Voltar à Materiais
    EcoTrustTechnical Brief
    EcoTrust VulScan · Gestão de Vulnerabilidades

    Resiliência na era pós-NVD: por que o EcoTrust VulScan não depende de uma única fonte

    Como a arquitetura multi-fonte do EcoTrust VulScan opera independentemente das mudanças da NVD

    Technical brief sobre a arquitetura multi-fonte do EcoTrust VulScan e a resiliência às mudanças do NIST NVD em abril de 2026.

    Módulo
    EcoTrust VulScan
    Categoria
    Gestão de Vulnerabilidades
    Publicado
    abril de 2026
    Páginas
    6
    01

    O contexto que mudou para todo o mercado.

    Em 15 de abril de 2026, o NIST anunciou que o National Vulnerability Database (NVD) não enriquecerá mais a maioria das CVEs publicadas.

    Apenas vulnerabilidades no catálogo CISA KEV, em software do governo federal americano ou em software crítico definido pela Executive Order 14028 receberão análise detalhada. Todas as demais serão registradas como "Not Scheduled", sem scores CVSS do NIST, sem classificação CWE e sem mapeamento de produtos afetados (CPE).

    Esse não é um problema temporário. As submissões de CVEs cresceram 263% entre 2020 e 2025. Nos três primeiros meses de 2026, o volume já é 33% maior que o mesmo período do ano anterior. A previsão do FIRST aponta para 59.000 a 118.000 novas CVEs em 2026, impulsionadas por IA aplicada à descoberta de vulnerabilidades e à geração de código. O custo de encontrar uma vulnerabilidade está se aproximando de zero, mas o custo de enriquecê-la na NVD permanece o mesmo. Esse descompasso econômico é irreversível.

    "A NVD era o canário na mina de carvão, e ele parou de cantar." Chris Hughes, Resilient Cyber, abril 2026

    Para ferramentas de segurança que dependem exclusivamente da NVD como fonte de enriquecimento, isso significa cobertura parcial, scores ausentes e falsos negativos crescentes. Para o EcoTrust VulScan, significa um ambiente que a arquitetura já estava preparada para operar.

    02

    Arquitetura multi-fonte: três trilhas paralelas por ativo.

    O EcoTrust VulScan executa três trilhas de enriquecimento em paralelo para cada ativo. Essa arquitetura não é um plano de contingência: é o design da solução desde sua concepção.

    Trilha 1: Correlação CVE por software e versãoExposição parcial à NVD

    Identifica CVEs que afetam o software instalado no ativo. Opera com banco de dados CPE local otimizado e API CVE-Search dedicada, cruzando vendor, produto e versão exata. Busca em camadas: CPE exato (2.3 com fallback para 2.2) seguido de vendor/produto quando a busca exata falha. Filtragem em múltiplos passos reduz falsos positivos antes de emitir o achado.

    Banco CPE localAPI CVE-Search dedicadaBusca Tier 1 (CPE exato)Busca Tier 2 (vendor/produto)
    Trilha 2: Patches Windows ausentesSem dependência da NVD

    Consulta diretamente o Microsoft Update Catalog e a API MSRC para determinar quais patches de segurança estão ausentes. Resolve automaticamente cadeias de supersedência: se um patch mais recente já está instalado, os anteriores não são reportados como ausentes.

    Microsoft Update CatalogMSRC APIResolução de supersedência
    Trilha 3: Inteligência de exploração e ecossistemaSem dependência da NVD

    Enriquece cada CVE com sinais de exploração ativa e consulta fontes especializadas por tipo de componente, independentemente do que aconteça com a NVD.

    EPSS (FIRST)CISA KEVOSV.dev (pip/npm/JAR)endoflife.date (95+ produtos)Inteligência de exploitsFirmware BIOS (9+ fabricantes)CPU/GPU (Intel, AMD, ARM, NVIDIA)DLLs de sistema Windows

    Detecção de lacunas com fallback inteligente

    O EcoTrust VulScan inclui um detector de lacunas que identifica automaticamente componentes do inventário que não foram correlacionados pelas trilhas primárias. Quando lacunas são detectadas, um sistema de dois agentes com busca web é acionado: o primeiro busca vulnerabilidades específicas para o produto não mapeado; o segundo valida cada achado contra o inventário real, confirmando que o produto está instalado, que o CVE ID existe, que se aplica ao produto correto e que a versão instalada é vulnerável. Apenas achados que passam por essa dupla validação são incorporados ao resultado.

