🌟 Atualização imperdível para quem gosta de estar bem informado!
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Autor: Saeed Abbasi, Gerente Sênior, Unidade de Pesquisa de Ameaças, Qualys
Com o tempo de exploração agora negativo em sete dias e agentes autônomos de IA acelerando as ameaças, os dados não suportam mais melhorias incrementais. A arquitetura da defesa deve mudar.
O que os líderes precisam saber
A análise das vulnerabilidades exploradas conhecidas da CISA nos últimos quatro anos mostra que as vulnerabilidades críticas ainda abertas no dia 7 pioraram de 56% para 63%, apesar das equipes fecharem 6,5 vezes mais tickets. A equipe não pode resolver isso.
Das 52 vulnerabilidades armadas rastreadas em nosso estudo, 88% foram corrigidas mais lentamente do que exploradas – metade foi transformada em armas antes de qualquer patch existir.
O problema não é a velocidade. É o próprio modelo operacional.
A exposição cumulativa, e não a contagem de CVE, é a verdadeira métrica de risco que as equipes de segurança agora precisam medir. Embora os painéis recompensem o sprint para implementar os patches, as violações exploram a cauda. A IA não é outra superfície de ataque – em vez disso, o período de transição em que os atacantes alimentados pela IA enfrentam os defensores humanos é a janela mais perigosa da indústria.
Em resposta, os defensores têm de implementar as suas próprias operações de risco autónomas e de circuito fechado.
A física quebrada
Uma nova pesquisa da Unidade de Pesquisa de Ameaças Qualys, analisando mais de um bilhão de registros de remediação CISA KEV de 10.000 organizações ao longo de quatro anos, quantifica o que a indústria há muito suspeitava, mas nunca provou em escala. O modelo operacional que sustenta a segurança empresarial está quebrado.
Os volumes de vulnerabilidade cresceram 6,5 vezes desde 2022. De acordo com o Google M-Trends 2026, o tempo médio de exploração caiu para sete dias negativos; em outras palavras, os adversários estão armando as vulnerabilidades mais sérias antes que existam patches. A porcentagem de vulnerabilidades críticas ainda abertas em sete dias aumentou de 56% para 63%.
Mas isso não é por falta de esforço. As organizações fecharam 400 milhões de eventos de vulnerabilidade a mais anualmente agora do que no início. As equipes trabalham mais, mas não conseguem fazer a diferença onde é importante. Nossos pesquisadores chamam isso de “teto humano” – um limite estrutural que nenhuma quantidade de pessoal ou maturidade de processo pode superar. A restrição não é esforço. É o próprio modelo.
Das 52 vulnerabilidades armadas de alto perfil rastreadas com cronogramas de exploração completos, 88% foram corrigidas mais lentamente do que exploradas. Por exemplo, o Spring4Shell foi explorado dois dias antes da divulgação, mas a empresa média precisou de 266 dias para remediar.
Da mesma forma, a falha no Cisco IOS XE foi transformada em arma um mês antes; o fechamento médio foi de 263 dias.
A vantagem do atacante foi medida em dias. A resposta do defensor foi medida em temporadas. Isto não é uma falha de inteligência. É uma falha de operacionalização.
Avance na remediação e no risco
Para compreender o futuro em torno das operações de risco, da IA e da gestão da remediação em escala, venha à ROCON EMEA, a Conferência do Centro de Operações de Risco.
Junte-se aos seus colegas e saiba mais sobre a correção automatizada.
Cadastre-se hoje
O Manual Fiscal e a Massa de Risco
O relatório identifica um “imposto manual” – o efeito multiplicador em que os ativos de cauda longa que os processos humanos não conseguem alcançar arrastam a exposição de semanas para meses. Para Spring4Shell, a remediação média foi 5,4 vezes a mediana.
A mediana conta uma história administrável. A média diz a verdade. Os sistemas de infraestrutura enfrentam uma realidade mais dura: para o Cisco IOS XE, até a mediana foi de 232 dias — em comparação com as medianas dos endpoints consistentemente abaixo de 14. Quando o melhor resultado é oito meses, o imposto manual não é mais um multiplicador. É a linha de base.
Olhar para os números médios já não é útil para a tomada de decisões. Em vez disso, olhar para a Massa de Risco – activos vulneráveis multiplicados pelos dias expostos – capta o que a contagem de CVE obscura em torno da exposição cumulativa. Uma métrica complementar, Janela Média de Exposição (AWE), mede a duração total desde o armamento até a remediação em todo o ambiente.
Por exemplo, Follina foi transformada em arma 30 dias antes da divulgação, com um fechamento médio no dia 55.
No entanto, o AWE estendeu-se para 85 dias. Embora o ponto cego antes da divulgação tenha sido responsável por 36% desses 85 dias, a longa cauda dos patches foi responsável por mais 44%. No total, a pré-divulgação e a cauda longa juntas representam 80 por cento. O sprint medido é inferior a 20.
Ao mesmo tempo, das 48.172 vulnerabilidades divulgadas em 2025, apenas 357 eram exploráveis remotamente e ativamente transformadas em armas. As organizações estão queimando ciclos de remediação com base na exposição teórica, enquanto persistem lacunas genuinamente exploráveis.
Por que a lacuna aumentará
A segurança cibernética funciona há muito tempo como um derivado das mudanças tecnológicas – a segurança do Windows seguiu o Windows, a segurança na nuvem seguiu a nuvem. Os principais profissionais e investidores argumentam agora
Com o tempo de exploração agora negativo em sete dias e agentes autônomos de IA acelerando as ameaças, os dados não suportam mais melhorias incrementais. A arquitetura da defesa deve mudar.
