Os dados recentes sobre remediação de vulnerabilidades obrigam a repensar a estratégia de defesa: não basta acelerar processos nem aumentar modelos. Um estudo abrangente da unidade de pesquisa de ameaças de Qualys, que analisa mais de mil milhões de registros de remediação e dezenas de milhares de organizações durante quatro anos, mostra que a realidade operacional ultrapassou a capacidade humana para reagir a tempo. A arquitetura de defesa deve mudar Se queremos manter a vantagem contra atacantes que usam automação e agentes baseados em IA.
Segundo essa análise, o chamado Time-to-Exploit – o intervalo entre a publicação de uma vulnerabilidade e sua exploração ativa – já colapsau em média a valores negativos, o que significa que muitas falhas são aproveitadas antes mesmo de haver um adesivo. Essa conclusão não é isolada: relatórios da indústria como Google M-Tendências Também documentam uma aceleração nas janelas de exploração. Quando a vantagem do atacante é medida em dias e a resposta das organizações em meses, o modelo reagente tradicional fica obsoleto.
O estudo de Qualys coloca números que escalam essa sensação. Enquanto o volume de vulnerabilidades tratadas por equipes cresceu várias vezes em poucos anos, a porcentagem de vulnerabilidades críticas ainda abertas aos sete dias aumentou: mais esforço não se traduz em menor risco na cauda longa de exposição. Os pesquisadores falam de um "techo humano": há um limite estrutural que não corrige mais pessoal ou melhores processos manuais.
Dois conceitos ajudam a entender por que as métricas habituais enganam. O primeiro, que os autores chamam de "Manual Tax", descreve como os ativos menos visíveis ou fora do alcance dos fluxos humanos arrastam a exposição do conjunto desde semanas a meses. O segundo é a proposta de mudar o foco de contar CVE para medir a exposição acumulada: quantos ativos vulneráveis existem multiplicados pelos dias que permanecem expostos, o que é chamado no relatório. Risk Mass. Junto a isto, a Average Window of Exposure (AWE) captura a duração completa desde a inicial weaponização até a remediação efetiva na organização.
Esses indicadores mostram outra verdade desconfortável: o que brilha nos dashboards — a corrida por aplicar adesivos logo — geralmente representa menos de 20% da janela real de exposição. O resto provém da janela cega anterior à publicação do adesivo e da longa fila de sistemas que nunca chegam a ser rápidos. Casos bem documentados como Follina e Spring4Shell ilustram a distância entre a primeira exploração e o tempo médio que levam as empresas a corrigir a falha. Para consultas técnicas e rastreabilidade, as entradas públicas da NVD são recursos úteis, por exemplo CVE-2022-30190 (Follina) e CVE-2022-22965 (Spring4Shell).
Outro achado contundente do estudo é que uma proporção esmagadora de vulnerabilidades realmente weaponizadas foram adesivos mais lentamente do que o tempo em que foram exploradas; em certos grupos de incidentes, a exploração precedeu a existência de um adesivo válido. Isso sublinha que o problema não é apenas a velocidade: é o modelo operacional inteiro que segue dependendo de sequências humanas para descobrir, priorizar, abrir tickets e executar remediações.
O avanço e a democratização de ferramentas da IA marcam uma inflexão: a automação ofensiva já pode descobrir, projetar exploits e executar ataques a uma velocidade que os equipamentos humanos não alcançam. Durante a fase de transição em que os atacantes empregam IA a ritmo autônomo e os defensores continuam operando em tempos humanos, abre-se uma janela especialmente perigosa. Não se trata apenas de um novo perímetro que proteger, mas de uma transformação nas capacidades do adversário.
Diante dessa realidade, a mudança proposta não é eliminar as pessoas do processo, mas remover a latência humana do caminho crítico e elevar a função humana para a governação de sistemas autónomos. A alternativa ao modelo de digitalização-informe-tiquetado manual é um centro de operações de risco - um Risk Operations Center - onde a inteligência chegue em forma de lógica legível por máquina, onde exista verificação ativa de se uma vulnerabilidade é explorável em um ambiente concreto e onde a ação pode ser executada de forma fechada e automática quando as políticas o permitam.
Nessa arquitetura, a intervenção humana concentra-se em definir e governar regras que priorizam riscos reais, em validar exceções e auditar o comportamento dos agentes automatizados. Assim, as equipes passam de executar tarefas operacionais repetitivas a desempenhar papéis de controle estratégico e design de políticas, o que é mais escalável frente ao aumento contínuo de superfícies de ataque e à proliferação de identidades e serviços na nuvem.
Uma má notícia é que a quantidade de vulnerabilidades publicadas continuará crescendo e que o Time-to-Exploit não voltará a tempos longos por si só. A boa notícia é que já existem princípios e tecnologias que permitem colmatar o fosso: correlação em tempo real entre inteligência de ameaças e telemetria do ativo, avaliações de exploração específicas do ambiente, e fluxos de remediação automatizados que podem bloquear ou mitigar vetores enquanto se prepara uma reparação definitiva.
Essa abordagem exige também mudar as métricas de sucesso. Deixar de celebrar apenas a velocidade do adesivo vista em medianas e adotar métricas que reflitam a exposição acumulada e as janelas reais de risco permite tomar decisões mais acertadas sobre onde investir automação, segmentação e medidas compensatórias. Medir Risk Mass e AWE devolve foco ao que realmente reduz a probabilidade de lacunas, em vez de alimentar ciclos de trabalho que só reduzem conteos de tickets.
Não é uma transformação trivial: implica integrar inteligência de ameaças, capacidades de orquestração de segurança, validação ativa no ambiente e mecanismos de execução autônoma com controles de governança. Na prática, algumas organizações já experimentam com automatizar tarefas críticas - confirmação de exploração, atenuações temporárias, implantação de adesivos em canais controlados - e reservam a intervenção humana para decisões de maior impacto. Para aqueles que procuram aprofundar estes resultados e recomendações concretas, o relatório completo do Qualys desenvolve a metodologia e os dados por trás destas conclusões: The Broken Physics of Remediation.
Também é útil rever as fontes públicas que documentam vulnerabilidades ativamente exploradas e as prioridades que deveriam orientar as operações: o catálogo de vulnerabilidades exploradas conhecido pela CISA é uma referência prática para priorizar resposta em infra-estruturas críticas ( CISA KEV).
Em suma, a lição é clara: manter mais pessoas e apilar processos não irá parar a erosão de vantagem contra atacantes automatizados. A resposta passa por uma arquitetura de risco que encerra o caminho crítico humano com autonomia responsável, inteligência integrável e métricas que mostrem exposição real. Se essa transformação não for adotada em grande escala, a janela entre defesa humana e ofensiva autônoma continuará a fechar-se — e fá-lo-á a favor daqueles que já programam ataques que não esperam.
Para equipes que queiram explorar soluções práticas e casos de implementação, existem eventos e recursos onde se discutem estratégias de automação de remediação e operação de risco; por exemplo, Qualys organiza conferências e materiais sobre essas temáticas que podem servir como ponto de partida: ROCON EMEA e a própria página de Qualys com guias e ferramentas ( Qualys).
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...