Scanner de vulnerabilidades: como escolher e o que esperar de uma solução moderna
Scanner de vulnerabilidades: como escolher e o que esperar de uma solução moderna
A cada trimestre, o volume de vulnerabilidades catalogadas no NVD ultrapassa recordes anteriores. Somente em 2025, mais de 35 mil CVEs foram publicados, um número que torna humanamente impossível avaliar cada falha sem automação inteligente. Para piorar, o tempo médio entre a divulgação de uma vulnerabilidade crítica é a primeira tentativa de exploração em massa tem diminuido consistentemente, chegando a menos de 72 horas em muitos casos documentados. Nesse cenário, o scanner de vulnerabilidades deixou de ser uma ferramenta auxiliar de compliance para se tornar a peca central de qualquer programa serio de segurança ofensiva e defensiva. O problema é que nem todo scanner entrega o que promete, e a distância entre uma varredura básica de portas é uma plataforma moderna de detecção e priorização e enorme.
Este artigo foi escrito para analistas de segurança que precisam avaliar, comparar ou substituir sua solução atual de varredura. Ao longo do texto, você vai encontrar: o que um scanner moderno precisa fazer além do simples casamento de CVEs, as capacidades essenciais que diferenciam ferramentas de primeira linha, dez critérios objetivos de avaliação, uma comparação entre abordagens (agente vs. agentless, rede vs. web), armadilhas comuns no processo de seleção e como os módulos VulScan e WebAppScan da EcoTrust trabalham juntos dentro de uma estratégia de Continuous Threat Exposure Management (CTEM).
O que um scanner de vulnerabilidades moderno precisa fazer
Até poucos anos atrás, a função de um scanner de vulnerabilidades era relativamente simples: enumerar portas, identificar versões de software e comparar com uma base de CVEs. Se a versão instalada estivesse no intervalo afetado, a vulnerabilidade era reportada. Esse modelo, chamado de version-based matching, ainda é útil, mas insuficiente para ambientes corporativos complexos.
Um scanner de vulnerabilidades moderno precisa ir além do casamento de versões. Ele deve:
-
Detectar configurações inseguras, não apenas software desatualizado. Permissões excessivas, protocolos depreciados habilitados, ausência de headers de segurança em aplicações web e certificados expirados são exemplos de achados que não possuem CVE associado, mas representam risco real.
-
Identificar software em fim de vida (end-of-life). Um sistema operacional ou framework que não recebe mais patches e, por definição, um risco crescente. Scanners modernos manteem bases atualizadas de ciclos de vida de fornecedores e alertam proativamente quando um ativo entra nessa condição.
-
Correlacionar achados com inteligência de ameaças. Saber que uma vulnerabilidade existe e diferente de saber que ela está sendo explorada ativamente por grupos de ransomware. A correlação com fontes como EPSS (Exploit Prediction Scoring System), o catálogo CISA KEV (Known Exploited Vulnerabilities) e feeds de campanhas de ransomware transforma dados técnicos em informação acionável.
-
Gerar SBOM (Software Bill of Materials). Com a crescente regulamentação sobre transparência da cadeia de suprimentos de software, a capacidade de inventariar componentes e dependências diretamente durante a varredura se tornou um diferencial relevante.
-
Operar sem agentes (agentless). Em ambientes híbridos com milhares de ativos, incluindo sistemas legados, dispositivos de rede e infraestrutura em nuvem, a exigência de instalar agentes em cada endpoint cria atrito operacional e pontos cegos. A capacidade de varredura agentless amplia a cobertura sem aumentar a complexidade.
-
Executar testes autenticados em aplicações web (DAST autenticado). Varreduras não autenticadas de aplicações web capturam apenas a superfície visível ao atacante anônimo. O DAST autenticado navega pela aplicação como um usuário legítimo, alcancando funcionalidades protegidas por login e detectando vulnerabilidades em fluxos críticos de negócio.
Capacidades essenciais de um scanner de vulnerabilidades moderno
Leia também: Vulnerabilidades críticas em aplicações web: lições do ca...
A lista abaixo detalha as capacidades que devem constar na avaliação técnica de qualquer solução de varredura.
