Segundo Relatório Anual de Estado de Vulnerabilidades da Synack Descobre Pico de Gravidade, Progresso na Remediação
O relatório de 2024 traz análise setorial e análise de vulnerabilidades
REDWOOD CITY, Califórnia, 20 de junho de 2024 /PRNewswire/ -- A Synack, a principal plataforma de testes de segurança, lançou hoje seu segundo relatório anual sobre o estado das vulnerabilidades, que combina centenas de milhares de horas de testes de penetração e uma análise de mais de 14.000 vulnerabilidades exploráveis para fornecer uma visão direta das tendências de gravidade, volume e correção de falhas de software em todos os setores.
"Entender sua superfície de ataque e como a exploração eficaz das vulnerabilidades pode afetar sua organização é fundamental para tomar decisões inteligentes de segurança e negócios", disse Jay Kaplan, CEO e cofundador da Synack. "Estamos orgulhosos de lançar o segundo Relatório Anual do Estado de Vulnerabilidades da Synack para ajudar as organizações dos setores de saúde, serviços financeiros, governo federal, tecnologia e manufatura a entender quais são as suas vulnerabilidades e como podem ficar um passo à frente dos invasores. Temos muitas razões para sermos otimistas, mas isso não significa que a ameaça esteja diminuindo."
As vulnerabilidades de gravidade crítica aumentam, mas os tempos de remediação melhoram
A Synack Red Team (SRT), uma comunidade dos hackers éticos mais confiáveis e qualificados do mundo, descobriu que, em todos os setores, os clientes experimentaram uma parcela maior de vulnerabilidades de gravidade crítica em 2023 do que em 2022 e uma ligeira redução nas vulnerabilidades de alta gravidade. Apesar das crescentes pressões sobre as equipes de segurança, as organizações reduziram seu tempo médio para remediação de vulnerabilidades de gravidade crítica em 24 dias e vulnerabilidades de alta gravidade em 18 dias, para 56 e 74 dias, respectivamente.
No entanto, o relatório identificou as mesmas categorias de vulnerabilidades que persistem ano após ano, indicando o aumento das ameaças em torno de falhas de injeção, que foram destacadas em um recente alerta dentro do conceito Secure by Design emitido pela Agência de Cibersegurança e Infraestrutura. Os setores de saúde e tecnologia registraram um aumento nas injeções de SQL, e as falhas de injeção, incluindo o XSS, representaram cerca de um terço de todas as vulnerabilidades que a Synack descobriu em 2023.
Análise setorial
O relatório da Synack revela as principais descobertas de vulnerabilidades de alto escalão e tempos de remediação para os setores de saúde, serviços financeiros, governo federal, tecnologia e manufatura.
Abaixo seguem algumas das principais tendências identificadas ao analisar os cinco setores:
- Em média, as empresas de saúde tinham mais de 5.400 subdomínios, 1.500 aplicativos da web e 1.400 endereços IP expostos publicamente – a maior superfície de ataque de qualquer segmento vertical do setor revisada.
- Das vulnerabilidades encontradas, quase 1.900 foram injeções de SQL classificadas como críticas ou de alta gravidade.
- As falhas de injeção ampliaram as fraquezas dos setores. Em média, as empresas de serviços financeiros levaram 53 dias para corrigir as vulnerabilidades de injeção de SQL, as empresas de tecnologia levaram 57 dias e as empresas de saúde levaram apenas 45 dias.
O relatório baseia-se em dados de avaliações de segurança realizadas na base global de clientes da Synack e se alinha com as categorias de vulnerabilidade no documento de conscientização padrão OWASP Top 10. Os mais de 1.500 membros do SRT passaram coletivamente mais de 27.000 dias testando os ativos dos clientes da Synack no ano passado, incluindo nuvem, interface de programação de aplicativos, grandes modelos de linguagem (LLM) de IA, aplicativos da web, infraestrutura de host e superfícies de ataque em celulares.
Para ler o relatório completo, visite: https://go.synack.com/state-of-vulnerabilities-2024
Sobre a Synack
A principal plataforma de testes de segurança da Synack aproveita uma comunidade talentosa e comprovada de pesquisadores de segurança e tecnologia inteligente para fornecer testes de penetração contínuos e gerenciamento de vulnerabilidades, com resultados práticos. Estamos comprometidos em tornar o mundo mais seguro, fechando a lacuna de habilidades em cibersegurança, dando às organizações acesso sob demanda aos pesquisadores de segurança mais confiáveis do mundo. Com sede no Vale do Silício e equipes regionais em todo o mundo, a Synack protege uma lista crescente de clientes Global 2000 e agências dos EUA em um ambiente FedRAMP Autorizado Moderado. A abordagem abrangente da Synack ao Pentesting as a Service (PTaaS) descobriu mais de 14.000 vulnerabilidades exploráveis apenas em 2023. Para mais informações, visite www.synack.com.
Logotipo - https://mma.prnewswire.com/media/838158/Synack_Logo_v2.jpg
FONTE Synack
Partilhar este artigo