De acordo com o estudo, apenas 21% das empresas na América Latina corrigiram totalmente a vulnerabilidade
A Tenable, empresa de gerenciamento de exposição, anuncia os resultados de um estudo de telemetria que examinou o escopo e o impacto da vulnerabilidade crítica do Log4j, conhecida como Log4Shell, nos meses seguintes à sua divulgação inicial.
De acordo com os dados coletados em mais de 500 milhões de testes, 72% das organizações permanecem vulneráveis à Log4Shell em comparação a 1º de outubro de 2022. Na América Latina, apenas 21% das organizações conseguiram corrigir totalmente as vulnerabilidades causadas pela vulnerabilidade.
Os dados destacam os desafios de remediação de vulnerabilidades herdadas, que são a causa raiz da maioria das violações de dados.
Quando o Log4Shell foi descoberto em dezembro de 2021, organizações de todo o mundo se esforçaram para determinar seu risco. Nas semanas seguintes à sua divulgação, foram realocados recursos significativos e investimentos de dezenas de milhares de horas em esforços de identificação e correção. Um departamento do gabinete federal dos Estados Unidos informou que sua equipe de segurança dedicou 33.000 horas apenas para entender a resposta à vulnerabilidade do Log4j.
A telemetria da Tenable descobriu que um em cada 10 ativos¹ era vulnerável ao Log4Shell em dezembro de 2021, incluindo uma ampla variedade de servidores, aplicativos da Web, contêineres e dispositivos IoT. Os dados de outubro de 2022 mostraram melhorias, com 2,5% dos ativos vulneráveis. No entanto, quase um terço (29%) desses ativos tiveram recorrências do Log4Shell após a correção completa.
“É muito difícil conseguir uma correção completa para uma vulnerabilidade tão difundida e é importante ter em mente que a correção de vulnerabilidade não é um processo ‘único e pronto’”, disse Bob Huber, diretor de segurança da Tenable. “Embora uma organização possa ter sido totalmente corrigida em algum momento, ao adicionar novos ativos a seus ambientes, é provável que ela encontre o Log4Shell repetidamente. A erradicação do Log4Shell é uma batalha contínua que exige que as organizações avaliem continuamente seus ambientes em busca da falha, bem como de outras vulnerabilidades conhecidas.”
“A Tenable tem como missão principal ajudar seus clientes a entender seus ambientes e ajudá-los a manter a segurança de seus negócios. Nestes momentos em que novas ameaças surgem, as empresas precisam se preparar para responder a qualquer incidente e mitigar riscos quase em tempo real. Para que isso aconteça, estamos constantemente ativos e realizando verificações de gerenciamento de vulnerabilidade e aplicativos da web. Essa batalha é contínua e precisamos contar também com a participação de fornecedores e parceiros para criarmos uma rede mais segura para todos”, comenta Arthur Capella, Diretor Geral da Tenable Brasil.
Outras descobertas importantes dos dados incluem:
• 28% das organizações em todo o mundo corrigiram totalmente o Log4Shell desde 1º de outubro de 2022, uma melhoria de 14 pontos em relação a maio de 2022.
• 53% das organizações estavam vulneráveis ao Log4j durante o período do estudo, o que ressalta a natureza abrangente do Log4j e os esforços contínuos necessários para remediar, mesmo que a remediação completa tenha sido alcançada anteriormente.
• Em outubro de 2022, 29% dos ativos vulneráveis viram a reintrodução do Log4Shell após a correção completa ter sido alcançada.
• Alguns setores estão em melhor forma do que outros, com engenharia (45%), serviços jurídicos (38%), serviços financeiros (35%), organizações sem fins lucrativos (33%) e governo (30%) liderando o grupo com mais organizações totalmente corrigidas. Aproximadamente 28% das organizações de infraestrutura crítica definidas pela CISA foram totalmente remediadas.
• Quase um terço das organizações norte-americanas corrigiu totalmente o Log4j (28%), seguido pela Europa, Oriente Médio e África (27%), Ásia-Pacífico (25%) e América Latina (21%).
• Da mesma forma, a América do Norte é a principal região com a porcentagem de organizações que corrigiram parcialmente (90%), Europa, Oriente Médio e África (85%), Ásia-Pacífico (85%) e América Latina (81%).
Mais informações sobre a cobertura da Tenable para Log4Shell estão disponíveis em: https://www.tenable.com/log4j.
Sobre a Tenable
A Tenable®, Inc. é uma empresa de gerenciamento de Cyber Exposure. Mais de 40 mil organizações no mundo todo contam com a Tenable para entender e reduzir o risco cibernético. Como criadora do Nessus®, a Tenable ampliou sua experiência em vulnerabilidades para oferecer a primeira plataforma do mundo para verificar e proteger qualquer ativo digital em qualquer plataforma computacional. Entre os clientes da Tenable, estão mais de 60% das empresas da Fortune 500, mais de 40% das empresas da Global 2000 e agências governamentais de grande porte.
Junte-se a nós na construção de um futuro digital mais seguro e confiável!
Ao longo de dez anos, trilhamos um caminho de pioneirismo com foco em segurança digital, identificação e privacidade. Celebramos essa jornada com a certeza de que a confiança é a base para um futuro digital sólido e promissor.
Mas a nossa missão continua! Convidamos você, leitor, e sua empresa a se juntarem a nós nesta jornada em busca de um futuro digital ainda mais seguro e confiável. Acreditamos no poder da colaboração para construir um ecossistema digital onde empresas, máquinas e pessoas possam confiar muito mais uma nas outras.