Durante anos, a gestão de vulnerabilidades assentou numa premissa razoável: entre a divulgação de uma vulnerabilidade e a sua exploração ativa existia uma janela de tempo suficiente para aplicar correções. Essa premissa está agora desfeita. A inteligência artificial comprimiu o tempo médio entre a divulgação de uma CVE e a existência de um exploit funcional para menos de dez horas — em alguns casos, para menos de 24 horas. O tempo médio de remediação nas organizações? 43 dias, segundo o relatório DBIR 2026 da Verizon. O fosso nunca foi tão largo, e as suas consequências nunca foram tão imediatas.
A aritmética que torna a gestão de vulnerabilidades tradicional obsoleta
Até há poucos anos, a janela entre a publicação de um patch e a sua exploração em larga escala era de semanas ou meses — tempo suficiente para que as equipas de segurança avaliassem, testassem e implantassem atualizações de forma controlada. A IA colapsou essa janela de forma drástica. O tempo médio de exploração, que era de 2,3 anos em 2018, desceu para aproximadamente dez horas em 2026, segundo dados do Picus Labs. Casos documentados este ano mostram vulnerabilidades críticas — como a CVE-2026-1731 no BeyondTrust — a serem armadas em menos de 24 horas após a publicação da prova de conceito.
Em paralelo, o Verizon DBIR 2026 revela que apenas 26% das vulnerabilidades listadas no catálogo KEV da CISA foram completamente remediadas pelas organizações inquiridas — uma descida face aos 38% do ano anterior. O tempo mediano de patch situou-se nos 43 dias. A CISA, consciente desta realidade, estará a considerar reduzir a janela de remediação padrão de duas semanas para três dias.
O resultado desta aritmética é perturbador: as organizações estão sistematicamente a tentar fechar janelas de risco que os atacantes já atravessaram.
O problema mais profundo: os controlos existem, mas não funcionam como esperado
A aceleração dos tempos de exploração agrava um problema pré-existente: os controlos de segurança já instalados não têm o desempenho que as organizações assumem. O Blue Report 2025 da Picus Security, baseado em milhões de simulações reais, revela dados concretos:
- Os controlos de segurança apenas previnem 62% dos ataques — um em cada três passa sem ser bloqueado;
- Apenas 54% dos ataques bem-sucedidos são registados nos sistemas de log;
- Menos de 14% dos ataques geram um alerta — o que significa que 86% passam em silêncio.
A causa não é, regra geral, a ausência de ferramentas. É a deriva operacional: configurações que ficam desatualizadas, regras que se tornam obsoletas, integrações que deixam de funcionar sem que ninguém se aperceba. Num ambiente em constante mutação, a suposição de que uma ferramenta configurada uma vez funciona indefinidamente é uma das principais fontes de risco.
BAS: validar em vez de assumir
É neste contexto que a adoção de plataformas de Breach and Attack Simulation (BAS) está a crescer entre CISOs e responsáveis de segurança. O BAS é uma metodologia de validação contínua e automatizada que simula ataques reais — com base em TTPs documentadas no framework MITRE ATT&CK — para verificar se os controlos de segurança estão a funcionar como esperado, em tempo real e no ambiente de produção.
Ao contrário de um teste de intrusão pontual, o BAS opera de forma contínua, cobrindo as quatro camadas fundamentais de uma arquitetura de defesa em profundidade:
- Camada de rede — valida firewalls de nova geração (NGFW), IPS/IDS e gateways, testando se bloqueiam tráfego malicioso, tentativas de exfiltração e comunicações C2;
- Camada de endpoint — avalia soluções EDR, EPP e antivírus contra ransomware, malware, movimentos laterais e exploração de vulnerabilidades em sistemas operativos;
- Camada de aplicação — testa WAF e gateways de e-mail contra injeções SQL/XSS, payloads de phishing, e técnicas de evasão;
- Camada de dados — verifica políticas DLP contra exfiltração de dados sensíveis por múltiplos canais.
O resultado de cada simulação não é apenas um relatório de lacunas: é uma sugestão de mitigação acionável — muitas vezes uma regra de firewall ou uma assinatura de deteção — que a equipa pode implementar imediatamente, sem investigação manual adicional.
BAS e CTEM: validação contínua no ciclo de exposição
O BAS enquadra-se naturalmente na abordagem de Continuous Threat Exposure Management (CTEM), o modelo operacional proposto pelo Gartner para substituir a gestão de vulnerabilidades baseada em scanning periódico. No ciclo CTEM, o BAS cumpre a função de validação: confirma quais as exposições identificadas que são genuinamente exploráveis no ambiente real, permitindo priorizar remediações com base em risco efetivo e não apenas em scores CVSS teóricos.
Esta distinção é cada vez mais relevante: a superfície de ataque moderna é demasiado extensa para remediar tudo. O BAS ajuda as organizações a perceber o que é urgente — porque foi testado e comprovado como explorável — e o que pode aguardar.
Porque é que isto importa para Portugal
O Decreto-Lei n.º 125/2025, que transpõe a Diretiva NIS2 para o ordenamento jurídico português, impõe às entidades abrangidas a obrigação de adotar medidas de gestão do risco cibernético proporcionais à sua exposição — incluindo a verificação regular da eficácia dos controlos implementados. O BAS responde diretamente a este requisito: fornece evidência objetiva e contínua de que os controlos funcionam (ou não), algo que um relatório de conformidade estático não consegue garantir.
Para organizações que operam em setores essenciais ou importantes — saúde, energia, banca, administração pública, infraestruturas digitais — a capacidade de demonstrar que os controlos foram testados contra ameaças reais e recentes é simultaneamente uma exigência regulatória e uma vantagem operacional.
Num cenário em que a IA permite gerar exploits em horas e as janelas de remediação se medem em dias, esperar pelo próximo pentest anual é, simplesmente, demasiado tarde.
Esta informação tem caráter noticioso e baseia-se em dados divulgados publicamente pelo Verizon DBIR 2026, pelo Picus Security Blue Report 2025, pela Infosecurity Magazine, pelo Bleeping Computer e por outras fontes especializadas referenciadas no corpo do texto.