A HP publicou o Cyber Risk Report 2013, estudo anual que identifica as principais vulnerabilidades de segurança das empresas e analisa o panorama de ameaças em expansão.

Desenvolvido pela HP Security Research, o relatório deste ano lista os fatores que mais contribuíram com a crescente superfície de ataque em 2013 — maior dependência de dispositivos móveis, proliferação de software inseguro e o crescente uso de Java — e indica caminhos para as organizações minimizar o risco à segurança e o impacto dos ataques a suas estruturas.

Segundo o estudo, o número total de vulnerabilidades divulgadas publicamente diminuiu 6% a cada ano, e o número de vulnerabilidades de alta gravidade caiu pelo quarto ano consecutivo, em 9%. Embora não quantificável, o declínio pode ser uma indicação de um pico nas brechas que não são divulgadas, sendo entregues diretamente ao mercado negro para consumo particular e/ou prejudicial.

Cerca de 80% dos aplicativos analisados continham vulnerabilidades que apontavam para fora do seu código fonte. Até mesmo softwares codificados com cuidado podem estar perigosamente vulneráveis se configurados de maneira errada.

O levantamento também apontou definições inconsistentes e variadas de “malware” complicam a análise de risco. Em uma análise de mais de 500 mil aplicativos móveis para Android, a HP encontrou discrepâncias fundamentais na maneira como os mecanismos antivírus e fornecedores de plataforma móvel classificam o malware. Além disso, 46% das aplicações móveis estudadas usam criptografia incorretamente. A pesquisa da HP mostra que os desenvolvedores de aplicações não são capazes de usar a criptografia ao armazenar dados importantes em dispositivos móveis, contam com algoritmos fracos para fazer isso ou usam de maneira errada os recursos da criptografia, tornando-a ineficaz.

O Internet Explorer foi o foco principal dos pesquisadores de vulnerabilidade do HP Zero Day Initiative (ZDI) em 2013 e respondeu por mais de 50%⁾ das falhas registradas pela iniciativa.

As vulnerabilidades de bypass do Sandbox foram as mais predominantes e danosas para usuários do Java. Os adversários escalaram significativamente sua exploração de Java, focando, simultaneamente, em diversas vulnerabilidades conhecidas em ataques combinados para comprometer alvos de interesse específicos.

Diante desse quadro, a empresa faz algumas recomendações: é fundamental eliminar as oportunidades de revelar não intencionalmente informações que podem ser benéficas para os agressores; as organizações e os desenvolvedores, juntos, devem estar cientes das armadilhas de segurança em estruturas e outros códigos externos, especialmente em plataformas de desenvolvimento móveis híbridas. Orientações de segurança robustas devem ser colocadas em prática para proteger a integridade das aplicações e a privacidade dos usuários.

Embora seja impossível eliminar a superfície de ataque sem sacrificar a funcionalidade, uma combinação de pessoas, tecnologias e processos certos permite às organizações minimizar com eficácia as vulnerabilidades em torno dessa área, reduzindo drasticamente o risco geral. Além disso, a colaboração e o compartilhamento de inteligência de ameaças no setor de segurança ajudam a oferecer visibilidade sobre as táticas dos adversários, possibilitando uma defesa mais proativa e fortalecendo proteções oferecidas em soluções de segurança, gerando assim um ambiente geral mais seguro.