White PaperPor que priorizar pelo CVSS mais alto é a estratégia errada
Risk-based Vulnerability Management em 3 eixos auditáveis
Um guia técnico e executivo sobre RBVM: por que CVSS puro cria fila sem redução de risco, como EPSS + CISA KEV + criticidade do ativo produzem priorização precisa, e como o EcoTrust RBVM entrega evidência auditável para ISO 27001, NIST CSF e BACEN.
O problema: equipes de segurança recebem dezenas de milhares de CVEs por ciclo de scan. Com capacidade limitada de remediação, a decisão padrão é priorizar pelo CVSS mais alto, uma heurística que ignora se a vulnerabilidade tem exploit ativo, se o ativo é crítico ao negócio e se há controles compensatórios. O resultado é uma fila de remediação que consome recursos sem necessariamente reduzir risco.
A abordagem: o EcoTrust RBVM implementa o framework Risk-based Vulnerability Management, cruzando severidade técnica (CVSS), explorabilidade atual (EPSS, CISA KEV) e criticidade do ativo exposto, para produzir um ranking de priorização baseado em risco real ao negócio, não em métricas de severidade abstratas.
O resultado: organizações que adotam RBVM reduzem o Tempo Médio de Correção em até 10× para vulnerabilidades de alto impacto, concentram esforços de remediação nas exposições que realmente ameaçam os ativos críticos e geram evidências auditáveis para frameworks de compliance como ISO 27001, NIST CSF 2.0 e BACEN 4.557.
O problema que a maioria das equipes de segurança não percebe ter.
Em 2025, foram publicadas 48.185 novas CVEs, um recorde histórico, com crescimento de 20,6% em relação ao ano anterior. O número não vai parar de crescer.
Uma organização de médio porte com 1.000 a 3.000 ativos recebe, a cada ciclo completo de scan, entre 8.000 e 20.000 vulnerabilidades reportadas. Sua equipe de infraestrutura consegue tratar, em média, 400 por mês. A matemática é implacável: o backlog cresce mais rápido do que qualquer equipe consegue corrigir, independentemente de contratações, automação ou investimento.
O instinto é razoável: comece pelas mais graves. CVSS 9.8 antes de CVSS 7.2. Crítico antes de alto. A lógica parece sólida. O problema é que ela está errada.
O paradoxo é visível nos dados: apenas 5% das CVEs publicadas são exploradas em campo, mas essas 5% são responsáveis por uma parcela desproporcional das brechas confirmadas. A questão não é volume, é relevância. E relevância não está no score CVSS.
O paradoxo da priorização por CVSS: uma CVE com score 9.8 publicada há 3 anos sem exploit disponível representa menos risco imediato do que uma CVE com score 6.5 que aparece no catálogo CISA KEV e tem EPSS de 85%. Priorizar pelo score mais alto pode significar corrigir o que menos importa.
A raiz do problema está na desconexão entre o que os scanners medem e o que os líderes de segurança precisam saber. Scanners medem severidade técnica, quão grave seria uma exploração bem-sucedida em condições ideais. O que falta é a camada de contexto: essa exploração é provável? Esse ativo vale a pena proteger com prioridade? Já existem controles que mitigam o impacto?
Por que o CVSS sozinho não é uma estratégia de priorização.
O CVSS (Common Vulnerability Scoring System) foi desenhado para descrever as características técnicas de uma vulnerabilidade, não para orientar priorização de remediação em um ambiente específico. É um score universal aplicado a qualquer organização, independente do seu perfil de risco, da criticidade dos seus ativos ou da presença de exploits ativos.
Usar o CVSS como critério primário de priorização equivale a ordenar a fila de um pronto-socorro pela temperatura de febre, sem considerar a idade do paciente, seu histórico médico ou a velocidade com que o quadro está evoluindo.
CVSS puro vs. priorização RBVM
CVSS puro: severidade técnica em condições ideais. RBVM EcoTrust: risco real, combinando severidade, explorabilidade e criticidade do ativo.
