Relatório anual
Relatório de ataques
2025
SEÇÃO 01
Introdução
Na Fluid Attacks, como empresa de segurança de aplicações (AppSec), dedicamo-nos a ajudar nossos clientes a identificar, priorizar e remediar as vulnerabilidades de segurança em seus produtos de software através da integração de diversas ferramentas automatizadas, modelos de inteligência artificial e uma equipe de pentesters altamente certificados.
Em 2024, avaliamos e contribuímos para a segurança dos sistemas de nossos clientes por meio de nossa solução integral Hacking Contínuo durante todo o ciclo de vida de desenvolvimento de software (SDLC). Quando nos referimos a um sistema, este pode incluir os três, dois ou apenas um dos seguintes objetivos de avaliação: código-fonte da aplicação, aplicação em execução e infraestrutura.*
O Relatório de ataques 2025, assim como os de anos anteriores, pode te ajudar a avaliar comparativamente e melhorar a postura de cibersegurança de sua empresa. Muitas das conclusões a que chegamos após revisar os dados de um ano inteiro de testes e gestão de segurança podem servir como guia para estabelecer objetivos mais eficazes, focando em práticas de desenvolvimento seguras e na rápida remediação de vulnerabilidades para proteger seus sistemas, dados, operações e usuários.
Período de coleta de dados: 1 de Jan a 31 de Dez, 2024
*De agora em diante, "código-fonte", "aplicação" e "infraestrutura", respectivamente.
Foco na exposição ao risco em vez da quantidade de vulnerabilidades
Antes de aprofundarmos nos resultados para 2024 como um todo, é importante ressaltar que na Fluid Attacks reconhecemos que o fato de um sistema ter poucas vulnerabilidades não é sinônimo de um alto nível de segurança. O segredo está em manter a exposição ao risco no mínimo. Em outras palavras, por exemplo, ter dez vulnerabilidades com uma pontuação CVSS de 1,0 em um sistema não representa o mesmo grau de exposição ao risco que ter uma vulnerabilidade com uma pontuação de 10,0. Baseados neste raciocínio, desenvolvemos a métrica CVSSF, uma modificação da pontuação CVSS que permite às organizações priorizar seus esforços de remediação de vulnerabilidades de forma mais eficaz.
O CVSSF supera muitas das deficiências do CVSS, como a agregação e a comparação, e oferece uma visibilidade mais clara da magnitude da exposição ao risco. Assim, seguindo o exemplo do parágrafo anterior e a equação do CVSSF*, como podemos ver na ilustração, essas dez vulnerabilidades do lado esquerdo da balança só alcançam um CVSSF de 0,2. Pelo contrário, a vulnerabilidade da direita tem um valor enorme de 4.096,0, uma comparação de valores mais próxima da realidade dos riscos.
*CVSSF = 4^(CVSS-4)
SEÇÃO 02
Resumo executivo
Confira os resultados mais relevantes
[1]
A quantidade de sistemas cuja segurança avaliamos através do Hacking Contínuo em 2024 cresceu 27,6% em comparação com 2023.
[2]
Embora tenhamos reportado 59,3% mais vulnerabilidades que no ano anterior, a exposição ao risco total identificada (unidades CVSSF) diminuiu 3,8%.
[3]
Este ano, em média, as organizações demoraram 18,5% menos tempo para remediar suas vulnerabilidades de segurança. Além disso, o tempo médio para remediar problemas de severidade crítica decresceu em considerável 65%.
[4]
A remediação de vulnerabilidades nos sistemas que quebraram o build levou, em média, 50% menos tempo em comparação com aqueles que não fizeram.
[5]
A taxa de remediação nos sistemas que quebraram o build foi de 62,4%, enquanto a dos que não o fizeram foi de 31,5%.
[6]
Nossos pentesters, em comparação com nossas ferramentas automatizadas, reportaram 71% da exposição ao risco total.
[7]
Quase 99% das vulnerabilidades de severidade crítica foram detectadas por nossos pentesters (nossa ferramenta já havia encontrado o restante).