    03

    Exposição real às mudanças da NVD.

    ComponentePor quê
    EPSSFeed direto do FIRST, atualizado diariamente
    CISA KEVFeed direto da CISA (~1.500 entradas)
    Indicador de ransomwareFonte independente via inteligência de exploits
    CVSS e CWE por CVEObtidos via inteligência de exploits, não depende do score do NIST
    Advisories pip/npm/JAROSV.dev opera por ecossistema, sem dependência de CPE
    Status de fim de vida (EOL)endoflife.date, 95+ produtos monitorados
    Patches Windows ausentesMicrosoft Update Catalog + MSRC API diretos
    Firmware, CPU, GPU, DLLsInteligência de exploits com mapeamentos por vendor
    Fallback inteligenteBusca web independente de qualquer base estruturada

    O que é parcialmente afetado

    ComponenteExposiçãoMitigação existente
    Banco CPE localAlimentado a partir de dados que incluem a NVD. Novos produtos em CVEs "Not Scheduled" podem não ter CPE.Trilha 1 Tier 2 (busca por vendor/produto) opera sem CPE formal. Trilha 3 detecta independentemente.
    API CVE-Search dedicadaCVEs sem CPE na NVD podem não ser encontrados pela busca Tier 1.Busca Tier 2 compensa parcialmente quando o registro CVE contém dados de vendor/produto do CNA.
    04

    Scanner Infra: convergência planejada com o EcoTrust VulScan.

    O EcoTrust Scanner Infra opera com mais de 170.000 testes de vulnerabilidade (VTs) em scans autenticados e não autenticados para Windows, Linux, UNIX, macOS, Cisco, VMware e bancos de dados. Suas fontes externas atuais incluem NVD e MITRE.

    Diferentemente do EcoTrust VulScan, o EcoTrust Scanner Infra não conta hoje com enriquecimento multi-fonte nem com inteligência de exploração integrada. CVEs que a NVD não enriquecer podem resultar em achados sem score de severidade ou com informações incompletas.

    Integração planejada (roadmap curto prazo, até 31/07/2026): o Scanner Infra passará a utilizar o EcoTrust VulScan como camada de enriquecimento. Os achados do scan de infraestrutura receberão EPSS, CISA KEV, indicador de ransomware e contagem de exploits, transformando o Scanner Infra de um scanner dependente de fontes tradicionais em uma solução com a mesma resiliência multi-fonte do EcoTrust VulScan.

    05

    Cenários práticos: o que muda na detecção.

    Cenário 01CVE nova fora do escopo da NVD

    CVE publicada para software comercial não enquadrado no CISA KEV nem na EO 14028. A NVD registra como "Not Scheduled", sem CVSS, CPE, CWE.

    NVD-dependentes
    CVE não correlacionada com nenhum ativo. Nenhum alerta gerado.
    EcoTrust VulScan
    Trilha 3 detecta via inteligência de exploits por vendor/produto. Se exploit público surgir em 48h, EPSS sobe para 0.85. Achado entregue com contexto de exploração. Detector de lacunas aciona fallback se Trilha 1 também não mapeou.
    Pós-roadmap
    Cobertura completa. Camada EcoTrust CPE consome dados do CNA diretamente. Trilha 1 correlaciona sem depender do enriquecimento NVD.
    Cenário 02Scanner Infra detecta vulnerabilidade sem contexto

    Scanner Infra detecta CVE em servidor Linux via scan autenticado. A NVD não enriqueceu, sem CVSS do NIST nem indicação de exploração.

    Sem EcoTrust VulScan
    Achado reportado com informações mínimas. O time não sabe se é urgente ou pode esperar.
    Com EcoTrust VulScan
    Achado recebe EPSS 0.92, confirmação no CISA KEV e indicador de uso por ransomware. O time sabe imediatamente que é prioridade máxima.
    Cenário 03Volume de CVEs explode por IA

    Modelos como Claude Mythos encontram milhares de vulnerabilidades. O volume de CVEs em 2026 pode ultrapassar 70.000. A NVD, com 21 analistas, não consegue processar esse volume.

    Com EcoTrust VulScan
    Arquitetura multi-fonte com 6 fontes independentes escala sem depender da capacidade da NVD. Detector de lacunas e fallback cobrem o que nenhuma fonte automatizada alcançou.
    06

    Roadmap: reduzindo ainda mais a dependência.

