Um novo estudo de inteligência de mercado realizado pela Reflectiz, que entrevistou 128 responsáveis por decisões de segurança empresarial, assinala que se está a formar um fosso claro entre organizações que adotam um quadro moderno de gestão de exposições e as que seguem com modelos tradicionais. Não se trata tanto do tamanho do orçamento nem do sector, mas de uma escolha estratégica: as empresas que integraram a Continuous Threat Exposure Management (CTEM) mostram vantagens quantificáveis em visibilidade e adopção de soluções para as quais não o fizeram.
CTEM não é uma moda: é uma forma diferente de gerenciar a superfície de ataque que prioriza a detecção contínua e a validação de riscos reais frente ao adesivo reagente. Em vez de depender de revisões pontuais, CTEM persegue descobrir ativos, avaliar sua relevância para o negócio e priorizar mitigações com critério. Para entender seu lugar na evolução da cibersegurança, é útil contrastar com análise e recomendações de analistas como Gartner sobre a necessidade de se mover para modelos contínuos de gestão de ameaças: Gartner: How to manage cybersecurity threats, not episodes.
O relatório de Reflectiz revela números que convidam a reflectir: embora a grande maioria dos líderes de segurança conheça o conceito, a implementação real continua a ser minoritária. Apenas uma fração das organizações pesquisadas mudou a ideia para operações cotidianas, e essa diferença já se traduz em métricas concretas de vigilância e controle do ambiente digital.
Uma das razões pelas quais esta mudança não se materializa é a combinação de inércia organizacional e pressões competitivas: os responsáveis pela segurança são obrigados a priorizar entre projetos que competem por recursos, e vender uma iniciativa que exige mudanças em processos e ferramentas nem sempre é fácil. Mesmo assim, quando comparados pares por tamanho de superfície de exposição e resultados operacionais, emerge um padrão consistente: Mais complexidade sem automação contínua acaba por aumentar riscos e gerar pontos cegos difíceis de controlar manualmente.
Esse fenômeno se materializa no que o próprio estudo denomina a "brecha de visibilidade": a diferença entre os ativos que uma organização acredita que monitora e os que realmente existem e podem ser aproveitados por um atacante. À medida que uma empresa multiplica domínios, integrações e scripts, a superfície de ataque cresce exponencialmente e os métodos de supervisão pontuais deixam de ser eficazes. Quando o número de domínios supera certo limiar, a quantidade de artefatos conectados pode disparar até converter o panorama em um mosaico inmanejavel sem processos contínuos de descoberta e validação.
O contexto externo também empurra para a adoção de abordagens mais sólidas. Os incidentes relacionados com terceiros aumentaram nos últimos anos, o que reflectem inquéritos recentes à CISOs, e o custo médio de uma lacuna continua a ser muito elevado para a maioria das organizações. Relatórios como o da IBM sobre o custo das lacunas colocam o valor médio em vários milhões de dólares por incidente: IBM: Cost of a Data Breach Report. Ao mesmo tempo, marcos regulatórios e de cumprimento, como as versões mais recentes do PCI DSS, exigem monitoramento e controles mais estritos que obrigam a não confiar apenas em auditorias periódicas: PCI Security Standards Council.
Então, por que continuar a atrasar uma iniciativa do CTEM quando os sinais do mercado e da regulação impulsionam a sua adoção? A resposta não é única: parte do problema é que muitas organizações ainda tentam encaixar novas necessidades de supervisão em processos herdados. Outra parte provém da dificuldade de justificar investimentos na direcção se o argumento se situar em conceitos técnicos. Por isso, é imprescindível traduzir o valor de CTEM para métricas de negócio: redução de janelas de exposição, diminuição de incidentes atribuíveis a ativos desconhecidos, e melhoria da visibilidade global que evita sanções e custos de resposta.
Construir o caso de negócio para o CTEM passa por falar a língua do conselho de administração: impacto financeiro, redução de risco exponencial por superfície e capacidade de demonstrar controle contínuo contra auditores e parceiros. A nível operacional, a transição costuma implicar combinar inventário automático, validação contínua de dependências externas, priorização baseada em risco e automação de ações repetitivas, de forma que a equipe de segurança não fique presa em tarefas manuais que não escalam.
Não é necessário reinventar a roda de golpe. Existem práticas e marcos já bem documentados que ajudam a colocar bases sólidas para CTEM. A abordagem pode ser apoiada em padrões e guias de monitoramento contínuo e gerenciamento de riscos, como as publicações do NIST sobre monitoramento contínuo, que orientam sobre como integrar telemetria e processos de resposta em ciclos sustentáveis: NIST SP 800-137. A chave está em projetar uma progressão que combine pequenas vitórias táticas com a construção de capacidades estratégicas.
A foto que lança o mercado hoje é clara: as organizações que já apostaram no CTEM reportam melhores níveis de visibilidade e resultados operacionais. Isso não significa que a adoção seja trivial nem que todas as empresas devam correr sem plano. Significa, sim, que para ambientes com alto grau de exposição e terceiros, agarrar-se a controles periódicos é um risco que cresce com a complexidade. A questão relevante para equipes e líderes de segurança deixa de ser se CTEM traz valor e passa a ser se a arquitetura e os processos atuais podem sustentar o crescimento do ecossistema digital sem supervisão contínua.
Se quiser aprofundar os dados e os gráficos que ilustram estas conclusões, consulte o estudo completo publicado pelo Reflectiz: CTEM Divide 2026 — Reflectiz. Para uma perspectiva complementar sobre tendências em incidentes de terceiros, a pesquisa de CISOs de 2025 oferece contexto adicional: Panorays: CISO Survey 2025. E se o que procura é compreender o impacto económico potencial de não fechar a lacuna, o relatório de custos de lacuna de dados da IBM traz argumentos quantitativos que tendem a ser persuasivos perante a direcção: IBM Data Breach Report.
Em suma, a decisão já não se planta apenas no terreno técnico: é estratégica. Adotar uma gestão contínua de exposições pode marcar a diferença entre manter uma superfície de risco visível e controlável ou descobrir, demasiado tarde, que o verdadeiro problema era o que não estava a ser visto.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...