{"id":24033,"date":"2025-08-06T10:07:02","date_gmt":"2025-08-06T13:07:02","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=24033"},"modified":"2025-08-06T10:19:09","modified_gmt":"2025-08-06T13:19:09","slug":"cvss-rbvm-vulnerability-management","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/cvss-rbvm-vulnerability-management\/24033\/","title":{"rendered":"Do CVSS ao RBVM: como fazer uma prioriza\u00e7\u00e3o de vulnerabilidades bem feita"},"content":{"rendered":"<p>Quando voc\u00ea <u>usa o Sistema de Pontua\u00e7\u00e3o de Vulnerabilidades Comuns (CVSS) pela primeira vez<\/u>, \u00e9 f\u00e1cil pensar que esta \u00e9 a ferramenta perfeita para a triagem e prioriza\u00e7\u00e3o de vulnerabilidades. Uma pontua\u00e7\u00e3o mais alta deve significar uma vulnerabilidade mais cr\u00edtica, certo? Na verdade, essa abordagem n\u00e3o funciona muito bem. Todos os anos, vemos aumentar a quantidade de vulnerabilidades com pontua\u00e7\u00f5es CVSS altas. As equipes de seguran\u00e7a simplesmente n\u00e3o conseguem corrigi-las a tempo, mas a grande maioria dessas falhas nunca \u00e9 realmente explorada em ataques do mundo real. Enquanto isso, os invasores est\u00e3o constantemente aproveitando vulnerabilidades menos chamativas com pontua\u00e7\u00f5es mais baixas. H\u00e1 outras armadilhas ocultas tamb\u00e9m, desde quest\u00f5es puramente t\u00e9cnicas, como pontua\u00e7\u00f5es conflitantes do CVSS, at\u00e9 quest\u00f5es conceituais, como a falta de contexto de neg\u00f3cios.<\/p>\n<p>Essas n\u00e3o s\u00e3o necessariamente defici\u00eancias do pr\u00f3prio CVSS. Isso no entanto destaca a necessidade de usar a ferramenta corretamente, como parte de um processo de gerenciamento de vulnerabilidades mais sofisticado e abrangente.<\/p>\n<h2>Discrep\u00e2ncias no CVSS<\/h2>\n<p>Voc\u00ea j\u00e1 notou como a mesma vulnerabilidade pode ter pontua\u00e7\u00f5es de gravidade diferentes, dependendo da fonte dispon\u00edvel? Uma pontua\u00e7\u00e3o do pesquisador de ciberseguran\u00e7a, outra do fornecedor do software vulner\u00e1vel e outra de um banco de dados nacional de vulnerabilidades? Nem sempre \u00e9 apenas um simples erro. \u00c0s vezes, diferentes especialistas podem discordar sobre o contexto da explora\u00e7\u00e3o. Eles podem ter ideias diferentes sobre os privil\u00e9gios com os quais um aplicativo vulner\u00e1vel \u00e9 executado ou se tem interface com a Internet. Por exemplo, um fornecedor pode basear sua avalia\u00e7\u00e3o nas suas pr\u00e1ticas recomendadas, enquanto um pesquisador de seguran\u00e7a pode considerar como os aplicativos s\u00e3o normalmente configurados em organiza\u00e7\u00f5es do mundo real. Um pesquisador pode classificar a complexidade da explora\u00e7\u00e3o como alta, enquanto outro a considera baixa. Esta n\u00e3o \u00e9 uma ocorr\u00eancia incomum. Um <a href=\"https:\/\/vulncheck.com\/blog\/cvss-accuracy-issues\" target=\"_blank\" rel=\"noopener nofollow\">estudo de 2023 da Vulncheck<\/a> descobriu que 20% das vulnerabilidades no Banco de Dados Nacional de Vulnerabilidades (NVD) tinham duas pontua\u00e7\u00f5es CVSS3 de fontes diferentes e 56% dessas pontua\u00e7\u00f5es pareadas estavam em conflito entre si.<\/p>\n<h2>Erros mais comuns ao usar o CVSS<\/h2>\n<p>Por mais de uma d\u00e9cada, a <a href=\"https:\/\/www.first.org\/about\/mission\" target=\"_blank\" rel=\"noopener nofollow\">FIRST<\/a> tem defendido a aplica\u00e7\u00e3o metodologicamente correta do CVSS. No entanto, as organiza\u00e7\u00f5es que usam as classifica\u00e7\u00f5es CVSS em seus processos de gerenciamento de vulnerabilidades continuam cometendo erros t\u00edpicos:<\/p>\n<ol>\n<li>Usar a pontua\u00e7\u00e3o base do CVSS como o principal indicador de risco. O CVSS mede a gravidade de uma vulnerabilidade, n\u00e3o quando ela ser\u00e1 explorada ou o impacto potencial de sua explora\u00e7\u00e3o na organiza\u00e7\u00e3o sob ataque. \u00c0s vezes, uma vulnerabilidade cr\u00edtica \u00e9 inofensiva no ambiente de uma empresa espec\u00edfica porque reside em sistemas insignificantes e isolados. Por outro lado, um ataque de ransomware em larga escala pode come\u00e7ar com uma vulnerabilidade de vazamento de informa\u00e7\u00f5es aparentemente in\u00f3cua com uma pontua\u00e7\u00e3o 6 no CVSS.