[8]
A fraqueza de segurança mais persistente entre os sistemas avaliados foi "Arquivos não verificáveis".
[9]
A fraqueza que representou a maior exposição ao risco total durante o ano foi "Controle de autorização inadequado para os serviços web".
[10]
As vulnerabilidades de severidades alta e crítica mostraram as melhores taxas de remediação acumuladas ao final do ano, com 57,4% e 73,2%, respectivamente.
SEÇÃO 03
Mudanças em destaque
Identifique as principais diferenças em relação ao relatório anterior
Sistemas avaliados
A quantidade de sistemas que avaliamos com Hacking Contínuo aumentou 27,6% em comparação com o ano anterior.* Além disso, 57,6% dos sistemas avaliados com nossa solução em 2023 continuaram sendo avaliados em 2024, um ano em que quase 55% dos sistemas eram novos.
27,6%
/ Hacking Contínuo
*Destacamos que esta comparação se limita à solução Hacking Contínuo. Em 2023, ainda havia alguns sistemas que eram testados com nossa solução Hacking Pontual, a qual já não é oferecida.
Exposição ao risco
Em 2024, a partir do Hacking Contínuo, reportamos uma exposição ao risco total 3,8% inferior à de 2023. Esta se reduziu de aproximadamente 32,5 para cerca de 31,3 milhões de unidades (segundo nossa métrica CVSSF). Deste modo, a média e a mediana da exposição ao risco por sistema diminuíram 24,6% e 33,2%, respectivamente.
3,8%
24,6%
33,2%
Vulnerabilidades de severidades alta e crítica
62,3% de todos os sistemas avaliados mostraram pelo menos uma vulnerabilidade de severidade alta ou crítica, o que representa uma redução em relação ao ano anterior, quando esse número foi de 66,6%.
66,6%
62,3%
Classificação
Pontuação CVSSv4.0
Crítica
9,0 - 10,0
Alta
7,0 - 8,9
Média
4,0 - 6,9
Baja
0,1 - 3,9
Nenhuma
0,0
Métodos de detecção manual
Embora melhoremos constantemente nossas ferramentas quanto ao seu alcance e à capacidade de detecção de vulnerabilidades, nossa equipe de pentesters continua obtendo resultados muito melhores em termos de exposição ao risco e vulnerabilidades críticas identificadas. As porcentagens obtidas com seus testes manuais variaram pouco nos períodos comparados.
71,4%
71,1%
97,1%
98,9%
Remediação de vulnerabilidades
O tempo médio de remediação (MTTR) de vulnerabilidades foi de aproximadamente 55 dias. Isso representa uma redução de quase 19% em comparação com os 68 dias do ano anterior. Adicionalmente, cabe assinalar que o MTTR para as vulnerabilidades de severidade crítica se reduziu em um significativo 65%.
18,5%
/ MTTR
65,0%
/ MTTR para vulnerabilidades críticas
Em linha com os relatórios de anos anteriores, os tempos de remediação dos problemas de segurança nos sistemas em que as empresas optaram por quebrar o build foram mais curtos do que naqueles em que as empresas decidiram não o fazer. No entanto, o tempo médio para remediar as vulnerabilidades para quem quebrou o build passou de 19 para 28 dias em relação ao relatório anterior.
Tempo de remediação: Tempo transcorrido entre a notificação de uma vulnerabilidade e sua remediação.
Quebrar o build: Controle de segurança para os pipelines de CI/CD em que nosso CI Gate interrompe a implantação de software sempre que há vulnerabilidades não aceitáveis no produto.
SEÇÃO 04
Achados gerais
Explore o panorama de vulnerabilidade e exposição ao risco do ano
Exposição ao risco por severidade
Quase toda a exposição ao risco nos sistemas avaliados, ou seja, 91,6%, devia-se a vulnerabilidades de severidades alta e crítica. Isso significa que uma pequena fração, apenas 5,1%, dos problemas de segurança identificados era responsável por uma exposição ao risco quase 11 vezes superior ao valor somado de todas as vulnerabilidades de severidades média e baixa.
