RELATÓRIO · EDIÇÃO 2026

Estado da Exposição Digital

Como a superfície de ataque externa cresce, o que os atacantes fazem com isso e por que a distância entre as duas dinâmicas é o verdadeiro risco. Um retrato em dados de dezenas de organizações.

Como ler este relatório. Os números são agregados e anônimos — 68 organizações com descoberta concluída na plataforma CSURFACE e 16 análises detalhadas de superfície de ataque. Os gráficos expressam representatividade (%). A leitura está organizada em três partes: como a superfície cresce, como a ameaça se move e o que acontece quando as duas se encontram.

RELATÓRIO COMPLETO

Edição 2026 — versão em PDF

A análise completa, com leitura aprofundada e mais dados, em um documento de 7 páginas. Publicamos uma edição por ano.

Baixar o relatório (PDF)
Edições: 2026

A ESCALA

A superfície de ataque fora do inventário

0

organizações com descoberta concluída

0

ativos externos mapeados

0

subsidiárias e organizações relacionadas

0

componentes de cadeia digital de terceiros

01 — A SUPERFÍCIE

Ela cresce — e cresce sem governo

A superfície de ataque não é um inventário organizado. Ela se espalha por várias nuvens, por ambientes que sobem rápido e quase nunca são desligados, por componentes de terceiros embutidos em cada aplicação. As 16 análises detalhadas mostram um padrão consistente de crescimento desordenado.

2,8×

mais componentes de cadeia de terceiros do que ativos próprios na superfície

75%

operam ativos em duas ou mais nuvens ao mesmo tempo

68%

têm uma vulnerabilidade aberta há mais de 5 anos

Fonte: 16 análises detalhadas "External Attack Surface Assessment".

Provedores de nuvem por organização · % das empresas

Três ou mais provedores de nuvem 50%
Dois provedores de nuvem 25%
Um provedor de nuvem 19%
Nenhum ativo em nuvem detectado 6%

Metade das organizações distribui ativos por três ou mais nuvens. Cada provedor adicional é mais um console, mais um padrão de configuração e mais uma fronteira para alguém perder de vista.

O que se acumula — % das empresas analisadas com o achado

Vulnerabilidade exposta há mais de 5 anos 68%
Vulnerabilidade com exploit público disponível 56%
80% ou mais das aplicações web sem WAF 43%
Ao menos uma vulnerabilidade crítica aberta 37%
Credenciais corporativas vazadas 37%
Vulnerabilidade sob exploração ativa no mundo real 25%

Os mesmos achados se repetem de empresa para empresa — e quase sempre são antigos. A superfície acumula: o que entra raramente é removido, e o que falha raramente é corrigido.

O retrato do Ato 1 é de uma superfície que se expande mais rápido do que qualquer equipe consegue inventariar — espalhada por várias nuvens e dependências de terceiros — e que acumula sem encolher. Cada ativo esquecido continua de pé, exposto, por anos.

02 — A AMEAÇA

Do outro lado, ela não espera

Enquanto a superfície se acumula em silêncio, a ameaça do outro lado se move em ritmo industrial. Os dados a seguir vêm da plataforma de ameaças emergentes da CSURFACE, que monitora CVEs de alta severidade por exploração ativa observada e criticidade do ativo.

Classes de falha mais exploradas (CWE) · % das ameaças emergentes monitoradas

Injeção de comando de SO · CWE-78 12%
Desserialização insegura · CWE-502 9,5%
Path traversal · CWE-22 9%
Upload de arquivo sem restrição · CWE-434 8,6%
Injeção de código · CWE-94 8,4%
Injeção SQL · CWE-89 8%

Cinco das seis classes mais exploradas são falhas de aplicação web — injeção, path traversal e upload de arquivo. E, no Ato 1, 71% das aplicações web encontradas operam sem WAF: a curva de ameaça aponta exatamente para a camada que a maioria deixa desprotegida.

Prioridade real das ameaças monitoradas · categorização SSVC

19%
ação imediata
Ação imediata (act) 19%
Atenção (attend) 36%
Acompanhar de perto (track*) 28%
Acompanhar (track) 17%

Ler indicadores de exploração qualquer time consegue — mas isso mostra a prioridade do mercado, uma referência geral que ainda precisa ser aplicada à realidade da sua empresa. O que não se faz sozinho é cruzar essa inteligência com a descoberta contínua da sua superfície: saber, a cada semana, quais ameaças realmente alcançam os seus ativos expostos. É exatamente isso que a inteligência de ameaças e exploits da CSURFACE faz, em conjunto com o discovery — a sua fila de prioridade montada pela ameaça real e reordenada sozinha conforme ela evolui.

O ritmo do Ato 2 é industrial: um exploit público surge, em média, 5 dias após a falha ser divulgada. A janela entre uma vulnerabilidade existir e ser explorada se mede em dias.

03 — O ENCONTRO

Onde o incidente nasce

O volume de ameaças está diretamente relacionado aos relatórios de superfície. Cada ativo desgovernado do Ato 1 — um ambiente em nuvem esquecido, um componente de terceiro, uma aplicação sem WAF — é uma porta. O Ato 2 diz que portas são encontradas e atacadas em dias.

A ameaça ataca

5 dias

é o tempo médio entre uma falha ser divulgada e existir um exploit público funcional para ela.

A porta fica aberta

5+ anos

é há quanto tempo a vulnerabilidade mais antiga está exposta em 68% das empresas analisadas.

Lado a lado, os dois conjuntos de dados convergem em uma só conclusão. A defesa adiciona ativos mais rápido do que consegue inventariá-los, e remove ou corrige quase nada — o tempo de exposição se mede em anos. O atacante arma um exploit em dias.

Um incidente é a interseção previsível de duas curvas: uma superfície que cresce desordenada e nunca encolhe, e uma ameaça que só acelera. O incidente é apenas a vez em que as duas se cruzam no mesmo ativo — quase sempre um ativo ausente do inventário.

A CONCLUSÃO

O que fecha a distância entre as duas curvas

Não se corrige uma superfície que não se enxerga, nem se vence a velocidade da ameaça no esforço manual. Fechar essa distância exige duas capacidades operando juntas e sem parar: descoberta contínua — que encontra cada porta, inclusive os ambientes em nuvem, o shadow IT e os ativos ausentes do inventário — e inteligência de ameaças e exploits — que diz quais portas estão sendo atacadas agora.

Uma sem a outra deixa a janela aberta: descobrir tudo sem priorizar sobrecarrega a equipe; priorizar ameaças sem enxergar a superfície inteira protege apenas o que já era conhecido. É a combinação contínua das duas — descoberta e inteligência no mesmo modelo de dados — que a CSURFACE entrega.

CONTINUE ACOMPANHANDO

Receba a próxima edição e alertas trimestrais de exposição

Novos números do Estado da Exposição Digital e sinais relevantes da superfície de ataque, no seu e-mail. Sem compromisso.

Sem spam. Cancele quando quiser.

Veja onde a sua empresa está nesse retrato.

Informe seu e-mail corporativo e receba uma análise preliminar da superfície de ataque da sua empresa. Sem cartão, sem reunião.

Receber minha análise preliminar