Dispositivos virtuais podem conter muitos riscos para as organizações, indica um relatório publicado ontem pela empresa de visibilidade em nuvem Orca Security. A empresa fez uma varredura em um total superior a 2.200 dispositivos virtuais de 540 fornecedores entre abril e maio e identificou mais de 400.000 vulnerabilidades. Felizmente apenas 1% dos appliances estão na América Latina. O relatório se chama “State of Virtual Appliance Security 2020 Report” e pode ser obtido no site da companhia.
O estudo pondera que dispositivos virtuais podem ser muito úteis para as organizações, pois eliminam a necessidade de hardware dedicado, geralmente são baratos ou gratuitos, fáceis de configurar e manter e podem ser facilmente implantados em plataformas de nuvem.
Veja isso
Juniper publica correções para falha grave em appliances
EUA: infraestrutura crítica em alerta causado por ataques externos
A Orca Security usou sua tecnologia SideScanning para verificar dispositivos virtuais em busca de vulnerabilidades e sistemas operacionais desatualizados. Os dispositivos virtuais foram obtidos de mercados associados a plataformas em nuvem, como AWS, VMware, Google Cloud Platform e Microsoft Azure, mas o relatório diz que esses dispositivos virtuais são, em muitos casos, iguais aos fornecidos diretamente pelos fornecedores.
A análise deu a cada dispositivo uma pontuação de risco de segurança, variando entre 0 e 100. Do total analisado, os dispositivos de 8% dos fornecedores não tinham problemas e ganharam nota A+: Trend Micro, Pulse Secure, BeyondTrust e Versasec.
Uma observação interessante feita pela empresa é que produtos mais caros não obtiveram uma pontuação mais alta em comparação com produtos mais baratos e até gratuitos. Muitos dispositivos virtuais podem ser usados conforme fornecidos. No entanto, mesmo que sejam fornecidos por grandes fornecedores de software ou cibersegurança, podem conter vulnerabilidades afirma o estudo.
Quase um quarto dos fornecedores testados tinham dispositivos virtuais que obtiveram uma nota A e 12% obtiveram nota B. No entanto, 15% dos dispositivos testados ganharam nota F, incluindo alguns da CA Technologies, Software AG, Intel, Zoho, Symantec, A10 Networks, Cloudflare e Micro Focus.
A Orca observou que alguns fornecedores tiveram alguns appliances classificados como A ou A + e outros classificados como F. Isso aconteceu com os fornecedores Intel, Symantec, Soho, Cognosys e Tibco.
A empresa entrou em contato com cada um dos fornecedores afetados antes de tornar públicas suas descobertas. A Orca relata que os fornecedores trataram cerca de 36.000 das 400.000 vulnerabilidades identificadas, seja implantando patches ou removendo o dispositivo virtual; 287 produtos foram atualizados e 53 foram removidos. Entre as empresas que adotaram essa postura estão Dell EMC, Cisco, IBM, Symantec, Splunk, Oracle, Kaspersky, Cloudflare, Zoho e Qualys.
Por outro lado, alguns fornecedores informaram que cabia aos clientes garantir que seus dispositivos virtuais fossem corrigidos; outros se recusaram a tomar qualquer medida, argumentando que as vulnerabilidades identificadas não eram exploráveis. E alguns fornecedores ameaçaram entrar com uma ação legal contra a Orca.
“O fato de um fornecedor obter as melhores notas não significa que todos os seus dispositivos virtuais estão livres de riscos. Os dados apresentados servem apenas como um guia, fornecendo uma ideia de como os fornecedores abordam o suporte e a manutenção de seus dispositivos virtuais. Alguns pontuaram bem e merecem certa confiança. Outros se saíram mal e seus produtos devem ser abordados com cautela ”, disse a Orca em seu relatório.
A empresa também compartilhou algumas recomendações para as organizações reduzirem o risco representado pelo uso de dispositivos virtuais. Isso inclui gerenciamento de ativos para manter o controle de dispositivos virtuais, ferramentas de gerenciamento de vulnerabilidades que podem descobrir pontos fracos e um processo de gerenciamento de vulnerabilidades que prioriza os problemas mais sérios.
Com agências internacionais