Severidade
Vulnerabilidades totais
Exposição ao risco total
Crítica
10.802
17.456.578,79
Alta
34.009
11.197.833,43
Média
126.110
2.620.324,37
Baja
701.691
20.798,08
Vulnerabilidades e exposição ao risco por severidade
Para cada objetivo de avaliação
Nas aplicações e no código-fonte manteve-se o mesmo padrão de diminuição do número de vulnerabilidades à medida que aumentava sua severidade. No caso das infraestruturas, as vulnerabilidades de alta severidade quebraram este padrão. Contudo, é preciso levar em conta que poucas organizações solicitaram uma avaliação da infraestrutura, o que resultou em um número limitado de vulnerabilidades detectadas para este tipo de objetivo.
Agora, focando nos dois objetivos mais frequentes, podemos dizer que as vulnerabilidades de severidades baixa e média representaram mais de noventa por cento de todos os problemas de segurança detectados (ou seja, 96,5% no caso das aplicações e 94,7% no caso do código-fonte). No entanto, foram as vulnerabilidades de severidades alta e crítica que, em conjunto, superaram os noventa por cento no que diz respeito à exposição ao risco total em todos os objetivos, incluindo a infraestrutura.
Objetivo de avaliação
Vulnerabilidades totais
Exposição ao risco total
Código-fonte
799.072
28.202.146,76
Aplicação
73.475
3.068.326,34
Infraestrutura
65
25.061,57
Exposição ao risco por método de detecção
28,9%
71,1%
22.246.515,93
9.049.018,73
Se analisarmos todas as vulnerabilidades detectadas em 2024 e sua exposição ao risco associada, as descobertas por nossas ferramentas automatizadas representaram, em média, 12,7 unidades CVSSF. Pelo contrário, as encontradas por nossos pentesters alcançaram uma média de onze vezes esse valor: 139,7 unidades CVSSF.
Como se mencionó en reportes anteriores, las pruebas de seguridad realizadas por nuestros pentesters siguen revelando una mayor exposición al riesgo que nuestras herramientas automatizadas.
Além disso, os números que se mostram aqui poderiam ter sido ainda mais favoráveis para nossos especialistas se todos os sistemas tivessem sido avaliados dentro do nosso plano Advanced, que inclui testes de segurança automatizados e manuais. Contudo, alguns deles só estavam subscritos ao nosso plano Essential, que só inclui testes automatizados.
Independentemente do número de ferramentas que sua companhia utiliza ou de sua adesão às últimas tendências em IA, as avaliações exaustivas da postura de cibersegurança continuam dependendo da inclusão do fator humano. Uma solução integral de AppSec deve aproveitar as vantagens dos especialistas em segurança, da IA e dos scanners.
Como respaldo adicional à última afirmação, recomendamos ler nosso informe de pesquisa "Aumentar a precisão do AST por meio de pentesting".
Vulnerabilidades por método de detecção
Mais de oitenta por cento do total de vulnerabilidades foram identificadas por nossas ferramentas automatizadas. Além disso, se considerarmos as 44.811 vulnerabilidades de severidades alta e crítica encontradas durante o ano, podemos ver que estas ferramentas detectaram 55,2% delas.
81,8%
18,2%
Contudo, se tomarmos apenas as vulnerabilidades de severidade crítica, um surpreendente 98,9% se identificou mediante análises manuais. Isso ressalta, como se tem visto em anos anteriores, a maior eficácia do PTaaS e outros tipos de testes manuais na hora de descobrir as falhas de segurança mais graves em comparação com o escaneamento de vulnerabilidades.
