O que é EPSS é Por Que CVSS Não Basta Para Priorizar Vulnerabilidades

O dilema das 30.000 CVEs: por que priorizar e mais importante do que corrigir tudo

Em 2024, mais de 30.000 novas CVEs foram publicadas no National Vulnerability Database (NVD). Em 2025, o ritmo se mantém acelerado. Para equipes de segurança que já operam no limite da capacidade, esses números representam um problema matemático insolvel: nenhuma organização tem recursos para corrigir todas as vulnerabilidades, em todos os ativos, em tempo habil.

EPSS (Exploit Prediction Scoring System) é um modelo estatistico criado pelo FIRST que calcula a probabilidade de uma CVE ser explorada em ambientes reais nos próximos 30 dias, gerando um score de 0 a 1. Diferente do CVSS, que mede apenas a severidade técnica, o EPSS responde à pergunta que realmente importa para quem defende infraestrutura: qual a chance de um atacante explorar essa vulnerabilidade agora?

Os dados reforçam a urgência dessa mudança de perspectiva. Estudos consistentes mostram que apenas 2% a 5% das CVEs publicadas são efetivamente exploradas em ataques reais. Isso significa que uma estratégia baseada exclusivamente em CVSS, tratar toda vulnerabilidade "crítica" como prioridade máxima, gera um volume insustentável de trabalho, boa parte dele direcionado a ameaças que nunca se materializam. O resultado é familiar: times exaustos, SLAs estourados e vulnerabilidades realmente perigosas perdidas no meio do ruido.

Este artigo explica em profundidade o que é EPSS, como ele se diferencia do CVSS, qual o papel do catalogo CISA KEV e como combinar essas três camadas com contexto de ativo para criar uma priorização que faz sentido operacional. Ao final, você vai entender como a EcoTrust implementa essa abordagem nos módulos VulScan e GVul.

---

O que é CVSS, e onde ele para

Leia também: CVSS: o que é, como funciona e por que não basta para pri...

O CVSS (Common Vulnerability Scoring System) é o padrão mais utilizado no mundo para classificar a severidade de vulnerabilidades. Mantido pelo FIRST, ele atribui uma nota de 0 a 10 com base em características técnicas da falha: vetor de ataque, complexidade de exploração, impacto em confidencialidade, integridade e disponibilidade.

O CVSS faz bem o que se propõe a fazer: descrever a gravidade intrínseca de uma vulnerabilidade. Uma CVE com CVSS 9.8 representa uma falha que, se explorada, causa dano severo, com vetor de ataque pela rede, sem autenticação necessária e sem interação do usuário.

O problema é que a pergunta "quao grave e a falha?" e muito diferente da pergunta "qual a chance de essa falha ser explorada?". É a segunda pergunta é a que determina o risco real para a organização.

Limitações práticas do CVSS como único critério

• Não considera a existência de exploit. Uma CVE com CVSS 9.8 pode não ter nenhum exploit público, enquanto uma CVE com CVSS 7.0 pode ter exploit ativo sendo usado em campanhas de ransomware.
• Não muda ao longo do tempo. O score CVSS e atribuido uma vez e raramente revisado. A realidade das ameaças muda diariamente.
• Gera excesso de críticos. Quando tudo é crítico, nada é crítico. Equipes que priorizam apenas por CVSS >= 9.0 frequentemente trabalham em centenas de CVEs sem exploração real, enquanto ignoram falhas de severidade média que estão sendo ativamente exploradas.
• Não considera o contexto do ativo. Uma vulnerabilidade crítica em um servidor de desenvolvimento interno tem risco completamente diferente da mesma vulnerabilidade em um servidor de pagamentos exposto a internet.

O CVSS continua sendo útil como métrica de severidade técnica. Mas como único critério de priorização, ele é insuficiente.

---

O que é EPSS, definição, modelo e funcionamento

Leia também: Como priorizar vulnerabilidades: 8 estratégias baseadas e...

EPSS (Exploit Prediction Scoring System) é um modelo de machine learning mantido pelo FIRST que estima a probabilidade de uma CVE ser explorada em ambientes reais nos próximos 30 dias. O score varia de 0 (probabilidade mínima) a 1 (probabilidade máxima) e e atualizado diariamente.

