search close

Plataforma
- Plataforma Trend Vision One
  - Plataforma Trend Vision One
    - Trend Vision One™
      
      Plataforma
      
      Proteção de ameaças e gerenciamento de riscos cibernéticos
      Saiba mais
  - Trend Vision One Marketplace
    - Trend Vision One™
      
      Marketplace
      
      Confira as soluções de parceiros aprovadas pela Trend para nossa plataforma líder.
      Saiba mais
  - Opções de Instalação
    - Trend Vision One™
      
      Opções de Instalação
      
      Confira as soluções de parceiros aprovados pela Trend para nossa plataforma líder.
      Veja mais
- Cyber Risk Exposure Management
  - Trend Vision One™
    
    Cyber Risk Exposure Management (CREM)
    
    Líder em Gestão de Exposição – transformando a visibilidade do risco cibernético em segurança decisiva e proativa.
    Saiba mais
- Security Operations
  - Trend Vision One™
    
    Security Operations (SecOps)
    
    Impeça os adversários com visibilidade incomparável, impulsionada pela inteligência do XDR, Agentic SIEM e Agentic SOAR, deixando os invasores sem lugar para se esconder
    Saiba mais
- Cloud Security
  - Cloud Security
    - Trend Vision One™
      
      Segurança na nuvem
      
      A plataforma de segurança em nuvem mais confiável para desenvolvedores, equipes de segurança e empresas
      Saiba mais
  - XDR para Nuvem
    - Trend Vision One™
      
      XDR para Nuvem
      
      Amplie a visibilidade para a nuvem e simplifique as investigações SOC
      Saiba mais
  - Workload Security
    - Trend Vision One™
      
      Workload Security
      
      Proteja seu data center, nuvem e contêineres sem comprometer o desempenho, aproveitando uma plataforma de segurança em nuvem com recursos CNAPP
      Saiba mais
  - Container Security
    - Trend Vision One™
      
      Segurança de Container
      
      Simplifique a segurança de suas aplicações nativas em nuvem com varredura avançada de imagem de contêiner, controle de admissão baseado em políticas e proteção de tempo de execução de contêiner
      Saiba mais
  - File Security
    - Trend Vision One™
      
      File Security
      
      Proteja o workflow de aplicações e o armazenamento em nuvem contra ameaças avançadas.
      Saiba mais
  - Gerenciamento de Risco Cibernético em nuvem
    - Trend Vision One™
      
      Gerenciamento de Risco Cibernético em nuvem
      
      Unifique a visibilidade multi-cloud, elimine exposições ocultas e garanta seu futuro.
      Saiba mais
  - DeepSegurança de Código Security
    - Trend Vision One™
      
      DeepSegurança de Código Security
      
      Proteção Proativa para Cada Fase do Ciclo de Vida do Desenvolvimento de Software
      Saiba mais
- Endpoint Security
  - Endpoint Security
    - Trend Vision One™
      
      Endpoint Security
      
      Defenda o endpoint através de cada fase de um ataque
      Saiba mais
  - Endpoint Security Industrial
    - Endpoint Security Industrial
      Saiba mais
  - XDR for Endpoint
    - Trend Vision One™
      
      XDR for Endpoint
      
      Detenha os adversários mais rapidamente com uma perspectiva mais ampla e melhor contexto para caçar, detectar, investigar e responder a ameaças em uma única plataforma
      Saiba mais
  - Workload Security
    - Trend Vision One™
      
      Workload Security
      
      Prevenção, detecção e resposta otimizadas para endpoints, servidores e cloud workloads
      Saiba mais
  - Mobile Security
    - Mobile Security
      
      Proteção on-prem e em nuvem contra malware, aplicações maliciosas e outras ameaças móveis
      Saiba mais
- Network Security
  - Network Security
    - Trend Vision One™
      
      Segurança de Rede
      
      Expanda o poder do XDR com detecção e resposta de rede
      Saiba mais
  - XDR for Network (NDR)
    - Trend Vision One™
      
      XDR for Network (NDR)
      
      Detenha os adversários mais rapidamente com uma perspectiva mais ampla e melhor contexto para buscar, detectar, investigar e responder a ameaças em uma única plataforma
      Saiba mais
  - Network Intrusion Prevention (IPS)
    - Network Intrusion Prevention (IPS)
      
      Proteja-se contra vulnerabilidades conhecidas, desconhecidas e não divulgadas da sua rede
      Saiba mais
  - Zero Trust Secure Access (ZTSA)
    - Zero Trust Secure Access (ZTSA)
      - Trend Vision One™
        
        Zero Trust Secure Access (ZTSA)
        
        Redefina a confiança e a transformação digital segura com avaliações de risco contínuas
        Saiba mais
    - AI Secure Access
      - AI Secure Access
        
