Revolução na Cibersegurança: O Fim da Era da Postura “Zero Vulnerabilidades”?

Num contexto de transformação digital acelerada, com a proliferação de ambientes cloud e dispositivos de trabalho remoto, o perímetro de defesa das organizações expandiu-se drasticamente. Neste novo cenário, dois vetores de ataque destacam-se como determinantes para a resiliência corporativa.

Vetores de Ataque: Identidade e Vulnerabilidades

O primeiro vetor, frequentemente o mais explorado, é a Identidade. O comprometimento de credenciais válidas — seja por phishing, malware, infostealers ou falhas de configuração em sistemas de gestão de acessos permite que atacantes operem dentro da rede com privilégios legítimos, tornando-se quase invisíveis.

O segundo vetor, central na segurança operacional, é a Gestão de Vulnerabilidades. É amplamente reconhecido que vulnerabilidades de software (incluindo falhas de configuração e patches em falta) são o segundo vetor de ataque mais prevalente e crítico, logo após as identidades, sendo a principal porta de entrada para ataques de ransomware e violações de dados, conforme consistentemente demonstrado em análises do setor, como o Relatório Anual de Investigação de Violação de Dados (DBIR) da Verizon.

Quando estes dois vetores se combinam — identidades fracas em sistemas vulneráveis — o risco aumenta exponencialmente. Uma identidade comprometida num sistema com uma vulnerabilidade RCE (Execução Remota de Código) não só permite o acesso, como facilita a escalada de privilégios e a movimentação lateral na rede de forma extremamente rápida.

O Mito do “Zero Vulnerabilidades” e a Realidade Operacional

A realidade obriga o setor da cibersegurança a encarar uma verdade incómoda: a meta de “Zero Vulnerabilidades” é, na maioria das organizações complexas, uma ilusão. O volume de novas vulnerabilidades divulgadas (CVEs) é insustentável, excedendo largamente a capacidade das equipas de IT e Segurança para as corrigir. Esta pressão levou a uma reavaliação necessária, e controversa, das estratégias de patching e gestão de risco.

Novo Paradigma: Da Quantidade à Qualidade do Risco

A tendência dominante, cada vez mais adotada por empresas focadas em resiliência, é a transição de uma postura defensiva generalista para uma abordagem cirúrgica e orientada para o risco.

Esta nova filosofia defende que a resolução de vulnerabilidades deve priorizar:

1. Falhas Críticas e Exploráveis: Vulnerabilidades com exploração funcional conhecida ou ativamente exploradas.
2. Explorabilidade no Ambiente Específico: Priorizar vulnerabilidades acessíveis a partir da Internet ou em segmentos de rede de alto risco.
3. Caminhos Críticos de Ataque (Attack Paths): Focar nas falhas que, se exploradas, permitem acesso a ativos críticos (“joias da coroa”).

O objetivo não é eliminar todas as vulnerabilidades, mas maximizar a redução do risco com otimização dos recursos.

Vantagens desta abordagem:

• Otimização de Recursos: Direcionar esforços para os 5% das vulnerabilidades que representam 95% do risco resulta em ganhos de eficiência significativos.
• Foco em Ativos Críticos: A gestão de vulnerabilidades integrada na estratégia de risco garante proteção reforçada dos ativos mais valiosos.
• Melhoria do Desempenho: Ignorar vulnerabilidades de baixo risco permite às equipas concentrarem-se em soluções de segurança mais sofisticadas, reduzindo o stress operacional.
• Corte de Caminhos de Ataque: A intervenção torna-se estratégica, quebrando cadeias de exploração antes que possam ser utilizadas por atacantes.
• Sustentabilidade Económica: Segurança eficaz e alinhada com o valor do negócio.

A Abordagem “Zero Tolerance” (Tradicional)

Em oposição à priorização seletiva, há uma forte argumentação a favor da tentativa de resolver todas as vulnerabilidades, abordagem “Zero Tolerance”.

Apesar dos desafios operacionais e da pressão para otimizar recursos, esta postura tradicional oferece benefícios importantes, especialmente sob a ótica da Governança e Cultura (NIS2):

1. Cultura “Security First”: Elimina discussões sobre o mérito de cada vulnerabilidade. Os patches tornam-se parte da rotina (“Business as Usual”), reforçando o compliance e a disciplina operacional.
2. Risco de Vulnerabilidades Acessórias e “Zero Days”: Ao contrário da abordagem “Zero Tolerance”, a priorização baseada no risco atual assume que apenas vulnerabilidades conhecidas serão exploradas, o que é perigoso. A criticidade de uma vulnerabilidade pode mudar rapidamente, e falhas consideradas pouco críticas podem tornar-se vetores de ataque críticos em pouco tempo. Sistemas desatualizados tornam-se alvos fáceis para novas ameaças. 
3. Garantia da Postura Defensiva: Aceitar vulnerabilidades não resolvidas pode enfraquecer a cultura de “security first”. A abordagem “Zero Tolerance” incentiva a inovação em automação (SOAR) e engenharia (DevSecOps), aumentando a capacidade de patching e prevenção.

Conclusão: O Caminho para a Resiliência

O debate e a escolha entre a abordagem “Risk Driven” e “Zero Tolerance” não tem resposta única. Com a entrada em vigor da NIS2, que responsabiliza a gestão de topo pela gestão de todos os riscos, há uma tendência para privilegiar a abordagem mais conservadora.

O ideal é combinar o melhor dos dois mundos:

• Priorização com Foco no Risco: Red Teams e Engenharia de Segurança devem identificar e corrigir imediatamente o top 5% das vulnerabilidades mais críticas.
• Automação e Business-as-Usual (“Zero Tolerance”): Equipas de IT Operations devem automatizar a correção das restantes vulnerabilidades, enquanto as equipas de Produto/Desenvolvimento implementam “guard-rails” para evitar a introdução de novas falhas.

Só através de uma cultura onde nenhuma vulnerabilidade é aceite como permanente e onde a automação é o principal motor de patching, as organizações conseguirão enfrentar a crescente ameaça da combinação de identidades e vulnerabilidades. A segurança é uma maratona: a consistência na eliminação de falhas é a chave para a resiliência a longo prazo.