<\/li>\n<li>Usar a pontua\u00e7\u00e3o CVSS b\u00e1sica sem ajustes de Amea\u00e7a\/Temporal e Ambientais. A disponibilidade de patches, exploits p\u00fablicos e medidas compensat\u00f3rias influencia significativamente como e com que urg\u00eancia uma vulnerabilidade deve ser tratada.<\/li>\n<li>Concentrar-se apenas em vulnerabilidades acima de uma determinada pontua\u00e7\u00e3o. Essa abordagem \u00e0s vezes \u00e9 exigida por reguladores governamentais ou setoriais (\u201ccorrigir vulnerabilidades com pontua\u00e7\u00e3o CVSS acima de 8 dentro de um m\u00eas\u201d). Como resultado, as equipes de ciberseguran\u00e7a enfrentam uma carga de trabalho continuamente crescente que, na realidade, n\u00e3o torna sua infraestrutura mais segura. A quantidade de vulnerabilidades com pontua\u00e7\u00f5es CVSS altas identificadas anualmente tem <a href=\"https:\/\/nvd.nist.gov\/general\/visualizations\/vulnerability-visualizations\/cvss-severity-distribution-over-time#CVSSSeverityOverTime\" target=\"_blank\" rel=\"noopener nofollow\">aumentado rapidamente nos \u00faltimos 10 anos<\/a>.<\/li>\n<li>Usar o CVSS para avaliar a probabilidade de explora\u00e7\u00e3o. Essas m\u00e9tricas s\u00e3o mal correlacionadas: apenas <a href=\"https:\/\/vulmon.com\/docs\/Vulnerability-Scoring\/KEV\" target=\"_blank\" rel=\"noopener nofollow\">17% das vulnerabilidades cr\u00edticas<\/a> s\u00e3o exploradas em ataques.<\/li>\n<li>Usar apenas a classifica\u00e7\u00e3o CVSS. A sequ\u00eancia de vetores padronizada foi introduzida no CVSS para que os defensores pudessem entender os detalhes de uma vulnerabilidade e calcular independentemente sua import\u00e2ncia dentro de sua pr\u00f3pria organiza\u00e7\u00e3o. O CVSS 4.0 foi especificamente revisado para facilitar a contabiliza\u00e7\u00e3o do contexto de neg\u00f3cios usando m\u00e9tricas adicionais. Quaisquer esfor\u00e7os de gerenciamento de vulnerabilidades baseados exclusivamente em uma classifica\u00e7\u00e3o num\u00e9rica ser\u00e3o amplamente ineficazes.<\/li>\n<li>Ignorar fontes adicionais de informa\u00e7\u00e3o. Confiar em um \u00fanico banco de dados de vulnerabilidades e analisar apenas o CVSS \u00e9 insuficiente. A aus\u00eancia de dados sobre patches, provas de conceito funcionais e casos de explora\u00e7\u00e3o do mundo real dificultam a decis\u00e3o de como lidar com as vulnerabilidades.<\/li>\n<\/ol>\n<h2>O que o CVSS n\u00e3o revela sobre uma vulnerabilidade<\/h2>\n<p>O CVSS \u00e9 o padr\u00e3o do setor para descrever a gravidade de uma vulnerabilidade, as condi\u00e7\u00f5es sob as quais ela pode ser explorada e seu impacto potencial em um sistema vulner\u00e1vel. No entanto, al\u00e9m dessa descri\u00e7\u00e3o (e da pontua\u00e7\u00e3o CVSS b\u00e1sica), h\u00e1 muito mais que o sistema n\u00e3o cobre:<\/p>\n<ul>\n<li>Quem encontrou a vulnerabilidade? O fornecedor, um pesquisador \u00e9tico que relatou a falha e esperou por um patch, ou foi um agente malicioso?<\/li>\n<li>Existe um exploit dispon\u00edvel publicamente? Em outras palavras, existe um c\u00f3digo prontamente dispon\u00edvel para explorar a vulnerabilidade?<\/li>\n<li>Qual o grau de praticidade de explorar em cen\u00e1rios do mundo real?<\/li>\n<li>Existe um patch dispon\u00edvel? Esse cobre todas as vers\u00f5es de software vulner\u00e1veis e quais s\u00e3o os poss\u00edveis efeitos colaterais de aplic\u00e1-lo?<\/li>\n<li>A organiza\u00e7\u00e3o deve tratar a vulnerabilidade? Ou isso afeta um servi\u00e7o de nuvem (SaaS) onde o provedor corrigir\u00e1 automaticamente as falhas?<\/li>\n<li>H\u00e1 sinais de explora\u00e7\u00e3o ocorrendo no ciberespa\u00e7o?<\/li>\n<li>Se n\u00e3o houver nenhuma, qual \u00e9 a probabilidade de os invasores aproveitarem essa vulnerabilidade no futuro?<\/li>\n<li>Quais sistemas espec\u00edficos dentro da sua organiza\u00e7\u00e3o s\u00e3o vulner\u00e1veis?