1. Varredura agentless com cobertura ampla
A abordagem agentless elimina a necessidade de software residente em cada ativo. O scanner se conecta remotamente via protocolos padrão (SSH, WinRM, SNMP, APIs de nuvem) para coletar informações e avaliar o estado de segurança. Isso é especialmente valioso em ambientes com dispositivos de rede, sistemas legados, appliances e ativos em nuvem efêmeros que não suportam ou não justificam a instalação de agentes.
2. Varredura autenticada de aplicações web (DAST)
O DAST (Dynamic Application Security Testing) autenticado permite que o scanner interaja com a aplicação em tempo de execução, enviando requisições HTTP reais e analisando as respostas. Quando autenticado, o scanner consegue testar áreas restritas, formulários de upload, fluxos de pagamento, painéis administrativos e APIs protegidas. Sem autenticação, a cobertura típica de um DAST fica entre 30% e 50% da superfície da aplicação.
3. Integração nativa com EPSS
O CVSS mede severidade técnica, mas não probabilidade de exploração. O EPSS, mantido pelo FIRST, estima a probabilidade de uma vulnerabilidade ser explorada nos próximos 30 dias com base em sinais observados no ecossistema. Um scanner que integra EPSS nativamente permite que o analista priorize as vulnerabilidades que realmente tem maior chance de serem exploradas, em vez de perseguir todo CVSS 9.0+ indiscriminadamente.
4. Correlação com CISA KEV e campanhas de ransomware
O catálogo CISA KEV lista vulnerabilidades com exploração confirmada. Campanhas de ransomware são rastreadas por fontes de inteligência de ameaças que mapeiam quais CVEs são utilizados por grupos como LockBit, BlackCat/ALPHV, Cl0p e outros. A correlação automática dessas fontes com os achados do scanner transforma a lista de vulnerabilidades em um mapa de risco contextualizado.
5. Detecção de end-of-life
Softwares e sistemas operacionais que atingiram o fim do ciclo de suporte do fabricante não recebem mais correções de segurança. Um scanner moderno deve manter uma base atualizada de datas de end-of-life e sinalizar automaticamente ativos nessa condição, pois eles representam um risco estrutural que não se resolve com patches.
6. Geração de SBOM
A capacidade de gerar um inventário detalhado de componentes de software (bibliotecas, frameworks, dependências) encontrados durante a varredura fácilita a conformidade com regulamentações como a Executive Order 14028 dos EUA e a proposta de Cyber Resilience Act da União Europeia. Além de compliance, o SBOM acelera a resposta a incidentes do tipo Log4Shell, onde é preciso saber rápidamente quais ativos utilizam um componente vulnerável.
7. Priorização baseada em risco de negócio
Além de dados técnicos, o scanner deve permitir que o analista atribua contexto de negócio aos ativos, criticidade, exposição a internet, presença de dados sensíveis. A priorização final deve combinar severidade técnica, probabilidade de exploração (EPSS), confirmação de exploração ativa (CISA KEV), contexto de ameaças (ransomware) e impacto potencial ao negócio.
8. Integração com inventário de ativos
O scanner não deve operar isolado. A integração com uma solução de inventário de ativos garante que nenhum ativo relevante fique fora do escopo de varredura e que os resultados sejam enriquecidos com metadados do ativo (proprietário, ambiente, classificação).
9. Recomendações de remediação contextualizadas
Listar vulnerabilidades sem orientação de correção gera trabalho adicional para o analista. Scanners modernos fornecem recomendações específicas, qual patch aplicar, qual configuração alterar, qual componente atualizar, e, idealmente, agrupam remediações para que um único patch resolva múltiplas vulnerabilidades no mesmo ativo.
10. Relatórios e dashboards para diferentes audiencias
O analista precisa de detalhes técnicos. O gestor de segurança precisa de tendências e KPIs. O executivo precisa de visão de risco de negócio. O scanner deve oferecer relatórios e painéis adaptados a cada perfil, com capacidade de exportação em formatos padrão.
Dez critérios objetivos para avaliar um scanner de vulnerabilidades
Leia também: Como priorizar vulnerabilidades: 8 estratégias baseadas e...
