Sumário executivo — Este report analisa o papel da Breach and Attack Simulation (BAS) na validação contínua de controlos de segurança, num contexto em que a inteligência artificial comprimiu o tempo médio de exploração de vulnerabilidades para menos de dez horas e o tempo mediano de remediação nas organizações permanece nos 43 dias. Descreve a anatomia de uma arquitetura de defesa em profundidade, os dados empíricos que demonstram a sua insuficiência quando não validada, e o modelo de integração do BAS em cada camada — rede, endpoint, aplicação e dados. Conclui com um enquadramento regulatório no contexto da NIS2/Decreto-Lei n.º 125/2025.
1. O colapso da janela de remediação
A gestão de vulnerabilidades baseada em ciclos de patch periódicos pressupõe que existe tempo entre a divulgação de uma vulnerabilidade e a sua exploração em larga escala. Este pressuposto foi sistematicamente invalidado ao longo de 2025–2026.
Dados de referência
| Indicador | Valor | Fonte |
|---|---|---|
| Tempo médio CVE-to-exploit (2018) | 2,3 anos | Picus Labs / Bleeping Computer 2026 |
| Tempo médio CVE-to-exploit (2026) | ~10 horas | Picus Labs / Bleeping Computer 2026 |
| Tempo mediano de patch nas organizações | 43 dias | Verizon DBIR 2026 |
| CVEs KEV totalmente remediadas | 26% (↓ de 38% em 2025) | Verizon DBIR 2026 |
| Exploração zero-day antes de divulgação pública (↑) | +42% YoY | CrowdStrike 2026 Global Threat Report |
| Tempo mínimo de exploração documentado | 6h 40min após patch | Infosecurity Magazine / Bayer CISO, 2026 |
| Janela KEV proposta pela CISA (em consulta) | 3 dias (↓ de 14) | Reuters / CPO Magazine, maio 2026 |
O fosso entre o tempo de weaponização e o tempo de remediação — que antes era favorável ao defensor — inverteu-se. A IA reduziu o custo e o tempo de criar um exploit funcional a partir de um advisory público para algo equivalente a escrever um prompt. Reversing, adaptação de payload e testes específicos ao alvo são agora tarefas assistidas por modelos de linguagem, acessíveis a atores com capacidades técnicas limitadas.
2. A insuficiência da defesa em profundidade não validada
A estratégia de defesa em profundidade parte do princípio de que, se uma camada for comprometida, as restantes garantem a proteção. Na prática, este modelo falha silenciosamente por uma razão específica: assume que os controlos funcionam como foram configurados. Os dados empíricos mostram que esta suposição é sistematicamente incorreta.
Dados do Blue Report 2025 (Picus Security)
| Indicador | Resultado empírico |
|---|---|
| Taxa de prevenção dos controlos de segurança | 62% (1 em cada 3 ataques passa) |
| Ataques bem-sucedidos registados em log | 54% |
| Ataques que geram alerta | 14% |
| Ataques que bypassam controlos de rede (NGFW/IPS/WAF) | 38% |
| Ataques de aplicação web não prevenidos | 37% |
| Organizações com incidentes via e-mail nos últimos 12 meses | 79% |
A causa principal não é a ausência de ferramentas, mas a deriva operacional: configurações incorretas, regras obsoletas, integrações quebradas e falta de pessoal especializado para otimização contínua. Num ambiente de produção dinâmico, um controlo bem configurado numa data pode tornar-se ineficaz semanas depois sem qualquer alteração deliberada.
3. O que é Breach and Attack Simulation (BAS)
BAS é uma metodologia de validação contínua e automatizada que simula ataques reais — incluindo malware, ransomware, APTs, exploração de vulnerabilidades, exfiltração de dados e phishing — num ambiente de produção controlado. Ao contrário de testes de intrusão pontuais, o BAS opera de forma contínua, fornecendo visibilidade em tempo real sobre o estado dos controlos.
O BAS utiliza TTPs documentadas no framework MITRE ATT&CK e é capaz de cobrir toda a kill chain adversarial: desde o reconhecimento inicial até à exfiltração de dados. Cada simulação produz:
- Evidência de falha — identificação precisa do controlo que não bloqueou, não detetou ou não alertou;
- Sugestão de mitigação acionável — regra de firewall, assinatura de deteção ou configuração específica, pronta a implementar sem investigação adicional;
- Métricas de desempenho comparáveis ao longo do tempo — permitindo avaliar a evolução da postura de segurança.
4. Integração do BAS nas quatro camadas de defesa
4.1 Camada de Rede
Controlos visados: NGFW, IPS/IDS, VPN, Secure Web Gateway, Network Access Control.
O que o BAS testa:
- Tentativas de infiltração com padrões de tráfego malicioso que exploram vulnerabilidades de rede conhecidas;
- Comunicações de Command & Control (C2) e tentativas de exfiltração para verificar regras de egress/ingress;
- Simulação de APTs e cadeias de ataque multi-vetor para testar a preparação contra adversários sofisticados;
- Técnicas de evasão que tentam contornar assinaturas e deteção por anomalia.
Dado crítico: 38% dos ataques bypassam os controlos de rede mesmo em organizações com NGFW e IPS instalados.
4.2 Camada de Endpoint
Controlos visados: EDR, EPP, antivírus, HIPS/HIDS.
