Qual a diferença entre CVSS e EPSS?

CVSS (Common Vulnerability Scoring System) mede a severidade técnica intrínseca da vulnerabilidade (0-10). EPSS (Exploit Prediction Scoring System) estima a probabilidade de exploração nos próximos 30 dias (0-100%). Combine ambos: uma vuln CVSS 9.0 com EPSS 1% é menos urgente que CVSS 7.0 com EPSS 90%.

Com que frequência devo fazer scan de vulnerabilidades?

Recomendação: scan completo semanal ou quinzenal para infraestrutura geral. Ativos críticos e expostos a internet: diário ou contínuo. Após mudanças significativas: scan imediato. Para compliance (PCI DSS), scan trimestral externo é obrigatório. O importante é consistência e capacidade de processar resultados.

Devo corrigir todas as vulnerabilidades?

Não é prático nem necessário. Priorize baseado em: criticidade do ativo, explorabilidade (EPSS), exposição (internet vs interno), existência de controles compensatórios. Foque em vulnerabilidades críticas/altas em ativos importantes. Aceite risco documentado para vulns baixas em sistemas não-críticos.

Gestão de Vulnerabilidades: Processo Completo

O que é Gestão de Vulnerabilidades

Gestão de Vulnerabilidades é o processo contínuo de identificar, classificar, priorizar e remediar vulnerabilidades de segurança em sistemas, aplicações e infraestrutura. É uma capacidade fundamental de qualquer programa de segurança - sem ela, você não sabe o que precisa proteger.

60%

dos breaches em 2024 envolveram vulnerabilidades conhecidas para as quais patches existiam (Verizon DBIR)

O desafio não é falta de informação - é excesso. Organizações típicas têm milhares de vulnerabilidades identificadas. A arte está em priorizar corretamente: focar nas que realmente importam, considerando criticidade do ativo, explorabilidade e contexto de negócio.

Ciclo de Vida do Processo

Inventário de Ativos

Você não pode proteger o que não conhece. Mantenha inventário atualizado de:

Servidores (físicos, virtuais, cloud)
Endpoints (workstations, laptops, mobile)
Equipamentos de rede (switches, routers, firewalls)
Aplicações (web, mobile, APIs)
Containers e workloads cloud

Classifique por criticidade: produção vs dev, internet-facing vs interno, dados sensíveis vs não.

Identificação de Vulnerabilidades

Scan autenticado: Com credenciais, detecta mais vulnerabilidades
Scan não-autenticado: Visão de atacante externo
Scan de rede: Infraestrutura, servidores, dispositivos
Scan de aplicacoes: DAST para web apps
Scan de containers: Imagens e runtime
Scan de cloud: Configurações e workloads

Frequência recomendada: semanal para infraestrutura, contínuo para ativos críticos.

Priorização e Contextualização

Correlacionar vulnerabilidades com inventário de ativos
Aplicar contexto de negócio (criticidade do sistema)
Verificar explorabilidade (EPSS, exploits públicos)
Identificar controles compensatórios existentes
Eliminar falsos positivos
Gerar lista priorizada para remediação

Correção e Mitigação

Patch: Aplicar atualização do vendor (preferencial)
Upgrade: Atualizar para versão não-vulnerável
Workaround: Mitigação temporária (desabilitar recurso, regra de firewall)
Controle compensatório: WAF, IPS, segmentação
Aceitação de risco: Documentar e aceitar (com aprovação)

Coordene com change management e teste antes de produção.

Validação da Correção

Re-scan para confirmar remediação
Validar que sistema continua funcional
Atualizar status no sistema de tracking
Documentar exceções e aceitações de risco

Métricas e Comunicação

Dashboards executivos e operacionais
Tendências ao longo do tempo
Compliance com SLAs
Áreas problemáticas (sistemas com mais vulns)
Relatórios para auditoria e compliance

Priorização: CVSS, EPSS e Contexto

CVSS (Common Vulnerability Scoring System)

Score de 0 a 10 que mede severidade técnica intrínseca. Versão atual: CVSS 4.0.