SEÇÃO 05
Principais fraquezas
Conheça as principais vulnerabilidades por risco e persistência
Top 10 de fraquezas
Por exposição ao risco
A partir da segunda metade de 2024, decidimos eliminar as categorias de fraqueza "011. Uso de software com vulnerabilidades conhecidas", "393. Uso de software com vulnerabilidades conhecidas em desenvolvimento" e "435. Uso de software com vulnerabilidades conhecidas em ambientes".* Estas categorias associadas a dependências ou componentes de software de terceiros eram muito gerais, o que significa que não especificavam os tipos de vulnerabilidades presentes nos pacotes utilizados. Isso, precisamente, junto com o enorme uso que todos fazemos de componentes de código aberto de terceiros em nossos produtos, era o que provocava que estas categorias encabeçassem as listas em nossos relatórios anteriores.
*A eliminação foi gradual e se completou no início de 2025. Por isso, neste relatório é possível encontrar casos residuais dessas categorias.
Assim, nesta ocasião, a fraqueza que encabeçou a classificação foi "Controle de autorização inadequado para serviços web". Este problema persistente, que, uma vez explorado, poderia permitir aos atacantes obter informação confidencial, representou mais de 27% da exposição ao risco total reportada em 2024. Além disso, as fraquezas incluídas nesta lista das 10 principais contribuíram para 77,2% da exposição ao risco geral.
Fraqueza
Sistemas
Persistência
Exposição
MEx
039. Controle de autorização inadequado para serviços web
263
10.356
8.490.025,9
819,8
006. Ausência ou evasão do mecanismo de autenticação
161
7.463
7.690.775,4
1.030,5
096. Desserialização insegura
173
13.262
1.947.603,2
146,9
100. Falsificação de solicitações do lado do servidor (SSRF)
304
7.053
1.724.486,6
244,5
359. Informação sensível no código-fonte - Credenciais
331
13.415
893.774,0
66,6
011. Uso de software com vulnerabilidades conhecidas
390
19.390
871.626,9
45,0
390. Contaminação de protótipos
234
11.236
800.728,7
71,3
076. Gestão insegura de sessões
76
721
770.025,0
1068,0
211. Negação de serviço assimétrica - ReDoS
354
21.587
555.517,4
25,7
422. Injeção de templates do lado do servidor
178
2.845
419.534,5
147,5
Fraqueza: A categoria, enquanto a vulnerabilidade é o caso particular com uma localização específica que pertence à categoria.
Persistência: Quantidade de vulnerabilidades identificadas que pertencem à categoria.
MEx: Exposição ao risco média.
Top 10 de fraquezas
Por quantidade de sistemas
A fraqueza que detectamos em mais da metade dos sistemas avaliados está relacionada com a impossibilidade de verificar os arquivos nos repositórios porque seu conteúdo não é compatível com sua extensão: "Arquivos não verificáveis". Este problema, junto com os demais que figuram na tabela, constituiu 35,6% do total de vulnerabilidades detectadas. Ainda assim, suas pontuações CVSS temporais médias e medianas não superaram o intervalo de severidade médio.
Ao observar outros dados da tabela seguinte, podemos destacar que a fraqueza "Informação sensível no código-fonte" apareceu em cerca de 40% dos sistemas avaliados, mas seu MTS e MdTS foram bastante baixos, o que explica por que não apareceu na tabela anterior. Contudo, quando focamos em uma fraqueza similar, mas mais específica e perigosa, como "Informação sensível no código-fonte - Credenciais", notamos que ocupou o quinto lugar entre os problemas de segurança que representaram a maior exposição ao risco em 2024.
Fraqueza
Sistemas
Persistência
MTS
MdTS
117. Arquivos não verificáveis
540
183.708
0,6
0,6
431. Ataque à cadeia de suprimentos - Arquivo de bloqueio
473
18.041
0,6
0,6
052. Algoritmo de criptografia inseguro
430
6.270
2.0
0,6
009. Informação sensível no código-fonte
425
10.202
2,2
1,3
380. Ataque à cadeia de suprimentos - Docker
394
10.788
0,6
0,6
011. Uso de software com vulnerabilidades conhecidas
390
19.390
4,4
4,6
097. Tabnabbing reverso
383
22.550
1,1
1,1
266. Privilégios excessivos - Docker
371
7.395
1,3
1,1
211. Negação de serviço assimétrica - ReDoS
354
21.587
5,4
6,6
002. Negação de serviço assimétrica
351
10.655
5,7
6,6
MTS: Média da pontuação temporal CVSS.
