O que é CVE e como encontrar no meu sistema?

CVE é identificador único. Use scanner de vulnerabilidades ou NVD manualmente.

Como usar para priorizar patches?

Combine CVSS + EPSS + contexto. CVSS 8-10 + EPSS > 50% = crítico.

Por que CVSS 9 pode ser menos urgente?

Se requer acesso físico ou EPSS é baixo, é teórico. Contexto importa.

NVD (nvd.nist.gov) é oficial. Scanners e threat feeds também oferecem.

Neste artigo: Como este tema funciona na sua empresa CVE: Identificador de Vulnerabilidade CVSS: Métrica de Severidade Teórica EPSS: Probabilidade de Exploração Real Como Combinar Indicadores para Priorização Exploração Ativa: Sinalizador Crítico Contexto Importa Ferramentas e Fontes de Dados Redução de Falsos Positivos Sinais de que gestão de vulnerabilidades está inadequada: Passos para priorização inteligente: Perguntas frequentes Referências

oHub Base TI Cibersegurança e Proteção de Dados › Ameaças Cibernéticas

CVE, CVSS e EPSS: entendendo os indicadores de risco

Q: O que é CVSS e como interpretar?

CVSS mede severidade teórica (0-10). Baixo, Médio, Alto, Crítico. Não é probabilidade.

Q: Diferença entre CVSS e EPSS?

CVSS é severidade teórica. EPSS é probabilidade real de exploração em 30 dias.

Como interpretar os principais indicadores usados para classificar vulnerabilidades e priorizar ações.

Atualizado em: 24 de abril de 2026

Este conteúdo foi gerado por IA e pode conter erros. |

Como este tema funciona na sua empresa

Pequena empresa

Usar CVE/CVSS como referência. Priorizar: CVSS 8-10 + exploit público = crítico. Ferramentas: NVD manual.

Média empresa

Integrar CVSS em scanner de vulnerabilidades. Automatizar alertas. Adicionar EPSS para refinação. Ferramentas: scanner com suporte a EPSS.

Grande empresa

Automação completa. CVSS + EPSS + exploração ativa + contexto. Integração com VGM. Machine learning para predição.

CVE, CVSS e EPSS são indicadores distintos. CVE é identificador; CVSS é severidade teórica; EPSS é probabilidade real de exploração. Combinar corretamente permite priorização inteligente, não pânico.

CVE: Identificador de Vulnerabilidade

O que é: CVE (Common Vulnerabilities and Exposures) é identificador único para vulnerabilidade conhecida. Exemplo: CVE-2024-1234.

Não é severidade: CVE apenas identifica. Severidade vem de CVSS. Ter CVE não significa problema crítico.

Uso: Rastrear vulnerabilidade em diferentes sistemas, comparar com threat intelligence, correlacionar com exploração ativa.

CVSS: Métrica de Severidade Teórica

CVSS (Common Vulnerability Scoring System) mede impacto potencial de vulnerabilidade em escala 0-10^[1]. Scores: 0-3.9 (baixo), 4-6.9 (médio), 7-8.9 (alto), 9-10 (crítico). Componentes de CVSS: - Attack vector: Network (remoto, pior) ou Local (acesso físico, melhor) - Attack complexity: Low (fácil explorar) ou High (difícil) - Privileges required: None (sem autenticação) ou High (admin) - User interaction: None (automático) ou Required (usuário clica) Exemplo: Vulnerabilidade CVSS 9 que requer acesso físico é menos urgente que CVSS 7 via rede sem autenticação.

EPSS: Probabilidade de Exploração Real

O que é: EPSS (Exploit Prediction Scoring System) indica probabilidade de exploração em 30 dias (0-100%).

EPSS 80%: Alta probabilidade de ataque em próximos 30 dias. Prioridade máxima.

EPSS 20%: Baixa probabilidade. Pode acompanhar, não é crítico.

Diferença com CVSS: CVSS é teórico (potencial). EPSS é empírico (likelihood real).

Como Combinar Indicadores para Priorização

Não é linear. CVSS 5 + EPSS 90% é mais urgente que CVSS 8 + EPSS 5%^[2]. Matriz de decisão: - CVSS 8-10 + EPSS > 50%: Crítico. Patch hoje. - CVSS 8-10 + EPSS 20-50%: Alto. Patch em dias. - CVSS 5-7 + EPSS > 50%: Alto. Patch em dias. - CVSS 5-7 + EPSS < 20%: Médio. Acompanhar. - CVSS < 5: Baixo. Acompanhar, patch em ciclo regular.

