3 em cada 4 organismos ainda estão vulneráveis ​​a doenças cardíacas

password- heartbleed

Um ano após a sua publicação vulnerabilidade de coração74% das organizações do Global 2000 ainda estão vulneráveis ​​ao OpenSSL, de acordo com um novo relatório da Venafi. Ao contrário das vulnerabilidades médias de software, o com coração não pode ser reparado com o patch sozinho. As organizações também precisam recuperar certificações SSL antigas, emitir novas e criar novas chaves.

Da exposição: Venafi identificou 580.000 hosts, pertencentes a organizações globais que não foram totalmente restauradas. Esses hosts parcialmente restaurados foram reparados contra a vulnerabilidade do Heartbleed. No entanto, essas organizações fizeram uma restauração “lenta”, ao substituir a chave antiga ou ao revogar o certificado antigo.

Por que essas organizações fizeram tão pouco para eliminar as ameaças do Heartbleed? “É uma combinação de três fatores: primeiro, sem saber os passos certos a seguir, segundo, sem saber onde encontrar todas as chaves necessárias e Certificados e terceiro, que não possuem o conhecimento ou os sistemas capazes de substituir chaves e certificados rapidamente e em grandes quantidades ”, disse Kevin BOCEK, vice-presidente de gerenciamento de segurança e ameaças da Venafi.

“Recentemente, um estudo do Instituto Ponemon descobriu que 54% das organizações não sabem quantas chaves e certificados possuem e onde são usados.”

Como Venafi aponta no relatório, os ataques do Heartbleed não são apenas teóricos. Em agosto de 2014, a primeira notícia foi a violação dos Sistemas de Saúde Comunitários, que expôs informações pessoais de 4,5 milhões de pacientes. O grupo chinês APT 18 violou o provedor de serviços de saúde ao explorar erros de segurança do CHS. Um desses erros foi uma recuperação incompleta do Heartbleed.

“Em geral, as organizações precisam fazer um trabalho melhor para poder alterar chaves e certificados”, diz BOCEK. Sendo dinâmicas, as organizações precisam poder responder às violações mais rapidamente no futuro. Uma coisa é certa: eles terão que usar mais criptografia, mais chaves e certificados a partir de agora “.