MdTS: Mediana da pontuação temporal CVSS.
Top 5 de fraquezas
Objetivo de avaliação: código-fonte
Por exposição ao risco
Este top 5 é exatamente o mesmo que se encontra no top 10 geral para exposição ao risco. Quase todas as vulnerabilidades pertencentes a estas cinco categorias se localizaram no código-fonte avaliado. Embora sua persistência combinada tenha representado pouco mais de 6% do total de vulnerabilidades identificadas neste tipo de objetivo, sua exposição ao risco combinada representou quase 70% do total detectado no código-fonte.
A "Ausência ou evasão de mecanismos de autenticação" foi a menos reportada de todas as fraquezas listadas aqui. Contudo, ocupou o segundo lugar entre todas as fraquezas detectadas durante o ano quanto à exposição ao risco, constituindo 22,6% do total.
Fraqueza
Sistemas
Persistência
Exposição
MEx
039. Controle de autorização inadequado para serviços web*
238
9.680
8.009.170,8
827,4
006. Ausência ou evasão do mecanismo de autenticação
127
6.730
7.078.979,2
1.051,9
096. Desserialização insegura
173
13.262
1.947.603,2
146,9
100. Falsificação de solicitações do lado do servidor (SSRF)
301
7.017
1.713.775,2
244,2
359. Informação sensível no código-fonte - Credenciais
329
13.403
893.760,1
66,7
*Recomendação: Validar mediante cookies de sessão ou tokens que os usuários que tentam acessar certa informação estejam autenticados.
Top 5 de fraquezas
Objetivo de avaliação: aplicação
Por exposição ao risco
Embora estejam na ordem inversa, as duas fraquezas que encabeçaram o seguinte top 5 foram as mesmas que lideraram o top 10 de exposição ao risco. Apesar de todas as vulnerabilidades encontradas nestas categorias só representaram cerca de 3,0% do total identificado nas aplicações, sua exposição ao risco acumulada constituiu 54,9% do total neste objetivo de avaliação.
Em terceiro lugar, temos a fraqueza "Apropriação de contas", que, com o MEx mais alto desta lista, representa o risco de que um atacante aproveite uma ou mais vulnerabilidades da aplicação para tomar o controle de uma conta de usuário e realizar ações em seu nome.
Fraqueza
Sistemas
Persistência
Exposição
MEx
006. Ausência ou evasão do mecanismo de autenticação*
81
732
611.790,1
835,8
039. Controle de autorização inadequado para serviços web
77
674
480.686,1
713,2
417. Apropriação de contas
57
214
266.332,3
1.244,5
005. Escalação de privilégios
47
281
193.690,4
689,3
146. Injeção SQL
35
291
132.905,7
456,7
*Recomendação: Todos os recursos funcionais críticos para a organização devem contar com um processo de autenticação sólido, e é necessário garantir que todos os usuários que tentem acessar eles tenham uma sessão inicializada.
SEÇÃO 06
Remediação de vulnerabilidades
Descubra os tempos e taxas de remediação com base em vários fatores
Todas as vulnerabilidades
41,0%
1,3%
7,2%
50,5%
Menos da metade das vulnerabilidades identificadas foram remediadas. Os sistemas que quebraram o build tiveram uma taxa de remediação de 62,4% ao final do ano, significativamente superior à dos que não o fizeram, que foi de 31,5%.
Ao examinar os intervalos de severidade em todos os sistemas, as taxas de remediação acumuladas para as vulnerabilidades de severidades baixa, média, alta e crítica foram de 38,3%, 49,1%, 57,4% e 73,2%, respectivamente. Cabe destacar que apenas 0,34% das vulnerabilidades de severidade alta e 0,05% das vulnerabilidades de severidade crítica foram aceitas de forma permanente, embora o ideal fosse que estes valores fossem zero.
