Capa do Ebook gratuito Governança de Segurança da Informação na Prática (ISO 27001/27002 sem burocracia)

Governança de Segurança da Informação na Prática (ISO 27001/27002 sem burocracia)

Novo curso

19 páginas
Todos os cursos > Informática ( TI ) > Segurança da informação ::

Gestão de vulnerabilidades e correções com priorização por risco

Capítulo 11

Tempo estimado de leitura: 12 minutos

+ Exercício

O que é gestão de vulnerabilidades (e por que “corrigir tudo” não funciona)

Gestão de vulnerabilidades é o processo contínuo de identificar, avaliar, priorizar, tratar e verificar falhas de segurança em ativos (servidores, endpoints, aplicações, dispositivos de rede, serviços em nuvem e componentes de terceiros). Vulnerabilidade pode ser um software desatualizado, uma configuração insegura, uma biblioteca com falha conhecida, uma porta exposta sem necessidade, uma permissão excessiva, ou um erro de lógica em aplicação.

Na prática, o desafio não é “achar vulnerabilidades” (ferramentas fazem isso bem), e sim decidir o que corrigir primeiro, com qual urgência, com qual abordagem (patch, mitigação, compensação), sem derrubar o ambiente e sem virar um ciclo infinito de tickets. Por isso, a priorização por risco é o coração do capítulo: ela transforma uma lista enorme de achados em um plano executável, alinhado ao impacto real para o negócio.

“Corrigir tudo” falha por quatro motivos comuns: (1) volume: scanners geram milhares de itens; (2) dependências: nem todo patch é aplicável sem testes; (3) janelas de mudança: ambientes críticos têm restrições; (4) risco residual: algumas vulnerabilidades têm baixo impacto ou não são exploráveis no seu contexto. O objetivo é reduzir exposição de forma mensurável, atacando primeiro o que é mais provável e mais danoso.

Vulnerabilidade, correção e exposição: termos que precisam estar claros

Vulnerabilidade

É uma fraqueza que pode ser explorada. Pode ter CVE (falha catalogada) ou não (misconfiguração, falha lógica interna). Nem toda vulnerabilidade é explorável em qualquer ambiente.

Correção (patch) vs. mitigação

Patch é a atualização que remove a falha (ex.: atualizar OpenSSL, aplicar update do sistema, subir versão de biblioteca). Mitigação reduz a chance de exploração sem remover a falha (ex.: desabilitar um serviço, bloquear uma porta, aplicar regra de WAF, restringir acesso por rede, remover funcionalidade). Mitigação é útil quando patch não é possível no prazo.

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...
Download App

Baixar o aplicativo

Exposição

Exposição é o “quanto isso está acessível” para um atacante. Uma falha crítica em um servidor isolado e sem rota de acesso pode ser menos urgente do que uma falha média em um serviço público com autenticação fraca. Exposição depende de conectividade, autenticação, privilégios necessários, presença de controles de detecção, e do valor do ativo.

Priorizar por risco: o que entra no cálculo

Priorizar por risco significa combinar severidade técnica com contexto do seu ambiente. CVSS ajuda, mas sozinho costuma gerar prioridades erradas. Um modelo prático de priorização considera, no mínimo, os fatores abaixo (você pode começar simples e evoluir):

  • Severidade técnica: CVSS, criticidade do fornecedor, tipo de impacto (RCE, escalonamento de privilégio, bypass de autenticação, vazamento de dados).
  • Explorabilidade real: existe exploit público? está sendo explorada ativamente (KEV/CISA, advisories, inteligência interna)? requer interação do usuário? requer credenciais?
  • Exposição do ativo: internet-facing, DMZ, acesso por VPN, rede interna segmentada, acesso restrito.
  • Criticidade do ativo: impacto no negócio se indisponível/comprometido (ex.: ERP, banco de dados de clientes, pipeline de produção, AD/IdP).
  • Privilégios e movimento lateral: o ativo é “ponte” para outros? tem credenciais privilegiadas? roda como admin/root? tem chaves/tokens?
  • Controles compensatórios existentes: WAF, EDR, segmentação, hardening, monitoramento, bloqueios de egress, allowlist.
  • Esforço e risco de mudança: patch simples vs. mudança complexa; risco de indisponibilidade; necessidade de testes.