Como o EPSS e calculado

O modelo EPSS utiliza mais de 1.400 variáveis para gerar suas previsoes. Entre as fontes de dados estão:

• Dados de exploração real: telemetria de sensores IDS/IPS, honeypots e feeds de ameaças globais
• Disponibilidade de exploit: presença de módulos em frameworks como Metasploit, exploits publicados em repositorios públicos e proof-of-concept (PoC) divulgados
• Mencoes em fontes abertas: discussoes em foruns, redes sociais, dark web e publicações de pesquisadores de segurança
• Características da CVE: tipo de vulnerabilidade (RCE, SQLi, XSS etc.), vetor de ataque, vendor afetado
• Idade da vulnerabilidade: CVEs recentes com exploit tendem a ter score mais alto

O modelo e atualizado diariamente, o que significa que o EPSS score de uma CVE pode subir rápidamente quando um novo exploit e publicado ou quando a atividade de exploração aumenta. Essa dinamicidade é uma das maiores vantagens em relação ao CVSS.

Como interpretar o EPSS score

O EPSS score pode ser interpretado de duas formas complementares:

• Probabilidade absoluta: um EPSS de 0.85 significa que há 85% de probabilidade de a CVE ser explorada nos próximos 30 dias.
• Percentil: o EPSS também fornece um percentil que indica a posição relativa da CVE em comparação com todas as outras CVEs conhecidas. Um percentil de 95% significa que a CVE tem score maior do que 95% de todas as CVEs.

Na prática, a maioria esmagadora das CVEs tem EPSS muito baixo. Isso confirma o dado de que apenas 2% a 5% das vulnerabilidades são efetivamente exploradas, é o EPSS ajuda a identificar exatamente quais.

---

CVSS vs EPSS: diferenças fundamentais

A tabela a seguir resume as diferenças entre CVSS e EPSS para facilitar a comparação:

A conclusão e direta: CVSS e EPSS não são concorrentes. São complementares. O CVSS responde "se explorada, qual o impacto?" e o EPSS responde "qual a chance de ser explorada?". Usar os dois juntos e significativamente mais eficaz do que usar qualquer um isoladamente.

---

CISA KEV: o catalogo de exploração confirmada

O CISA KEV (Known Exploited Vulnerabilities Catalog) é uma lista mantida pela CISA (Cybersecurity and Infrastructure Security Agency) dos Estados Unidos que cataloga vulnerabilidades com exploração confirmada em ataques reais.

Características do CISA KEV

• Critério de inclusão rigoroso: uma CVE só entra no catalogo se houver evidência concreta de exploração ativa (não basta existir um exploit teórico)
• Obrigatório para agencias federais dos EUA: o Binding Operational Directive (BOD) 22-01 exige que agencias federais remediem CVEs listadas no KEV dentro de prazos definidos
• Referência global: embora o mandato seja federal americano, o catalogo se tornou referência para organizações de todo o mundo como indicador de exploração confirmada
• Atualizado continuamente: novas CVEs são adicionadas conforme evidências de exploração surgem

Onde o CISA KEV se encaixa na priorização

O CISA KEV funciona como um sinal binário de alta confiança: se uma CVE está no catalogo, ela está sendo explorada. Não há duvida, não há probabilidade, e fato confirmado.

Na prática, o CISA KEV deve ser tratado como prioridade imediata: se a vulnerabilidade está na lista e afeta ativos da organização, a remediação deve ser tratada com urgência máxima, independentemente do CVSS ou EPSS score.

---

A triade de priorização moderna: CVSS + EPSS + KEV + contexto de ativo

Nenhuma métrica isolada resolve o problema de priorização. A abordagem moderna combina múltiplas camadas de inteligência para criar uma visão de risco que reflete a realidade operacional:

Camada 1: Severidade técnica (CVSS)

Define o impacto potencial. Uma CVE com CVSS 9.8 contínua sendo uma falha grave que merece atenção. Mas o CVSS define o teto do dano, não a probabilidade de ele acontecer.

Camada 2: Probabilidade de exploração (EPSS)

Define a urgência temporal. Uma CVE com EPSS alto indica que atacantes estão ativamente interessados nessa falha ou já a utilizam em campanhas. A janela de remediação e curta.

Camada 3: Exploração confirmada (CISA KEV)

O sinal mais forte. Se está no KEV, já está sendo explorada. Prioridade máxima, sem discussão.