CVSS puro: não considera. RBVM EcoTrust: integra EPSS, CISA KEV e indicador de ransomware, sinalizando o que está sendo explorado agora.
CVSS puro: trata todas as vulnerabilidades como iguais. RBVM EcoTrust: criticidade do ativo pondera o risco final por ambiente.
CVSS puro: ignorados. RBVM EcoTrust: considerados na avaliação de risco residual, com histórico auditável por decisão.
Exemplo real: uma CVE com CVSS 9.8 em um servidor de testes isolado, sem exploit público e sem dados sensíveis, tem risco operacional muito menor do que uma CVE com CVSS 6.5 em um servidor de autenticação com EPSS de 80% e presença no catálogo CISA KEV. A priorização por CVSS escolhe a primeira. A priorização RBVM escolhe a segunda, porque é lá que o risco real está concentrado.
A abordagem RBVM: três eixos, uma decisão precisa.
Risk-based Vulnerability Management é a prática de priorizar a remediação de vulnerabilidades com base no risco que representam para o negócio específico, não em métricas universais de severidade técnica.
O RBVM não ignora o CVSS. Ele o incorpora como um dos três eixos de análise, cruzando-o com dados que transformam uma métrica genérica em uma avaliação contextualizada.
Os três eixos de inteligência
Qual é o impacto técnico potencial de uma exploração bem-sucedida? O CVSS continua relevante como ponto de partida, mas é apenas um dos três fatores. Uma CVE com CVSS 9.8 que ninguém explora em campo é menos urgente do que parece.
Essa vulnerabilidade específica está sendo explorada agora? O EPSS atualizado diariamente mede a probabilidade de exploração ativa nos próximos 30 dias. O CISA KEV confirma exploração documentada. O indicador de ransomware sinaliza uso em campanhas ativas. Juntos, esses dados transformam a pergunta de "quão grave?" para "quão provável agora?".
Se esse ativo for comprometido, qual é o impacto ao negócio? Um servidor de autenticação que processa transações financeiras tem um perfil de risco completamente diferente de uma workstation de desenvolvimento sem acesso a dados sensíveis, mesmo que ambos tenham a mesma CVE. A criticidade do ativo é o multiplicador de risco que o CVSS não captura.
O cruzamento dos três eixos produz um score de risco composto que reflete a urgência real de remediação para aquela vulnerabilidade, naquele ativo, naquele momento. O resultado não é um ranking teórico, é uma fila de ação que um time de infraestrutura pode executar com confiança.
A matemática por trás da decisão
O Cyber Risk Score não é uma fórmula proprietária opaca. É o algoritmo transparente que passa de três fatores auditáveis:
Cyber Risk Score aplicado ao RBVM = Impacto técnico + Impacto no negócio. Cada fator é alimentado por fontes de dados públicas e reconhecidas pelo mercado: NVD para CVSS, FIRST para EPSS, CISA para o catálogo KEV, e a classificação de criticidade ao negócio configurada pelo próprio cliente para os ativos.
O modelo é transparente. Cada vulnerabilidade no ranking vem acompanhada dos fatores que determinaram sua posição, o time de segurança não precisa confiar em uma caixa preta, pode validar e contestar cada decisão de priorização.
Como o EcoTrust RBVM opera: do scan ao fechamento auditável.
O RBVM não é um scanner, é a camada de gestão que orquestra o ciclo completo de tratativa de vulnerabilidades, do achado inicial até o fechamento documentado. O módulo recebe os resultados dos sensores de scan e aplica o modelo RBVM para transformar um volume bruto de CVEs em uma fila de remediação priorizada e rastreável.
Pipeline de execução em 6 etapas
Depois das quatro etapas acima, o RBVM ainda executa tratativa inteligente (detecção automática de correção) e fechamento (rastreabilidade e evidência de compliance), fechando o ciclo com histórico imutável por CVE.