Um jeito operacional de aplicar isso é criar um score de priorização (não precisa ser perfeito). Exemplo de regra simples: “Prioridade máxima” se (CVSS alto ou crítico) E (internet-facing OU exploit ativo) E (ativo crítico). Itens fora disso entram em filas com prazos maiores.

Fontes de detecção: como alimentar o processo sem ruído

Você vai lidar com vulnerabilidades vindas de várias fontes. O importante é padronizar como elas entram no fluxo e como são deduplicadas:

  • Scanners de infraestrutura: varredura autenticada em servidores e endpoints (melhor qualidade) e varredura não autenticada (mais limitada).
  • SAST/DAST e scanners de dependências: falhas em código e bibliotecas (SBOM/SCA), muito relevantes para aplicações.
  • Cloud posture/config: achados de configuração em nuvem (ex.: buckets públicos, security groups abertos).
  • Advisories de fornecedores: boletins de segurança e patches emergenciais.
  • Bug bounty/pentest: achados com contexto e prova de conceito.
  • Incidentes e quase-incidentes: exploração observada internamente deve elevar prioridade de classes de falhas semelhantes.

Para reduzir ruído: (1) prefira varredura autenticada; (2) mantenha mapeamento de ativos consistente (hostname, IP, tags, owner); (3) deduplique por CVE+asset+porta/serviço; (4) trate falsos positivos com status e evidência, não “apagando” o item.

Passo a passo prático: fluxo operacional de ponta a ponta

A seguir está um fluxo pragmático que funciona para infraestrutura e pode ser adaptado para aplicações. Ele foca em execução, evidência e priorização por risco.

1) Defina o escopo e a cadência de varredura

  • Escopo mínimo: servidores, endpoints corporativos, dispositivos de rede gerenciados, workloads em nuvem, aplicações críticas e seus componentes.
  • Cadência sugerida: semanal para internet-facing e ativos críticos; quinzenal/mensal para demais; contínua (pipeline) para dependências de aplicações.
  • Janelas: combine varreduras em horários de menor impacto e evite saturar links/hosts.

Entregável: calendário de varreduras e lista de escopo com responsáveis técnicos para cada grupo de ativos.

2) Normalize os achados em um backlog único

Centralize os achados em um backlog (pode ser uma ferramenta dedicada ou um sistema de tickets). O ponto é: cada vulnerabilidade relevante vira um item rastreável com dono, prazo e evidência.

Campos mínimos recomendados para cada item:

  • Ativo (identificador, ambiente: prod/hml/dev)
  • Owner técnico (time/squad) e aprovador de mudança (quando aplicável)
  • Tipo (CVE, misconfig, biblioteca, app)
  • Severidade (CVSS/nível)
  • Exposição (internet/interna/segmentada)
  • Exploit disponível? Exploração ativa?
  • Criticidade do ativo
  • Prazo (SLA) e prioridade
  • Plano de tratamento (patch/mitigação/aceite)
  • Evidência de correção (scan limpo, versão, print, log)

3) Atribua prioridade por risco com regras objetivas

Crie regras simples e repetíveis. Exemplo de matriz prática (ajuste ao seu contexto):

  • P0 (imediato): exploração ativa confirmada OU vulnerabilidade crítica com RCE em ativo internet-facing crítico.
  • P1 (alta): CVSS ≥ 8 com exploit público em ativo exposto; ou falha de autenticação/execução remota em ativo interno que dá acesso privilegiado.
  • P2 (média): CVSS alto sem exploit público, ou médio com alta exposição/criticidade.
  • P3 (baixa): baixo impacto, baixa exposição, ou item com compensação robusta.

Junto da prioridade, defina SLAs de correção (exemplo): P0 48–72h, P1 7–15 dias, P2 30–60 dias, P3 90–180 dias. O valor aqui não é o número “perfeito”, e sim ter um compromisso claro e medível.

