Está cada vez mais difícil e demorado resolver problemas graves de segurança. De acordo com uma pesquisa recente da NTT Application Security, o tempo médio para corrigir falhas de alta gravidade cresce de 197 dias para 246 dias em 6 meses. O último relatório AppSec Stats Flash da NTT Application Security descobriu que a taxa de solução para vulnerabilidades graves está diminuindo, enquanto o tempo médio de correção está aumentando. Assim, à medida que cresce o tempo para corrigir falhas graves de segurança, também aumentam as preocupações.
O relatório, que é compilado mensalmente, cobre janela de exposição, vulnerabilidade por classe e tempo de correção.
O último relatório descobriu que a janela de exposição para aplicativos aumentou nos últimos seis meses, enquanto as 5 principais classes de vulnerabilidade por prevalência permanecem constantes. De acordo com os pesquisadores por trás do relatório esta pode ser uma “falha sistemática para resolver essas vulnerabilidades conhecidas. “
De acordo com pesquisadores da NTT Application Security, o tempo para corrigir vulnerabilidades caiu 3 dias, de 205 dias para 202 dias. O tempo médio de correção é de 202 dias, apurou o relatório, o que representa um aumento de 197 dias no início do ano. O tempo médio de correção de vulnerabilidades altas cresceu de 194 dias no início do ano para 246 dias no final de junho.
As taxas de remediação também diminuíram em todas as gravidades de vulnerabilidade, com as taxas de vulnerabilidades críticas caindo de 54% no início do ano para 48% no final de junho. As taxas de vulnerabilidades altas diminuíram de 50% no início do ano para 38% no final de junho.
O relatório observa que muitas dessas vulnerabilidades exigem um baixo nível de esforço e habilidade para serem exploradas.
Tempo médio para corrigir falhas de alta gravidade cresce de 197 dias para 246 dias em 6 meses
A divisão de resposta HTTP é um problema que está aumentando, de acordo com o relatório. Por outro lado, os autores sugerem que as organizações prestem mais atenção à atualização dos componentes de código aberto. A vulnerabilidade permite que os invasores “modifiquem o conteúdo voltado para o usuário de um site. Assim, enganam o usuário alvo, fazendo-o clicar em um link malicioso ou visitar um site malicioso”.
Mais de 65% dos aplicativos no setor de serviços públicos têm pelo menos uma vulnerabilidade séria explorável.
Educação e saúde são setores mais expostos
Os aplicativos de educação, manufatura e comércio de varejo e atacado tiveram um aumento em suas janelas de exposição este mês. A janela de exposição para as indústrias de educação, varejo e manufatura teve aumentos de 4% e saúde aumentou 2%.
“O setor de comércio por atacado teve um aumento de 15% na janela de exposição, enquanto as concessionárias experimentaram um aumento de 11% desde o início do ano”. Foi o que escreveram os pesquisadores.
“Manufatura, Administração Pública e Saúde são grandes setores que viram cada um declínio em suas respectivas janelas de exposição. Isso provavelmente devido a um maior foco na segurança após a atividade de violação direcionada e/ou novas regulamentações.”
Dois outros setores viram melhorias em sua janela de exposição. Os setores de finanças e seguros relataram uma queda de 2% em sua janela de exposição.
“Esses dados indicam que setores como educação, varejo, manufatura, saúde, serviços públicos e administração pública continuam a sofrer mais do que outros setores, incluindo finanças e seguros”, disse o relatório.
As 5 principais classes de vulnerabilidade identificadas na janela de rolagem dos últimos três meses permanecem constantes. Assim, o destaque fica para: vazamento de informações, expiração de sessão insuficiente, script entre sites, proteção de camada de transporte insuficiente e falsificação de conteúdo.