I team di sicurezza impiegano 56 giorni a rimediare alle vulnerabilità critiche

“Conoscere la superficie d’attacco di un’impresa e il possibile impatto dello sfruttamento di eventuali vulnerabilità è cruciale per prendere decisioni intelligenti”. Queste le parole di Jay Kaplan, CEO e cofondatore di Synack, per presentare i risultati del secondo rapporto annuale elaborato dalla piattaforma di test di sicurezza sullo stato delle vulnerabilità.

Secondo con la comunità di hacker etici di Synack Red Team, nel 2023 i clienti di ogni settore analizzato hanno registrato un maggior numero di vulnerabilità critiche rispetto al 2022. Quello che, invece, si è ridotto sono le vulnerabilità gravi.

E quali sono queste vulnerabilità? Aumentano le minacce che sono legate alle iniezioni. In aree concrete come la sanità e la tecnologia, crescono le iniezioni SQL e i problemi in stile XSS.

Nelle aziende di tipo sanitario si sono scoperti oltre 5400 sottodomini, 1500 applicazioni web e 1400 indirizzi IP esposti in modo pubblico. Questo rappresenta la più ampia superficie d’attacco tra tutti i settori.

Kaplan ritiene che il nuovo rapporto “aiuterà le imprese di settori quali sanità, servizi finanziari, settore pubblico, tecnologia o manifattura, a comprendere quali possibili vulnerabilità esibiscono e come possono restare un passo avanti agli hacker. Vediamo molte ragioni per essere ottimisti ma questo non significa che le minacce stiano calando”, avverte.

I team di sicurezza hanno ridotto di 18 giorni il tempo medio per rimediare alle vulnerabilità gravi, passando da 92 a 74 giorni. Nel caso delle vulnerabilità critiche, il calo è di 24 giorni, da 80 a 56.

È bene sottolineare che le società di tecnologia e di servizi finanziari impiegano di più a risolvere problematiche legate all’iniezione SQL (rispettivamente 57 e 53 giorni) rispetto al sanitario (45).