Exploração Ativa: Sinalizador Crítico

Se há exploit público ou threat intelligence reporta "APT X usa CVE-YYYY contra seu setor", prioridade sobe automaticamente. Exploração ativa muda contexto: não é risco teórico, é risco presente^[3].

Contexto Importa

Sistema interno: Vulnerabilidade pode ser ignorada temporariamente. Exposição é baixa.

Servidor web exposto: Mesma vulnerabilidade é crítica. Exposição é alta.

Priorização smart: CVSS + EPSS + contexto de exposição + criticidade do sistema.

Ferramentas e Fontes de Dados

NVD (nvd.nist.gov): Banco de dados oficial de CVEs com CVSS. Consulta manual ou integração API.

EPSS (first.org/epss): Fonte oficial de EPSS. Oferecido por FIRST (Forum of Incident Response and Security Teams).

Threat feeds: CrowdStrike, Mandiant, Recorded Future oferecem inteligência de exploração ativa.

Scanners de vulnerabilidade: Qualys, Tenable, Rapid7 integram CVSS e frequentemente EPSS.

Redução de Falsos Positivos

Usar CVSS + EPSS combinados reduz falsos positivos significativamente. Muitas vulnerabilidades CVSS altas nunca são exploradas (EPSS baixo). Focar em CVSS alto + EPSS alto reduz investigação desnecessária.

Sinais de que gestão de vulnerabilidades está inadequada:

Pânico a cada CVE crítico, mesmo sem contexto de exposição ou EPSS
Sem correlação entre CVSS e urgência real de patch
Desconhecimento de EPSS ou threat feeds de exploração ativa
Patch sempre "urgente", sem priorização realista
Vulnerabilidades internas tratadas com mesma urgência que externas

Passos para priorização inteligente:

Passo 1: Coletar dados Obtenha CVSS de cada vulnerabilidade (NVD ou scanner). Adicione EPSS. Consulte threat intelligence.

Passo 2: Avaliar contexto Vulnerabilidade está em sistema exposto? É crítico para negócio? Há dependências?

Encontrar fornecedores de TI no oHub

Perguntas frequentes

O que é CVE e como encontrar vulnerabilidade no meu sistema?

CVE é identificador único. Para encontrar vulnerabilidades: use scanner de vulnerabilidades (Qualys, Tenable, Nessus) ou consulte NVD manualmente. Scanner automatiza busca por CVEs conhecidas em seu ambiente.

O que é CVSS e como interpretar score?

CVSS mede severidade teórica (0-10). Baixo (0-3.9), Médio (4-6.9), Alto (7-8.9), Crítico (9-10). Quanto maior, pior. Mas CVSS não é probabilidade de exploração.

Qual é a diferença entre CVSS e EPSS?

CVSS é severidade teórica (impacto potencial). EPSS é probabilidade real de exploração em 30 dias. CVSS 9 + EPSS 5% é menos urgente que CVSS 6 + EPSS 90%.

Como usar CVE/CVSS para priorizar patches?

Não use CVSS sozinho. Combine: CVSS + EPSS + contexto de exposição + criticidade do sistema. CVSS 8-10 + EPSS > 50% = crítico. CVSS 5 + EPSS 5% = pode acompanhar.

Por que CVSS 9 às vezes é menos urgente que CVSS 6?

Se CVSS 9 requer acesso físico ou exploit complexo (EPSS 5%), é teórico. CVSS 6 via rede + exploit ativo (EPSS 90%) é risco real e presente.

Onde consultar banco de dados de CVEs?

NVD (nvd.nist.gov) é oficial. CVE Details, Qualys, Tenable também oferecem. Threat feeds (CrowdStrike, Mandiant) adicionam contexto de exploração.

Referências

^[1] CVSS v3.1 Specification (NIST/FIRST). Disponível em https://csrc.nist.gov/
^[2] EPSS Documentation (FIRST). Disponível em https://www.first.org/epss/
^[3] NVD (National Vulnerability Database). Disponível em https://nvd.nist.gov/
CWE Top 25 (Common Weakness Enumeration). Disponível em https://cwe.mitre.org/top25/