Nova: A organização ainda não definiu o tratamento da vulnerabilidade.
Em curso: A organização já tem planos para remediar a vulnerabilidade.
Fechada: A organização já remediou a vulnerabilidade.
Aceita temporariamente: A organização decidiu não remediar a vulnerabilidade por enquanto.
Aceita permanentemente: A organização decidiu não remediar a vulnerabilidade.
Tempo de remediação
Mediana de dias para a remediação de vulnerabilidades
28
56
Ao comparar as medianas, descobrimos que as companhias demoraram 50% menos em remediar as vulnerabilidades nos sistemas em que quebraram o build do que naqueles em que não o fizeram.
Ao diferenciar os tempos de remediação segundo os intervalos de severidade, foi o intervalo médio o que constituiu a exceção ou quebrou o padrão esperado, segundo o qual quanto maior é a severidade, menos dias deveriam ser dedicados à remediação. Se compararmos os MTTR e MdTTR dos intervalos extremos, vemos um rendimento adequado: As equipes dedicaram 27,1% e 22,2% menos tempo, respectivamente, a remediar vulnerabilidades de severidade crítica do que às de severidade baixa.
De fato, em 63,3% de todos os sistemas em que se remediaram vulnerabilidades críticas, os MTTRs foram inferiores ao MTTR geral para este intervalo (43 dias). Contudo, 12,2% tiveram MTTRs entre 80 e 143 dias, e 2,0% tiveram MTTRs superiores a 239 dias, o que merece uma reflexão, dado o risco que representam estes problemas de segurança. Também cabe assinalar que mais da metade de todas as vulnerabilidades de severidade crítica remediadas foram resolvidas em menos de 34 dias.
Severidade
MTTR
MdTTR
Vulnerabilidades remediadas
Baja
59
36
268.710
Média
43
24
61.886
Alta
49
51
19.506
Crítica
43
28
7.907
MTTR: Tempo médio de remediação.
MdTTR: Mediana de tempo de remediação.
Taxa de remediação no tempo
Todas vs severidades alta e crítica
Normalmente, a cada mês se descobriam mais vulnerabilidades do que se solucionavam.* Contudo, a taxa de remediação acumulada de todas as vulnerabilidades identificadas aumentou com o tempo, passando de 13,5% inicial a 41,0% ao final do ano (a taxa de remediação média foi de 27,6%).
Enquanto isso, a taxa de remediação acumulada para vulnerabilidades de severidades alta e crítica superou consistentemente a taxa geral e, diferentemente do ano anterior, mostrou uma tendência de alta. De fato, seu valor mínimo foi de 8,8% ao final de janeiro e seu valor máximo de 61,2% ao final de dezembro. Assim, sua taxa média de remediação foi de 40,4%, mais próxima à obtida para as vulnerabilidades de severidade alta do que à das críticas (você pode comparar os dois gráficos seguintes para apreciá-lo).
*Para esta análise e a seguinte, tomamos o número acumulado de vulnerabilidades notificadas e remediadas ao final de cada mês ao longo do ano. É importante ressaltar que, até o final de janeiro, registramos como vulnerabilidades remediadas apenas aquelas que foram identificadas e corrigidas durante esse mês. No entanto, para os meses seguintes, registramos como remediadas aquelas que foram corrigidas durante o mês em questão, independentemente do mês em que foram detectadas em 2024.
Taxa de remediação no tempo
Por severidade
Durante aproximadamente a metade do ano, as taxas de remediação acumuladas seguiram um padrão habitual, sendo mais altas à medida que aumentava o nível de severidade. As mudanças mais pronunciadas entre os quatro níveis de severidade ocorreram nas taxas de remediação das vulnerabilidades de severidade crítica. A taxa média de remediação mais baixa correspondeu às vulnerabilidades de severidade baixa, com 25,5%, e a mais alta às vulnerabilidades de severidade crítica, com 45,2%.