    Curto prazo
    Próximos 3 meses
    ·Diversificação do banco CPE: consumo direto do repositório cvelistV5 dos CNAs, independente do enriquecimento NVD
    ·Integração EcoTrust VulScan como camada de enriquecimento do Scanner Infra: EPSS, KEV, ransomware e exploits nos achados de infraestrutura
    ·KPI de taxa de lacunas: monitoramento contínuo do percentual de software não correlacionado
    Médio prazo
    3 a 9 meses
    ·Camada proprietária EcoTrust CPE: parsers dedicados para os principais CNAs, correlação sem dependência da NVD
    ·Fontes complementares: CISA Vulnrichment, EUVD (ENISA) e bases comunitárias de enriquecimento
    ·Expansão de pacotes: Go modules, Rust crates e distribuições Linux via OSV.dev
    Longo prazo
    9 a 18 meses
    ·Suporte a PURL (Package URL): correlação direta sem CPE, alinhado ao CVE Record Format v5.2.0
    ·Enriquecimento preditivo com IA: ML para classificação automática de CVEs sem enriquecimento NVD, inferindo severidade e produtos afetados da descrição textual
    07

    Especificações da arquitetura multi-fonte.

    Trilhas de enriquecimento3 trilhas paralelas por ativo (correlação CVE, patches Windows, inteligência de exploração)
    Fontes de inteligência6+ fontes independentes consultadas em paralelo
    Independência da NVDTrilhas 2 e 3 operam sem qualquer dependência da NVD
    Atualização EPSSDiária, via feed direto do FIRST
    Atualização CISA KEVContínua, via feed direto da CISA
    Cobertura de pacotespip, npm e JAR via OSV.dev (GHSA, PYSEC)
    Cobertura de firmwareBIOS (9+ fabricantes), drivers PnP, CPU, GPU e DLLs de sistema
    Cobertura EOL95+ produtos monitorados via endoflife.date
    Detecção de lacunasAutomática, com fallback via dupla validação por agentes
    Processamento paraleloAté 20 ativos enriquecidos em paralelo por batch
    08

    Compliance na era pós-NVD.

    As mudanças da NVD levantam questões para frameworks regulatórios que referenciam a NVD como fonte de identificação e pontuação. O EcoTrust VulScan mantém conformidade porque opera com fontes independentes que atendem aos requisitos de cada framework.

    FrameworkRequisitoComo o EcoTrust VulScan atende
    ISO 27001:2022 · A.8.8Priorização baseada em risco documentadaScore com EPSS + KEV por CVE, independente do CVSS da NVD
    NIST CSF 2.0 · ID.RA-5Probabilidade e impacto documentadosEPSS como probabilidade calibrada + KEV como confirmação de exploração
    PCI DSS 4.0 · Req. 6.3SLAs baseados em avaliação de riscoScore de exploração por CVE com indicador KEV e EPSS
    BACEN 4.557/4.893Avaliação contínua em sistemas críticosEnriquecimento contínuo com múltiplas fontes independentes
    CRA (EU)Notificação de CVEs exploradas até set/2026Monitoramento de exploração ativa via KEV e inteligência de exploits

    Veja o EcoTrust VulScan em ação no seu ambiente.

    Demonstração ao vivo com inteligência de exploração real, sem configuração manual.

    Referências
    NIST: NIST Updates NVD Operations to Address Record CVE Growth, abril 2026
    FIRST: 2026 Vulnerability Forecast, fevereiro 2026
    FIRST: Exploit Prediction Scoring System (EPSS). first.org/epss
    CISA: Known Exploited Vulnerabilities Catalog. cisa.gov/known-exploited-vulnerabilities-catalog
    Hughes, C.: The NVD Just Threw In The Towel. Now What?, Resilient Cyber, abril 2026
    ENISA: European Vulnerability Database (EUVD). euvd.enisa.europa.eu
    CIRCL: Global CVE Allocation System (GCVE). db.gcve.eu
    Verizon: Data Breach Investigations Report 2025
    EcoTrust Software Ltda. · Rua Pais Leme, 524, 10º andar, Pinheiros, São Paulo, SP
    www.ecotrust.io · © 2026 EcoTrust. Todos os direitos reservados.