<\/li>\n<li>A explora\u00e7\u00e3o \u00e9 praticamente acess\u00edvel a um invasor? Por exemplo, um sistema pode ser um servidor da web corporativo acess\u00edvel a qualquer pessoa online ou pode ser uma impressora vulner\u00e1vel fisicamente conectada a um \u00fanico computador que n\u00e3o tem acesso \u00e0 rede. Um exemplo mais complexo pode ser uma vulnerabilidade no m\u00e9todo de um componente de software, na qual o aplicativo de neg\u00f3cios espec\u00edfico que usa esse componente nunca chama o m\u00e9todo.<\/li>\n<li>O que aconteceria se os sistemas vulner\u00e1veis fossem comprometidos?<\/li>\n<li>Qual \u00e9 o custo financeiro de tal evento para a empresa?<\/li>\n<\/ul>\n<p>Todos esses fatores influenciam significativamente a decis\u00e3o de quando e como corrigir uma vulnerabilidade ou mesmo se a corre\u00e7\u00e3o \u00e9 necess\u00e1ria.<\/p>\n<h2>Como ajustar o CVSS? A RBVM tem a resposta!<\/h2>\n<p>Muitos fatores que muitas vezes s\u00e3o dif\u00edceis de explicar dentro dos limites do CVSS s\u00e3o fundamentais para uma abordagem popular conhecida como gerenciamento de vulnerabilidades baseado em risco (RBVM).<\/p>\n<p>O RBVM \u00e9 um processo c\u00edclico e hol\u00edstico, com v\u00e1rias fases principais que se repetem regularmente:<\/p>\n<ul>\n<li>Invent\u00e1rio de todos os ativos de TI da sua empresa. Isso inclui tudo, desde computadores, servidores e software at\u00e9 servi\u00e7os em nuvem e dispositivos IoT.<\/li>\n<li>Priorize ativos por import\u00e2ncia: identificando suas joias da coroa.<\/li>\n<li>Verifique ativos quanto a vulnerabilidades conhecidas.<\/li>\n<li>Enrique\u00e7a os dados de vulnerabilidade. Isso inclui refinar as classifica\u00e7\u00f5es CVSS-B e CVSS-BT, incorporar intelig\u00eancia de amea\u00e7as e avaliar a probabilidade de explora\u00e7\u00e3o. Duas ferramentas populares para medir a explorabilidade s\u00e3o <a href=\"https:\/\/www.first.org\/epss\/data_stats.html\" target=\"_blank\" rel=\"noopener nofollow\">EPSS<\/a> (outra classifica\u00e7\u00e3o FIRST que fornece uma probabilidade percentual de explora\u00e7\u00e3o no mundo real para a maioria das vulnerabilidades) e bancos de dados de consulta como <a href=\"https:\/\/www.cisa.gov\/known-exploited-vulnerabilities-catalog\" target=\"_blank\" rel=\"noopener nofollow\">CISA KEV<\/a>, que cont\u00e9m informa\u00e7\u00f5es sobre vulnerabilidades exploradas ativamente pelos invasores.<\/li>\n<li>Defina o contexto de neg\u00f3cios: entender o impacto potencial de uma explora\u00e7\u00e3o em sistemas vulner\u00e1veis, considerando suas configura\u00e7\u00f5es e como eles s\u00e3o usados em sua organiza\u00e7\u00e3o.<\/li>\n<li>Determine como a vulnerabilidade pode ser neutralizada por meio de patches ou medidas compensat\u00f3rias.<\/li>\n<li>A parte mais empolgante: avaliar o risco do neg\u00f3cio e definir prioridades com base em todos os dados coletados. As vulnerabilidades com a maior probabilidade de explora\u00e7\u00e3o e poss\u00edvel impacto significativo em seus principais ativos de TI s\u00e3o priorizadas. Para classificar vulnerabilidades, voc\u00ea pode calcular o CVSS-BTE, incorporando todos os dados coletados no componente ambiental ou usar metodologias de classifica\u00e7\u00e3o alternativas. Aspectos regulat\u00f3rios tamb\u00e9m influenciam a prioriza\u00e7\u00e3o.<\/li>\n<li>Definir prazos para a resolu\u00e7\u00e3o de cada vulnerabilidade com base em seu n\u00edvel de risco e considera\u00e7\u00f5es operacionais, como o momento mais conveniente para as atualiza\u00e7\u00f5es. Se as atualiza\u00e7\u00f5es ou os patches n\u00e3o estiverem dispon\u00edveis, ou se sua implementa\u00e7\u00e3o introduzir novos riscos e complexidades, medidas compensat\u00f3rias s\u00e3o adotadas em vez da remedia\u00e7\u00e3o direta. \u00c0s vezes, o custo de corrigir uma vulnerabilidade supera o risco que ela representa, e pode se optar por n\u00e3o corrigi-la. Nesses casos, a empresa aceita conscientemente os riscos da vulnerabilidade que est\u00e1 sendo explorada.<\/li>\n<\/ul>\n<p>Al\u00e9m do que discutimos, \u00e9 crucial analisar periodicamente o cen\u00e1rio de vulnerabilidades e a infraestrutura de TI da sua empresa. Ap\u00f3s essa an\u00e1lise, voc\u00ea precisa introduzir medidas de ciberseguran\u00e7a que impe\u00e7am que classes inteiras de vulnerabilidades sejam exploradas ou aumentem significativamente a seguran\u00e7a geral de sistemas de TI espec\u00edficos. Essas medidas podem incluir microssegmenta\u00e7\u00e3o de rede, implementa\u00e7\u00e3o de privil\u00e9gios m\u00ednimos e ado\u00e7\u00e3o de pol\u00edticas de gerenciamento de contas mais rigorosas.