A tabela abaixo sintetiza critérios práticos que podem ser usados como checklist durante um processo de seleção ou PoC (prova de conceito).
| # | Critério | O que avaliar | Peso sugerido |
|---|---|---|---|
| 1 | Cobertura de ativos | Suporta servidores, estações, containers, nuvem, dispositivos de rede, OT/IoT? | Alto |
| 2 | Modalidade de varredura | Oferece agentless, com agente e ambos? Suporta DAST autenticado? | Alto |
| 3 | Frequência de atualização de assinaturas | Com que frequência a base de vulnerabilidades e atualizada? Inclui zero-days? | Alto |
| 4 | Integração com threat intelligence | Correlaciona com EPSS, CISA KEV, campanhas de ransomware nativamente? | Alto |
| 5 | Priorização baseada em risco | Combina severidade, explorabilidade, contexto de ameaça e impacto de negócio? | Alto |
| 6 | Detecção de end-of-life e misconfigurations | Vai além de CVEs para encontrar riscos estruturais? | Médio |
| 7 | Geração de SBOM | Inventaria componentes de software durante a varredura? | Médio |
| 8 | Integração com ecossistema | APIs abertas, integrações com SIEM, SOAR, ITSM, CMDB? | Médio |
| 9 | Tempo de varredura e impacto no ambiente | Qual o overhead de CPU/rede durante o scan? Permite throttling? | Médio |
| 10 | Fácilidade de operação | Interface intuitiva, onboarding rápido, documentação completa, suporte local? | Médio |
Utilize esses critérios como ponto de partida e ajuste os pesos conforme a realidade do seu ambiente. Organizações com forte presença web, por exemplo, devem elevar o peso do critério 2 (DAST autenticado). Ambientes com grande parque de sistemas legados devem priorizar o critério 6 (end-of-life).
Comparação de abordagens: agente vs. agentless, rede vs. web
Não existe uma única abordagem de varredura que resolva todos os cenários. A combinação de métodos é o caminho mais eficaz. A tabela abaixo compara as principais abordagens.
| Abordagem | Como funciona | Vantagens | Limitações | Melhor para |
|---|---|---|---|---|
| Com agente | Software instalado no endpoint coleta dados locais e envia ao servidor central | Visibilidade profunda do host, funciona mesmo sem conectividade de rede direta, detecção de software local | Requer instalação e manutenção em cada ativo, não funciona em dispositivos que não suportam agente | Estações de trabalho, servidores críticos com necessidade de monitoramento contínuo |
| Agentless | Scanner se conecta remotamente via SSH, WinRM, SNMP ou APIs | Implantação rápida, sem software adicional nos ativos, cobertura de dispositivos de rede e legados | Depende de credenciais e conectividade de rede, pode ter menor profundidade em alguns cenários | Ambientes híbridos, dispositivos de rede, nuvem, ativos efêmeros, parques grandes |
| Varredura de rede (network scan) | Enumera portas, serviços e versões a partir da rede | Identifica ativos expostos e serviços acessíveis, não requer credenciais | Visão externa limitada, muitos falsos positivos por inferencia de versão | Mapeamento inicial da superfície, auditoria de exposição de rede |
| DAST (varredura web) | Interage com a aplicação via HTTP, simulando um navegador | Testa a aplicação em tempo de execução, encontra falhas de lógica e configuração web | Escopo limitado a aplicações web/API, requer configuração de autenticação para cobertura completa | Aplicações web, APIs REST/GraphQL, portais e sistemas SaaS |
A recomendação para ambientes corporativos e combinar varredura agentless de infraestrutura com DAST autenticado de aplicações web. Essa combinação cobre tanto a camada de sistema operacional e rede quanto a camada de aplicação, eliminando os pontos cegos que cada abordagem individual deixa.
Vale destacar que a escolha não precisa ser binaria. Muitas organizações adotam uma abordagem híbrida: agentless como método primário para cobertura ampla e rápida, complementado por agentes em ativos de alta criticidade que exigem monitoramento contínuo e granular. O importante e que a solução escolhida suporte ambas as modalidades e permita ao analista configurar a estratégia adequada para cada segmento do ambiente.