Principais capacidades do módulo
A fila de remediação é atualizada automaticamente quando novos dados de inteligência chegam, uma CVE que entra no CISA KEV sobe automaticamente no ranking, sem intervenção manual. O time trabalha sempre com a visão mais atual do risco.
Visualização matricial que revela os pontos de estrangulamento, os ativos e vulnerabilidades que concentram risco desproporcional. O CISO vê de relance onde estão as combinações de alto impacto que precisam de atenção imediata.
Cada vulnerabilidade tem histórico completo: quando foi detectada, qual o score RBVM atribuído, quando foi tratada, por quem e com qual evidência de fechamento. O histórico é imutável, serve como evidência auditável para ISO 27001, PCI DSS e BACEN sem trabalho manual de coleta.
Integrações nativas
O RBVM integra nativamente com os sensores de scan da EcoTrust (VulScan, WebAppScan) e com ferramentas externas via CSV agnóstico ou API. A fila de remediação pode ser sincronizada com Jira, ServiceNow e outros sistemas ITSM para garantir que as vulnerabilidades priorizadas sejam trabalhadas dentro dos fluxos operacionais já existentes na organização.
Impacto no negócio: o que muda quando o RBVM está operando.
O benefício mais mensurável do RBVM não é detectar mais vulnerabilidades, é corrigir as certas mais rápido, com um time do mesmo tamanho.
Redução do Tempo Médio de Correção para vulnerabilidades de alto impacto
O Tempo Médio de Correção (MTTR, Mean Time to Remediate) medido sem critério de priorização inclui vulnerabilidades de baixo risco que são corrigidas rapidamente porque são fáceis, e distorce a percepção de performance. O indicador que importa é o MTTR para vulnerabilidades de alta criticidade com exploitabilidade confirmada.
A redução não vem de automação de deploy, vem de foco. Quando o time sabe exatamente qual é o próximo item mais importante, a latência entre detecção e início da remediação cai drasticamente. O tempo não é gasto em triagem manual nem em debates sobre prioridade, a decisão já foi tomada pelo modelo.
Redução de exposição com o mesmo headcount
Dados do Verizon DBIR 2025 mostram que apenas 54% dos dispositivos vulneráveis foram completamente remediados dentro de um ano, e o MTTR mediano para dispositivos de borda chegou a 32 dias. No mesmo período, a maioria das explorações bem-sucedidas ocorreu nas primeiras horas ou dias após a divulgação de um CVE.
A janela de exploração é real e quantificável: em 2026, um exploit funcional surge em média 1,8 dias após a divulgação pública de uma vulnerabilidade. A remediação leva 20 dias em média. Os 18,2 dias de diferença são a janela que o atacante precisa.
O RBVM não elimina essa janela, mas a concentra onde importa. Em vez de distribuir o esforço de remediação uniformemente sobre todas as CVEs, o time fecha primeiro as janelas das vulnerabilidades que os atacantes realmente usam. O risco residual do backlog restante é materialmente menor.
ROI mensurável para o CFO
O argumento financeiro do RBVM opera em duas dimensões. A primeira é eficiência operacional: um time que remedia 400 vulnerabilidades por mês, mas foca nos 40 que mais importam, gera mais redução de risco do que um time que remedia 400 aleatoriamente. A mesma força de trabalho, resultado diferente.
A segunda dimensão é custo de incidente evitado. Ransomware esteve presente em 44% de todas as brechas confirmadas no Verizon DBIR 2025. O custo médio de um incidente de ransomware varia entre R$ 2M e R$ 15M dependendo do porte da organização e do tempo de indisponibilidade. Fechar a vulnerabilidade que teria sido o vetor de entrada custa uma fração desse valor.
Quando combinado com o módulo CRQ da EcoTrust, o RBVM alimenta um modelo FAIR que calcula exatamente quanto cada vulnerabilidade representa em exposição financeira anual, tornando o argumento de budget defensável em linguagem de negócio.
