Vulnerabilidades & CVEs: Sumário Executivo — Gestão e mitigação de vulnerabilidades

A gestão de vulnerabilidades é um processo contínuo e crítico para qualquer organização. Com milhares de novas vulnerabilidades publicadas por ano e atacantes a explorar falhas em horas após a divulgação, manter sistemas atualizados e monitorizar o inventário tecnológico é uma prioridade estratégica de cibersegurança.

O que é uma Vulnerabilidade e um CVE

Uma vulnerabilidade é uma fraqueza num sistema, aplicação ou processo que pode ser explorada por um atacante para obter acesso não autorizado, elevar privilégios ou causar perturbação. Um CVE (Common Vulnerabilities and Exposures) é um identificador único e público atribuído a cada vulnerabilidade conhecida, gerido pelo MITRE e financiado pela CISA. O CVSS (Common Vulnerability Scoring System) classifica a gravidade de 0 a 10 — valores ≥9.0 são considerados Críticos.

Ciclo de vida de uma vulnerabilidade

Fase	Descrição	Implicação para as organizações
Descoberta	Investigador ou atacante identifica a falha	A organização ainda não tem visibilidade
Zero-day	Vulnerabilidade explorada antes de patch disponível	Risco máximo — mitigação por controlos compensatórios
Divulgação (CVE)	Publicação pública com identificador CVE	Janela crítica — patch deve ser aplicado rapidamente
Patch disponível	Fabricante lança correção	Priorizar aplicação com base no CVSS e exposição
Patch aplicado	Correção implementada nos sistemas afetados	Verificar cobertura total do parque tecnológico
Exploit público	Código de exploração disponível publicamente	Exposição aumenta drasticamente para sistemas sem patch

Principais desafios na gestão de vulnerabilidades

• Volume crescente: Em 2023 foram publicados mais de 28.000 CVEs; em 2024 esse número ultrapassou os 30.000.
• Falta de inventário: Não é possível proteger o que não se conhece — ativos desconhecidos (shadow IT) são frequentemente os mais vulneráveis.
• Priorização: Nem todos os CVEs têm o mesmo risco real — um CVE crítico num sistema não exposto à internet é menos urgente que um CVE médio numa aplicação web pública.
• Dependências de terceiros: Componentes de software open-source e fornecedores introduzem vulnerabilidades fora do controlo direto da organização.
• Tempo de remediação: O tempo médio de aplicação de patches em grandes organizações é de 60 a 150 dias — atacantes exploram em horas ou dias.

Programa de gestão de vulnerabilidades

Componente	O que fazer
Inventário de ativos	Manter registo atualizado de todos os sistemas, aplicações e dependências
Scanning regular	Ferramentas de análise de vulnerabilidades (Nessus, OpenVAS, Qualys) com periodicidade mínima semanal
Priorização por risco	Combinar CVSS com exposição real (KEV, EPSS) para definir ordem de remediação
Gestão de patches	Processo formal de teste e aplicação de patches; SLAs por nível de criticidade
Testes de intrusão	Pentests anuais (mínimo) e após alterações significativas na infraestrutura
Monitorização contínua	Subscrição de feeds de inteligência (CNCS, CISA KEV, NVD, fabricantes)

SLAs recomendados por criticidade

Nível CVSS	Classificação	Prazo máximo de remediação
9.0 – 10.0	Crítico	24–72 horas (sistema exposto) / 7 dias (interno)
7.0 – 8.9	Alto	7–14 dias
4.0 – 6.9	Médio	30 dias
0.1 – 3.9	Baixo	90 dias / próximo ciclo de manutenção

Recursos úteis

• NVD — National Vulnerability Database — base de dados completa de CVEs com scores CVSS
• CISA KEV — Known Exploited Vulnerabilities — vulnerabilidades com exploração confirmada em produção
• CNCS — Avisos e Alertas — vulnerabilidades críticas com impacto em Portugal
• ENISA Threat Landscape — relatório anual com tendências de vulnerabilidades
• EPSS — Exploit Prediction Scoring System — probabilidade de exploração de cada CVE