Esta última taxa média de remediação foi superada pelas taxas acumuladas de sete meses, que atingiram uma média de 64,3%. Foram as três primeiras taxas de remediação do ano as que mais influíram na queda desta média (por exemplo, nenhuma das vulnerabilidades críticas identificadas em janeiro foi remediada ao final desse mês). Por último, os intervalos de severidade média e alta alcançaram taxas médias de 36,7% e 38,9%, respectivamente.
Taxa de remediação no tempo
Por exposição ao risco
Embora só 41,0% de todas as vulnerabilidades tenham sido remediadas, a redução geral da exposição ao risco alcançou 65,3% ao final do ano. A exposição ao risco restante é significativamente influenciada por aquelas vulnerabilidades de alto risco (com valores CVSSF elevados) que não foram remediadas no momento de fechar a coleta de dados para este relatório (algumas das quais podem ter sido identificadas nos últimos meses). As vulnerabilidades de severidades crítica e alta representaram 42,3% e 44,3% da exposição ao risco final (ou seja, ao final de 2024), cada um destes intervalos de severidade com mais de 4,5 milhões de unidades CVSSF.
Distribuição de taxas de remediação
Por objetivo de avaliação
Ordenamos as vulnerabilidades detectadas ao longo do ano segundo seu tempo de remediação, começando pelas que foram corrigidas mais rapidamente e terminando pelas que demoraram mais para corrigir. Depois destas últimas, adicionamos as que não foram remediadas e, em seguida, dividimos todo o conjunto de dados em dez grupos iguais (ou seja, em decis).
Cabe destacar que as aplicações foram o objetivo com o terceiro decil mais baixo. Em outras palavras, 30% das vulnerabilidades nas aplicações em execução foram corrigidas em um prazo de 27 dias, enquanto a mesma porcentagem no código-fonte foi alcançada justo antes dos 81 dias. Além disso, as aplicações foram o único objetivo em que se remediaram pelo menos 50% das vulnerabilidades, o que foi alcançado em menos de 90 dias.
Como mencionado anteriormente, poucas vulnerabilidades foram reportadas nas infraestruturas avaliadas, por isso, este objetivo de avaliação não foi incluído nesta análise e não aparece no gráfico seguinte.
Distribuição de taxas de remediação
Por severidade
As vulnerabilidades de severidades alta e crítica foram as únicas para as quais as taxas de remediação superaram os 50%. Ainda assim, este quinto decil se completou com maior rapidez para as vulnerabilidades de severidade crítica, com correções em menos de 50 dias. Além disso, este foi o único intervalo de severidade que alcançou o sétimo decil. Por outro lado, as vulnerabilidades de severidade baixa se situaram no terceiro decil mais alto e foram o único intervalo que não alcançou uma taxa de remediação de 40% ao final de 2024.
SEÇÃO 07
Ajuda na remediação de vulnerabilidades
Descubra o quanto as empresas contaram com a ajuda de nossos especialistas
34,7%
Na Fluid Attacks, oferecemos diferentes canais de suporte para a remediação de vulnerabilidades. Os principais são Autofix, Custom Fix e Talk to a Pentester. Os dois primeiros se baseiam em modelos de IA generativa e, dentro de nossas extensões IDE e nossa plataforma, oferecem automaticamente guias passo a passo e alternativas de remediação completas, respectivamente. O último canal, disponível só para o plano Advanced, oferece a oportunidade de programar reuniões virtuais de 30 minutos com alguns de nossos pentesters para facilitar a compreensão de vulnerabilidades complexas.
Numerosas organizações com software em avaliação dentro do plano Advanced de Hacking Contínuo recorreram ao canal Talk to a Pentester. Concretamente, as empresas associadas a 34,7% dos sistemas (ou grupos) avaliados por nossa equipe de especialistas solicitaram sessões de assistência com eles.
Convidamos você a aproveitar ao máximo este e os demais canais de assistência que oferecemos, que sem dúvida podem te ajudar a melhorar seus índices e tempos de remediação, beneficiando assim a postura de segurança de sua organização.
