Web é a vertente com mais vulnerabilidades registadas em 2022

Nos últimos cinco anos registou-se uma tendência de crescimento na quantidade de vulnerabilidades em Web, ao contrário das infraestruturas, que de 2019 para 2022 decresceram. Esta tendência, já verificada no ano passado, está relacionada com a passagem de serviços para a cloud e com o facto de a maioria dos negócios terem as aplicações mobile e conteúdos de suporte em web.

A Devoteam Cyber Trust apresentou o relatório Overview 2022 Top Vulnerabilidades e Recomendações tendo como base  Keep-it-Secure-24 – o serviço bandeira da empresa que destaca as principais conclusões da atividade de prevenção, deteção e resolução de vulnerabilidades, nos setores financeiro, indústria & energia e serviços.

A tendência registada reflete-se também na quantidade de vulnerabilidades por tipo de ativo, sendo a vertente Web aquela que mais vulnerabilidades registou no decorrer do ano de 2022 - Web 63,77%, Infraestruturas 26,15% e Mobile 10,07%.

Nos últimos cinco anos, apesar de não muito expressiva, há uma tendência de decréscimo nas vulnerabilidades Critical, o que demonstra uma maior perceção do risco e maturidade por parte das organizações visadas pelos testes. Quanto às vulnerabilidades High, houve um decréscimo de 1% que, apesar de pouco significativo em valor, tem sido reiterado nos últimos três anos.

Quando comparadas as vulnerabilidades, não se observam diferenças muito acentuadas entre os setores, no entanto, na severidade Critical, o setor da indústria & energia foi o que se destacou pela positiva em 2022 já que é o que apresenta a menor percentagem desta categoria de vulnerabilidades, comparando com os outros setores, tendo registado um decréscimo de 3% neste tipo de severidade em relação ao ano passado.

Sobre os tipos de vulnerabilidades mais comuns vemos que a tendência se mantém face aos anos anteriores, havendo, contudo, alterações na quantidade de incidências de Sensitive Data Exposure que registou uma redução de cerca de 14% devido à menor incidência de vulnerabilidades relativas à utilização de cifras fracas.

Marco Vaz, Offensive Security Services Director e partner da Devoteam Cyber Trust, destaca que “2022 foi um ano muito semelhante a 2021, onde os clientes estão a ganhar cada vez mais maturidade e a mostrar uma maior perceção dos riscos a que podem estar expostos. Por outro lado, o ano de 2022 ainda que tenha tido algum retorno ao escritório manteve-se o recurso ao trabalho remoto”.

Entre as vulnerabilidades críticas mais comuns, o cross-site scripting (XSS), com 27,5%, continua no topo das vulnerabilidades críticas mais comuns, com um ligeiro decréscimo face ao ano anterior. No entanto, observa-se uma subida significativa das vulnerabilidades de SQL Injection, ocupando a segunda posição com 17,9%. A vulnerabilidade SQL Injection tem um impacto significativo nas organizações, uma vez que permite a um atacante ter acesso a conteúdos das bases de dados da aplicação podendo aceder de forma indiscriminada, promover a destruição de dados ou informação ou mesmo controlar o servidor onde se encontra a base de dados.

Rui Shantilal, Managing Partner da Devoteam Cyber Trust acrescenta que “2022 foi um ano preocupante ao nível da cibersegurança em Portugal, tendo sido público que algumas organizações de renome sofreram ataques de grandes dimensões e sido alvo de roubo de informação. Ora, isto deverá servir de alerta para a necessidade de investir em soluções de cibersegurança que protejam os colaboradores, as infraestruturas, os sistemas e, no fundo, o ativo mais importante de qualquer organização: a informação. Nestes últimos 10 anos, com o Keep-IT-Secure-24, o nosso serviço continuado de testes de intrusão, temos vindo a dar apoio à segurança dos dados dos nossos clientes e contribuindo para uma sensibilização da importância da cibersegurança como fazendo parte do negócio através de uma equipa profissional de auditores qualificados e certificados para o efeito, com elevado know-how e experiência comprovada”.