White Paper5% das CVEs causam 80% das brechas
Como inteligência de exploração transforma detecção em priorização
O scanner reporta CVEs. O VulScan diz quais delas estão sendo exploradas agora: EPSS, CISA KEV e inteligência de ransomware transformam uma lista em fila de ação.
O problema: em 2025 foram publicadas 48.185 novas CVEs. Apenas 5% são efetivamente exploradas em campo, mas essas 5% são responsáveis por 20% de todas as brechas confirmadas. O scanner que reporta todas as CVEs com severidade CVSS não distingue as que representam risco imediato das que ninguém vai explorar. O resultado é uma fila de remediação que não reflete o risco real.
A abordagem: o EcoTrust VulScan enriquece cada CVE detectada com inteligência de exploração ativa: EPSS (probabilidade de exploração nos próximos 30 dias), CISA KEV (confirmação de exploração em campo pelo governo dos EUA), indicador de uso por ransomware e contagem de exploits públicos, sem executar nenhum scan adicional na rede.
O resultado: de milhares de CVEs detectadas, o VulScan identifica as que representam risco imediato, com score de exploração que combina probabilidade, confirmação e uso por ransomware. O time de segurança para de trabalhar na cauda longa e começa a fechar as janelas que os atacantes realmente usam.
48.185 CVEs em 2025. Quais delas importam para você?
Um scanner de vulnerabilidades faz exatamente o que promete: detecta vulnerabilidades. O problema não é a detecção, é a ausência de contexto de exploração que transforma uma lista de CVEs em uma fila de trabalho interminável.
Em 2025, foram publicadas 48.185 novas CVEs, crescimento de 20,6% em relação ao ano anterior, segundo dados do NIST. Uma organização de médio porte com mil ativos pode acumular entre 8.000 e 20.000 vulnerabilidades detectadas em um ciclo de scan completo. Com capacidade de remediação de algumas centenas por mês, a matemática garante que o backlog cresce indefinidamente.
A decisão instintiva, priorizar pelas CVEs com CVSS mais alto, parece racional. Na prática, ignora a variável mais importante: essa vulnerabilidade está sendo explorada ativamente agora, no ambiente específico da organização?
O paradoxo dos 5%: apenas 5% das CVEs publicadas são exploradas em campo, mas essas 5% são responsáveis por 20% de todas as brechas confirmadas. Uma organização que conseguisse identificar e priorizar exclusivamente essas CVEs reduziria sua exposição de forma desproporcional ao esforço aplicado. É exatamente o que o VulScan entrega.
O CVSS não mede se alguém está explorando agora.
O Common Vulnerability Scoring System (CVSS) foi desenhado para descrever as características intrínsecas de uma vulnerabilidade, complexidade de ataque, impacto em confidencialidade, integridade e disponibilidade. É uma métrica universal que descreve o que aconteceria se a vulnerabilidade fosse explorada com sucesso em condições ideais.
O que o CVSS não mede, e nunca foi projetado para medir, é a probabilidade de que essa exploração aconteça agora, no ambiente específico da organização. Esse gap entre "severidade técnica" e "risco de exploração ativo" é onde a maioria dos programas de gestão de vulnerabilidades perde eficiência.
O exemplo que define o gap: CVE-2023-44487 (HTTP/2 Rapid Reset) tinha CVSS 7.5, classificação alta, mas não crítica. Tinha EPSS de 94% e estava no CISA KEV. Foi usada em campanhas massivas de DDoS. Enquanto times priorizavam CVEs CVSS 9.8 sem exploit disponível, essa CVE estava sendo ativamente explorada. O CVSS sozinho não captura essa distinção.
A consequência prática é que times de segurança que dependem exclusivamente de CVSS para priorização podem estar dedicando esforço às CVEs teoricamente mais graves enquanto ignoram as que os atacantes estão efetivamente usando naquele momento. A inteligência de exploração resolve esse gap.
Inteligência de exploração, o contexto que transforma CVE em risco real.
Inteligência de exploração responde a uma pergunta diferente do CVSS: "essa vulnerabilidade está sendo explorada ativamente agora?"
Não é uma pergunta sobre o que poderia acontecer em condições ideais, é uma pergunta sobre o que está acontecendo no mundo real, baseada em dados de atividade de exploração coletados e verificados por fontes reconhecidas.
As quatro fontes de inteligência do VulScan
Como cada fonte contribui para o score de risco
O EPSS (Exploit Prediction Scoring System) do FIRST usa machine learning treinado em dados históricos de exploração para prever a probabilidade de que uma CVE seja explorada ativamente nos próximos 30 dias. Um EPSS de 85% significa que 85% das CVEs com características similares foram exploradas em campo no período analisado. É a métrica mais preditiva disponível publicamente para risco de exploração a curto prazo.
