Relatório aponta que setor financeiro tem uma menor percentagem de vulnerabilidades

A Devoteam Cyber Trust apresentou o relatório “Overview 2023 TOP Vulnerabilidades e Recomendações” tendo em conta o desempenho do serviço KEEP-IT-SECURE-24 em 2023. No estudo, foram visados três grandes setores: financeiro, indústria & energia e serviços e respetivas atividades de prevenção, deteção e resolução de vulnerabilidades.

A mais recente edição deste relatório apresenta novamente os diversos tipos de vulnerabilidades, a sua severidade e distribuição, e a evolução das próprias severidades. Ao contrário dos anos anteriores, esta edição baseia-se em informação e dados concretos retirados de um inquérito realizado a vários clientes de serviço regular, os quais estão cada vez mais cientes sobre a importância da cibersegurança e o papel fundamental que esta desempenha nas organizações e na sociedade em geral.

À medida que a tecnologia avança a passos largos, os ataques cibernéticos apresentam também um crescimento significativo. Os dispositivos de IoT e IA alargaram ainda mais a base de possíveis portas de entrada, por isso é fundamental os cidadãos e as empresas estarem informados e consciencializados sobre temas relacionados com a cibersegurança, garantindo que toda a estrutura organizacional é envolvida.

Relativamente ao ano de 2022, o relatório destaca uma diferença: em 2023, foi o setor financeiro que se destacou positivamente, uma vez que apresentou uma menor percentagem de vulnerabilidades críticas. Contudo, é importante referir que todos os setores registaram decréscimos percentuais nas vulnerabilidades elevadas e críticas.

No que diz respeito ao setor de serviços, uma das principais conclusões é que foi o que teve maior capacidade de resposta, com mais vulnerabilidades fechadas com sucesso. Ainda assim, todos os setores apresentaram uma maior preocupação sobre o tema da segurança, aponta o estudo.

Sendo as vulnerabilidades uma tendência, a Devoteam Cyber Trust questionou os seus clientes quais as principais dificuldades que estes sentem na gestão dos seus sistemas. As principais dificuldades foram as restrições orçamentais com um valor de 45,5%, seguida da falta de conhecimentos internos que apresenta um valor de 27,3%. Estes desafios devem-se sobretudo à falta de pessoas qualificadas e com conhecimentos técnicos, bem como aos custos relacionados a sistemas de segurança.

O relatório destaca um crescimento significativo de ativos Web (14,85%), uma tendência de decréscimo nas vulnerabilidades críticas, no entanto contrariamente a 2022, o tempo de vida das vulnerabilidades críticas registou um aumento, em 2023, de aproximadamente 20 dias relativamente ao ano passado.

Relativamente aos tipos de vulnerabilidades mais comuns, concluiu-se que a tendência se mantém face aos anos anteriores, exceto a entrada do Information Leakage com 4,53% a substituir o Broken Access Control. Nas vulnerabilidades críticas mais comuns, o Cross Site Scripting (XSS) mantém-se no topo com 38.15%, seguido de SQL Injection com 15.69%.  Em comparação com o ano passado diminuíram todas e o Insecure Direct Object Reference foi substituído pelo Broken Authentication and Session Management com 10,38%.

O setor que fechou menos vulnerabilidades foi, como no ano passado, o de indústria & energia, com cerca de um quarto das vulnerabilidades identificadas em 2023 fechadas até ao fim do ano.

De acordo com o inquérito realizado aos clientes da Devoteam Cyber Trust, foi possível verificar que estes estão cada vez mais conscientes sobre a importância da cibersegurança dentro das organizações. Relativamente à questão sobre os benefícios do impacto positivo das medidas de segurança nas organizações, 38,1% considera que houve uma melhoria da consciencialização geral de segurança. De seguida, a melhoria da maturidade e capacidade de resposta das equipas operacionais e a redução do número de incidentes de segurança são outros benefícios, tendo cada um uma percentagem de 23,8%.

Marco Vaz, Partner, Offensive Security Services Director da Devoteam Cyber Trust, afirma em comunicado que “2023 foi um ano marcado pelo aumento de riscos cibernéticos, potenciando por uma maior sofisticação por parte dos atacantes. Por este motivo e também pelo aparecimento da regulamentação DORA, a Ciber-resiliência e o Red Teaming foram temas muitas vezes abordado demonstrando desta forma que as organizações têm uma maior consciencialização para a importância da cibersegurança e estão envolvidas na procura das melhores abordagens para a melhoria da ciber-resiliência operacional”.