Camada 4: Contexto do ativo

A camada que transforma métricas genéricas em risco específico para a organização:

• Exposição do ativo: está voltado para a internet ou é interno? Está em DMZ ou segmento isolado?
• Criticidade para o negócio: é um servidor de banco de dados de produção ou uma máquina de teste?
• Dados que processa: contém dados de clientes, informações financeiras, propriedade intelectual?
• Compensating controls: existe WAF, segmentação de rede ou outras camadas de proteção que reduzem o risco efetivo?

Quando essas quatro camadas são combinadas, a priorização deixa de ser um exercício de ordenar planilhas por CVSS e passa a ser uma decisão de risco baseada em evidências.

---

Exemplo prático: como a priorização muda com EPSS

Considere duas vulnerabilidades reais encontradas no ambiente de uma organização:

Cenário A: CVE com CVSS alto, EPSS baixo

• CVSS: 9.8 (Crítical)
• EPSS: 0.02 (2% de probabilidade de exploração em 30 dias)
• CISA KEV: não listada
• Ativo: servidor de aplicação interno, sem exposição a internet

Pela lógica tradicional baseada apenas em CVSS, essa CVE seria prioridade máxima. Toda a equipe seria mobilizada para corrigir uma falha com nota 9.8. Mas os dados contam uma historia diferente: a probabilidade de exploração e de apenas 2%, não há exploit ativo conhecido é o ativo não está exposto a internet. O risco real e baixo.

Cenário B: CVE com CVSS médio-alto, EPSS alto

• CVSS: 7.0 (High)
• EPSS: 0.95 (95% de probabilidade de exploração em 30 dias)
• CISA KEV: listada
• Ativo: servidor web de produção exposto a internet, processa dados de pagamento

Pela lógica tradicional, essa CVE ficaria atras de todas as CVEs com CVSS acima de 7.0, potencialmente centenas delas. Mas a realidade e alarmante: 95% de probabilidade de exploração, presença confirmada no CISA KEV, ativo crítico exposto a internet. Essa vulnerabilidade deveria ser a primeira da fila.

O impacto na operação

A diferença entre os dois cenários ilustra por que a priorização baseada apenas em CVSS desperdiça recursos e aumenta o risco:

• Com CVSS apenas: Cenário A e prioridade 1, Cenário B e prioridade 2 (ou pior)
• Com CVSS + EPSS + KEV + contexto: Cenário B e prioridade imediata, Cenário A entra no backlog com prazo estendido

Multiplicando essa lógica por milhares de CVEs, a diferença operacional e enorme. Equipes que adotam priorização baseada em risco conseguem reduzir em 80% a 90% o volume de vulnerabilidades que exigem ação imediata, concentrando esforços nas falhas que representam perigo real.

---

Como a EcoTrust usa EPSS na prática: VulScan e GVul

A plataforma EcoTrust integra EPSS, CISA KEV e contexto de ativo diretamente nos módulos de gestão de vulnerabilidades, eliminando o trabalho manual de cruzar dados de fontes diferentes.

VulScan: enriquecimento automático de cada CVE

O módulo VulScan é responsável pela varredura e análise de vulnerabilidades. Para cada CVE identificada, o VulScan automaticamente:

• Consulta o EPSS score atualizado: o score e obtido diariamente, refletindo a probabilidade mais recente de exploração
• Verifica presença no CISA KEV: identifica se a CVE está no catalogo de exploração confirmada
• Cruza com campanhas de ransomware ativas: verifica se a vulnerabilidade está sendo utilizada por grupos de ransomware conhecidos, um indicador crítico de risco iminente
• Identifica disponibilidade de exploit: verifica se existem exploits públicos, módulos Metasploit ou PoCs disponíveis

Esse enriquecimento acontece automaticamente, sem intervenção manual. O analista recebe cada vulnerabilidade já contextualizada com todas as informações necessárias para tomar uma decisão informada.

GVul: priorização por risco real

O módulo GVul recebe as vulnerabilidades enriquecidas pelo VulScan e aplica a formula de priorização que combina:

• Severidade técnica (CVSS base score)
• Explorabilidade (EPSS score + presença no KEV + exploit disponível)
• Criticidade do ativo (classificação de negócio, exposição, dados processados)

O resultado é uma matriz de risco priorizada que substitui a planilha tradicional de milhares de CVEs ordenadas por CVSS. Em vez de receber uma lista com 3.000 vulnerabilidades "críticas", a equipe recebe um ranking que reflete o risco real para a organização, com as 50 ou 100 vulnerabilidades que exigem ação imediata claramente destacadas.