O catálogo CISA Known Exploited Vulnerabilities lista CVEs com exploração ativa confirmada em campo. Uma CVE no KEV não é uma previsão, é um fato documentado pelo governo dos EUA. Agências federais americanas têm obrigação regulatória de remediar CVEs KEV em 2 semanas. Para organizações do setor privado, é o sinal mais inequívoco de urgência de remediação disponível.
Grupos de ransomware documentam seu uso de CVEs específicas. Uma CVE associada a campanhas ativas de ransomware representa um risco financeiro e operacional de outra magnitude, uma exploração bem-sucedida não apenas compromete um ativo, mas pode paralisar a operação inteira. O VulScan sinaliza essas CVEs automaticamente para tratamento prioritário.
Como o VulScan opera, 6 tipos de achado, zero scan adicional.
O VulScan opera como scan passivo: utiliza os dados já coletados pelo Discovery e Inventory, ou os executa sob demanda para garantir informações atualizadas. Correlaciona software instalado com versões exatas, patches aplicados, firmware e hardware com bases de CVEs, e enriquece cada achado com inteligência de exploração de seis fontes simultâneas, sem executar scans intrusivos na rede.
6 tipos de achado por ativo
6 fontes de inteligência consultadas em paralelo
Impacto no negócio, o que muda quando a fila reflete risco real.
Uma fila de remediação baseada em risco real, não em CVSS, muda a eficiência do time de segurança sem aumentar o headcount.
Foco nas CVEs que os atacantes usam, não nas mais graves teoricamente
O time que remedia as 40 CVEs com maior EPSS e presença no CISA KEV reduz a exposição a ataques reais mais do que o time que remedia as 40 CVEs com CVSS mais alto. A diferença é material: o atacante não consulta o CVSS para decidir qual exploit usar, consulta o que tem exploit disponível e funcional.
Com o enriquecimento do VulScan, o time de segurança opera com o mesmo conhecimento que os atacantes têm: quais vulnerabilidades estão sendo exploradas agora, em quais ambientes e por quais grupos. A assimetria de informação que favorece o atacante é reduzida.
Resposta a zero-day antes da divulgação ampla
Quando uma nova CVE entra no CISA KEV, o VulScan detecta automaticamente quais ativos do ambiente têm o software afetado e eleva a prioridade daquela CVE. O time recebe o alerta antes de ler a notícia, com contexto de quais ativos estão em risco e evidência de que a exploração está confirmada.
Zero impacto operacional na rede
O VulScan opera como um scan passivo: quando o cliente solicita uma análise, o módulo utiliza os dados do Discovery e Inventory já existentes ou os executa naquele momento para ter informações atualizadas e completas. A partir desses dados, consulta as seis fontes de inteligência em paralelo para entregar o panorama completo de vulnerabilidades e ameaças, sem executar scans intrusivos na rede. Ambientes com sistemas críticos que não toleram impacto, ambientes OT, servidores de produção com alta carga, recebem o mesmo nível de enriquecimento de inteligência sem risco de interrupção.
Supersedência inteligente de patches Windows: o VulScan resolve automaticamente cadeias de supersedência no Microsoft Update Catalog, se um patch mais recente já está instalado, o antigo não é reportado como ausente. Elimina uma das principais fontes de falsos positivos em inventários de patches, reduzindo o ruído que consome tempo do time de infraestrutura.
Compliance, evidências de priorização baseada em exploração real.
O VulScan entrega score de risco com EPSS + CISA KEV documentado por CVE, evidência de priorização baseada em risco real exigida pelo A.8.8.
EPSS como métrica de probabilidade e CISA KEV como confirmação de exploração atendem diretamente ao ID.RA-5 de priorização por probabilidade documentada.
O score de exploração por CVE com indicador KEV e EPSS fornece a base documentada de risco para os SLAs exigidos pelo requisito 6.3.
O enriquecimento contínuo com CISA KEV garante que vulnerabilidades com exploração confirmada em sistemas críticos sejam sinalizadas imediatamente, conforme o espírito da exigência do BACEN.
Conclusão, detectar é o começo. Saber qual importa é o que muda tudo.
O problema da gestão de vulnerabilidades não é falta de detecção, é excesso de informação sem contexto de exploração. Um scanner que detecta 15.000 CVEs sem dizer quais estão sendo exploradas agora entregou dados, não inteligência.
A distinção entre CVSS e risco de exploração real não é um detalhe técnico, é o que separa um time que reage ao que o scanner grita mais alto de um time que age sobre o que o atacante está usando agora. O VulScan entrega essa segunda capacidade: inteligência de exploração integrada ao processo de detecção, sem scan adicional, em 6 tipos de achado por ativo.
Veja quais CVEs do seu ambiente têm exploração ativa.
Demonstração ao vivo