Compliance e frameworks: como o RBVM endereça as exigências regulatórias.
A conformidade regulatória em cibersegurança está se movendo consistentemente na direção do RBVM: frameworks modernos não exigem apenas que as organizações detectem vulnerabilidades, mas que demonstrem um processo estruturado de priorização baseada em risco e rastreabilidade de remediação.
O RBVM entrega histórico imutável de detecção, priorização e remediação por CVE, com score de risco documentado em cada etapa. Evidência direta para auditoria A.8.8.
O score RBVM documenta explicitamente a análise de impacto por ativo, atendendo à exigência de priorização baseada em risco de negócio, não apenas técnica.
Os SLAs automáticos do RBVM, combinados com o histórico de atribuição e fechamento, atendem diretamente ao requisito 6.3 sem necessidade de processos manuais paralelos.
O RBVM gera relatórios de ciclo de remediação prontos para o modelo de governança exigido pelo BACEN, com histórico rastreável por período e por tipo de ativo.
O ranking RBVM implementa diretamente o processo descrito nos CIS Controls, com critérios auditáveis e histórico de aderência a SLA por nível de criticidade.
A priorização de vulnerabilidades em ativos que processam dados pessoais, identificados como críticos no modelo RBVM, garante que as medidas técnicas exigidas sejam aplicadas com evidência documentada.
Para equipes de auditoria e compliance, o RBVM entrega dois ativos fundamentais: o processo (um modelo estruturado e repetível de avaliação de risco) e a evidência (o histórico imutável de cada decisão de priorização e seu desfecho). Esses dois elementos respondem à maioria das questões levantadas em auditorias de segurança da informação.
Evolução natural: do RBVM ao GVul AI Native.
O RBVM é o módulo que estabeleceu o padrão de gestão de vulnerabilidades baseada em risco na EcoTrust, e continua sendo a solução completa para organizações que buscam implementar o processo RBVM de forma estruturada e auditável.
À medida que as organizações evoluem sua maturidade em gestão de vulnerabilidades, a EcoTrust oferece o GVul, o módulo AI Native que expande as capacidades do RBVM com inteligência agêntica e integração nativa no ciclo CTEM completo.
Próxima geração → GVul AI Native. O GVul complementa e expande o RBVM com três capacidades adicionais: agregação multi-fonte (consolida achados de VulScan, WebAppScan e scanners externos em uma fila única), ciclo completo integrado (conectado nativamente ao Patch Management para loop fechado de remediação e re-scan), e quantificação financeira (alimenta o CRQ com contexto de criticidade de ativo para calcular o VaR em Reais de cada cenário de ameaça). Organizações que já operam o RBVM com maturidade e querem integrar a gestão de vulnerabilidades ao ciclo CTEM completo encontram no GVul o próximo passo natural.
Conclusão: a pergunta que muda tudo.
A gestão de vulnerabilidades não é um problema de detecção, é um problema de decisão. Toda organização com ferramentas de scan tem mais CVEs do que consegue tratar. A questão é: você está tratando as certas?
A priorização por CVSS mais alto é uma heurística defensável, ela consome recursos de forma sistemática e auditável. O problema é que ela não maximiza a redução de risco. Uma equipe que trata as 400 CVEs de CVSS mais alto por mês pode estar deixando intactas as 12 que realmente ameaçam a continuidade do negócio.
O RBVM não é uma tecnologia, é uma mudança de perspectiva. Em vez de perguntar "quão grave é essa vulnerabilidade?", a pergunta passa a ser "qual é o risco real para o meu negócio, agora, nesse ativo específico?". Essa mudança de pergunta transforma a gestão de vulnerabilidades de uma atividade de compliance em uma prática de redução de risco.
O EcoTrust RBVM implementa essa mudança de forma estruturada, auditável e integrada ao ciclo operacional de segurança, entregando o ranking que o time de infraestrutura executa e o histórico que a auditoria aceita.
Veja o RBVM do seu ambiente.
Demonstração ao vivo