O problema de tratar severidade como prioridade
O CVSS é útil para representar características técnicas de uma vulnerabilidade, mas não conhece o contexto específico da organização. Duas falhas com a mesma pontuação podem apresentar riscos completamente diferentes dependendo do ativo, da exposição e da possibilidade real de exploração.
Quando a equipe usa apenas a classificação crítica, alta, média e baixa, o backlog tende a crescer sem uma ordem clara. Isso gera esforço em correções pouco relevantes enquanto exposições perigosas permanecem abertas.
O que muda o risco real
- Criticidade do ativo: um servidor que sustenta faturamento tem impacto diferente de um equipamento isolado de laboratório.
- Exposição: um serviço publicado na internet possui uma superfície de ataque diferente de um ativo restrito.
- Explorabilidade: a existência de código público, campanhas ativas ou inclusão em catálogos de exploração muda a urgência.
- Controles compensatórios: segmentação, autenticação, WAF e outras medidas podem reduzir a probabilidade ou o impacto.
- Impacto no negócio: indisponibilidade, vazamento, fraude e interrupção operacional devem ser considerados.
RBVM: priorização baseada em risco
O Risk-Based Vulnerability Management combina severidade técnica com inteligência de ameaças, explorabilidade e criticidade do ativo. A EcoTrust descreve sua abordagem RBVM como o cruzamento de CVSS, sinais como EPSS e CISA KEV e contexto do ativo exposto para produzir um ranking de risco.
Um processo prático de priorização
- Consolidar inventário e responsáveis pelos ativos.
- Identificar exposição e dependências.
- Enriquecer vulnerabilidades com inteligência de exploração.
- Relacionar os ativos aos processos de negócio.
- Definir filas de correção e prazos por risco.
- Validar se a remediação foi efetiva.
Métricas que ajudam a gestão
Além do número de vulnerabilidades, vale acompanhar tempo médio de correção por risco, ativos críticos sem responsável, reincidência, percentual de falhas exploráveis e redução de exposição ao longo do tempo.
Conclusão
O CVSS continua sendo uma referência técnica importante, mas não deve ser utilizado sozinho para decidir o que corrigir primeiro. A priorização precisa refletir a realidade do ambiente e o impacto potencial para o negócio.




