O risco cibernético nas empresas está menos disperso do que parece e mais concentrado em poucos caminhos de ataque recorrentes. É o que revela uma análise da Vultus baseada em mais de 1.000 testes realizados, que mostra que a maior parte das invasões ainda começa pelos mesmos vetores de acesso inicial.
De acordo com dados, 45,2% dos acessos iniciais em ataques tiveram origem em vulnerabilidades de software. Na sequência aparecem abuso de credenciais, com 26,2%, e engenharia social, com 14,3%. Problemas de configuração representam 7,1%, comprometimento da cadeia de suprimentos 4,8% e ameaças internas 2,4%.
“O erro mais comum das empresas está em tratar o risco como se todas as ameaças tivessem o mesmo peso. Quando tudo vira prioridade, o esforço se dilui e o que realmente aumenta a chance de invasão acaba ficando para depois”, afirma Alexandre Brum, CEO da Vultus.
Os dados indicam que a maior parte da exposição crítica está concentrada em um número reduzido de vetores já conhecidos, na prática, cerca de 80% da exposição crítica se concentra neste grupo.
O cenário é pressionado por um ambiente de risco crescente. O Global Cybersecurity Outlook 2025, do World Economic Forum, aponta que 72% das organizações relatam aumento das ameaças cibernéticas, impulsionadas por ataques mais rápidos e escaláveis, muitas vezes potencializados pelo uso de inteligência artificial.
“Priorizar corretamente é o que diferencia uma operação reativa de uma estratégia de segurança efetiva. Não se trata de fazer tudo, mas de atacar primeiro o que mais expõe o negócio”, conclui Brum.
Imagem: divulgação.
