Por Que Vulnerabilidades Persistem na Infraestrutura por Anos: Uma Conversa Honesta
Uma discussão aprofundada com especialistas em cibersegurança revela os motivos pelos quais vulnerabilidades persistem em infraestruturas de TI por anos, abordando métricas, IA, gestão de exposição e desafios de sistemas legados.
MundiX News·02 de junho de 2026·8 min de leitura·👁 7 views
A infraestrutura de TI moderna é um campo de batalha complexo, onde vulnerabilidades podem se esconder por anos, representando um risco constante para organizações. Em uma conversa franca com especialistas renomados, foram desvendados os motivos por trás dessa persistência, desmistificando a ideia de que a culpa recai unicamente sobre equipes de segurança ou de TI.
Um dos pontos centrais da discussão foi a métrica CVSS (Common Vulnerability Scoring System), datada de 2002. Apesar de sua longevidade, o CVSS apresenta limitações significativas, como a subjetividade na avaliação e a falta de consideração pela exploração em tempo real e pela existência de exploits maduros. Métricas mais recentes, como EPSS (Exploit Prediction Scoring System) e KEV (Known Exploited Vulnerabilities) da CISA, buscam preencher essas lacunas, mas também enfrentam seus próprios desafios, como atrasos na atualização de dados e falhas na previsão de exploração. A conclusão prática é que não se deve depender de uma única métrica, mas sim combinar CVSS para uma avaliação inicial, KEV para identificar explorações ativas e métricas de tendências de soluções de Vulnerability Management (VM) para priorização operacional, sempre verificando a existência de exploits públicos.
A inteligência artificial (IA) e os agentes autônomos também foram temas de debate. Embora a IA possa auxiliar na triagem e priorização de vulnerabilidades, sua utilidade é limitada em tarefas bem formalizadas. Para problemas algoritmicamente solucionáveis, scripts mais simples podem ser mais eficientes. No entanto, a automação de tarefas como patching tem potencial, desde que acompanhada de políticas claras e bem definidas. A abordagem de Exposure Management, que expande o escopo para além de CVEs e foca na eliminação de caminhos de ataque, foi destacada como um avanço promissor, desde que implementada corretamente e não apenas como um novo rótulo para ferramentas existentes.
O cenário de código aberto, especialmente o kernel Linux, com suas centenas de vulnerabilidades corrigidas mensalmente, levanta questões sobre a escalabilidade e segurança. A atribuição de CVEs para cada bug, embora uma política deliberada, não explica o surgimento contínuo de vulnerabilidades exploráveis. A falta de programas robustos de bug bounty em muitos projetos de código aberto contribui para que vulnerabilidades críticas permaneçam sem detecção e correção. Além disso, a resistência de equipes de TI em aplicar correções, muitas vezes justificada por preocupações com a estabilidade de sistemas legados ou pela complexidade da infraestrutura, é um obstáculo significativo. A solução reside em processos formais, regulamentações, SLAs claros e, crucialmente, na aceitação formal de riscos por parte dos proprietários dos ativos, acompanhada de medidas compensatórias como segmentação de rede e monitoramento.
Em ambientes modernos como contêineres e nuvens, o VM tradicional enfrenta desafios. A abordagem deve migrar para o escaneamento de imagens antes do deploy e para a utilização de APIs de nuvem, em vez de depender de agentes em hosts. A detecção de vulnerabilidades é apenas o primeiro passo; a verdadeira batalha reside na sua remediação efetiva. Isso requer uma cultura de segurança madura, processos bem definidos, responsabilidades claras e suporte da alta gerência, mais do que a simples adoção de novas ferramentas.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
A infraestrutura de TI moderna é um campo de batalha complexo, onde vulnerabilidades podem se esconder por anos, representando um risco constante para organizações. Em uma conversa franca com especialistas renomados, foram desvendados os motivos por trás dessa persistência, desmistificando a ideia de que a culpa recai unicamente sobre equipes de segurança ou de TI.
Um dos pontos centrais da discussão foi a métrica CVSS (Common Vulnerability Scoring System), datada de 2002. Apesar de sua longevidade, o CVSS apresenta limitações significativas, como a subjetividade na avaliação e a falta de consideração pela exploração em tempo real e pela existência de exploits maduros. Métricas mais recentes, como EPSS (Exploit Prediction Scoring System) e KEV (Known Exploited Vulnerabilities) da CISA, buscam preencher essas lacunas, mas também enfrentam seus próprios desafios, como atrasos na atualização de dados e falhas na previsão de exploração. A conclusão prática é que não se deve depender de uma única métrica, mas sim combinar CVSS para uma avaliação inicial, KEV para identificar explorações ativas e métricas de tendências de soluções de Vulnerability Management (VM) para priorização operacional, sempre verificando a existência de exploits públicos.
A inteligência artificial (IA) e os agentes autônomos também foram temas de debate. Embora a IA possa auxiliar na triagem e priorização de vulnerabilidades, sua utilidade é limitada em tarefas bem formalizadas. Para problemas algoritmicamente solucionáveis, scripts mais simples podem ser mais eficientes. No entanto, a automação de tarefas como patching tem potencial, desde que acompanhada de políticas claras e bem definidas. A abordagem de Exposure Management, que expande o escopo para além de CVEs e foca na eliminação de caminhos de ataque, foi destacada como um avanço promissor, desde que implementada corretamente e não apenas como um novo rótulo para ferramentas existentes.
O cenário de código aberto, especialmente o kernel Linux, com suas centenas de vulnerabilidades corrigidas mensalmente, levanta questões sobre a escalabilidade e segurança. A atribuição de CVEs para cada bug, embora uma política deliberada, não explica o surgimento contínuo de vulnerabilidades exploráveis. A falta de programas robustos de bug bounty em muitos projetos de código aberto contribui para que vulnerabilidades críticas permaneçam sem detecção e correção. Além disso, a resistência de equipes de TI em aplicar correções, muitas vezes justificada por preocupações com a estabilidade de sistemas legados ou pela complexidade da infraestrutura, é um obstáculo significativo. A solução reside em processos formais, regulamentações, SLAs claros e, crucialmente, na aceitação formal de riscos por parte dos proprietários dos ativos, acompanhada de medidas compensatórias como segmentação de rede e monitoramento.
Em ambientes modernos como contêineres e nuvens, o VM tradicional enfrenta desafios. A abordagem deve migrar para o escaneamento de imagens antes do deploy e para a utilização de APIs de nuvem, em vez de depender de agentes em hosts. A detecção de vulnerabilidades é apenas o primeiro passo; a verdadeira batalha reside na sua remediação efetiva. Isso requer uma cultura de segurança madura, processos bem definidos, responsabilidades claras e suporte da alta gerência, mais do que a simples adoção de novas ferramentas.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
