The cyber-clock is ticking… faster

Esse tempo acabou e os dados estão aí para o comprovar. Em 2018, o intervalo médio entre a descoberta de uma vulnerabilidade e a sua exploração era de dois anos e meio. Em 2026, esse intervalo mede-se em horas. Trata-se, portanto, de uma rutura de paradigma.

Aquilo que veio mudar as regras do jogo foi a inteligência artificial generativa, que democratizou as capacidades ofensivas a uma velocidade que os defensores ainda não assimilaram, porque o que antes exigia uma equipa de investigadores experientes e semanas de trabalho está hoje ao alcance de qualquer ator com acesso a um modelo de linguagem avançado.

O problema não é apenas de velocidade, mas sim uma questão estrutural na forma como as organizações continuam a gerir a cibersegurança, como se o tempo fosse um recurso disponível, com pentests anuais, ciclos de patching lentos e relatórios que chegam depois de o atacante já ter saído pela porta. Entretanto, as superfícies de ataque crescem sem parar, com cada novo ativo digital a tornar-se numa porta potencial para o atacante.

Importa, a este propósito, trazer o incontornável tema do momento que é o Mythos e projeto Glasswing da Anthropic. Os alarmes soaram com estrondo e a preocupação atingiu níveis críticos. Contudo, no meio desta euforia, importa distinguir duas coisas. Uma, tem a ver com a robustez informática dos sistemas (se me permitem a expressão), que o Mythos veio pôr a nu, e, outra, talvez ainda mais relevante, mas não com a atenção devida, que está relacionada com aquilo que é a exposição digital dos diferentes ativos de uma organização.

No caso do Mythos, por exemplo, o foco está em software que foi revisto e auditado muitas vezes e a verdadeira ameaça pode vir de um fornecedor obscuro com acesso à base de dados de produção ou de uma integração legacy em que já ninguém quer “mexer”.

Contudo, é na exposição digital que está o risco diário. E o desafio está em darmos capacidade às organizações para cobrirem tanto a amplitude como a profundidade da sua superfície digital e conseguirmos imitar um atacante real mesmo sem acesso ao código-fonte.

Esta abordagem baseia-se em três premissas essenciais. Visibilidade, ou seja, quais são e onde estão os ativos digitais expostos; Validação, ou seja, que vulnerabilidades é que podem ser comprovadamente exploradas, sem falsos positivos; e, por fim, o fator crítico acelerado  pela IA, a Velocidade na decisão, ou seja, encontrar as vulnerabilidades antes que os atacantes o façam, passando de uma postura reativa para uma de validação contínua.

Esta abordagem que acabei de descrever é relevante porque a resposta ao aumento do ciber-risco não passa por contratar mais analistas, porque a escala do problema ultrapassou há muito a capacidade humana de o gerir manualmente, O que se exige agora, e sem demoras, é a mudança de uma postura reativa para uma postura de validação contínua. Isto é, não basta saber o que existe na superfície de ataque, é fundamental saber, a qualquer momento, o que é genuinamente explorável e atuar rapidamente sobre as vulnerabilidades realmente críticas.

Vale a pena acrescentar, neste pressuposto, que é preciso repensar as métricas, porque o tempo médio até à validação de uma vulnerabilidade é hoje tão crítico quanto o tempo de resposta. Na verdade, um backlog de vulnerabilidades não validadas não é um problema de priorização. É uma dúvida de risco que se acumula a cada minuto que passa. E a diferença entre uma vulnerabilidade crítica remediada a tempo e uma entretanto explorada pode ser medida em milhões de euros de dano, como demonstram os dados de perda anualizada esperada que organizações como aeroportos, grupos financeiros e universidades já utilizam para quantificar o seu risco real.

A solução passa por uma abordagem de Adversarial Exposure Validation: agentes de IA e hacker intelligence que, em conjunto, testam e provam continuamente o que é realmente explorável em toda a superfície de ataque, antes que os atacantes o façam.

As máquinas, vão continuar a inundar-nos com descobertas de vulnerabilidades. Mas o verdadeiro stress test está em saber quem decide quais as vulnerabilidades que realmente importam e com que velocidade devem ser corrigidas.

Porque o relógio da cibersegurança está cada vez mais acelerado.