Compartilhe

A HP publicou o Cyber Risk Report 2013, estudo anual que identifica as principais vulnerabilidades de segurança das empresas e analisa o panorama de ameaças em expansão.
 
Desenvolvido pela HP Security Research, o relatório deste ano lista os fatores que mais contribuíram com a crescente superfície de ataque em 2013 — maior dependência de dispositivos móveis, proliferação de software inseguro e o crescente uso de Java — e indica caminhos para as organizações minimizar o risco à segurança e o impacto dos ataques a suas estruturas.
 
“Os adversários hoje são mais habilidosos do que nunca e vem trabalhando de forma colaborativa para tirar proveito das vulnerabilidades em uma superfície de ataque sempre crescente”, diz Jacob West, diretor de tecnologia de Enterprise Security Products da HP. “É importante que a indústria se una para compartilhar proativamente inteligência e táticas de segurança para, assim, desbaratar ações criminosas coordenadas pelo crescente mercado clandestino de ataques.”
 
Destaques e principais resultados do relatório
 

  • Apesar de levantamentos de vulnerabilidades continuarem a ganhar atenção, o número total de vulnerabilidades divulgadas publicamente diminuiu 6% a cada ano e o número de vulnerabilidades de alta gravidade diminuiu pelo quarto ano consecutivo, em 9%. Embora não quantificável, o declínio pode ser uma indicação de um pico nas brechas que não são divulgadas, sendo entregues diretamente ao mercado negro para consumo particular e/ou prejudicial. 
  • Cerca de 80% dos aplicativos analisados continham vulnerabilidades que apontavam para fora do seu código fonte. Até mesmo softwares codificados com cuidado podem estar perigosamente vulneráveis se configurados de maneira errada. 
  • Definições inconsistentes e variadas de “malware” complicam a análise de risco. Em uma análise de mais de 500.000 aplicativos móveis para Android, a HP encontrou discrepâncias fundamentais na maneira como os mecanismos antivírus e fornecedores de plataforma móvel classificam o malware. 
  • 46%(2) das aplicações móveis estudadas usam criptografia incorretamente. A pesquisa da HP mostra que os desenvolvedores de aplicações não são capazes de usar a criptografia ao armazenar dados importantes em dispositivos móveis, contam com algoritmos fracos para fazer isso ou usam de maneira errada os recursos da criptografia, tornando-a ineficaz. 
  • O Internet Explorer foi o foco principal dos pesquisadores de vulnerabilidade do HP Zero Day Initiative (ZDI) em 2013 e respondeu por mais de 50% das vulnerabilidades registradas pela iniciativa. Esta atenção resulta de forças do mercado, concentrando os pesquisadores em vulnerabilidades da Microsoft e não reflete a segurança geral do Internet Explorer. 
  • As vulnerabilidades de bypass do Sandbox foram as mais predominantes e danosas para usuários do Java.(2) Os adversários escalaram significativamente sua exploração de Java, focando, simultaneamente, em diversas vulnerabilidades conhecidas em ataques combinados para comprometer alvos de interesse específicos.
 
Principais recomendações
 
  • No mundo hoje, com os crescentes ataques cibernéticos e demanda por software seguro, é fundamental eliminar as oportunidades de revelar não intencionalmente informações que podem ser benéficas para os agressores. 
  • As organizações e os desenvolvedores, juntos, devem estar cientes das armadilhas de segurança em estruturas e outros códigos externos, especialmente em plataformas de desenvolvimento móveis híbridas. Orientações de segurança robustas devem ser colocadas em prática para proteger a integridade das aplicações e a privacidade dos usuários. 
  • Embora seja impossível eliminar a superfície de ataque sem sacrificar a funcionalidade, uma combinação de pessoas, tecnologias e processos certos permite às organizações minimizar com eficácia as vulnerabilidades em torno dessa área, reduzindo drasticamente o risco geral. 
  • A colaboração e o compartilhamento de inteligência de ameaças no setor de segurança ajudam a oferecer visibilidade sobre as táticas dos adversários, possibilitando uma defesa mais proativa e fortalecendo proteções oferecidas em soluções de segurança, gerando assim um ambiente geral mais seguro. 
Informações adicionais sobre HP Enterprise Security Products estão disponíveis em www.hpenterprisesecurity.com.
 

acesso rápido

pt_BRPT