📰 Informação fresquinha chegando para você!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Durante trinta anos, o gerenciamento de vulnerabilidades funcionou com base no que agora parece ser um luxo impossível: um período de meses entre o momento em que uma vulnerabilidade foi encontrada e o momento em que alguém conseguiu descobrir como transformá-la em uma arma. Faça a triagem por gravidade, agende a correção, valide e siga em frente.
Esse buffer generoso foi o que fez todo o sistema funcionar.
A IA eliminou o arrasto manual que mantinha o processo de armamento lento. Ler o comunicado, encontrar o caminho, moldar a cadeia, testar o que funciona: nada disso pode mais se dar ao luxo de se mover na velocidade humana. Hoje, os prazos de divulgação para exploração são de horas, não de meses.
O Relógio de Dia Zero, que rastreia isso em tempo real, atualmente tem uma média de cerca de 8 horas para 2026, abaixo dos cerca de 53 dias de apenas dois anos atrás. O número muda à medida que novos dados chegam, mas neste ponto está firmemente abaixo de 24 horas.
Você não pode se livrar disso
O reflexo geralmente é apenas corrigir mais rápido. Mas a remediação não é simplesmente um interruptor que você aciona. Os patches aguardam diversas contingências: testes de regressão, janelas de mudança e compromissos de tempo de atividade. E hoje, infelizmente, todos os números que importam estão se movendo na direção errada.
O Relatório de investigações de violação de dados de 2026 da Verizon, elaborado com base em mais de 13.000 organizações, descobriu que:
O tempo médio de correção para vulnerabilidades exploradas conhecidas é agora de 43 dias, acima dos 32 do ano passado.
A parcela de organizações que os corrigem totalmente caiu de 38% para 26%.
Mesmo os melhores desempenhos eliminam apenas 30 a 40% dessas vulnerabilidades na primeira semana, uma taxa que praticamente não muda há anos.
Quando a ofensa ocorre em horas e a remediação em semanas, a violação ocorre no meio. E a pista está cada vez mais longa.
O volume garante isso: 48.185 CVEs em 2025, menos de 0,6% já corrigidos. "Consertar sua saída" deixou de ser uma matemática viável.
Pior ainda, estes são números pré-Mythos.
Mythos é o limite no qual os modelos de IA se tornaram capazes de encontrar e transformar vulnerabilidades em armas por conta própria, e não é teórico: o modelo da classe Mythos da Anthropic encontrou uma falha que estava escondida no OpenBSD, amplamente considerado como um dos sistemas operacionais mais seguros do mundo, por 27 anos.
A linha de base para 2025 tornou-se o piso, não o teto.
A questão não é mais “o que é vulnerável?” porque em uma lista onde tudo tem pontuação 9 ou 10, isso efetivamente não prioriza nada. A verdadeira questão passou a ser: "O que é realmente explorável contra nós, neste momento, com os controlos que já utilizamos?" Encontrar a exposição nunca foi a parte difícil. Provar a decisão certa (corrigir, mitigar, monitorar ou aceitar) é a lacuna crítica.
Do CVE a uma decisão defensável em horas, sem necessidade de exploração
O two-pager percorre todo o pipeline de encadeamento TTP de ponta a ponta.
Veja como o Picus decompõe qualquer CVE em sua cadeia técnica, testa cada etapa em relação aos seus controles reais e retorna um veredicto defensável sobre os ativos que uma exploração ativa nunca poderá alcançar.
Leia as duas páginas
Seu Pentest ficou mais rápido. Ainda não consegue alcançar o que importa.
A resposta popular tem sido automatizar o pentest.
As ferramentas automatizadas de pentesting fazem o teste de penetração manual que costumava acontecer uma vez por trimestre e o executam continuamente, em escala, disparando cadeias de exploração reais contra ativos reais. Onde isso pode acontecer, é a prova mais forte que existe: você observa o sucesso da exploração. Picus também faz isso, com testes de penetração autônomos. Nenhum argumento aí.
Mas, ao mesmo tempo que automatizar o lançamento, você fica mais rápido; isso não muda o que o lançamento pode alcançar.
A exploração ao vivo só funciona onde disparar uma exploração é seguro e onde existe uma exploração funcional. Isso deixa três lacunas que nenhuma ferramenta de pentest pode fechar, e empilhar as três juntas também não ajuda. Por que?
Nenhuma exploração, nada para disparar. Uma grande parte dos CVEs divulgados nunca consegue uma exploração pública ou segura. Sem nada para iniciar, a execução não pode dizer se eles podem ser explorados em seu ambiente.
Ativos que você não pode arriscar. Sistemas críticos para os negócios, regulamentados e isolados são exatamente aqueles contra os quais você não pode detonar uma exploração com segurança, e geralmente são os que mais importam.
A janela do primeiro dia. Armar um novo exploit e conectá-lo às suas ferramentas leva tempo. Os atacantes já estão se movendo enquanto o seu lançamento ainda está no banco.
Em uma empresa típica, a fatia que você pode explorar com segurança ao vivo geralmente é de apenas 10 a 15% da sua imagem de exposição total. Para os outros 85 a 90%, a execução não tem resposta a dar.
Teste no solo o foguete que você não consegue lançar
A maneira mais segura de provar que um foguete voará é lançá-lo. Mas nenhum programa espacial prova a sua frota dessa forma.