4) Triage técnico: validar explorabilidade e escolher tratamento

Antes de abrir dezenas de tickets, faça triage para separar o que é realmente acionável. Perguntas práticas:

  • O serviço vulnerável está realmente em execução e acessível?
  • O componente está exposto a quem (internet, parceiros, rede interna)?
  • Há controle compensatório efetivo (ex.: porta bloqueada, WAF com regra específica, serviço atrás de autenticação forte)?
  • O patch existe e é aplicável à versão atual?
  • O risco de indisponibilidade do patch é alto? Precisa de teste?

Saídas possíveis do triage:

  • Patch: aplicar correção definitiva.
  • Mitigar: reduzir exposição até o patch (ex.: bloquear acesso, desabilitar módulo).
  • Compensar: manter com controles adicionais e monitoramento reforçado.
  • Falso positivo: registrar evidência e ajustar scanner/regra.
  • Exceção temporária: quando não há patch viável no prazo, com prazo de revisão.

5) Planeje a correção: pacote, teste e janela

Correção eficiente raramente é “um patch por ticket”. Agrupe por:

  • Ativo: “patch Tuesday” do servidor X resolve 15 CVEs.
  • Produto: atualizar um componente (ex.: Java, OpenSSH) em lote.
  • Imagem/base: corrigir a imagem padrão e reimplantar (muito eficiente em ambientes imutáveis/containers).

Práticas que reduzem retrabalho:

  • Definir baseline de versões suportadas (ex.: N-1) para sistemas e runtimes.
  • Manter ambiente de homologação com testes mínimos (smoke tests) para serviços críticos.
  • Padronizar rollback (snapshot, versão anterior, blue/green).

6) Execute: patch, mitigação e registro de evidências

Durante a execução, o que costuma quebrar o processo é falta de evidência e falta de rastreabilidade. Para cada item (ou pacote de itens), registre:

  • Data/hora da mudança
  • Versão antes/depois
  • Comando/ação aplicada (quando aplicável)
  • Resultado do teste pós-mudança
  • Link para ticket de mudança/incidente (se houver)

Exemplo de evidência simples para infraestrutura: “Servidor app01: OpenSSL 1.1.1k → 1.1.1w; serviço reiniciado; healthcheck OK; scan autenticado em 24h sem detecção do CVE-XXXX”.

7) Verifique: re-scan e validação independente

Sem verificação, você só tem intenção, não resultado. A verificação pode ser:

  • Re-scan do scanner (preferencialmente autenticado) após a janela de patch.
  • Validação por versão (inventário de pacotes) quando scanner demora a atualizar assinaturas.
  • Teste de exploração controlado em casos críticos (quando apropriado).

Regra prática: item só fecha com evidência de não detecção ou com evidência técnica de mitigação efetiva e aceita.

8) Reporte operacional: métricas que ajudam a decidir (não só “quantidade de CVEs”)

Métricas úteis para governar execução sem burocracia:

  • MTTR por prioridade: tempo médio para corrigir P0/P1/P2.
  • Taxa de cumprimento de SLA: % de itens corrigidos dentro do prazo.
  • Backlog por idade: quantos itens estão abertos há >30, >60, >90 dias.
  • Exposição crítica: número de vulnerabilidades altas/críticas em ativos internet-facing.
  • Reincidência: vulnerabilidades que voltam (indicador de imagem base ruim, processo fraco ou drift de configuração).
  • Cobertura de varredura: % de ativos no escopo que foram escaneados na cadência.

Evite métricas vaidosas como “número total de vulnerabilidades” sem contexto; elas sobem e descem conforme o scanner muda e não refletem redução real de risco.

Como lidar com exceções sem virar “buraco negro”

Exceção (aceite temporário) é inevitável: sistemas legados, dependências críticas, fornecedor sem patch, janela restrita. O problema é quando exceção vira permanente e invisível.

Modelo prático de exceção:

  • Prazo de validade (ex.: 30/60/90 dias) com revisão obrigatória.
  • Justificativa técnica (por que não corrige agora) e impacto.
  • Medidas compensatórias (ex.: restringir rede, aumentar monitoramento, desabilitar feature).
  • Plano de saída (upgrade, substituição, descontinuação).
  • Dono (quem assume o risco e quem executa o plano).

Exemplo: “CVE crítica em appliance sem patch do fornecedor. Compensação: bloquear acesso administrativo por rede, permitir apenas jump server, habilitar MFA, monitorar tentativas. Revisão em 30 dias aguardando firmware.”

Casos práticos de priorização por risco

Caso 1: CVSS 9.8 em servidor interno, sem rota e sem exploit público

Um scanner aponta CVSS 9.8 em um serviço que roda em um servidor interno, acessível apenas por uma rede segmentada, sem acesso de usuários finais e sem exposição externa. Não há exploit público conhecido. Ainda é sério, mas pode ser P1 ou P2 dependendo do papel do servidor. Se o servidor hospeda credenciais privilegiadas ou é parte de autenticação, sobe prioridade. Se é um servidor isolado e substituível, pode entrar em janela normal.

Caso 2: CVSS 7.5 em aplicação pública com bypass de autenticação

Mesmo com CVSS “apenas” 7.5, um bypass de autenticação em aplicação pública pode ser P0/P1 porque o impacto real (acesso não autorizado) é alto e a exposição é máxima. Aqui, priorização por risco corrige uma distorção comum do CVSS.

Caso 3: Biblioteca vulnerável em aplicação, mas função não é usada

Scanners de dependência frequentemente apontam CVEs em bibliotecas que estão no pacote, mas a função vulnerável não é alcançável. Isso não deve virar desculpa automática para ignorar, mas pode virar uma decisão: (1) atualizar a biblioteca na próxima sprint (ideal), ou (2) justificar “não explorável” com evidência (ex.: análise de chamada) e manter monitoramento até atualização.

Integração com mudanças e operação: como não travar o time

Gestão de vulnerabilidades só escala quando se encaixa no fluxo de operação:

  • Pacotes de correção: agrupar correções por ativo/produto reduz overhead de mudanças.
  • Automação: onde possível, automatizar atualizações (rebuild de imagem, pipelines, gerenciamento de patches).
  • Separar “urgente” de “importante”: P0/P1 têm caminho rápido com janela emergencial; P2/P3 seguem cadência.
  • Comunicação objetiva: cada ticket deve dizer “o que corrigir”, “por que importa”, “prazo”, “como validar”.

Um formato de descrição de ticket que ajuda muito:

Resumo: Corrigir CVE-XXXX-YYYY (RCE) no servidor api-prod-03 (internet-facing) - Prioridade P0
Risco: Execução remota sem autenticação em serviço exposto; exploit público disponível.
Ação recomendada: Atualizar pacote XYZ para versão 2.3.4 (vendor advisory link).
Mitigação alternativa (se patch atrasar): Bloquear porta 443 do serviço via WAF/regra específica + restringir origem.
Validação: Re-scan autenticado após mudança + confirmar versão do pacote.
Prazo: 72h

Armadilhas comuns (e como evitar)

  • Tratar severidade como prioridade: CVSS não é contexto. Use exposição e criticidade do ativo.
  • Varredura sem autenticação como padrão: gera falso negativo e falsa sensação de segurança.
  • Fechar item “porque aplicou patch”: sem re-scan/validação, você não sabe se resolveu.
  • Backlog eterno de P2/P3: vira dívida. Use metas de redução por idade e reincidência.
  • Exceções sem prazo: risco vira permanente. Exceção precisa expirar.
  • Foco só em CVE: misconfigurações e exposição indevida muitas vezes são o caminho mais rápido para ataque.

Agora responda o exercício sobre o conteúdo:

Qual abordagem melhor reflete a priorização por risco na gestão de vulnerabilidades?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

A priorizae7e3o por risco considera severidade, mas tambe9m exposie7e3o, explorabilidade e criticidade do ativo, gerando um plano execute1vel e alinhado ao impacto real para o negf3cio.

Próximo capitúlo

Gestão de mudanças e segurança em projetos com gates de controle

Arrow Right Icon
Aprenda Segurança da informação

AprendaSegurança da informação

Proteja todo conteúdo importante, descubra como utilizar a segurança da informação a seu favor e para que serve. Cursa.app separou um curso grátis pra você

 Aprenda Informática ( TI )

AprendaInformática ( TI )

Cursos online gratuitos de Informática, TI e programação com certificação gratuita. Oferecemos cursos de Excel, programação e muito mais. Aproveite agora!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store