De acordo com o estudo, apenas 21% das empresas na América Latina corrigiram totalmente a vulnerabilidade
A Tenable, empresa de gerenciamento de exposição, anuncia os resultados de um estudo de telemetria que examinou o escopo e o impacto da vulnerabilidade crítica do Log4j, conhecida como Log4Shell, nos meses seguintes à sua divulgação inicial.
De acordo com os dados coletados em mais de 500 milhões de testes, 72% das organizações permanecem vulneráveis à Log4Shell em comparação a 1º de outubro de 2022. Na América Latina, apenas 21% das organizações conseguiram corrigir totalmente as vulnerabilidades causadas pela vulnerabilidade.
Os dados destacam os desafios de remediação de vulnerabilidades herdadas, que são a causa raiz da maioria das violações de dados.
Quando o Log4Shell foi descoberto em dezembro de 2021, organizações de todo o mundo se esforçaram para determinar seu risco. Nas semanas seguintes à sua divulgação, foram realocados recursos significativos e investimentos de dezenas de milhares de horas em esforços de identificação e correção. Um departamento do gabinete federal dos Estados Unidos informou que sua equipe de segurança dedicou 33.000 horas apenas para entender a resposta à vulnerabilidade do Log4j.
A telemetria da Tenable descobriu que um em cada 10 ativos¹ era vulnerável ao Log4Shell em dezembro de 2021, incluindo uma ampla variedade de servidores, aplicativos da Web, contêineres e dispositivos IoT. Os dados de outubro de 2022 mostraram melhorias, com 2,5% dos ativos vulneráveis. No entanto, quase um terço (29%) desses ativos tiveram recorrências do Log4Shell após a correção completa.
“É muito difícil conseguir uma correção completa para uma vulnerabilidade tão difundida e é importante ter em mente que a correção de vulnerabilidade não é um processo ‘único e pronto’”, disse Bob Huber, diretor de segurança da Tenable. “Embora uma organização possa ter sido totalmente corrigida em algum momento, ao adicionar novos ativos a seus ambientes, é provável que ela encontre o Log4Shell repetidamente. A erradicação do Log4Shell é uma batalha contínua que exige que as organizações avaliem continuamente seus ambientes em busca da falha, bem como de outras vulnerabilidades conhecidas.”
“A Tenable tem como missão principal ajudar seus clientes a entender seus ambientes e ajudá-los a manter a segurança de seus negócios. Nestes momentos em que novas ameaças surgem, as empresas precisam se preparar para responder a qualquer incidente e mitigar riscos quase em tempo real. Para que isso aconteça, estamos constantemente ativos e realizando verificações de gerenciamento de vulnerabilidade e aplicativos da web. Essa batalha é contínua e precisamos contar também com a participação de fornecedores e parceiros para criarmos uma rede mais segura para todos”, comenta Arthur Capella, Diretor Geral da Tenable Brasil.
Outras descobertas importantes dos dados incluem:
• 28% das organizações em todo o mundo corrigiram totalmente o Log4Shell desde 1º de outubro de 2022, uma melhoria de 14 pontos em relação a maio de 2022.
• 53% das organizações estavam vulneráveis ao Log4j durante o período do estudo, o que ressalta a natureza abrangente do Log4j e os esforços contínuos necessários para remediar, mesmo que a remediação completa tenha sido alcançada anteriormente.
• Em outubro de 2022, 29% dos ativos vulneráveis viram a reintrodução do Log4Shell após a correção completa ter sido alcançada.
• Alguns setores estão em melhor forma do que outros, com engenharia (45%), serviços jurídicos (38%), serviços financeiros (35%), organizações sem fins lucrativos (33%) e governo (30%) liderando o grupo com mais organizações totalmente corrigidas. Aproximadamente 28% das organizações de infraestrutura crítica definidas pela CISA foram totalmente remediadas.
• Quase um terço das organizações norte-americanas corrigiu totalmente o Log4j (28%), seguido pela Europa, Oriente Médio e África (27%), Ásia-Pacífico (25%) e América Latina (21%).
• Da mesma forma, a América do Norte é a principal região com a porcentagem de organizações que corrigiram parcialmente (90%), Europa, Oriente Médio e África (85%), Ásia-Pacífico (85%) e América Latina (81%).
Mais informações sobre a cobertura da Tenable para Log4Shell estão disponíveis em: https://www.tenable.com/log4j.
Sobre a Tenable
A Tenable®, Inc. é uma empresa de gerenciamento de Cyber Exposure. Mais de 40 mil organizações no mundo todo contam com a Tenable para entender e reduzir o risco cibernético. Como criadora do Nessus®, a Tenable ampliou sua experiência em vulnerabilidades para oferecer a primeira plataforma do mundo para verificar e proteger qualquer ativo digital em qualquer plataforma computacional. Entre os clientes da Tenable, estão mais de 60% das empresas da Fortune 500, mais de 40% das empresas da Global 2000 e agências governamentais de grande porte.
Cibersegurança: Proteção Baseada em Fatos
A cibersegurança é essencial para proteger sistemas, redes e dados contra uma variedade de ameaças cibernéticas. Sejam ataques de malware, phishing, ransomware ou outras táticas maliciosas, a proteção é fundamental. No entanto, é crucial basear-se em fatos e análises técnicas sólidas, evitando o sensacionalismo que pode levar à desinformação.
Em nossa coluna sobre Cibersegurança, você encontra análises aprofundadas, tendências atuais e orientações práticas para se manter um passo à frente no mundo das ameaças digitais em constante evolução. Conheça a coluna Cibersegurança e divulgue!
Junte-se a nós na construção de um futuro digital mais seguro e confiável!
O Crypto ID é uma plataforma de destaque no cenário de identificação digital, cibersegurança e tecnologia, atuando como referência em conteúdos especializados e atualizados sobre temas como certificação digital, blockchain, biometria, autenticação multifatorial e tendências regulatórias.
Fundado há mais de uma década, a plataforma se consolidou como uma fonte confiável para profissionais de TI, empresas e entusiastas da segurança digital.
A plataforma posiciona-se não apenas como um veículo de notícias, mas como um agente ativo na promoção de um ecossistema digital seguro.
Sua combinação de análises técnicas, cobertura de eventos e parcerias com líderes do setor faz dele um recurso indispensável para quem busca entender e se adaptar às transformações da identidade digital e da cibersegurança no Brasil.