Alguns existem apenas como um projeto no papel, alguns são tripulados e valiosos demais para serem arriscados, e alguns ainda estão na linha de montagem. Então, os engenheiros provam isso no solo: impulso do motor em um suporte estático, testando o sistema de combustível e
Esse buffer generoso foi o que fez todo o sistema funcionar.
A IA eliminou o arrasto manual que mantinha o processo de armamento lento. Ler o comunicado, encontrar o caminho, moldar a cadeia, testar o que funciona: nada disso pode mais se dar ao luxo de se mover na velocidade humana. Hoje, os prazos de divulgação para exploração são de horas, não de meses.
O Relógio de Dia Zero, que rastreia isso em tempo real, atualmente tem uma média de cerca de 8 horas para 2026, abaixo dos cerca de 53 dias de apenas dois anos atrás. O número muda à medida que novos dados chegam, mas neste ponto está firmemente abaixo de 24 horas.
Você não pode se livrar disso
O reflexo geralmente é apenas corrigir mais rápido. Mas a remediação não é simplesmente um interruptor que você aciona. Os patches aguardam diversas contingências: testes de regressão, janelas de mudança e compromissos de tempo de atividade. E hoje, infelizmente, todos os números que importam estão se movendo na direção errada.
O Relatório de investigações de violação de dados de 2026 da Verizon, elaborado com base em mais de 13.000 organizações, descobriu que:
O tempo médio de correção para vulnerabilidades exploradas conhecidas é agora de 43 dias, acima dos 32 do ano passado.
A parcela de organizações que os corrigem totalmente caiu de 38% para 26%.
Mesmo os melhores desempenhos eliminam apenas 30 a 40% dessas vulnerabilidades na primeira semana, uma taxa que praticamente não muda há anos.
Quando a ofensa ocorre em horas e a remediação em semanas, a violação ocorre no meio. E a pista está cada vez mais longa.
O volume garante isso: 48.185 CVEs em 2025, menos de 0,6% já corrigidos. "Consertar sua saída" deixou de ser uma matemática viável.
Pior ainda, estes são números pré-Mythos.
Mythos é o limite no qual os modelos de IA se tornaram capazes de encontrar e transformar vulnerabilidades em armas por conta própria, e não é teórico: o modelo da classe Mythos da Anthropic encontrou uma falha que estava escondida no OpenBSD, amplamente considerado como um dos sistemas operacionais mais seguros do mundo, por 27 anos.
A linha de base para 2025 tornou-se o piso, não o teto.
A questão não é mais “o que é vulnerável?” porque em uma lista onde tudo tem pontuação 9 ou 10, isso efetivamente não prioriza nada. A verdadeira questão passou a ser: "O que é realmente explorável contra nós, neste momento, com os controlos que já utilizamos?" Encontrar a exposição nunca foi a parte difícil. Provar a decisão certa (corrigir, mitigar, monitorar ou aceitar) é a lacuna crítica.
Do CVE a uma decisão defensável em horas, sem necessidade de exploração
O two-pager percorre todo o pipeline de encadeamento TTP de ponta a ponta.
Veja como o Picus decompõe qualquer CVE em sua cadeia técnica, testa cada etapa em relação aos seus controles reais e retorna um veredicto defensável sobre os ativos que uma exploração ativa nunca poderá alcançar.
Leia as duas páginas
Seu Pentest ficou mais rápido. Ainda não consegue alcançar o que importa.
A resposta popular tem sido automatizar o pentest.
As ferramentas automatizadas de pentesting fazem o teste de penetração manual que costumava acontecer uma vez por trimestre e o executam continuamente, em escala, disparando cadeias de exploração reais contra ativos reais. Onde isso pode acontecer, é a prova mais forte que existe: você observa o sucesso da exploração. Picus também faz isso, com testes de penetração autônomos. Nenhum argumento aí.
Mas, ao mesmo tempo que automatizar o lançamento, você fica mais rápido; isso não muda o que o lançamento pode alcançar.
A exploração ao vivo só funciona onde disparar uma exploração é seguro e onde existe uma exploração funcional. Isso deixa três lacunas que nenhuma ferramenta de pentest pode fechar, e empilhar as três juntas também não ajuda. Por que?
Nenhuma exploração, nada para disparar. Uma grande parte dos CVEs divulgados nunca consegue uma exploração pública ou segura. Sem nada para iniciar, a execução não pode dizer se eles podem ser explorados em seu ambiente.
Ativos que você não pode arriscar. Sistemas críticos para os negócios, regulamentados e isolados são exatamente aqueles contra os quais você não pode detonar uma exploração com segurança, e geralmente são os que mais importam.
A janela do primeiro dia. Armar um novo exploit e conectá-lo às suas ferramentas leva tempo. Os atacantes já estão se movendo enquanto o seu lançamento ainda está no banco.
Em uma empresa típica, a fatia que você pode explorar com segurança ao vivo geralmente é de apenas 10 a 15% da sua imagem de exposição total. Para os outros 85 a 90%, a execução não tem resposta a dar.
Teste no solo o foguete que você não consegue lançar
A maneira mais segura de provar que um foguete voará é lançá-lo. Mas nenhum programa espacial prova a sua frota dessa forma.
Alguns existem apenas como um projeto no papel, alguns são tripulados e valiosos demais para serem arriscados, e alguns ainda estão na linha de montagem. Então, os engenheiros provam isso no solo: impulso do motor em um suporte estático, testando o sistema de combustível e
#samirnews #samir #news #boletimtec #a #exploração #não #existe. #você #ainda #pode #provar #que #funciona #contra #você
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário