Gestão de vulnerabilidades: como priorizar riscos além do CVSS
Corrigir tudo é impossível. Veja como priorizar o que importa combinando severidade, exposição e probabilidade de exploração.
Scanners produzem centenas ou milhares de achados, e tratar todos como urgentes é a receita para não tratar nenhum bem. Gestão de vulnerabilidades é o processo de transformar esse volume em decisões de correção orientadas a risco real. O segredo está na priorização: o CVSS sozinho não basta, porque mede a gravidade teórica da falha, não a probabilidade de ela ser explorada no seu contexto.
Este guia apresenta um modelo prático de priorização que combina severidade, exposição, criticidade do ativo e probabilidade de exploração, além da governança que torna o processo repetível: inventário, SLA, exceções e reteste. O objetivo é corrigir primeiro o que mais reduz risco.
Por que o CVSS não basta
O CVSS dá uma nota de gravidade técnica, mas duas vulnerabilidades com o mesmo CVSS podem ter risco muito diferente. Uma falha crítica em um servidor interno e isolado, sem exposição, é menos urgente que uma falha média em um serviço exposto à internet e que já tem exploração pública circulando. Priorizar só por CVSS faz a equipe gastar energia no lugar errado.
O EPSS complementa o CVSS estimando a probabilidade de uma vulnerabilidade ser explorada num horizonte próximo. Combinar EPSS com o contexto de exposição e a criticidade do ativo aproxima a priorização do risco real, em vez da gravidade teórica.
Um modelo de priorização
Um modelo simples e eficaz cruza três dimensões: gravidade técnica (CVSS), probabilidade de exploração (EPSS e existência de exploração conhecida) e contexto (o ativo é exposto, é crítico para o negócio, guarda dados sensíveis). Itens que pontuam alto nas três dimensões vão para o topo da fila.
- Gravidade técnica da falha (CVSS)
- Probabilidade de exploração (EPSS, exploração pública conhecida)
- Exposição do ativo (interno, externo, internet)
- Criticidade do ativo para o negócio e sensibilidade dos dados
- Existência de mitigação ou controle compensatório
Valide os achados relevantes antes de priorizar, para descartar falso positivo. Nada desperdiça mais credibilidade do que cobrar a correção de algo que não se aplica ao ambiente.
Governança: SLA, exceções e reteste
Defina SLAs de correção por faixa de risco, com prazos realistas, e um processo de exceção para quando a correção não é viável de imediato. Uma exceção deve ter justificativa, dono, prazo e, idealmente, um controle compensatório. Sem governança, exceções viram regra e o risco se acumula em silêncio.
Feche o ciclo com reteste: confirme que a correção realmente eliminou a vulnerabilidade. Acompanhe a evolução com métricas simples, como o tempo médio de correção por faixa de risco, para mostrar que a postura está melhorando de forma mensurável.
Checklist prático
- Manter inventário de ativos atualizado e abrangente
- Validar achados relevantes para descartar falso positivo
- Priorizar combinando CVSS, EPSS, exposição e criticidade
- Considerar exploração pública conhecida na priorização
- Definir SLA de correção por faixa de risco
- Ter processo de exceção com justificativa, dono e prazo
- Registrar controles compensatórios quando a correção é adiada
- Executar reteste para confirmar a correção
- Acompanhar métricas de evolução da postura
- Reavaliar periodicamente em vez de tratar como esforço pontual
Boas práticas
- Priorize por risco real, não apenas por severidade nominal
- Use EPSS e contexto para separar o urgente do importante
- Mantenha o inventário em dia para evitar pontos cegos
- Trate exceções como decisão consciente e temporária
- Feche sempre com reteste para validar a correção
- Meça e comunique a evolução com métricas simples
Erros comuns
Priorizar somente por CVSS
Esforço gasto em itens isolados enquanto exposições reais permanecem abertas.
Inventário incompleto
Ativos não inventariados nunca são avaliados e viram pontos cegos.
Tratar todo achado como urgente
A equipe se afoga em alertas e nada é corrigido com qualidade.
Exceções sem prazo nem dono
O risco se acumula de forma permanente e silenciosa.
Não fazer reteste
Correções incompletas passam por resolvidas e a falha continua.
Quando procurar apoio especializado
Transformar volume de achados em um processo contínuo e priorizado é o foco do serviço de Gestão de Vulnerabilidades da GUARDIASEC, que identifica, prioriza por risco real e acompanha a correção com reteste e métricas de evolução.
Perguntas frequentes
O que é EPSS e como ele ajuda na priorização?
O EPSS é um indicador que estima a probabilidade de uma vulnerabilidade ser explorada em um horizonte próximo. Enquanto o CVSS mede a gravidade técnica, o EPSS aproxima a probabilidade real de exploração. Combinar os dois com o contexto de exposição ajuda a separar o que é urgente do que apenas parece urgente pela nota.
Gestão de vulnerabilidades substitui o pentest?
Não. A gestão de vulnerabilidades dá amplitude e continuidade, identificando e acompanhando falhas conhecidas em escala. O pentest dá profundidade, valida exploração e encontra falhas de lógica que scanners não detectam. Os dois se complementam dentro de um programa de segurança maduro.
Como lidar com vulnerabilidades que não posso corrigir agora?
Use um processo de exceção formal: registre a justificativa, defina um dono e um prazo de reavaliação e, sempre que possível, aplique um controle compensatório que reduza o risco enquanto a correção definitiva não acontece. O importante é que a exceção seja consciente e temporária, não um esquecimento permanente.
Preciso corrigir todas as vulnerabilidades?
Corrigir tudo é inviável e não é o objetivo. A meta é reduzir e controlar o risco de forma contínua, tratando primeiro o que combina gravidade, probabilidade de exploração e exposição. Algumas vulnerabilidades de baixo risco em ativos isolados podem ser aceitas conscientemente, desde que isso seja registrado e revisado.
Guias relacionados
Próximo passo
Vamos avaliar os riscos do seu ambiente?
Conte seu cenário e definimos juntos o escopo certo. O objetivo é reduzir caminhos prováveis de ataque e elevar a maturidade de segurança, sem promessas absolutas.