O ano de 2023 foi marcado por uma cenário de ameaças cibernéticas extremamente complexo, volátil e sofisticado. Foram milhares de tentativas de ataques e novas vulnerabilidades surgindo diariamente. Entretanto, um estudo realizado pela empresa de cibersegurança Vantico mostra que é possível aproveitar os dados que surgiram a partir dessas ameaças e ataques e utilizá-los como base para fazer previsões e criar estratégias de segurança mais robustas.
Por meio de uma análise dos testes executados no ano passado, bem como das principais vulnerabilidades encontradas e das falhas críticas mais frequentes, o estudo, publicado em fevereiro reuniu, informações relevantes sobre o cenário do pentest e da cibersegurança em 2023.
Entre as vulnerabilidades analisadas no estudo, as críticas e altas representaram 24% do total no ano passado, sendo as cinco principais:
- Lack of access control
- Misconfiguration
- Cross-site scripting (XSS)
- Data exposure
- Broken access control
A primeira, lack of access control (falta de controle de acesso), representou consideráveis 16% do total. Suas principais causas foram o IDOR (insecure direct object references, ou referência direta de objeto inseguro), broken access control (quebra de controle de acessos) e disclosure of secrets (revelação de segredos).
Um exemplo relevante foi o de um bug no Microsoft Teams, causado pelo IDOR, que permitia que hackers implantassem malwares.
A misconfiguration (ou configuração incorreta de segurança), segundo o estudo, já é uma velha conhecida dos profissionais de segurança, por ter sido mencionada outras vezes no top 10 do OWASP (Open Web Application Security Project), o projeto aberto de segurança em aplicações web
Entre suas principais causas foram apontadas: visible detailed error/debug dage (erro detalhado visível/depuração de página) unnecessary open ports, (portas abertas desnecessárias), misconfiguration, lack of security headers (falta de cabeçalhos de segurança) e o uso de credenciais default.
O cross-site scripting (XSS, ou script entre sites) também não é uma vulnerabilidade recente, mas continua causando estrago em aplicações web. De acordo com o estudo, isso se deve à sua “prevalência, impacto e diferentes métodos de execução.” Ela foi causada por duas falhas, na maior parte dos casos: Reflected e Stored.
Data exposure (exposição de dados) a quarta mais comum vulnerabilidade crítica/alta do ano, foi observada devido a diversas causas, tais como disclosure of secrets, unnecessary data Exposure, sensitive token in URL, excessive data exposure e lack of obfuscation.
Por último, mas não menos importante, o estudo identificou a vulnerabilidade broken access control, também já mencionada no OWASP Top 10.
Em 2023, por exemplo, essa vulnerabilidade causou um prejuízo de aproximadamente US$ 100 milhões para a rede de hotéis MGM Resorts International. Os criminosos conseguiram privilégios de super administrador, bloquearam a rede e lançaram um ransomware no sistema. Eles ainda roubaram dados e exigiram resgate para não vazarem tais informações online.
Veja isso
Pentest-as-a-service traz maior agilidade aos testes de segurança
Pentest com IA e machine learning para cibersegurança robusta
As principais causas dessa vulnerabilidade foram a escalação de privilégios, IDOR, excessive data exposure e disclosure of secrets.
Itens críticos
Além das falhas que causaram as vulnerabilidades acima, algumas outras também merecem destaque, segundo o estudo, devido ao nível de ameaça que representaram e continuam representando.
- Exposição de informações sensíveis no Spring Boot Actuator, em aplicações web, que pode causar a exposição de informações sensíveis;
- IDOR, também em aplicações web, podendo levar à violação e vazamento de dados, além de permitir acesso a informações não-autorizadas;
- Broken access control, comum em aplicações web e APIs, que pode permitir o acesso a informações ou acessos que um usuário não poderia ter por padrão;
- Injeção de SQL/XML, nas aplicações web e APIs, que compromete o rendimento do banco de dados e envio de comandos para o sistema;
- E o abuso de funcionalidades de upload de arquivo, nas aplicações web, que pode levar à tomada de controle do sistema/servidor e possível sobrecarga do sistema ou banco de dados.
Por que as empresas executaram pentests em 2023?
De acordo com o estudo, pouco mais de 70% das empresas que executaram pentests em 2023 assim o fizeram por solicitações de terceiros. Ou seja, seus testes de intrusão aconteceram porque fornecedores, clientes, investidores e outros stakeholders fizeram essa exigência.
Esse dado reforça como o mercado corporativo está cada vez mais exigente quanto à segurança das empresas com as quais fazem negócios.
Isso também significa que, para as empresas que desejam participar de rodadas de investimentos, negociar com novos e maiores fornecedores, unir-se a novos parceiros e conquistar grandes clientes, o pentest é um requisito cada vez mais exigido.
Os pentests motivados por melhorias internas de segurança ficaram em segundo lugar, com 24%, seguidos pelos motivados por questões regulatórias, com 3,4%, e por lançamento/atualização de aplicações, com 2,3%.
A cibersegurança em 2024
Ainda no mesmo estudo, os especialistas identificaram algumas das principais ameaças de segurança para 2024 são:
- A inteligência artificial (IA) generativa como ferramenta de ataque e defesa;
- Evolução das técnicas de engenharia social e phishing;
- Ataques de supply-chain e de terceiros;
- Ataques do tipo “colete agora, descriptografe depois”.
Segundo eles, é necessário que, desde já, as empresas preparem as suas estratégias para lidar com esses riscos, utilizando essas informações como base para suas estratégias defensivas.
Para chegar a essas conclusões, o estudo, conduzido pela Vantico, analisou os pentests executados pela empresa e dados de outras instituições relevantes.
Clique aqui para acessar o conteúdo completo e todas as referências.
