organizações, uma vez que permite a um atacante ter acesso a conteúdos das bases de dados da aplicação podendo aceder de forma indiscriminada, promover a destruição de dados ou informação ou mesmo controlar o servidor onde se encontra a base de dados.

Rui Shantilal, Managing Partner da Devoteam Cyber Trust acrescenta “2022 foi um ano preocupante ao nível da cibersegurança em Portugal, tendo sido público que algumas organizações de renome sofreram ataques de grandes dimensões e sido alvo de roubo de informação. Ora, isto deverá servir de alerta para a necessidade de investir em soluções de cibersegurança que protejam os colaboradores, as infraestruturas, os sistemas e, no fundo, o ativo mais importante de qualquer organização: a informação. Nestes últimos 10 anos, com o Keep-IT-Secure-24, o nosso serviço continuado de testes de intrusão, temos vindo a dar apoio à segurança dos dados dos nossos clientes e contribuindo para uma sensibilização da importância da cibersegurança como fazendo parte do negócio através de uma equipa profissional de auditores qualificados e certificados para o efeito, com elevado know-how e experiência comprovada”.

Para aceder ao relatório Overview 2022 TOP Vulnerabilidades e Recomendações https://www.integrity.pt/pt/landing/overview-2022.html