RELATÓRIO · EDIÇÃO 2026
Estado da Exposição Digital
Como a superfície de ataque externa cresce, o que os atacantes fazem com isso e por que a distância entre as duas dinâmicas é o verdadeiro risco. Um retrato em dados de dezenas de organizações.
RELATÓRIO COMPLETO
Edição 2026 — versão em PDF
A análise completa, com leitura aprofundada e mais dados, em um documento de 7 páginas. Publicamos uma edição por ano.
A ESCALA
A superfície de ataque fora do inventário
organizações com descoberta concluída
ativos externos mapeados
subsidiárias e organizações relacionadas
componentes de cadeia digital de terceiros
01 — A SUPERFÍCIE
Ela cresce — e cresce sem governo
A superfície de ataque não é um inventário organizado. Ela se espalha por várias nuvens, por ambientes que sobem rápido e quase nunca são desligados, por componentes de terceiros embutidos em cada aplicação. As 16 análises detalhadas mostram um padrão consistente de crescimento desordenado.
mais componentes de cadeia de terceiros do que ativos próprios na superfície
operam ativos em duas ou mais nuvens ao mesmo tempo
têm uma vulnerabilidade aberta há mais de 5 anos
Fonte: 16 análises detalhadas "External Attack Surface Assessment".
Provedores de nuvem por organização · % das empresas
Metade das organizações distribui ativos por três ou mais nuvens. Cada provedor adicional é mais um console, mais um padrão de configuração e mais uma fronteira para alguém perder de vista.
O que se acumula — % das empresas analisadas com o achado
Os mesmos achados se repetem de empresa para empresa — e quase sempre são antigos. A superfície acumula: o que entra raramente é removido, e o que falha raramente é corrigido.
O retrato do Ato 1 é de uma superfície que se expande mais rápido do que qualquer equipe consegue inventariar — espalhada por várias nuvens e dependências de terceiros — e que acumula sem encolher. Cada ativo esquecido continua de pé, exposto, por anos.
02 — A AMEAÇA
Do outro lado, ela não espera
Enquanto a superfície se acumula em silêncio, a ameaça do outro lado se move em ritmo industrial. Os dados a seguir vêm da plataforma de ameaças emergentes da CSURFACE, que monitora CVEs de alta severidade por exploração ativa observada e criticidade do ativo.
Classes de falha mais exploradas (CWE) · % das ameaças emergentes monitoradas
Cinco das seis classes mais exploradas são falhas de aplicação web — injeção, path traversal e upload de arquivo. E, no Ato 1, 71% das aplicações web encontradas operam sem WAF: a curva de ameaça aponta exatamente para a camada que a maioria deixa desprotegida.
Prioridade real das ameaças monitoradas · categorização SSVC
Ler indicadores de exploração qualquer time consegue — mas isso mostra a prioridade do mercado, uma referência geral que ainda precisa ser aplicada à realidade da sua empresa. O que não se faz sozinho é cruzar essa inteligência com a descoberta contínua da sua superfície: saber, a cada semana, quais ameaças realmente alcançam os seus ativos expostos. É exatamente isso que a inteligência de ameaças e exploits da CSURFACE faz, em conjunto com o discovery — a sua fila de prioridade montada pela ameaça real e reordenada sozinha conforme ela evolui.
O ritmo do Ato 2 é industrial: um exploit público surge, em média, 5 dias após a falha ser divulgada. A janela entre uma vulnerabilidade existir e ser explorada se mede em dias.
03 — O ENCONTRO
Onde o incidente nasce
O volume de ameaças está diretamente relacionado aos relatórios de superfície. Cada ativo desgovernado do Ato 1 — um ambiente em nuvem esquecido, um componente de terceiro, uma aplicação sem WAF — é uma porta. O Ato 2 diz que portas são encontradas e atacadas em dias.
A ameaça ataca
é o tempo médio entre uma falha ser divulgada e existir um exploit público funcional para ela.
A porta fica aberta
é há quanto tempo a vulnerabilidade mais antiga está exposta em 68% das empresas analisadas.
Lado a lado, os dois conjuntos de dados convergem em uma só conclusão. A defesa adiciona ativos mais rápido do que consegue inventariá-los, e remove ou corrige quase nada — o tempo de exposição se mede em anos. O atacante arma um exploit em dias.
Um incidente é a interseção previsível de duas curvas: uma superfície que cresce desordenada e nunca encolhe, e uma ameaça que só acelera. O incidente é apenas a vez em que as duas se cruzam no mesmo ativo — quase sempre um ativo ausente do inventário.
A CONCLUSÃO
O que fecha a distância entre as duas curvas
Não se corrige uma superfície que não se enxerga, nem se vence a velocidade da ameaça no esforço manual. Fechar essa distância exige duas capacidades operando juntas e sem parar: descoberta contínua — que encontra cada porta, inclusive os ambientes em nuvem, o shadow IT e os ativos ausentes do inventário — e inteligência de ameaças e exploits — que diz quais portas estão sendo atacadas agora.
Uma sem a outra deixa a janela aberta: descobrir tudo sem priorizar sobrecarrega a equipe; priorizar ameaças sem enxergar a superfície inteira protege apenas o que já era conhecido. É a combinação contínua das duas — descoberta e inteligência no mesmo modelo de dados — que a CSURFACE entrega.
CONTINUE ACOMPANHANDO
Receba a próxima edição e alertas trimestrais de exposição
Novos números do Estado da Exposição Digital e sinais relevantes da superfície de ataque, no seu e-mail. Sem compromisso.
Veja onde a sua empresa está nesse retrato.
Informe seu e-mail corporativo e receba uma análise preliminar da superfície de ataque da sua empresa. Sem cartão, sem reunião.
Receber minha análise preliminar