Um relatório global da Tenable aponta que, somente em 2020, foram identificadas 18.358 novas vulnerabilidades, sendo que o acesso remoto é um dos mais explorados, pois abre uma janela de oportunidades para os hackers. As vulnerabilidades mais mortíferas são aquelas que foram identificadas em 2019 ou 2020 e seguem sem ser remediadas pela empresa usuária.
O levantamento aponta também que o crime cibernético é um mercado muito mais amplo que a segurança cibernética. Ele requer cerca de US$ 11 a US$ 12 em atividades criminosas para gerar US$ 1 em gastos com segurança.
De acordo com o relatório, o desequilíbrio entre a quantidade de recursos que os grupos de ameaças aplicam em crimes cibernéticos e os recursos mais limitados dos defensores exige que as organizações melhorem a eficiência de suas medidas preventivas.
Para Arthur Capella, country manager da Tenable, é necessária uma abordagem de gerenciamento de vulnerabilidades baseada em risco que priorize as vulnerabilidades com maior probabilidade de serem utilizadas em um ataque. Ele também acredita que as brechas fazem parte da vida do CISO, o segredo é acompanhar de perto com monitoramento eficaz e automação.
“É natural que ano após ano apareçam novas vulnerabilidades, pois faz parte do processo de crescimento da própria tecnologia, principalmente quando grandes empresas lançam muito rapidamente software mais complexos, sem tempo hábil para testes.”
Com isso, Capella defende o modelo de gerenciamento de riscos, pois as tecnologias são rapidamente disponibilizadas no mercado devido à grande demanda da transformação digital. “É praticamente impossível zerarmos as vulnerabilidades, por isso é melhor priorizarmos as que têm maior potencial ao risco”, acrescenta.
Gestão
O gerenciamento do risco que pode causar maior impacto no business é uma disciplina antiga, muito conhecida pelo CISO. Mas é um assunto que precisa ser revisitado nos tempos atuais, justamente pelas mudanças rápidas nos ambientes, corrida para a nuvem e perímetro repaginado.
“Ainda temos muito o que aprender nessa área. O que fica claro é a necessidade de um processo bem desenhado com uma plataforma que entregue visibilidade do ambiente para que os gestores acompanhem as correções das vulnerabilidades. A saída é automatizar o máximo possível”
Capella também faz um alerta envolvendo as áreas de desenvolvimento. “Quando as empresas não têm como core o desenvolvimento, o conceito Secutiry by Design precisa acontecer, senão ganhamos ainda mais brechas. Por isso que, para mitigar vulnerabilidades, gestão e automação são palavras essenciais.”
VPN
O relatório da Tenable destacou ainda que as VPNs de vários fornecedores estão repletas de vulnerabilidades e, com a pandemia, tornaram-se um alvo fácil para as gangues digitais. Mas Arthur Capella não demoniza as VPNs, de novo, bate na tecla da correção.
“Cada companhia vai entender o que funciona melhor para seu negócio e sua capacidade tecnológica. Voltamos ao conceito de risco, gestão e visão executiva. O CISO que entende a linguagem do business e o quanto uma vulnerabilidade poderá impactar a organização, certamente terá seus ambientes mais seguros e vai ajudar a elevar a maturidade em cyber”, completa.
