Uma nova realidade: porque continuar a medir o MTTR já não faz sentido

Os dados não deixam espaço para interpretações otimistas. Enquanto o volume de eventos encerrados se multiplicou por 6,5, a “janela de preparação” (readiness gap) continua a aumentar. Em 2025, 63% das vulnerabilidades críticas permaneciam por corrigir ao sétimo dia. Isto aponta não para um problema de capacidade operacional, mas para algo mais profundo: uma falha sistémica na forma como definimos verdadeiramente a “remediação”.

O MTTR (Mean Time to Remediate) continua a ser o KPI dominante porque é fácil de medir e reportar. No entanto, a sua aparente utilidade é enganadora. Tecnicamente, torna-se cada vez mais irrelevante, porque está ancorado num ponto de partida que já não reflete o verdadeiro início do risco: a divulgação pública da vulnerabilidade. No contexto atual das ameaças, o exploit pode existir ainda antes da divulgação, o ciclo de weaponization é praticamente imediato e os atacantes operam com inteligência prévia, não de forma reativa. Assim, medir desde a publicação até à aplicação do patch significa, no melhor dos casos, começar a contar demasiado tarde.

Perante esta limitação surge o conceito de AWE (Average Window of Exposure), uma métrica incómoda precisamente porque revela a exposição real. O AWE introduz uma mudança fundamental ao redefinir o ponto de partida: já não importa quando a vulnerabilidade é divulgada, mas sim quando existe uma possibilidade real de exploração. E é aqui que os dados são particularmente reveladores: 85% dos ativos vulneráveis permanecem sem patch no momento em que surge o exploit; 33% continuam expostos ao fim de aproximadamente 21 dias, que é a média de remediação, e cerca de 12% mantêm-se vulneráveis mesmo após 90 dias.

Além disso, o ponto mais crítico e pouco discutido é que o risco não se concentra no momento da aplicação do patch, mas no intervalo anterior. Esse intervalo depende de múltiplos fatores: o tempo até à weaponization, a disponibilidade de kits de exploração, a exposição do ativo (se está ou não exposto à internet) e a eficácia dos controlos compensatórios. O AWE consegue capturar esse intervalo. O MTTR, pelo contrário, ignora-o. E enquanto a indústria continuar a otimizar em função do MTTR, continuará focada numa fase do problema que deixou de ser a mais relevante.

Neste contexto emerge o modelo ROC (Risk Operations Center), que não representa uma melhoria incremental, mas uma mudança de paradigma. Em primeiro lugar, o conceito de ROC já não trabalha com listas estáticas de CVEs, mas sim liga inteligência de ameaças - o que está a ser explorado  - ao inventário de ativos, onde impacta realmente, e ao contexto de negócio, o que é verdadeiramente crítico. Além disso, incorpora o conceito de Patch Reliability Scoring, isto é, o risco operacional do próprio patching. Antecipar estes efeitos através de uma pontuação preditiva permite alinhar segurança e operações, reduzindo um conflito estrutural que existe há anos.

Contudo, o ponto mais crítico - e menos discutido - é que o risco não se concentra no momento da aplicação do patch, mas no intervalo anterior. Esse intervalo depende de múltiplos fatores: o tempo até à weaponization, a disponibilidade de kits de exploração, a exposição do ativo (se está ou não exposto à internet) e a eficácia dos controlos compensatórios. O AWE consegue capturar esse intervalo. O MTTR, pelo contrário, ignora-o. E enquanto a indústria continuar a otimizar em função do MTTR, continuará focada numa fase do problema que deixou de ser a mais relevante.

A diferença entre estas abordagens não é semântica, mas estrutural. E quanto mais cedo isso for assumido, mais cedo será possível deixar de perseguir vulnerabilidades de forma reativa e começar a interromper ataques antes de acontecerem. Porque a realidade é clara: os atacantes já não jogam à mesma velocidade. E se continuarmos a medir mal, nem sequer saberemos em que momento perdemos.