Armadilhas comuns na escolha e operação de um scanner de vulnerabilidades
Mesmo organizações com equipes maduras cometem erros recorrentes ao selecionar ou operar um scanner de vulnerabilidades. Conhecer essas armadilhas antecipadamente evita investimentos mal direcionados e resultados frustrantes.
Focar apenas no número de CVEs detectados
Quantidade de detecções não é sinônimo de qualidade. Um scanner que reporta milhares de vulnerabilidades sem contexto de explorabilidade e impacto gera fadiga no analista e paralisia decisoria. Estudos do setor mostram que menos de 5% das vulnerabilidades publicadas são efetivamente exploradas em ataques reais. Isso significa que tratar todas as detecções com a mesma urgência desperadica recursos escassos. O valor está na capacidade de separar o que é urgente do que pode esperar, usando dados como EPSS, CISA KEV e contexto de negócio.
Ignorar aplicações web no escopo de varredura
Muitas organizações utilizam scanners de infraestrutura (rede/host) e assumem que aplicações web estão cobertas. Não estão. Vulnerabilidades como SQL injection, cross-site scripting, broken access control e server-side request forgery exigem um DAST dedicado que interaja com a aplicação. Tratar infraestrutura e aplicações web como escopos separados, mas complementares, é fundamental.
Varrer sem autenticação e achar que o resultado é completo
A varredura não autenticada, tanto em hosts quanto em aplicações web, revela apenas a ponta do iceberg. Sem credenciais, o scanner não consegue avaliar pacotes instalados, configurações internas, áreas protegidas de aplicações web ou APIs restritas. O resultado é uma falsa sensação de segurança.
Comprar a ferramenta e não integrar com o fluxo de remediação
O scanner encontra vulnerabilidades. Quem as corrige são as equipes de infraestrutura, desenvolvimento e operações. Se os achados não fluem automaticamente para o sistema de tickets (ITSM), não são atribuidos a responsáveis e não tem SLA de correção acompanhado, o investimento no scanner se perde. A integração com o fluxo de gestão de vulnerabilidades e tao importante quanto a detecção.
Avaliar o scanner em laboratório e não em produção
Ambientes de laboratório são controlados, pequenos e previssiveis. A verdadeira prova de um scanner está em produção: como ele lida com milhares de ativos, segmentos de rede complexos, janelas de manutenção restritas e falhas de conectividade. Sempre exija uma PoC em ambiente real, mesmo que reduzido.
Subestimar o custo total de propriedade (TCO) de soluções com agente
Soluções baseadas em agente tem custos ocultos: implantação inicial, atualizações periódicas do agente, troubleshooting de conflitos com outros softwares de endpoint, suporte a novos sistemas operacionais e gerenciamento de ciclo de vida. Esses custos devem ser comparados com a abordagem agentless durante a avaliação.
Não revisar a política de varredura periodicamente
O ambiente muda, novos ativos são provisionados, aplicações são migradas, segmentos de rede são reestruturados. A política de varredura (escopo, frequência, credenciais, exclusoes) deve ser revisada pelo menos trimestralmente para garantir que o scanner contínua cobrindo o que importa.
Confiar exclusivamente no CVSS para priorização
O CVSS é um sistema de pontuação amplamente adotado, mas ele mede apenas a severidade técnica intrínseca de uma vulnerabilidade. Ele não considera se existe exploit público, se a vulnerabilidade está sendo explorada ativamente ou se o ativo afetado é crítico para o negócio. Organizações que priorizam exclusivamente por CVSS frequentemente corrigem vulnerabilidades de alta severidade que ninguém está explorando, enquanto deixam exposições de severidade média que aparecem em campanhas ativas de ataque. A combinação de CVSS com EPSS, CISA KEV e contexto de negócio e o caminho para uma priorização eficaz.
Como EcoTrust VulScan e WebAppScan trabalham juntos
A EcoTrust é uma plataforma de IA agêntica para CTEM que unifica descoberta de ativos, varredura de vulnerabilidades, priorização baseada em risco e gestão do ciclo de remediação. Dentro dessa plataforma, dois módulos trabalham de forma complementar para cobrir tanto infraestrutura quanto aplicações web.