Integração com Patch Management

Uma vez priorizadas, as vulnerabilidades podem ser encaminhadas diretamente para o módulo de Patch Management, fechando o ciclo entre detecção, priorização e remediação. Essa integração reduz o tempo médio de correção (MTTR) e elimina os gaps de comunicação entre equipes de segurança e operações.

O diferencial: priorização que faz sentido operacional

A diferença entre receber uma planilha com 30.000 CVEs e receber uma matriz priorizada com as 200 que realmente importam e a diferença entre um programa de gestão de vulnerabilidades que funciona é um que gera burnout. A EcoTrust automatiza o cruzamento de dados que, manualmente, exigiria horas de trabalho por analista, por dia, e ainda assim seria suscetivel a erros e desatualização.

---

Perguntas frequentes sobre EPSS e priorização de vulnerabilidades

O EPSS substitui o CVSS?

Não. EPSS e CVSS medem dimensões diferentes do risco. O CVSS mede a severidade técnica (impacto potencial se explorada) é o EPSS mede a probabilidade de exploração em 30 dias. A abordagem recomendada e usar ambos em conjunto: CVSS para entender o impacto e EPSS para entender a urgência.

Qual EPSS score é considerado alto?

Não existe um limiar universal, mas na prática a maioria das organizações considera EPSS acima de 0.1 (10%) como indicador de atenção elevada e acima de 0.4 (40%) como prioridade alta. O percentil também é útil: CVEs acima do percentil 90 merecem investigação imediata. O mais importante e que o EPSS seja combinado com outras variáveis, não usado isoladamente.

Com que frequência o EPSS score e atualizado?

O EPSS score e atualizado diariamente pelo FIRST. Isso significa que o score de uma CVE pode mudar significativamente de um dia para o outro, por exemplo, quando um novo exploit e publicado ou quando a atividade de exploração aumenta. Ferramentas que consultam o EPSS apenas no momento do scan perdem essa dinamicidade; plataformas como a EcoTrust atualizam o score continuamente.

Qual a diferença entre EPSS e CISA KEV?

O EPSS e preditivo: estima a probabilidade de exploração futura com base em modelos de machine learning. O CISA KEV e reativo e confirmatorio: lista apenas vulnerabilidades que já foram exploradas em ataques reais documentados. Ambos são complementares. Uma CVE pode ter EPSS alto e ainda não estar no KEV (exploração provavel, mas não confirmada), ou estar no KEV com EPSS relativamente baixo (exploração confirmada em contexto específico).

Como começar a usar EPSS na minha organização?

O primeiro passo e integrar o EPSS ao fluxo de priorização de vulnerabilidades existente. Se sua organização utiliza scanners de vulnerabilidade, verifique se a ferramenta já incorpora EPSS nos relatórios. A API do EPSS é pública e gratuita (disponível em first.org/epss). Para uma abordagem integrada que combina EPSS, CISA KEV, contexto de ativo e campanhas de ransomware automaticamente, conheça o módulo VulScan da EcoTrust.

---

Conclusão: priorizar por risco real, não por severidade teórica

O volume de vulnerabilidades publicadas a cada ano torna impossível uma abordagem de "corrigir tudo". A questão não é se sua organização vai precisar priorizar, mas como. Priorizar apenas por CVSS e melhor do que não priorizar, mas deixa lacunas críticas: vulnerabilidades de média severidade ativamente exploradas ficam para depois, enquanto falhas críticas sem exploit real consomem recursos escassos.

A combinação de CVSS, EPSS e CISA KEV, aplicada sobre o contexto específico de cada ativo, representa o estado da arte em priorização de vulnerabilidades. Essa abordagem reduz drasticamente o volume de trabalho urgente, direciona esforços para onde o risco é real e mensurável, e transforma a gestão de vulnerabilidades de um exercício burocratico em uma prática de redução de risco efetiva.

A EcoTrust implementa essa abordagem de forma nativa nos módulos VulScan e GVul, automatizando o enriquecimento é a priorização para que analistas e CISOs tomem decisões baseadas em risco, não em volume.

Conheça o VulScan e veja como a priorização baseada em risco funciona na prática.