As empresas estão perdendo a corrida contra o tempo quando se trata de corrigir vulnerabilidades: em certos setores como o das concessionárias de serviços públicos o tempo médio nos últimos três anos é de 270 dias (nove meses), enquanto no setor financeiro passa de um ano (426 dias em média). Para piorar, independentemente do número de vulnerabilidades em seus domínios, as organizações normalmente não corrigem mais de 10% dos pontos fracos a cada mês, enquanto o volume de ataques nesse período se multiplicou por 15.
Esses são alguns dos resultados da pesquisa feita pela SecurityScorecard e pelo The Cyentia Institute, publicada ontem, com os dados de 1,6 milhões de organizações de todo o mundo. A pesquisa conjunta procurou medir a velocidade da remediação de vulnerabilidades de 2019 a 2022. O estudo mostra que 53% dessas organizações tinham pelo menos uma vulnerabilidade exposta à Internet, enquanto 22% delas acumularam mais de 1.000 vulnerabilidades cada. Apesar disso, apenas 60% das organizações melhoraram sua postura de segurança no intervalo de tempo analisado.
Veja isso
SecurityScorecard diz que JBS Brasil teve vazamento
75% das bombas de infusão inteligentes estão vulneráveis
A pesquisa mostrou que o setor financeiro está entre as taxas de remediação mais lentas (mediana para corrigir 50% = 426 dias), enquanto as concessionárias ficaram entre as mais rápidas (mediana = 270 dias). Surpreendentemente, apesar de um aumento de 15 vezes na atividade de exploração de vulnerabilidades com código de exploração publicado, havia pouca evidência de que as organizações desse setor corrigissem as falhas exploradas mais rapidamente. Independentemente de quantas vulnerabilidades totais existiam em seus domínios, as organizações normalmente corrigiam cerca de 10% dos pontos fracos a cada mês.
O setor de TI (62,6%) e o setor “Público” (61,6%) tiveram as maiores prevalências de vulnerabilidades abertas. O setor “Financeiro” (48,6%) apresentou a menor proporção de vulnerabilidades abertas; no entanto, há menos de 10% de diferença entre estes e outros setores com mais as vulnerabilidades abertas. A análise revelou que as organizações normalmente levam 12 meses para corrigir metade das vulnerabilidades em sua infraestrutura voltada para a Internet. Quando as empresas têm menos de 10 vulnerabilidades abertas, pode levar cerca de um mês para fechar apenas metade delas, mas quando a lista chega às centenas, leva até um ano para chegar à metade.
O estudo está em “hxxps://securityscorecard.com/research/cyentia-fast-and-frivolous”