85% das organizações não aplicam patches regularmente em sistemas de tecnologia operacional (OT), deixando-os vulneráveis a ataques, segundo o Relatório Anual de Segurança Cibernética OT/ICS de 2024, da TXOne Networks. A maioria das empresas instala patches trimestralmente ou com menos frequência, apesar de 37% dos incidentes de segurança de OT no último ano envolverem exploração de vulnerabilidades de software.
Leia também
Banshee Expande Alcance no macOS
FunkSec utiliza IA para impulsionar ransomware
Os principais desafios para a aplicação de patches incluem falta de pessoal ou experiência (48%), medo de interrupções operacionais (47%) e falta de suporte ou testes de fornecedores (43%). Além disso, 41% das empresas atrasam a aplicação até que o fornecedor ofereça suporte. Para mitigar riscos, 60% aplicam patches apenas em períodos de inatividade planejados e 55% testam os patches antes da implantação ao vivo.
A priorização dos patches é feita com base na criticidade do sistema impactado (61%), disponibilidade de patches (52%) e exposição ao risco (49%). Muitas empresas também utilizam bancos de dados de vulnerabilidades exploradas conhecidas (KEV) e ferramentas como Exploit Prediction Scoring System (49%) e Time-to-Exploit (47%) para prever ameaças.
Para compensar a ausência de patches, mais da metade das organizações investem em monitoramento e detecção de intrusões, enquanto 46% usam controles compensatórios, como segmentação de rede e reforço de sistema. A TXOne recomenda que as empresas adotem estratégias de gerenciamento de patches mais flexíveis, integrem automação e utilizem patches virtuais para minimizar riscos e evitar interrupções operacionais.
