A convergência de dois relatórios fundamentais esta semana redefine os limites da segurança cibernética: a capacidade do modelo Claude Mythos da Anthropic de descobrir milhares de vulnerabilidades zero-day e a análise da Qualys que revela um “teto” na capacidade humana de remediação baseada em 1 bilhão de registros KEV. Juntos, esses dados expõem uma realidade inescapável: a velocidade de descoberta de vulnerabilidades superou exponencialmente a capacidade humana de resposta, exigindo uma reestruturação arquitetônica dos programas de segurança.
🧬 Claude Mythos: A Nova Fronteira na Descoberta de Vulnerabilidades
De acordo com a Anthropic, seu novo modelo Claude Mythos descobriu milhares de vulnerabilidades zero-day em todos os principais sistemas operacionais e navegadores web, gerando exploits bem-sucedidos em 72,4% dos testes — um salto dramático em relação aos modelos de fronteira anteriores que ficavam abaixo de 1%. Esta capacidade representa uma mudança estrutural na paisagem de ameaças, onde a velocidade de descoberta de vulnerabilidades agora opera em uma escala que desafia os processos tradicionais de gestão de vulnerabilidades.
📋 CSA: Estratégia CISO para Programas “Mythos-ready”
A Cloud Security Alliance publicou um briefing estratégico para CISOs em resposta ao anúncio do Mythos, com contribuições de especialistas como Jen Easterly, Bruce Schneier, Chris Inglis, Rob Joyce, Heather Adkins e outros 250 CISOs e profissionais de segurança. O documento enfatiza que implementar arquitetura resiliente, caça interna de vulnerabilidades, resposta rápida a incidentes e aceleração de IA para programas de segurança representa uma “mudança estrutural” que vai além de qualquer modelo ou anúncio específico.
O objetivo declarado é informar e equipar “o CISO que precisa entrar em uma sala na segunda-feira de manhã com um plano crível”, incluindo perguntas de triagem, um registro de riscos preliminar, ações prioritárias para atualizar um programa de segurança e pontos de discussão para briefings executivos sobre riscos de IA.
📊 Qualys: O “Teto” da Remediação Humana em 1 Bilhão de Registros KEV
A Unidade de Pesquisa de Ameaças da Qualys (TRU) publicou uma análise de quatro anos de registros de remediação de vulnerabilidades, compreendendo mais de um bilhão de entradas de mais de 10.000 organizações. A conclusão é clara: “qualquer arquitetura que depende de resposta em velocidade humana carrega risco estrutural”, e os defensores devem redesenhar a arquitetura de remediação de acordo.
Entre 2022 e 2025, o volume de “eventos de vulnerabilidade fechados” abordando falhas publicadas no catálogo de Vulnerabilidades Exploradas Conhecidas da CISA (KEV) cresceu de 73 milhões para 473 milhões — um aumento de 650%. No entanto, durante esse período, a proporção de falhas KEV da CISA ainda abertas sete dias após a divulgação aumentou de 56% para 63%. A Qualys afirma que isso representa “o teto humano”, postulando que nenhuma quantidade de esforço nem crescimento da força de trabalho poderia compensar realisticamente o volume de ameaças atuais.
⏱️ Janela de Exposição Média: 21 Dias para Maioria das Organizações
A análise revela que o período total de tempo desde a exploração até a remediação completa, medido como Janela de Exposição Média (AWE), foi de cerca de 21 dias para a maioria das organizações. A seção três analisa discrepâncias entre a velocidade do atacante e a velocidade do defensor em 52 casos específicos, enfatizando que “observar vulnerabilidades não é o mesmo que eliminá-las”.
⚖️ “Massa de Risco”: Uma Nova Métrica para Exposição Cumulativa
A seção quatro define uma métrica de “Massa de Risco” para capturar “a exposição cumulativa que uma organização absorveu enquanto [uma] vulnerabilidade permaneceu aberta”, calculada multiplicando o número de ativos vulneráveis pelo número de dias que cada um permanece exposto. Esta abordagem quantifica o risco real de forma mais precisa do que simplesmente contar vulnerabilidades.
🤖 Centro de Operações de Risco (ROC): A Resposta Arquitetônica
A seção final defende a remediação que pode escalar consistentemente sem intervenção humana em cada estágio — especificamente um Centro de Operações de Risco (ROC) “que funde inteligência incorporada, confirmação determinística da explorabilidade real e remediação autônoma em um único loop operacional”.
🔧 Ações Imediatas e Mudanças Estruturais Necessárias
- Automação de Remediação: Implementar soluções de auto-remediação como parte do programa de gestão de vulnerabilidades
- Abordagem Máquina-para-Máquina: Desenvolver processos de gerenciamento de patches automatizados que operem em velocidade de máquina
- Priorização Baseada em Contexto: Entender a explorabilidade real de uma falha considerando controles existentes, não apenas sua severidade definida
- Arquitetura Resiliente: Implementar controles de segurança que forneçam valor mesmo contra tipos de ataques desconhecidos anteriormente
- Preparação Estratégica: Desenvolver planos críveis para briefings executivos sobre riscos de IA e capacidades de descoberta acelerada
🎯 Lições Fundamentais para a Era Mythos
A convergência dessas análises revela verdades fundamentais:
1. Velocidade é o Novo Paradigma: A capacidade do Mythos de descobrir vulnerabilidades em escala massiva significa que o ciclo tradicional de descoberta-patch-exploração está colapsando.
2. Humanos São o Elo Fraco: Os dados da Qualys demonstram que não importa quantos recursos humanos sejam alocados, existe um teto estrutural para a capacidade de resposta.
3. Arquitetura, Não Apenas Processo: A resposta não é melhorar os processos existentes, mas redesenhar a arquitetura de segurança para operar em velocidade de máquina.
4. Controles Fundamentais Mantêm Valor: Práticas de segurança sólidas continuam fornecendo proteção significativa mesmo contra classes de vulnerabilidades desconhecidas.
5. Oportunidade na Crise: Como observa o editor da SANS, “nunca deixe uma boa crise ir para o lixo” — este momento representa uma oportunidade para fazer trabalhos incríveis e moldar o futuro dos programas de segurança cibernética.
Análise baseada no SANS NewsBites Vol. 28 Num. 28 (14/04/2026). Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Deixe um comentário