A análise mostra que, num total de 10.880 ativos digitais expostos, a maioria das empresas tem até 10 domínios web principais. Cerca de 30% têm entre 10 e 100 e uma minoria tem mais de 100 ativos expostos. Apenas 54% destes ativos estão alojados em serviços prestados por empresas em Portugal.

O estudo revela que mais de 20% dos servidores web associados às 500 maiores empresas expõem informações sobre a sua versão e software. Esta exposição pode facilitar a exploração de vulnerabilidades associadas aos mesmos, afirma a empresa.

No que toca aos protocolos HTTPS, mais de 10% dos certificados SSL estavam inválidos, ou seja, desatualizados e inseguros. De acordo com a Ethiack, esta situação permitiria a um atacante interceptar tráfego estando ligado à mesma rede pública que, por exemplo, um utilizador autorizado.

Tal possibilitaria ataques como “eavesdropping” e “man-in-the-middle”, isto é, um atacante poderia recolher informações e usá-las para pedir um resgaste ou até mesmo comprometer os sistemas da empresa.

Citado em comunicado, André Baptista, fundador e CTO da Ethiack, afirma que “os resultados deste estudo aos ativos digitais expostos das 500 maiores empresas portuguesas mostram que apesar dos esforços realizados ao longo dos últimos anos para melhorar a postura de cibersegurança, ainda há muito espaço para melhoria”.

Nas palavras do responsável, a recomendação deixada pela Ethiack “vai no sentido de as empresas adotarem mecanismos de mapeamento da infraestrutura digital exposta e de uma análise de vulnerabilidades contínua, como a forma mais viável do ponto de vista económico e da alocação de recursos para prevenir ciberataques”.

“É possível concluir que existe um maior risco de exposição a ciberataques”, afirma André Baptista, acrescentando que “é prudente considerar a implementação de medidas preventivas, bem como de políticas e certificação de cibersegurança como, por exemplo a certificação ISO 27001 e uma Política de Divulgação de Vulnerabilidades (VDP)”.

O estudo detalha também que menos de 1% das empresas mostraram ter uma política de divulgação de vulnerabilidades (VDP), uma vez que foi possível identificar ficheiros security.txt. A Ethiack explica que a norma security.txt costuma ser vista como uma boa prática, uma vez que fornece aos hackers éticos instruções sobre como proceder caso encontrem uma vulnerabilidade.

A falta deste ficheiro sugere pouca sensibilidade em relação à cibersegurança ofensiva, porque não estão a providenciar um canal direto para comunicar prontamente as vulnerabilidades, dificultando o trabalho dos hackers éticos”, realça André Batista.

Além disso, o estudo demonstra que as empresas desconhecem, em média, cerca de um terço dos ativos digitais que têm expostos. Como indica o fundador e CTO da Ethiack, estes “são muitas vezes, ativos digitais esquecidos pelas empresas ou adormecidos, porque o projecto para o qual foram criados já foi descontinuado, mas as máquinas continuam lá, ligadas à rede, e, portanto, desprotegidas e vulneráveis a ataques cibernéticos”.