VulScan: varredura agentless de infraestrutura
O VulScan é o módulo de varredura de infraestrutura da EcoTrust. Suas características centrais incluem:
-
Operação 100% agentless. Conecta-se aos ativos via protocolos padrão sem exigir instalação de software. Isso reduz drasticamente o tempo de implantação e elimina a carga operacional de manter agentes.
-
Correlação nativa com EPSS, CISA KEV e campanhas de ransomware. Cada vulnerabilidade detectada e automaticamente enriquecida com a probabilidade de exploração (EPSS), a confirmação de exploração ativa (CISA KEV) é a associação a campanhas de ransomware conhecidas. O analista recebe não apenas a vulnerabilidade, mas o contexto de ameaça.
-
Detecção de software em end-of-life. O VulScan mantém uma base atualizada de ciclos de vida de fornecedores e alerta quando sistemas operacionais, frameworks ou bibliotecas atingem o fim do suporte.
-
Priorização inteligente com IA agêntica. A plataforma EcoTrust utiliza inteligência artificial agêntica para cruzar dados de vulnerabilidades, ameaças, exposição e contexto de negócio, gerando uma priorização que reflete o risco real para a organização.
-
Integração com o módulo de Inventário de Ativos. O VulScan opera sobre o inventário centralizado de ativos da plataforma, garantindo que novos ativos sejam automaticamente incluídos no escopo de varredura e que os resultados sejam enriquecidos com metadados de negócio.
WebAppScan: DAST autenticado para aplicações web
O WebAppScan é o módulo de varredura dinâmica de aplicações web da EcoTrust. Suas características centrais incluem:
-
DAST autenticado. O WebAppScan navega pela aplicação como um usuário autenticado, testando áreas restritas, formulários, APIs e fluxos de negócio que scanners não autenticados simplesmente não alcançam.
-
Cobertura de OWASP Top 10 e além. Detecta as categorias de vulnerabilidades mais críticas em aplicações web, incluindo injection, broken authentication, security misconfiguration, server-side request forgery e outras.
-
Resultados unificados na mesma plataforma. Os achados do WebAppScan são consolidados junto com os do VulScan na plataforma EcoTrust, permitindo uma visão unificada de risco que abrange infraestrutura e aplicações. Não há necessidade de alternar entre consoles diferentes.
-
Priorização compartilhada. A mesma engine de priorização baseada em risco que enriquece os achados do VulScan também se aplica aos achados do WebAppScan, garantindo consistência na classificação de risco.
A sinergia dentro do CTEM
Quando VulScan e WebAppScan operam juntos dentro da plataforma EcoTrust, o resultado é um ciclo contínuo de exposição gerenciada:
- O módulo de Inventário descobre e classifica ativos de infraestrutura e aplicações web.
- O VulScan varre a infraestrutura de forma agentless, detectando vulnerabilidades, end-of-life e misconfigurations.
- O WebAppScan executa DAST autenticado nas aplicações web catalogadas.
- A plataforma consolida todos os achados, correlaciona com EPSS, CISA KEV e campanhas de ransomware, e gera uma priorização unificada.
- O módulo de Gestão de Vulnerabilidades orquestra o fluxo de remediação com atribuição de responsáveis, SLAs e acompanhamento.
Esse fluxo integrado e o que diferencia uma coleção de ferramentas pontuais de uma plataforma de CTEM. Em vez de o analista precisar exportar CSVs de um scanner de infraestrutura, importar em uma planilha, cruzar manualmente com resultados de DAST e depois abrir tickets individualmente, a plataforma automatiza todo esse ciclo. O resultado é uma redução significativa no tempo entre detecção e início da remediação, um dos indicadores mais críticos em programas de gestão de exposição.
Perguntas frequentes (FAQ)
Qual a diferença entre um scanner de vulnerabilidades é um teste de intrusão (pentest)?
