Threats
Um estudo da Verizon realizado através de dados da Qualys revela que 35% das vulnerabilidades críticas permanecem abertas um mês após serem identificadas
25/05/2026
|
Cerca de 35% das vulnerabilidades críticas continuam por corrigir 28 dias após serem identificadas, segundo o mais recente relatório de investigação sobre violações de dados (DBIR) da Verizon, desenvolvido com base em dados da Qualys. O estudo analisou mais de mil milhões de registos anónimos associados ao catálogo de vulnerabilidades ativamente exploradas (KEV) da CISA e conclui que os modelos tradicionais de remediação já não conseguem acompanhar o ritmo crescente das ameaças. Segundo o relatório, 9% das vulnerabilidades críticas permanecem abertas a longo prazo, o equivalente a cerca de 47 milhões de instâncias sem resolução efetiva nos atuais modelos operacionais. A investigação mostra que as organizações estão a corrigir mais vulnerabilidades do que nunca, mas continuam a perder terreno face ao aumento exponencial da superfície de ataque. Nos últimos quatro anos, o volume de vulnerabilidades associadas ao catálogo KEV multiplicou-se por 7,7, passando de 68,7 milhões para 527,3 milhões de instâncias. Em paralelo, o número de vulnerabilidades pendentes após 28 dias aumentou de 31 milhões para 184 milhões. O relatório descreve este fenómeno como “uma passadeira que acelera constantemente”, onde as equipas de segurança trabalham mais rapidamente, mas o crescimento das ameaças continua a superar a capacidade operacional disponível. Apesar disso, os dados mostram que o desempenho operacional das equipas não piorou. O tempo médio entre a deteção e a correção de vulnerabilidades manteve-se nos nove dias e o volume absoluto de falhas corrigidas foi superior ao de anos anteriores. Segundo a análise, o principal problema é estrutural: os modelos baseados em validação manual, janelas de manutenção e processos humanos deixaram de conseguir escalar ao ritmo necessário. O relatório identifica ainda organizações com melhores resultados graças à adoção de estratégias de remediação proativa baseadas em priorização de risco, inteligência contextual e análise comportamental. Ainda assim, mesmo estes modelos começam a mostrar sinais de pressão crescente. Durante 2025, foram corrigidas preventivamente 63,7 milhões de vulnerabilidades antes da sua inclusão no catálogo KEV, mais 30% do que no ano anterior. No entanto, a taxa de remediação proativa caiu de 16,6% para 12,1%, devido ao crescimento de 78% da carga total de trabalho. “Estes dados refletem a necessidade urgente de uma mudança arquitetónica profunda baseada na automatização e na remediação autónoma”, afirma Sergio Pedroche, Country Manager da Qualys Iberia. |
Receba todas as novidades na sua caixa de correio!
NEWS
Palo Alto Networks divulga agenda e parceiros do Innovation Day Lisbon
THREATS
Nova falha ‘Dirty Flag’ em Linux pode já estar a ser explorada
NEWS
Google deteta primeiro zero-day criado com IA
THREATS
Falha crítica no Outlook permite ataques sem interação do utilizador
S.LABS
Jolera reforça liderança em cibersegurança em Portugal com Zero Trust da Zscaler
THREATS
Novo ataque visual manipula modelos multimodais
THREATS
IA e Phishing-as-a-Service agravam ameaças por email em 2026
THREATS
Microsoft alerta para zero-day no Exchange Server
THREATS
Vulnerabilidade em plugin para WordPress afeta mais de um milhão de sites
THREATS
Vulnerabilidade crítica no NGINX explorada ativamente