O que os líderes precisam saber
A análise das vulnerabilidades exploradas conhecidas da CISA nos últimos quatro anos mostra que as vulnerabilidades críticas ainda abertas no dia 7 pioraram de 56% para 63%, apesar das equipes fecharem 6,5 vezes mais tickets. A equipe não pode resolver isso.
Das 52 vulnerabilidades armadas rastreadas em nosso estudo, 88% foram corrigidas mais lentamente do que exploradas – metade foi transformada em armas antes de qualquer patch existir.
O problema não é a velocidade. É o próprio modelo operacional.
A exposição cumulativa, e não a contagem de CVE, é a verdadeira métrica de risco que as equipes de segurança agora precisam medir. Embora os painéis recompensem o sprint para implementar os patches, as violações exploram a cauda. A IA não é outra superfície de ataque – em vez disso, o período de transição em que os atacantes alimentados pela IA enfrentam os defensores humanos é a janela mais perigosa da indústria.
Em resposta, os defensores têm de implementar as suas próprias operações de risco autónomas e de circuito fechado.
A física quebrada
Uma nova pesquisa da Unidade de Pesquisa de Ameaças Qualys, analisando mais de um bilhão de registros de remediação CISA KEV de 10.000 organizações ao longo de quatro anos, quantifica o que a indústria há muito suspeitava, mas nunca provou em escala. O modelo operacional que sustenta a segurança empresarial está quebrado.
Os volumes de vulnerabilidade cresceram 6,5 vezes desde 2022. De acordo com o Google M-Trends 2026, o tempo médio de exploração caiu para sete dias negativos; em outras palavras, os adversários estão armando as vulnerabilidades mais sérias antes que existam patches. A porcentagem de vulnerabilidades críticas ainda abertas em sete dias aumentou de 56% para 63%.
Mas isso não é por falta de esforço. As organizações fecharam 400 milhões de eventos de vulnerabilidade a mais anualmente agora do que no início. As equipes trabalham mais, mas não conseguem fazer a diferença onde é importante. Nossos pesquisadores chamam isso de “teto humano” – um limite estrutural que nenhuma quantidade de pessoal ou maturidade de processo pode superar. A restrição não é esforço. É o próprio modelo.
Das 52 vulnerabilidades armadas de alto perfil rastreadas com cronogramas de exploração completos, 88% foram corrigidas mais lentamente do que exploradas. Por exemplo, o Spring4Shell foi explorado dois dias antes da divulgação, mas a empresa média precisou de 266 dias para remediar.
Da mesma forma, a falha no Cisco IOS XE foi transformada em arma um mês antes; o fechamento médio foi de 263 dias.
A vantagem do atacante foi medida em dias. A resposta do defensor foi medida em temporadas. Isto não é uma falha de inteligência. É uma falha de operacionalização.
Avance na remediação e no risco
Para compreender o futuro em torno das operações de risco, da IA e da gestão da remediação em escala, venha à ROCON EMEA, a Conferência do Centro de Operações de Risco.
Junte-se aos seus colegas e saiba mais sobre a correção automatizada.
Cadastre-se hoje
O Manual Fiscal e a Massa de Risco
O relatório identifica um “imposto manual” – o efeito multiplicador em que os ativos de cauda longa que os processos humanos não conseguem alcançar arrastam a exposição de semanas para meses. Para Spring4Shell, a remediação média foi 5,4 vezes a mediana.
A mediana conta uma história administrável. A média diz a verdade. Os sistemas de infraestrutura enfrentam uma realidade mais dura: para o Cisco IOS XE, até a mediana foi de 232 dias — em comparação com as medianas dos endpoints consistentemente abaixo de 14. Quando o melhor resultado é oito meses, o imposto manual não é mais um multiplicador. É a linha de base.
Olhar para os números médios já não é útil para a tomada de decisões. Em vez disso, olhar para a Massa de Risco – activos vulneráveis multiplicados pelos dias expostos – capta o que a contagem de CVE obscura em torno da exposição cumulativa. Uma métrica complementar, Janela Média de Exposição (AWE), mede a duração total desde o armamento até a remediação em todo o ambiente.
Por exemplo, Follina foi transformada em arma 30 dias antes da divulgação, com um fechamento médio no dia 55.
No entanto, o AWE estendeu-se para 85 dias. Embora o ponto cego antes da divulgação tenha sido responsável por 36% desses 85 dias, a longa cauda dos patches foi responsável por mais 44%. No total, a pré-divulgação e a cauda longa juntas representam 80 por cento. O sprint medido é inferior a 20.
Ao mesmo tempo, das 48.172 vulnerabilidades divulgadas em 2025, apenas 357 eram exploráveis remotamente e ativamente transformadas em armas. As organizações estão queimando ciclos de remediação com base na exposição teórica, enquanto persistem lacunas genuinamente exploráveis.
Por que a lacuna aumentará
A segurança cibernética funciona há muito tempo como um derivado das mudanças tecnológicas – a segurança do Windows seguiu o Windows, a segurança na nuvem seguiu a nuvem. Os principais profissionais e investidores argumentam agora
#samirnews #samir #news #boletimtec #a #análise #de #um #bilhão #de #registros #de #remediação #cisa #kev #expõe #os #limites #da #segurança #em #escala #humana
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário