Fri, 10 Apr 2026
← VoltarVulnerabilidades críticas permanecem abertas por mais tempo, apesar do aumento dos esforços de correção; a arquitetura de defesa deve mudar fundamentalmente para enfrentar as ameaças rápidas impulsionadas pela IA.
Autor: Saeed Abbasi, gerente sênior, Unidade de Pesquisa de Ameaças, Qualys Com o tempo de exploração agora negativo em sete dias e agentes autônomos de IA acelerando ameaças, os dados não suportam mais melhorias incrementais. A arquitetura da defesa deve mudar. O que os líderes precisam saber A análise das vulnerabilidades exploradas conhecidas da CISA nos últimos quatro anos mostra que as vulnerabilidades críticas ainda abertas no dia 7 pioraram de 56% para 63%, apesar das equipes fecharem 6,5 vezes mais tickets. A equipe não pode resolver isso.
Das 52 vulnerabilidades armadas rastreadas em nosso estudo, 88% foram corrigidas mais lentamente do que exploradas – metade foi transformada em armas antes de qualquer patch existir. O problema não é a velocidade. É o próprio modelo operacional. A exposição cumulativa, e não a contagem de CVE, é a verdadeira métrica de risco que as equipes de segurança agora precisam medir.
Embora os painéis recompensem o sprint para implementar os patches, as violações exploram a cauda. A IA não é outra superfície de ataque – em vez disso, o período de transição em que os atacantes alimentados pela IA enfrentam os defensores humanos é a janela mais perigosa da indústria. Em resposta, os defensores têm de implementar as suas próprias operações de risco autónomas e de circuito fechado. A nova pesquisa da Broken Physics da Qualys Threat Research Unit, analisando mais de um bilhão de registros de remediação CISA KEV de 10.000 organizações ao longo de quatro anos, quantifica o que a indústria há muito suspeitava, mas nunca provou em escala.
O modelo operacional que sustenta a segurança empresarial está quebrado. Os volumes de vulnerabilidade cresceram 6,5 vezes desde 2022. De acordo com o Google M-Trends 2026, o tempo médio de exploração caiu para sete dias negativos; em outras palavras, os adversários estão armando as vulnerabilidades mais sérias antes que existam patches. A porcentagem de vulnerabilidades críticas ainda abertas em sete dias aumentou de 56% para 63%.
Mas isso não é por falta de esforço. As organizações fecharam 400 milhões de eventos de vulnerabilidade a mais anualmente agora do que no início. As equipes trabalham mais, mas não conseguem fazer a diferença onde é importante. Nossos pesquisadores chamam isso de “teto humano” – um limite estrutural que nenhuma quantidade de pessoal ou maturidade de processo pode superar.
A restrição não é esforço. É o próprio modelo. Das 52 vulnerabilidades armadas de alto perfil rastreadas com cronogramas de exploração completos, 88% foram corrigidas mais lentamente do que exploradas. Por exemplo, o Spring4Shell foi explorado dois dias antes da divulgação, mas a empresa média precisou de 266 dias para remediar.
Da mesma forma, a falha no Cisco IOS XE foi transformada em arma um mês antes; o fechamento médio foi de 263 dias. A vantagem do atacante foi medida em dias. A resposta do defensor foi medida em temporadas. Isto não é uma falha de inteligência.
É uma falha de operacionalização. Avance na remediação e no risco Para entender o futuro em torno das operações de risco, da IA e do gerenciamento da remediação em escala, venha para a ROCON EMEA, a Conferência do Centro de Operações de Risco. Junte-se aos seus colegas e saiba mais sobre a correção automatizada. Registre-se hoje mesmo O Imposto Manual e a Massa de Risco O relatório identifica um "Imposto Manual" — o efeito multiplicador onde ativos de cauda longa que os processos humanos não conseguem alcançar arrastam a exposição de semanas para meses.
Para Spring4Shell, a remediação média foi 5,4 vezes a mediana. A mediana conta uma história administrável. A média diz a verdade. Os sistemas de infraestrutura enfrentam uma realidade mais dura: para o Cisco IOS XE, até a mediana foi de 232 dias — em comparação com as medianas dos endpoints consistentemente abaixo de 14.
Quando o melhor resultado é oito meses, o imposto manual não é mais um multiplicador. É a linha de base. Olhar para os números médios já não é útil para a tomada de decisões. Em vez disso, olhar para a Massa de Risco – activos vulneráveis multiplicados pelos dias expostos – capta o que a contagem de CVE obscura em torno da exposição cumulativa.
Uma métrica complementar, Janela Média de Exposição (AWE), mede a duração total desde o armamento até a remediação em todo o ambiente. Por exemplo, Follina foi armado 30 dias antes antes da divulgação com fechamento médio no dia 55. No entanto, o AWE se estendeu para 85 dias. Embora o ponto cego antes da divulgação tenha sido responsável por 36% desses 85 dias, a longa cauda dos patches foi responsável por mais 44%.
No total, a pré-divulgação e a cauda longa juntas representam 80 por cento. O sprint medido é inferior a 20. Ao mesmo tempo, das 48.172 vulnerabilidades divulgadas em 2025, apenas 357 foram exploráveis remotamente e ativamente transformadas em armas. As organizações estão queimando ciclos de remediação com base na exposição teórica, enquanto persistem lacunas genuinamente exploráveis.
Por que a lacuna irá aumentar A segurança cibernética funciona há muito tempo como um derivado das mudanças tecnológicas – a segurança do Windows seguiu o Windows, a segurança na nuvem seguiu a nuvem. Os principais profissionais e investidores argumentam agora que a IA quebra esse padrão. Não se trata apenas de uma nova superfície a defender; é uma transformação fundamental do próprio adversário. Os agentes ofensivos já podem descobrir, armar e executar mais rapidamente do que qualquer operação com pessoal humano pode responder.
Os dados de remediação provam que os humanos não conseguem acompanhar o ritmo hoje. A IA autônoma garante que a lacuna se acelerará amanhã. O período de transição — em que os atacantes alimentados por IA enfrentam defensores da velocidade humana — representa a janela mais perigosa da indústria, agravada pelas vulnerabilidades estruturais que dominam o curto prazo: superfícies de ataque expandidas para além do que as equipas podem controlar, expansão de identidades que ultrapassa as políticas e fluxos de trabalho de remediação ainda baseados na execução manual. O modelo tradicional de verificação e relatório foi criado para volumes menores de CVEs e prazos de exploração mais longos.
O que o substitui é um Centro de Operações de Risco de ponta a ponta: inteligência incorporada que chega como lógica de decisão legível por máquina, confirmação ativa que valida se uma vulnerabilidade é realmente explorável em um ambiente específico e ação autônoma que comprime a resposta à escala de tempo que a ameaça exige. O objectivo não é eliminar o julgamento humano, mas elevá-lo, transferindo os profissionais da execução táctica para a governação das políticas que dirigem os seus próprios sistemas autónomos. As organizações que já estão vencendo a lacuna física não estão ganhando com equipes maiores. Eles estão vencendo porque removeram a latência humana do caminho crítico.
Como as equipes de segurança podem preencher a lacuna de risco O modelo de verificação e relatório — descoberta, pontuação, ticket, roteamento manual — foi criado para volumes menores e prazos de exploração mais longos. O que o substitui é um Centro de Operações de Risco de ponta a ponta: inteligência incorporada que chega como lógica de decisão legível por máquina, confirmação ativa que valida se uma vulnerabilidade é realmente explorável em um ambiente específico e ação autônoma que comprime a resposta à escala de tempo que a ameaça exige. O objectivo não é eliminar o julgamento humano, mas elevá-lo – transferindo os profissionais da execução táctica para a governação das políticas que dirigem os sistemas autónomos. As organizações que já estão vencendo a lacuna física não estão ganhando com equipes maiores.
Eles estão vencendo porque removeram a latência humana do caminho crítico. O Time-to-Exploit não retornará aos números positivos. O volume de vulnerabilidade não se estabilizará. O modelo reativo atingiu um teto matemático rígido.
A única questão que resta é se as organizações utilizarão a arquitetura para corresponder à matemática – antes que a janela entre a defesa à escala humana e o ataque à escala autónoma se feche para sempre. Entre em contato com a Qualys para obter insights sobre como as empresas gerenciam a correção em escala com automação e IA e como você pode fazer essa diferença agora mesmo.