Total de CVEs publicados bate recorde pelo quarto ano seguido

Até esta terça-feira, 15, 17.447 registros de vulnerabilidades haviam sido publicados, incluindo 4.168 de alto risco
Da Redação
16/12/2020

Nos últimos 12 meses houve um número recorde de CVEs (registros de vulnerabilidades e exposições relacionadas à segurança da informação) publicados pelas autoridades dos Estados Unidos, e pelo quarto ano consecutivo os volumes aumentaram. 

Em 15 de dezembro, o número de vulnerabilidades nos códigos de produção descoberto e atribuído a um número CVE pelo banco de dados de vulnerabilidades US-CERT superou o topo de 2019. No ano passado, foram 17.306 CVEs publicados, incluindo 4.337 falhas de alto risco, 10.956 de médio risco e 2.013 de baixo risco. Até ontem, 17.447 CVEs haviam sido registrados, incluindo 4.168 de alto risco, 10.710 de risco médio e 2.569 bugs de baixo risco. 

Entre 2005 e 2016, os números variaram de cerca de 4 mil a 8 mil vulnerabilidades a cada ano, de acordo com os números oficiais do National Institute of Standards and Technology (Nist). No entanto, em 2017, o número disparou para mais de 14 mil, e a cada ano desde que os volumes passaram a ser publicados atingiram um recorde. 

Veja isso
Pulse VPN vulnerável em 911 servidores, incluindo três do Brasil
75% das bases de open source contêm vulnerabilidades

A pandemia teve grande impacto nas divulgações deste ano. “As empresas ainda lutam para encontrar o equilíbrio entre colocar os aplicativos no mercado rapidamente e proteger seu código. A pandemia é um fator importante [que influenciou no aumento] este ano”, disse o CEO da K2 Cyber Security, Pravin Kothari, em entrevista à Infosecurity. “Isso levou muitas organizações a se apressarem em colocar seus aplicativos em produção. Eles executam menos ciclos de controle de qualidade e usam mais código-fonte de terceiros, legado e aberto, que é um fator de risco chave para o aumento de vulnerabilidades.” 

Para mitigar esses riscos, as equipes de DevOps devem mudar a segurança o máximo possível no ciclo de vida, enquanto os administradores de sistemas devem corrigir o mais rápido possível para garantir que os sistemas operacionais e software crítico estejam atualizados. 

É importante também ter uma estrutura de segurança que ofereça uma arquitetura de defesa em profundidade. Uma dica da recente finalização do SP800-53 do Nist, que acabou de ser lançado em 23 de setembro, é que o novo padrão de estrutura de segurança e privacidade agora requer Runtime Application Self-Protection (RASP) como uma camada adicional de segurança na estrutura.

Compartilhar:

Últimas Notícias

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA newsletter@cisoadvisor.com.br NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)