O scanner de vulnerabilidades identifica e cataloga falhas de forma automatizada, sem tentar explora-las. O pentest é conduzido por especialistas que tentam explorar vulnerabilidades para demonstrar impacto real. São abordagens complementares: o scanner fornece cobertura ampla e contínua, enquanto o pentest fornece profundidade e validação em cenários específicos.
Com que frequência devo executar varreduras?
A recomendação para ambientes corporativos e varredura contínua ou, no mínimo, semanal para ativos críticos. Ativos de menor criticidade podem ser varridos quinzenalmente ou mensalmente. O importante e que a frequência acompanhe a velocidade de mudança do ambiente é a janela de exposição aceitável pela organização.
Scanner agentless e menos preciso que scanner com agente?
Não necessariamente. A precisão depende da qualidade das credenciais fornecidas e da capacidade do scanner de interpretar as informações coletadas remotamente. Um scanner agentless bem configurado, com credenciais adequadas, alcança níveis de detecção comparáveis aos de soluções com agente, com a vantagem de menor atrito operacional.
O que é EPSS é por que importa na priorização?
EPSS (Exploit Prediction Scoring System) é um modelo estatístico mantido pelo FIRST que estima a probabilidade de uma vulnerabilidade ser explorada nos próximos 30 dias. Diferente do CVSS, que mede severidade técnica estática, o EPSS reflete a dinâmica real de exploração. Integrar EPSS na priorização permite focar recursos nas vulnerabilidades com maior probabilidade de serem usadas por atacantes.
Preciso de DAST se já tenho SAST?
Sim. SAST (Static Application Security Testing) analisa o código-fonte em busca de padrões inseguros, mas não testa a aplicação em execução. DAST testa a aplicação como um atacante externo a veria, encontrando vulnerabilidades que dependem de configuração de runtime, interação entre componentes e estado da aplicação. SAST e DAST são complementares.
Como saber se meu scanner atual está deixando pontos cegos?
Compare os resultados do scanner com um inventário independente de ativos. Se houver ativos no inventário que não aparecem nos relatórios de varredura, há pontos cegos de cobertura. Além disso, execute um DAST autenticado em aplicações web críticas e compare os achados com os do scanner de infraestrutura. Vulnerabilidades web raramente aparecem em scanners que operam apenas na camada de rede.
Para aprofundamento, consulte a referência oficial: Gartner — How to Manage Cybersecurity Threats.
Conclusão
Escolher um scanner de vulnerabilidades é uma decisão que impacta diretamente a capacidade da organização de identificar, priorizar e corrigir exposições antes que sejam exploradas. A evolução do cenário de ameaças exige que a ferramenta va muito além do casamento básico de CVEs: correlação com inteligência de ameaças, operação agentless, DAST autenticado, detecção de end-of-life, geração de SBOM e priorização baseada em risco de negócio são capacidades que separam soluções modernas de ferramentas legadas.
Os dez critérios de avaliação apresentados neste artigo oferecem um framework prático para conduzir PoCs e comparações estruturadas. A comparação de abordagens ajuda a definir a combinação certa para o seu ambiente. É o conhecimento das armadilhas comuns evita erros que comprometem o retorno do investimento.
A EcoTrust combina VulScan (varredura agentless de infraestrutura) e WebAppScan (DAST autenticado) em uma plataforma unificada de CTEM com IA agêntica, entregando detecção, correlação, priorização e gestão de remediação em um único lugar.
Conheça nosso serviço de Avaliação de Vulnerabilidades
Fale com especialistas da EcoTrust e veja como podemos ajudar sua empresa na prática.
Conhecer o serviçoArtigos Relacionados
Backup empresarial e cibersegurança: como o NIST CSF coloca o Recover no centro
Backup empresarial no NIST CSF 2.0: como Govern e Recover sustentam resiliência, RTO/RPO, backup imutável e auditoria de restauração.
Empresas de cibersegurança no Brasil: categorias, critérios e como escolher
Conheça as categorias de empresas de cibersegurança no Brasil, critérios para escolher o parceiro certo e onde o CTEM se encaixa.
Teste de invasão: o que é, como funciona e por que sua empresa precisa
Teste de invasão: o que é, tipos, metodologias e como protege sua empresa. Guia completo com etapas, normas e diferenças para pentest.