A BreachLock, uma empresa com sede em Nova York que desenvolveu uma plataforma de pentest as a service (Testes de Penetração como Serviço) lançou hoje sua primeira edição do “Relatório Anual de Inteligência de Testes de Penetração, 2022”. O estudo acumula dados de 8 mil pentests feitos em aplicações web durante o ano de 2021 e uma de suas principais conclusões é de que apenas 0,2% dos problemas encontrados pelos especialistas podem ser considerados críticos.
Algumas das descobertas interessantes do relatório:
- Mais de 30% das vulnerabilidades críticas e mais de 50% das vulnerabilidades de alto risco em aplicativos resultam da falta de sanitização de entrada e uso de lista de permissões. A filtragem e a limpeza de entradas e arquivos do usuário podem corrigir a maioria das descobertas.
- Mais de 18% das descobertas ainda estão relacionadas ao HSTS (HTTP Strict Transport Security) – e já se passaram mais de 10 anos desde que o https se tornou um padrão de fato para comunicação pela web.
- As organizações corrigem vulnerabilidades e descobertas 20% mais rápido na infraestrutura externa do que na infraestrutura interna.
- Credenciais codificadas, como chaves de API (Application Programming Interface) são encontradas principalmente entre outras descobertas importantes e críticas durante o Mobile App PenTesting
O relatório pondera que apesar dos investimentos consideráveis na implementação de controles de segurança, apenas uma porcentagem muito pequena é empregada para avaliar sua eficácia. Segundo o CEO da BreachLock, Seemant Sehgal, “nas últimas duas décadas de meu serviço como profissional de segurança cibernética testemunhei o foco do setor em tecnologias de detecção. Em comparação, verificações de segurança ofensivas geralmente são implantadas como uma reflexão tardia ou totalmente esquecidas. Como resultado desse paradoxo, os CISOs geralmente acham difícil responder à pergunta: ‘Estamos seguros’?”
Veja isso
Conhecimento técnico desafia 34% dos pentesters
Pentester é um dos cargos em alta e com boa perspectiva salarial
Sehgal disse que “o uso de IA e automação com PenTesters humanos não está apenas ajudando os clientes a receber ‘pentest rápido e abrangente em escala’, mas também ajuda o BreachLock a atrair os melhores talentos de teste de penetração do mercado. Os testadores de penetração internos não precisam mais fazer tarefas monótonas como elaborar relatórios, fazer capturas de tela, executar varreduras, etc. Eles podem se concentrar em fazer o que são melhores – encontrar maneiras criativas de contornar controles de segurança e explorar vulnerabilidades mais desafiadoras”.
O relatório pode ser obtido em “hxxps://downloads.breachlock.com/annual-pentest-report”