Nota: O seguinte artigo irá ajudá-lo com: 2021 marca mais um ano recorde para vulnerabilidades de segurança
O número de novas falhas de segurança registradas pelo NIST já superou o total de 2020, o quinto ano consecutivo recorde.
A correção de falhas de segurança é uma tarefa desafiadora e aparentemente interminável para profissionais de TI e segurança. E essa tarefa fica ainda mais difícil a cada ano, à medida que o número de novas vulnerabilidades de segurança continua a aumentar. Com base nas estatísticas mais recentes do National Institute of Standards and Technology Vulnerability Database, o volume de falhas de segurança atingiu um recorde pelo quinto ano consecutivo.
VEJO: Política de gerenciamento de patches (TechRepublic Premium)
Em 9 de dezembro de 2021, o número de vulnerabilidades encontradas no código de produção para o ano é de 18.400. Decompondo essa estatística para 2021 até agora, o NIST registrou 2.966 vulnerabilidades de baixo risco, 11.777 de médio risco e 3.657 de alto risco.
Para 2020, o número total de vulnerabilidades foi de 18.351. Cerca de 2.766 foram classificados como de baixo risco, 11.204 classificados como de médio risco e 4.381 classificados como de alto risco. Nos últimos cinco anos, cada ano superou o anterior com 17.306 falhas totais registradas em 2019, 16.510 em 2018 e 14.645 em 2017.
Por que o número de vulnerabilidades continua aumentando? Em uma postagem no blog publicada na quarta-feira, Pravin Madhani, CEO e cofundador do provedor de segurança K2 Cyber Security, ofereceu algumas reflexões.
Para este ano, a pandemia de coronavírus continuou a levar muitas organizações a avançar agressivamente na transformação digital e na adoção da nuvem, potencialmente acelerando seus aplicativos em produção, disse Madhani. Isso significa que o código de programação pode não ter passado por tantos ciclos de teste de garantia de qualidade. Isso também significa que muitos desenvolvedores poderiam ter aproveitado mais código de terceiros, legado e código-fonte aberto, outro possível fator de risco para falhas de segurança. No final, as organizações podem ter melhorado sua codificação, mas ficaram para trás nos testes, de acordo com Madhani.
“Isso definitivamente combina com o que vimos”, disse Casey Ellis, fundador e CTO da Bugcrowd. “De maneira mais simples, a própria tecnologia está acelerando e as vulnerabilidades são inerentes ao desenvolvimento de software. É um jogo de probabilidades, e quanto mais software for produzido, mais vulnerabilidades existirão. Em termos de disseminação, do ponto de vista da descoberta, os problemas de menor impacto tendem a ser mais fáceis de introduzir, mais fáceis de encontrar e, portanto, relatados com mais frequência.”
VEJA: Violação de senha: Por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)
Uma tendência significativa está na forma como o número de vulnerabilidades mais que dobrou de 2016 para 2017. Em 2016, o total foi de 6.447. Em 2017, esse número subiu para 14.645 e tem aumentado constantemente desde então. Por que esse aumento de um ano para o outro?
Antes de 2017, a internet era principalmente um negócio de consumo, de acordo com Tal Morgenstern, cofundador e diretor de produtos da Vulcan Cyber. Mas à medida que mais empresas B2B começaram a entrar no mundo online, os invasores encontraram um novo alvo lucrativo. Ao mesmo tempo, houve um aumento de vulnerabilidades relacionadas à web, como XSS, injeção de SQL, DOS e CSRF, em comparação com anos anteriores. Em 2017, o número de vulnerabilidades relacionadas ao PHP e falhas do Google Chrome aumentou 270 em relação ao ano anterior, enquanto as vulnerabilidades do Apache mais que dobraram.
Um ponto positivo nos dados mais recentes do NIST é o número relativamente baixo de vulnerabilidades de alto risco. Os 3.657 rotulados de alto risco para 2021 mostram uma tendência de queda a partir de 2020 e dos anos anteriores. Para explicar essa queda, Madhani disse que o número mais baixo provavelmente se deve a melhores práticas de codificação por parte dos desenvolvedores. Ao adotar uma estratégia de “Shift left” na qual o teste é realizado no início do ciclo de codificação, os desenvolvedores conseguiram colocar uma ênfase maior na segurança.
Ainda assim, os resultados gerais permanecem alarmantes e apontam os desafios que as organizações enfrentam ao tentar acompanhar todos os seus aplicativos vulneráveis e outros ativos.
“Tornou-se quase impossível para as organizações criar um inventário preciso de todos os ativos de TI conectados à sua empresa”, disse Greg Fitzgerald, cofundador da Sevco Security. “A principal razão para isso é que a maioria das empresas possui inventários de ativos de TI que não refletem toda a sua superfície de ataque, que nas empresas modernas se estende além da rede para incluir nuvem, dispositivos pessoais, trabalhadores remotos e tudo no local. Até que as organizações possam começar a trabalhar a partir de um inventário de ativos de TI abrangente e preciso, as vulnerabilidades manterão seu valor para os hackers e apresentarão riscos reais para as empresas.”
