Empresas testam apenas parte da superfície de ataque

As organizações continuam a apresentar lacunas significativas na validação da sua postura de segurança, apesar de considerarem o pentesting uma prioridade. Segundo um estudo da Synack e da Omdia, as empresas testam, em média, apenas 32% da sua superfície global de ataque.

O relatório The 2026 State of Agentic AI in Pentesting, baseado num inquérito a 200 líderes de segurança nos Estados Unidos, indica que 95% das organizações classificam o pentesting como prioritário. No entanto, 68% dos ativos permanecem por testar, criando pontos cegos relevantes num contexto de aumento de ameaças alimentadas por Inteligência Artificial (IA).

A análise aponta para limitações estruturais dos modelos tradicionais de pentesting, que não acompanham a escala e complexidade dos ambientes modernos, marcados pela adoção de cloud e aplicações baseadas em IA.

Neste contexto, o estudo identifica uma transição para modelos de segurança ofensiva suportados por IA com agência, combinados com supervisão humana. Cerca de 87% das organizações já estão a planear, testar ou implementar estas abordagens.

Os dados indicam ainda que 95% das empresas antecipam que a IA venha a substituir, total ou parcialmente, os serviços tradicionais de pentesting, sendo que 49% esperam uma substituição significativa.

A maioria dos inquiridos (64%) prefere um modelo híbrido, que combina automação com supervisão humana, permitindo escalar operações sem comprometer a análise contextual e a tomada de decisão.

Apesar da crescente adoção, persistem preocupações ao nível da governação. Cerca de 93% dos líderes consideram essenciais mecanismos de controlo, transparência e validação das decisões tomadas por sistemas baseados em IA.

O estudo conclui que a capacidade de testar continuamente a superfície de ataque será determinante para responder à evolução das ameaças, exigindo uma abordagem mais dinâmica e alinhada com a velocidade dos ambientes digitais atuais.