Severidade	Score CVSS	SLA Tipico
Crítica	9.0 - 10.0	24-72 horas
Alta	7.0 - 8.9	7-14 dias
Média	4.0 - 6.9	30-60 dias
Baixa	0.1 - 3.9	90 dias ou aceitar

EPSS (Exploit Prediction Scoring System)

Probabilidade de exploração nos próximos 30 dias (0-100%). Desenvolvido pelo FIRST. EPSS complementa CVSS - uma vulnerabilidade CVSS 9.0 com EPSS 0.1% é menos urgente que CVSS 7.0 com EPSS 80%.

Contexto de Negócio

Além de CVSS e EPSS, considere:

Criticidade do ativo: Sistema de pagamentos vs blog interno
Exposição: Internet-facing vs segmentado interno
Dados processados: PII, dados financeiros, propriedade intelectual
Controles existentes: WAF, EDR, segmentação já mitigam?
Impacto de indisponibilidade: Janela de manutenção disponível?

Ferramentas de Scan de Vulnerabilidades

Tenable Nessus

Líder de mercado para scan de infraestrutura. Versão Pro e Enterprise.

Comercial

Qualys

Plataforma cloud-native completa. Forte em compliance e cloud.

Comercial

Rapid7 InsightVM

Scan com priorização baseada em risco e integração com IT.

Comercial

OpenVAS

Scanner open source robusto. Boa opção para PMEs.

Open Source

Trivy

Scanner de containers e IaC. Integra com CI/CD.

Open Source

Snyk

Foco em developers: SCA, containers, IaC. DevSecOps.

Freemium

SLAs de Remediação

Defina SLAs realistas baseados em severidade e contexto. Exemplo de política:

Critica + Internet-facing: 24 horas
Critica + Interno: 72 horas
Alta + Internet-facing: 7 dias
Alta + Interno: 14 dias
Média: 30-60 dias
Baixa: 90 dias ou próximo ciclo de patch

Exceções: Documente formalmente com aprovação de risco owner quando SLA não puder ser cumprido. Inclua controles compensatórios e data de revisão.

Métricas e KPIs

Métricas Essenciais

MTTR (Mean Time to Remediate): Tempo médio para corrigir por severidade
Vulnerability Density: Vulns por ativo ou por 1000 linhas de código
Compliance Rate: % de vulns corrigidas dentro do SLA
Age of Vulnerabilities: Distribuição de idade das vulns abertas
Reopen Rate: % de vulns que reaparecem após correção
Coverage: % de ativos com scan recente
Risk Score: Pontuação agregada de risco do ambiente

Perguntas Frequentes

Gestão de vulnerabilidades substitui pentest?

Não. Scan de vulnerabilidades encontra problemas conhecidos de forma automatizada. Pentest encontra vulnerabilidades de lógica, cadeia de explorações e problemas que scanners não detectam. Use ambos: scan contínuo para higiene e pentest periódico para validação profunda.

Como lidar com vulnerabilidades que nao podem ser corrigidas?

Documente formalmente como aceitação de risco ou implemente controles compensatórios: segmentação de rede, WAF, monitoramento aumentado, restrição de acesso. Revise periodicamente se a situação mudou. Para sistemas legados, considere plano de descomissionamento.

Qual a relacao com patch management?

Gestão de vulnerabilidades identifica O QUE corrigir. Patch management é o processo de COMO aplicar correções (teste, deploy, rollback). Devem trabalhar integrados: vuln management alimenta priorização de patches, patch management reporta status de remediação.

Conclusão

Gestão de vulnerabilidades é uma das capacidades mais fundamentais de segurança. A maioria dos breaches explora vulnerabilidades conhecidas que poderiam ter sido corrigidas. O desafio não é identificar - é priorizar e executar remediação de forma consistente.

Invista em processo antes de ferramentas: defina SLAs realistas, integre com patch management, estabeleça métricas claras. Use CVSS como base mas adicione contexto: EPSS para explorabilidade, criticidade do ativo, exposição. Uma vulnerabilidade média em sistema de pagamentos internet-facing pode ser mais urgente que crítica em servidor de teste interno.

O objetivo não é zerar vulnerabilidades - é improvável e possivelmente desperdiçador de recursos. O objetivo é manter risco em nível aceitável, focando energia onde o impacto é maior.

Precisa Estruturar Gestão de Vulnerabilidades?

Oferecemos implementação de processos, seleção de ferramentas e operação de programa de vulnerabilidades.

Falar com Especialista

Inteligencia Brasil

Consultoria especializada em Gestão de Vulnerabilidades e Segurança Proativa.