<\/p>\n<p>Um processo de RBVM implementado corretamente reduz drasticamente a carga sobre as equipes de TI e de seguran\u00e7a. As equipes gastam seu tempo de forma mais eficaz, pois seus esfor\u00e7os s\u00e3o direcionados principalmente para falhas que representam uma amea\u00e7a genu\u00edna aos neg\u00f3cios. Para compreender a escala desses ganhos de efici\u00eancia e economia de recursos, considere este <a href=\"https:\/\/www.first.org\/epss\/model\" target=\"_blank\" rel=\"noopener nofollow\">PRIMEIRO estudo<\/a>. A prioriza\u00e7\u00e3o de vulnerabilidades usando somente EPSS permite que voc\u00ea se concentre em apenas 3% das vulnerabilidades e alcance 65% de efici\u00eancia. Em contraste, priorizar pelo CVSS-B requer abordar 57% das vulnerabilidades com uma efic\u00e1cia sombria de 4%. Aqui, \u201cefici\u00eancia\u201d refere-se \u00e0 corre\u00e7\u00e3o bem-sucedida de vulnerabilidades que realmente foram exploradas em estado selvagem.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kaspersky-next\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"kaspersky-next\" value=\"22429\">\n","protected":false},"excerpt":{"rendered":"<p>Causas de discrep\u00e2ncias nas classifica\u00e7\u00f5es do Sistema de Pontua\u00e7\u00e3o de Vulnerabilidades Comuns, erros mais comuns ao usar o CVSS para priorizar vulnerabilidades e como fazer isso corretamente.<\/p>\n","protected":false},"author":2722,"featured_media":24035,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655,1656],"tags":[1712,3363,3057,830,3078,73,267],"class_list":{"0":"post-24033","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-ciso","11":"tag-cvss","12":"tag-dia-zero","13":"tag-tips","14":"tag-estrategia","15":"tag-patches","16":"tag-vulnerabilidades"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/cvss-rbvm-vulnerability-management\/24033\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/cvss-rbvm-vulnerability-management\/29225\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/cvss-rbvm-vulnerability-management\/24403\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/cvss-rbvm-vulnerability-management\/12606\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/cvss-rbvm-vulnerability-management\/29236\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/cvss-rbvm-vulnerability-management\/28339\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/cvss-rbvm-vulnerability-management\/31177\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cvss-rbvm-vulnerability-management\/29856\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/cvss-rbvm-vulnerability-management\/40090\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/cvss-rbvm-vulnerability-management\/13591\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/cvss-rbvm-vulnerability-management\/53912\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cvss-rbvm-vulnerability-management\/22997\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/cvss-rbvm-vulnerability-management\/32454\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/cvss-rbvm-vulnerability-management\/29382\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/cvss-rbvm-vulnerability-management\/35159\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/cvss-rbvm-vulnerability-management\/34799\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/dia-zero\/","name":"dia-zero"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24033","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=24033"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24033\/revisions"}],"predecessor-version":[{"id":24041,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24033\/revisions\/24041"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/24035"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=24033"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=24033"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=24033"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}