Hunterspay Hunterspay Daily Intel
Tendência

40 mil CVEs por ano: priorizar pelo EPSS vale mais que CVSS

Em 2024 foram publicadas mais de 40 mil vulnerabilidades — mas apenas 5% a 7% chegam a ser exploradas ativamente: equipes que patcheiam por CVSS estão desperdiçando capacidade operacional no que nunca será atacado.

O EPSS (Exploit Prediction Scoring System), mantido pelo FIRST, calcula a probabilidade de uma vulnerabilidade ser explorada nos próximos 30 dias — score de 0 a 1, atualizado diariamente com sinais de darkweb, bancos de exploits e threat intelligence. Um CVSS 9.8 dormindo em software obscuro é menos urgente do que um CVSS 6.5 ativo em campanhas de ransomware: CISO deve recalibrar o SLA de patching do time usando EPSS ≥ 0,50 como patamar de alta prioridade. ISO 27001 A.12.6 e NIST SP 800-40 exigem processo documentado de priorização de vulnerabilidades — adotar EPSS cobre essa exigência com evidência quantitativa auditável.

Ação pro CISO/CTO

Recalibre o SLA de patching cruzando CVSS com EPSS ≥ 0,50 como patamar de alta prioridade e documente o critério para auditoria

Contexto

O volume de CVEs publicados saltou de 29 mil em 2023 para mais de 40 mil em 2024 — crescimento de 38% em um único ano, com cerca de 110 novas vulnerabilidades por dia. Dados históricos indicam que apenas 5% a 7% dessas vulnerabilidades chegam a ser exploradas na prática, o que significa que equipes que aplicam patches por ordem de CVSS estão alocando até 95% do esforço em ameaças que nunca se materializarão. O EPSS, desenvolvido pelo FIRST com modelo de machine learning (XGBoost) alimentado por aproximadamente 1.400 variáveis de telemetria diária, foi criado para resolver exatamente esse ruído operacional e dar às equipes um critério probabilístico — não teórico — de risco.

Impacto pra o negócio

O custo de oportunidade é duplo: ao patchear o que não importa, a equipe adia o que importa — e é nessa janela que ocorrem os comprometimentos reais. Para empresas reguladas em fintech, saúde e governo, atraso em vulnerabilidades exploradas ativamente gera responsabilidade direta do CISO e do DPO no momento da notificação de incidente. Um processo de priorização sem base em probabilidade de exploração é argumento frágil diante de auditores SOC 2 e ISO 27001 — e ainda mais fraco perante um board que questiona por que o time perdeu um exploit com PoC pública circulando há semanas. Organizações que adotam EPSS relatam redução de até 90% no escopo de patching urgente, liberando ciclos para hardening estrutural e revisão de arquitetura.

Análise Hunterspay

O que a gente tira disso

A maioria dos programas de vulnerability management ainda opera em modo CVSS-first — uma herança dos anos 2000 que não reflete o modelo de ameaça atual. Empresas com programas de bug bounty maduros já usam EPSS como critério de triagem de findings internos: vulnerabilidades com EPSS alto e sem patch do fornecedor recebem prioridade máxima porque o risco real é quantificável e defensável. A diferença entre uma empresa resiliente e uma exposta não está em ter menos CVEs abertos — está em saber quais 5% realmente importam antes que o atacante aja. Bug bounty teria surfaced esses vetores antes da exploração pública; VM por CVSS sozinho não teria capturado a urgência.

Checklist CISO/CTO

  • Solicite ao time de VM que adote EPSS ≥ 0,50 como critério de alta prioridade no SLA de patching, com meta de remediação em 72h
  • Revise o SLA atual: se o único critério é CVSS ≥ 7, reconfigure para cruzar CVSS × EPSS antes de acionar o time de infra
  • Exija que o relatório mensal de vulnerabilidades traga distribuição por faixa EPSS (crítico ≥ 0,90 / alto ≥ 0,50), não apenas severidade CVSS
  • Documente a metodologia de priorização adotada (EPSS + CVSS) no registro de processos de segurança para cobertura de auditoria SOC 2 e ISO 27001
  • Avalie se as ferramentas de VM em uso (Tenable, Qualys, Rapid7) já integram EPSS nativamente — elimine dependência de planilha manual

Mapeamento de compliance

  • ISO 27001 A.12.6 — Gestão de vulnerabilidades técnicas: EPSS provê base quantitativa para o processo de priorização exigido pelo controle
  • NIST SP 800-40 — Guide to Enterprise Patch Management: recomenda priorização por probabilidade de exploração, alinhada ao modelo EPSS
  • SOC 2 CC7.1 — Detecção e monitoramento de vulnerabilidades: processo baseado em EPSS documenta critério objetivo auditável para triagem
  • PCI-DSS 6.3.3 — Avaliação de patches por risco: EPSS fornece o scoring de risco exigido pelo framework para ambientes de cartão
Tipo de impacto
operational
Compliance
ISO27001 · NIST · SOC2 · PCI-DSS
Setor
fintech · saas · healthcare · ecommerce · government · ai_ml
Ler fonte original →
Programa de bug bounty sem dor de cabeça

Conecte sua empresa aos melhores hunters do Brasil.

Hunterspay é plataforma Managed Bug Bounty: escopo, triagem, pagamento e gestão de vulnerabilidades — tudo curado. Segurança contínua sem contratar hunter interno.

Cadastrar empresa →
WhatsApp Telegram LinkedIn X