Operacional · Contínuo

Gestão de Vulnerabilidades

Programa contínuo de identificação, priorização e remediação de vulnerabilidades em todos os ativos digitais — orientado a risco e alinhado às melhores práticas de mercado.

CVSS v4.0 EPSS CISA KEV NIST SP 800-40r4 ISO 27002 (8.8)

A realidade dos números

29.000+

novas CVEs publicadas em 2023, recorde histórico (NVD/MITRE).

~5%

das CVEs são efetivamente exploradas in-the-wild (FIRST EPSS).

15 dias

prazo do BOD 22-01 da CISA para corrigir vulnerabilidades em KEV.

O que é

Mais do que escanear: priorizar e corrigir

Gestão de Vulnerabilidades (Vulnerability Management) é a disciplina contínua de descobrir, classificar, priorizar, remediar e validar a correção de fragilidades em sistemas, aplicações, redes e contêineres.

Encontrar vulnerabilidades é fácil — o difícil é decidir o que corrigir primeiro. Nosso programa adota priorização baseada em risco real, combinando CVSS (severidade técnica), EPSS (probabilidade de exploração) e CISA KEV (exploração ativa confirmada).

Vulnerability Management vs. Pentest

VM (este serviço)

Amplitude e continuidade. Cobertura de 100% dos ativos, varredura recorrente, automação.

Pentest

Profundidade pontual. Exploração manual de cenários e lógica de negócio.

Os dois serviços são complementares e juntos formam um programa maduro.

Ciclo de Vida

As 6 fases do VM

Modelo contínuo baseado no NIST SP 800-40 Revision 4 e SANS Vulnerability Management Maturity Model.

01

Discover

Inventário contínuo de ativos: hosts, contêineres, cloud, IoT/OT. Não se protege o que não se conhece.

02

Assess

Scans autenticados e não autenticados, com cobertura de SO, aplicações, dependências (SCA) e configurações.

03

Prioritize

Risk-Based Vulnerability Management (RBVM): CVSS + EPSS + KEV + criticidade do ativo + exposição.

04

Remediate

Aplicação de patches, mudanças de configuração ou controles compensatórios, com tickets rastreáveis.

05

Verify

Re-scan e validação técnica de que a correção foi aplicada com sucesso e sem regressão.

06

Report & Improve

Métricas (MTTR, taxa de redução, SLA), tendências e melhoria contínua do programa.

SLAs Recomendados

Prazos por criticidade

Baseados em referências do CISA BOD 22-01, NIST SP 800-40r4 e práticas comuns em PCI-DSS 4.0.

CVSS 9.0–10.0

Crítica

≤ 72h

Ou imediato se constar no CISA KEV.

CVSS 7.0–8.9

Alta

≤ 7 dias

Para ativos expostos à internet.

CVSS 4.0–6.9

Média

≤ 30 dias

Janela padrão de patch management.

CVSS 0.1–3.9

Baixa

≤ 90 dias

Tratada na próxima janela de manutenção.

Priorização Baseada em Risco

Os três pilares da decisão

FIRST.org

CVSS v4.0

Common Vulnerability Scoring System. Mede a severidade técnica intrínseca da vulnerabilidade.

  • • Score 0–10
  • • Vetor de ataque, complexidade, impacto
  • • Padrão da indústria desde 2005
FIRST.org

EPSS

Exploit Prediction Scoring System. Estima a probabilidade de exploração nos próximos 30 dias.

  • • Score 0–100%
  • • Atualizado diariamente
  • • Baseado em dados reais de telemetria
CISA

KEV Catalog

Known Exploited Vulnerabilities. Lista de CVEs com exploração ativa confirmada.

  • • Mantido pela agência dos EUA
  • • 1.000+ CVEs catalogadas
  • • Prazo de remediação obrigatório federal
Cobertura

Tipos de scanning

Network Scanning

Hosts internos e externos, portas, serviços e CVEs de SO.

Authenticated Scanning

Scan com credencial para visibilidade profunda do SO e pacotes.

Web Application Scanning

DAST cobrindo OWASP Top 10 e configurações HTTP/TLS.

SCA / Open Source

Software Composition Analysis para dependências (npm, Maven, PyPI).

Container & Image

Imagens Docker/OCI, registries, runtime Kubernetes.

Cloud Posture (CSPM)

Misconfigurações em AWS, Azure e GCP frente a CIS Benchmarks.

Configuration Compliance

Hardening contra CIS, DISA STIG e baselines internos.

External Attack Surface

EASM: descoberta contínua de ativos expostos à internet.

Active Directory

Caminhos de ataque, contas privilegiadas e más configurações.

KPIs

O que medimos

Métricas mensais que demonstram a eficácia do programa para o board e auditoria.

MTTR (Mean Time to Remediate)

Tempo médio entre a descoberta e a correção, segmentado por severidade.

SLA Compliance Rate

Percentual de vulnerabilidades corrigidas dentro do prazo definido.

Vulnerability Density

Vulnerabilidades por ativo — referência para benchmarking interno.

KEV Exposure

Vulnerabilidades em ativos críticos que constam no catálogo CISA KEV.

Asset Coverage

Percentual do parque tecnológico sob escaneamento periódico.

Continue Explorando

Outros Serviços

Ofensivo

Teste de Penetração

Pentest baseado em PTES, OWASP e NIST SP 800-115.
Estratégico

Assessment de Segurança

Diagnóstico de maturidade NIST CSF, ISO 27001 e CIS.
Inteligência

Threat Intelligence

Monitoramento de ameaças, dark web e IOCs.

Pare de tratar todas as vulnerabilidades como críticas

Implante um programa orientado a risco real. Solicite uma proposta.

Solicitar Proposta
© 2024 Ryzam Secure. Todos os direitos reservados.