As Avaliações MITRE ATT&CK Enterprise, amplamente consideradas o programa de testes de cibersegurança mais rigoroso, publicaram os resultados da Enterprise Round 7 em dezembro de 2025, revelando lacunas significativas de proteção em todo o setor. Pela primeira vez, a avaliação incorporou simultaneamente emulação de adversários na nuvem, ataques centrados em identidade e movimentação lateral entre ambientes, testando as plataformas contra adversários do mundo real, incluindo Scattered Spider, o coletivo criminoso responsável pelas violações da MGM Resorts e Caesars Entertainment, e Mustang Panda, um grupo de espionagem patrocinado pelo estado da RPC.
Nove fornecedores participaram da avaliação, com três grandes players—Microsoft, SentinelOne e Palo Alto Networks—retirando-se antes do início dos testes. Os resultados mostraram uma taxa máxima de bloqueio de 31% alcançada por qualquer fornecedor da ER7, com CrowdStrike e Cybereason empatando na pontuação de proteção mais alta. Mais preocupante foi a taxa de bloqueio de ataques de identidade de zero por cento em todos os nove fornecedores, apesar do Teste 2 ter como alvo especificamente provedores de identidade usando as técnicas exatas do Scattered Spider. As taxas de bloqueio de ataques na nuvem variaram de zero a 7,7%, com cinco dos nove fornecedores não bloqueando nada na primeira emulação de adversário AWS na história da MITRE.
A VectorCertain LLC adotou uma abordagem diferente, conduzindo sua própria autoavaliação rigorosa usando as emulações de adversário ER7 publicadas pela MITRE como base. A empresa estendeu a avaliação além do escopo da ER7 adicionando Volt Typhoon, um terceiro adversário que tem como alvo a infraestrutura crítica dos EUA, e incorporando testes de governança comportamental por meio do H-Neuron Overcompliance Test Suite e testes de governança de memória por meio da estrutura Adaptive Memory Relevance Scoring. Os resultados internos da VectorCertain mostraram uma taxa de proteção de 100% contra todos os três adversários em 14.208 testes totais, com zero falhas e uma taxa de falsos positivos de zero por cento.
A diferença arquitetônica entre a plataforma SecureAgent da VectorCertain e as soluções tradicionais de cibersegurança explica a lacuna de desempenho, de acordo com a análise da empresa. O SecureAgent emprega um pipeline de governança de quatro portões que avalia cada ação proposta de agente de IA antes da execução, em vez de detectar ameaças após sua ocorrência. Essa abordagem aborda a limitação fundamental identificada na ER7: o abuso de identidade não gera telemetria de endpoint, tornando-o invisível para sistemas de detecção tradicionais. A metodologia completa e os resultados estão disponíveis para revisão independente em evals.mitre.org.
As implicações dessas descobertas vão além do desempenho individual dos fornecedores até as consequências econômicas globais. De acordo com vários relatórios do setor, as perdas globais por fraude e cibersegurança totalizaram US$ 485,6 bilhões em 2023, com empresas em todo o mundo perdendo em média 7,7% de sua receita anual para fraudes. A VectorCertain caracteriza isso como um "Imposto Global de IA e Cibersegurança de 7%" que representa uma extração invisível e composta nas economias mundiais. O Relatório de Custo de uma Violação de Dados da IBM de 2025 quantifica o custo médio de incidente em US$ 4,44 milhões globalmente, com mais de US$ 4 milhões gastos depois que os atacantes já estão dentro.
A VectorCertain inscreveu-se formalmente nas Avaliações ATT&CK Enterprise 2026 da MITRE (ER8), posicionando o SecureAgent como a primeira plataforma de Segurança e Governança de IA na história do programa. A ER8 introduzirá uma estrutura de pontuação composta padronizada que vai além dos indicadores binários de detecção e proteção em direção a uma medição holística de quão completamente as plataformas impedem os adversários. A inscrição da empresa contrasta com a tendência de retirada entre os principais fornecedores, que viu a participação diminuir 63% dos níveis de pico em três anos.
Os resultados da avaliação destacam um desafio arquitetônico fundamental na cibersegurança: plataformas construídas para detectar ameaças após a execução, em vez de prevenir ações antes delas, enfrentam limitações estruturais. À medida que os ataques habilitados por IA amadurecem e se expandem nas operações criminosas e estatais, arquiteturas focadas em prevenção podem se tornar essenciais em vez de opcionais. Os testes internos da VectorCertain sugerem que abordagens de governança antes da execução poderiam reduzir significativamente o ônus econômico das falhas de cibersegurança, embora a verificação independente por meio da avaliação ER8 da MITRE fornecerá uma validação definitiva de terceiros.
