Brechas de segurança relacionadas à desatualização de componentes responderam por 92% das vulnerabilidades críticas de infraestrutura identificadas em empresas brasileiras nos últimos 12 meses. A falta de integração entre tecnologias associada aos desafios da Shadow IT e a dificuldade em manter os sistemas atualizados serão um dos tópicos a serem abordados no Congresso Security Leaders, que acontece na próxima semana, em São Paulo.
O estudo Relatório de Ameaças 2016 da iBliss teve como base pesquisas realizadas em mais de 70 empresas de diversos setores, incluindo cartões, esportes, e-commerce, finanças, indústria, internet, logística, seguros, tecnologia, telecomunicações e varejo no último ano, classificando as vulnerabilidades de acordo com o grau de criticidade em quatro níveis: críticas, alta criticidade, média criticidade e baixa criticidade.
As vulnerabilidades críticas de segurança, que respondem por 11% das falhas de segurança de infraestrutura identificadas nos últimos 12 meses, são aquelas que podem levar ao comprometimento em larga escala da infraestrutura de TI, causando grandes danos financeiros e de reputação à empresa. Essas falhas de segurança são graves, pois são facilmente exploradas pelos cibercriminosos.
“O fato de 92% das vulnerabilidades críticas de infraestrutura serem relacionadas a falhas de atualização mostra que as equipes de TI brasileiras ainda têm uma grande dificuldade na atualização de aplicações, algo que tem relação com o problema da complexidade no ambiente de TI, principalmente nas grandes empresas”, afirma Leonardo Militelli, sócio-diretor da iBLISS.
O estudo mostra que a maioria das falhas de atualização diz respeito à ausência de pacotes de atualização críticos de aplicações, como Apache, VMware e Windows ou ao uso de versões de aplicações que não são mais suportadas pelo fabricante.
A maioria dos pacotes de atualização contém patches de segurança importantes que solucionam vulnerabilidades críticas. Eles atuam interrompendo as falhas e até corrigindo problemas de desempenho. “Muitas vezes, devido à complexidade do ambiente da empresa, a gestão dessas atualizações se torna um processo complicado para os profissionais de TI que precisam lidar com centenas de máquinas conectadas à rede”, explica Militelli.
As aplicações sem suporte do fabricante oferecem perigo principalmente porque não contam mais com pacotes de atualizações que corrigem as vulnerabilidades do software, portanto, são potencialmente perigosas para o negócio. “No Brasil, é fácil encontrar empresas usando softwares sem suporte em processos de negócio críticos. O melhor exemplo que temos são os caixas eletrônicos, que ainda usam o Windows XP, software da Microsoft que deixou de receber suporte em abril de 2014.”, afirma Militelli.
Quase 70% das vulnerabilidades são destrutivas para o negócio
O Relatório encontrou quase 18.500 vulnerabilidades. As vulnerabilidades críticas, de alta criticidade e de média criticidade são 69% das falhas de segurança brasileiras. Esse número pode ser considerado alto, mesmo que a maioria das vulnerabilidades desse grupo seja de média criticidade (49% das vulnerabilidades encontradas).
Isso porque, mesmo que sejam de mais difícil exploração, as falhas de média criticidade podem causar impactos significativos no negócio por meio de ataques persistentes avançados, que contam com a ação de hackers com maior nível de expertise e insistência.
Com isso, é possível concluir que quase 70% das vulnerabilidades encontradas nos últimos 12 meses podem causar danos significativos ao negócio.
Outras descobertas da pesquisa
Entre as vulnerabilidades de infraestrutura de alta criticidade – que podem causar danos graves, mas são menos facilmente exploradas que as falhas de segurança críticas – as vulnerabilidades relacionadas à falta de atualização de aplicações correspondem a 32% das vulnerabilidades identificadas, ficando atrás apenas das falhas de Acesso Remoto (61%).
Vale a pena destacar que 5% das vulnerabilidades classificadas como “Desatualização” correspondem a falhas de OpenSSL que permitem o acesso a informações sensíveis por meio de bugs diretamente ligados ao Heartbleed, um grande erro na biblioteca de criptografia OpenSSL amplamente divulgado em 2014.
Confira alguns dos principais resultados da pesquisa:
- 92% das vulnerabilidades críticas de infraestrutura correspondem a falhas de atualização
- 5% das vulnerabilidades envolvendo sistemas desatualizados correspondem a falhas de OpenSSL diretamente ligadas ao Heatbleed
- 36% das vulnerabilidades de infraestrutura deixam a rede exposta a ataques de acesso remoto
- 46% das vulnerabilidades críticas de aplicação web são relacionadas a testes de autenticação
- As vulnerabilidades de média criticidade respondem por quase metade (49%) das falhas de segurança encontradas
- O setor financeiro conta com a maior proporção de vulnerabilidades críticas dentre os setores pesquisados (16%)
- O setor de internet conta com a maior porcentagem de vulnerabilidades críticas, de alta criticidade e média criticidade (89%). Em segundo lugar, fica o setor de cartões (88%), seguido pelo setor financeiro (83%).
- A maioria das vulnerabilidades encontra-se no setor industrial. O setor também tem a maior porcentagem de vulnerabilidades de baixa criticidade.
A programação completa do Congresso Security Leaders você confere no site oficial do evento.
