Estudo da Tenable analisou 50 trilhões de pontos de dados ao longo de duas décadas para identificar vulnerabilidades críticas
O relatório The Critical Few: How to Expose and Close the Threats that Matter da Tenable afirma: apenas 3% das vulnerabilidades representam risco significativo à segurança cibernética. O documento é resultado de uma análise de analisou 50 trilhões de pontos de dados ao longo de duas décadas para identificar vulnerabilidades críticas e mostra como mitigar potenciais ameaças cibernéticas que podem colocar em risco as operações dos negócios.
Nas últimas duas décadas, a Tenable coletou e analisou aproximadamente 50 trilhões de pontos de dados relacionados a mais de 240 mil vulnerabilidades. A partir desse extenso banco de dados, a empresa desenvolveu uma metodologia que aponta que desse total apenas 3% frequentemente resultam em riscos de exposição significativos.
Com equipes de segurança cibernética sobrecarregadas por grandes quantidades de dados fragmentados de inteligência sobre ameaças e vulnerabilidades, a Tenable realizou este estudo para ajudar essas equipes a mudarem para uma estratégia de defesa proativa, com foco na eliminação das ameaças mais perigosas.
O estudo calculou o modelo Vulnerability Priority Rating (VPR), que a Tenable desenvolveu para refletir o cenário de ameaças atual. Os valores de VPR variam de 0,1 a 10, com valores mais altos indicando uma maior probabilidade de exploração. Conforme tabela abaixo.
| Categoria VPR | Alcance VPR |
| Crítico | 9,0 a 10 |
| Alto | 7,0 a 8,9 |
| Médio | 4,0 a 6,9 |
| Baixo | 0,1 a 3,9 |
Vulnerabilidades com VPR acima de 9,0 provavelmente serão exploradas se expostas, tornando-as alvos de alta prioridade. Em contraste, aquelas com VPRs entre 7,0 e 8,9 apresentam um risco moderado, enquanto categorias média e baixa (0,1 a 6,9) têm menos probabilidade de serem exploradas.
| Data | Crítico | Alto | Médio | Baixo | % Alta & Crítica |
| 02/06/2024 | 853,00 | 6.627,00 | 94.170,00 | 138.272,00 | 3,10% |
Por exemplo, em 2 de junho de 2024, o estudo analisou quase 240 mil vulnerabilidades e descobriu que apenas 3,1% delas — menos de 7.500 — foram classificadas como Críticas ou Altas.
“Sem um contexto, cada vulnerabilidade, patch e atualização se torna uma prioridade, tornando quase impossível manter todos os sistemas atualizados.” disse Arthur Capella, Country Manager, Tenable Brasil. “É essencial implementar o gerenciamento de exposição para priorizar o que realmente representa um risco para o negócio de forma clara. Todos os stakeholders devem entender esses riscos e se concentrar em prevenir ativamente aqueles que podem levar à exploração,” acrescentou.
O relatório completo, “The Critical Few: How to Expose and Close the Threats that Matter”, está disponível aqui.