A indústria da cibersegurança enfrenta uma crise sistémica de percepção. Durante anos, as organizações confiaram no Sistema Comum de Pontuação de Vulnerabilidade (CVSS) para priorizar o que precisa ser corrigido. No entanto, violações recentes de alto perfil – principalmente a “Operação Lunar Peek” – expuseram uma falha fatal: O CVSS avalia vulnerabilidades isoladamente, enquanto os invasores as exploram em cadeias.
Quando as equipas de segurança tratam cada vulnerabilidade como um ponto de dados autónomo, criam pontos cegos que os intervenientes do Estado-nação estão cada vez mais aptos a explorar.
O estudo de caso de Palo Alto: uma falha de lógica
Durante a Operação Lunar Peek em novembro de 2024, os invasores obtiveram acesso root a mais de 13.000 interfaces de gerenciamento da Palo Alto Networks. Essa violação massiva foi possível “encadeando” duas vulnerabilidades específicas:
- CVE-2024-0012: Um desvio de autenticação (pontuação alta de 9,3).
- CVE-2024-9474: Uma falha de escalonamento de privilégios (pontuação inferior de 6,9).
Como a segunda falha teve uma pontuação relativamente baixa, ela ficou abaixo dos limites de muitos patches corporativos. Além disso, como a falha de escalonamento exigia tecnicamente “acesso de administrador” para funcionar, ela foi tratada como de baixa prioridade. O erro fatal foi não perceber que a primeira vulnerabilidade fornecia ao mesmo acesso de administrador que a segunda precisava.
Como observa Adam Meyers, vice-presidente sênior de operações contra adversários da CrowdStrike, a lógica da triagem geralmente sofre de uma forma de “amnésia”, tratando ameaças conectadas como eventos desconectados.
5 pontos cegos críticos no gerenciamento moderno de vulnerabilidades
A lacuna entre a gravidade teórica (CVSS) e o risco do mundo real está aumentando devido à evolução de cinco classes de ameaças:
1. Encadeamento de vulnerabilidades
Como visto em Palo Alto, os invasores não atacam um bug de cada vez. Eles combinam um bug de risco “médio” com um bug de risco “alto” para criar uma catástrofe “crítica”. Se o seu processo de triagem analisar apenas as pontuações individuais, você perderá consistentemente o efeito composto.
2. A corrida de armamento
A janela de defesa está diminuindo. Dados do Relatório de Ameaças Globais CrowdStrike 2026 mostram que os adversários do nexo da China podem transformar vulnerabilidades recentemente corrigidas em dois a seis dias. Com os “tempos de fuga” médios dos atacantes tão baixos quanto 29 minutos, o modelo tradicional “Patch Tuesday” está obsoleto.
3. O risco de “estoque”
Os intervenientes do Estado-nação mantêm frequentemente vulnerabilidades conhecidas (CVE) durante anos, à espera do momento certo para atacar. No caso dos ataques “Salt Typhoon”, os dispositivos Cisco foram comprometidos usando vulnerabilidades que foram corrigidas há mais de um ano. CVSS não leva em conta a exposição “envelhecida”, o que significa que uma vulnerabilidade que não foi corrigida por 14 meses é tratada com a mesma urgência que uma descoberta ontem.
4. A lacuna de identidade
Nem todas as vulnerabilidades são baseadas em código. Uma chamada de engenharia social para um suporte técnico pode contornar milhões de dólares em segurança de software sem que um único CVE seja emitido. Além disso, à medida que os sistemas Agentic AI começam a operar com seus próprios tokens e permissões de API, eles criam uma nova “superfície de identidade” que os scanners de software tradicionais simplesmente não conseguem ver.
5. Explosão de descoberta orientada por IA
O grande volume de vulnerabilidades está chegando ao limite. Com as divulgações de CVE aumentando mais de 20% anualmente, e modelos de IA como o Claude da Anthropic, capazes de encontrar bugs em grande escala e baixo custo, a indústria está se preparando para um “tsunami de vulnerabilidade”. Se a IA impulsionar um aumento de 10 vezes na descoberta, a infraestrutura atual para gerenciamento de patches entrará em colapso.
Plano de Ação Estratégico para Líderes de Segurança
Para passar de patches reativos para defesa proativa, as organizações devem evoluir seus modelos de governança:
- Auditoria para cadeias: Não olhe apenas para CVEs individuais. Execute “auditorias de dependência de cadeia” em todas as vulnerabilidades exploradas conhecidas (KEV). Se existir um desvio de autenticação e uma falha de escalonamento de privilégios no mesmo sistema, eles deverão ser tratados como uma prioridade única e crítica.
- Acelere SLAs: Para sistemas voltados para a Internet, avance para uma janela de patch de 72 horas para KEVs. Os ciclos semanais não são mais suficientes para combater as velocidades de ruptura modernas.
- Acompanhe a “Idade da Vulnerabilidade”: Forneça ao conselho relatórios que mostrem não apenas o que está sem correção, mas há quanto tempo está sem correção. A exposição ao envelhecimento é um alvo principal para atores sofisticados.
- Unifique a governança de identidade e software: integre protocolos de autenticação de suporte técnico e gerenciamento de credenciais de IA em seu pipeline padrão de relatórios de vulnerabilidades.
Conclusão: Confiar apenas nas pontuações do CVSS cria uma falsa sensação de segurança. A verdadeira resiliência requer a mudança da “pontuação de bugs” para a “análise de caminhos de ataque”, tendo em conta a velocidade, a escala e a interligação da exploração moderna.