O que o BAS testa:
- Simulações de ransomware e malware em múltiplas famílias — avaliando prevenção, deteção e quarentena;
- Exploração de vulnerabilidades em sistemas operativos, aplicações e serviços;
- Movimentos laterais (pass-the-hash, Kerberoasting) para avaliar a capacidade de contenção;
- Comportamentos pós-exploração: persistência, escalada de privilégios, desativação de controlos;
- Ameaças internas — ações que mimetizam insiders maliciosos ou comprometidos;
- Exfiltração de dados ao nível do host (HDLP).
4.3 Camada de Aplicação
Controlos visados: WAF, Email Security Gateway (ESG).
O que o BAS testa (WAF):
- Injeções SQL, NoSQL, OS commands, LDAP e XSS — validação de regras e configurações;
- Técnicas de evasão: payloads codificados, canais encriptados, exfiltração lenta;
- Virtual patching — confirmação de que as regras criadas para cobrir CVEs conhecidas são eficazes;
- Deteção de anomalias para exploits zero-day que fogem a assinaturas conhecidas.
O que o BAS testa (E-mail):
- Phishing com links maliciosos e anexos em múltiplos formatos;
- APTs que contornam filtros convencionais;
- Exfiltração de dados via e-mail — validação de políticas DLP.
Dado crítico: 79% das organizações registaram incidentes via e-mail nos últimos 12 meses; 37% dos ataques a aplicações web não são prevenidos.
4.4 Camada de Dados
Controlos visados: DLP (Data Loss Prevention), controlo de acesso, encriptação, data masking.
O que o BAS testa:
- Tentativas de bypass de políticas DLP através de fragmentação de dados, conversão de formatos ou canais não monitorizados;
- Exfiltração via e-mail, cloud storage e outros pontos de saída;
- Técnicas de evasão avançadas para transferências de dados que mimetizam tráfego legítimo.
4.5 Soluções Cross-Layer: SIEM e XDR
O BAS valida também a eficácia das soluções que operam transversalmente — SIEM e XDR — verificando se os logs são recolhidos, correlacionados e transformados em alertas de forma atempada. Uma lacuna crítica identificada pelo Picus Blue Report: apenas 14% dos ataques simulados geram um alerta, o que significa que a maioria das intrusões bem-sucedidas não é detetada em tempo real mesmo em organizações com SIEM implementado.
5. BAS no ciclo CTEM
O BAS integra-se diretamente no ciclo de Continuous Threat Exposure Management (CTEM) proposto pelo Gartner, cumprindo especificamente a fase de validação:
- Scoping — definição do perímetro e ativos críticos;
- Discovery — identificação de vulnerabilidades e exposições;
- Prioritization — classificação por criticidade;
- Validation ← BAS atua aqui — confirma quais as exposições genuinamente exploráveis no ambiente real;
- Mobilization — remediação baseada em risco validado, não em scores teóricos.
Esta posição no ciclo é estrategicamente relevante: elimina o ruído de uma lista interminável de CVEs com score CVSS alto mas pouco exploráveis no contexto específico da organização, e concentra o esforço de remediação no que foi demonstrado como uma ameaça real.
6. Enquadramento regulatório: NIS2 e Decreto-Lei n.º 125/2025
O Decreto-Lei n.º 125/2025, que transpõe a Diretiva NIS2 para Portugal, estabelece para as entidades essenciais e importantes a obrigação de adotar medidas técnicas e organizativas de gestão do risco cibernético proporcionais ao nível de exposição. Entre as medidas previstas incluem-se:
- Políticas de segurança dos sistemas de informação e redes;
- Gestão de incidentes e continuidade de negócio;
- Segurança na cadeia de abastecimento;
- Avaliação regular da eficácia das medidas de gestão do risco.
O BAS responde diretamente ao requisito de avaliação regular da eficácia: fornece evidência objetiva, contínua e auditável de que os controlos implementados são testados contra ameaças reais. Esta evidência é materialmente diferente de um relatório de conformidade estático ou de um pentest anual — que representam uma fotografia do passado, não o estado atual.
Para organizações nos setores de saúde, energia, banca, infraestruturas digitais e administração pública — todos abrangidos pela NIS2 — a adoção de BAS como mecanismo de validação contínua posiciona-se como uma resposta tecnicamente sólida às obrigações legais e, simultaneamente, como uma melhoria operacional real.
7. Conclusões
- A IA inverteu a relação entre o tempo de exploração e o tempo de remediação, tornando obsoleto o modelo de patch management periódico como principal linha de defesa;
- Os dados empíricos demonstram que 38% dos ataques passam pelos controlos de rede, 86% não geram alertas, e o tempo mediano de patch é de 43 dias — tudo isto em organizações com ferramentas de segurança instaladas;
- O BAS não substitui os controlos existentes: valida se estão a funcionar, identifica onde falham e fornece mitigações acionáveis de imediato;
- A integração do BAS no ciclo CTEM transforma a gestão de vulnerabilidades de um exercício de inventário para um processo de validação baseado em evidência;
- No contexto regulatório da NIS2/DL 125/2025, o BAS constitui uma forma objetiva de demonstrar conformidade com o requisito de avaliação contínua da eficácia dos controlos.
Este report tem caráter informativo e baseia-se em dados publicamente divulgados pelo Verizon DBIR 2026, Picus Security Blue Report 2025, CrowdStrike 2026 Global Threat Report, Mandiant M-Trends 2026, Infosecurity Magazine, Bleeping Computer e CPO Magazine. A análise de produto refere-se à plataforma Picus Security, descrita em materiais públicos da empresa.