book_icon

Pesquisa mostra probabilidades de empresas serem atacadas

Estudo conduzido pela Kenna Security e Cyentia Institute faz a mensuração, propiciando uma chance muito melhor de combater ameaças cibernéticas potenciais

Pesquisa mostra probabilidades de empresas serem atacadas

Com uma média de 55 novas vulnerabilidades de software publicadas todos os dias em 2021, um recorde de 20.130 no ano, mesmo as melhores equipes de TI com recursos não podem corrigir todas as brechas em suas infraestruturas. Isso é o que mostra a nova pesquisa Prioritization to Prediction, Volume 8: Measuring and Minimizing Exploitability, conduzida pela Kenna Security, empresa recém-adquirida pela Cisco, em conjunto com o Cyentia Institute, mostrando que priorizar adequadamente as vulnerabilidades para correção é mais eficaz do que aumentar a capacidade de uma organização para corrigi-las. Mas ter ambos pode reduzir em 29 vezes as chances de ser vítima de um ataque bem-sucedido.

Demos um passo adiante para levar em conta a velocidade de correção ao fazer nossos cálculos, o que deve informar melhor as equipes de segurança

“Agora podemos mostrar a probabilidade de uma determinada organização ser explorada, que é o que sempre quisemos fazer. Isso dá às organizações uma chance muito melhor de combater ameaças cibernéticas potenciais de forma eficaz e a pesquisa mostra que nossos clientes estão gerenciando com sucesso seu risco de vulnerabilidade todos os dias” disse Ed Bellis, cofundador e diretor de Tecnologia da Kenna Security. A explorabilidade foi determinada usando o Exploit Prediction Scoring System (EPSS) aberto, um esforço intersetorial, incluindo Kenna Security e o Cyentia Institute, mantido por First.org .

A pesquisa confirma uma diretiva recente da Agência de Segurança Cibernética e Infraestrutura (CISA), que sugere que é mais sensato deixar de priorizar a correção de vulnerabilidades com base nas pontuações do CVSS e se concentrar em vulnerabilidades de alto risco. A análise mostra que fatores como código de exploração e até mesmo menções no Twitter são sinais melhores do que as pontuações do CVSS.

“Está claro que uma mudança para a capacidade de exploração fará uma enorme diferença com base nos dados e descobertas deste relatório. Uma análise das vulnerabilidades publicadas pela CISA sugere que elas também podem estar se afastando das pontuações do CVSS enquanto conduzíamos esta pesquisa”, disse Wade Baker, sócio e cofundador do Cyentia Institute. “Demos um passo adiante para levar em conta a velocidade de correção ao fazer nossos cálculos, o que deve informar melhor as equipes de segurança”, observou.

A pesquisa também sugere que:

– Quase todos (95%) os ativos de TI têm pelo menos uma vulnerabilidade altamente explorável.

– A priorização de vulnerabilidades com código de exploração é 11 vezes mais eficaz do que o CVSS na minimização da exploração.

– A maioria (87%) das organizações tem vulnerabilidades abertas em pelo menos um quarto de seus ativos ativos e 41% delas apresentam vulnerabilidades em três de cada quatro ativos.

– Uma forte maioria de 62% das vulnerabilidades tem menos de 1% de chance de exploração.  Apenas 5% dos CVEs excedem 10% de probabilidade.

Serviço
www.cisco.com

CISA

Cisco

CVSS

Cyentia Institute

Kenna Security

segurança

vulnerabilidade

As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou qualquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.
Revista Digital
Edição do mês

Leia nesta edição:

Leia nessa edição sobre tecnologia

CAPA | TECNOLOGIA

5G impõe seu ritmo

Leia nessa edição sobre carreira

MERCADO

Brincadeira de gente grande

Leia nessa edição sobre setorial | saúde

GESTÃO

Backup: a última linha de defesa

Esta é para você leitor da Revista Digital:

Leia nessa edição sobre sustentabilidade

NEGÓCIOS

Terceirização de equipamentos

Maio 2022 | #57 - Acesse:

Infor Channel Digital

Baixe o nosso aplicativo

Google Play
Apple Store

Agenda & Eventos

Cadastre seu Evento