        Garantir visibilidade e controle unificados para cada serviço, usuário e interação de GenAI
        Saiba mais
  - Breach Detection System (BDS)
    - Breach Detection System (BDS)
      
      Detecte e responda a ataques direcionados que trafegam para dentro, para fora e lateralmente
      Saiba mais
  - Network Security 5G
    - Network Security 5G
      Saiba mais
  - Network Security Industrial
    - Network Security Industrial
      Saiba mais
- Email and Collaboration Security
  - Trend Vision One™
    
    Segurança de Email e Colaboração
    
    Fique à frente de phishing, BEC, ransomware e golpes com segurança de e-mail alimentada por IA, interrompendo ameaças com rapidez, facilidade e precisão.
    Saiba mais
- Inteligência de Ameaças
  - Trend Vision One™
    
    Inteligência de Ameaças
    
    Veja ameaças chegando de longe
    Saiba mais
- Identity Security
  - Trend Vision One™
    
    Identity Security
    
    Segurança de identidade completa, desde o gerenciamento da postura da identidade até a detecção e resposta
    Saiba mais
- Data Security
  - Trend Vision One™
    
    Data Security
    
    Evite vazamentos de dados com visibilidade centralizada, priorização inteligente de riscos e recursos de resposta rápida.
    Saiba mais
- Segurança em IA
  - Segurança em IA
    - IA na Trend
      
      Descubra soluções de IA projetadas para proteger sua empresa, apoiar o Compliance e possibilitar a inovação responsável.
      Saiba mais
  - Segurança para Stacks de IA
    - Segurança para Pilhas de IA
      
      Proteja sua jornada de IA e elimine vulnerabilidades antes que ataques aconteçam — para que você possa inovar com confiança.
      Saiba mais
  - Ecossistema de IA
    - Ecossistema de IA
      
      Moldando o futuro da cibersegurança por meio da inovação em IA, liderança regulatória e padrões confiáveis.
      Saiba mais
  - Segurança IA Proativa
    - Segurança IA Proativa
      
      Fortaleça suas defesas com a primeira IA proativa de cibersegurança do setor — sem pontos cegos, sem surpresas.
      Segurança IA Proativa
  - Trend Cybertron
    - Trend Cybertron
      
      A primeira IA proativa de Cibersegurança do setor
      Trend Cybertron
  - Trend Companion
    - Trend Companion
      
      Aproveite uma amplitude e profundidade incomparáveis de dados, análise de alta qualidade, curadoria e rotulagem para revelar insights significativos e acionáveis.
      Saiba mais
  - AI Factory
    - AI Factory
      
      Acelere a implantação de IA empresarial com segurança, conformidade e confiança
      Saiba mais
  - Digital Twin?
    - Digital Twin?
      
      Digital twins de alta fidelidade permitem planejamento preditivo, investimentos estratégicos e otimização da resiliência.
      Saiba mais
- Todos os Produtos, Serviços e Testes
  - Todos os Produtos, Serviços e Testes
    Saiba mais
Soluções
- Por setor
  - Por setor
    - Por setor
      Saiba mais
  - Área da Saúde
    - Área da Saúde
      
      Proteja os dados, dispositivos e redes do paciente enquanto atende aos regulamentos
      Saiba mais
  - Automotivo
    - Automotivo
      Saiba mais
  - Redes 5G
    - Redes 5G
      Saiba mais
- Seguro Cibernético
  - Seguro Cibernético
    - Seguro Cibernético
      
      Reforce sua segurança digital e privacidade com seguro cibernético
      Saiba mais
  - Insurability
    - Insurability
      
      Como a Trend pode ajudar a estabelecer a elegibilidade com vários recursos
      Saiba mais
  - Instrutores de Violação
    - Instrutores de Violação
      
      Minimize os riscos e maximize a segurança com um coach de violação
      Saiba mais
  - Pre-Breach Services
    - Serviços pré-violação
      
      Fortaleça suas defesas cibernéticas com serviços de avaliação pré-violação
      Saiba mais
  - Incidence Response Planning
    - Incidence Response Planning
      
      Supere as ameaças cibernéticas preparando-se com um Incidence Response Planning.
      Saiba mais
  - Invision Cyber
    - Invision Cyber
      
      Cobertura inteligente e baseada em riscos, personalizada exclusivamente para sua postura de segurança.
      Saiba mais
- Segurança Para Pequenas & Médias Empresas
  - Segurança Para Pequenas & Médias Empresas
    
    Interrompa as ameaças com soluções fáceis de usar, projetadas para o seu negócio em crescimento
    Saiba mais
Pesquisa
- Pesquisa
  - Pesquisa
    - Pesquisa
      Saiba mais
  - Pesquisas, notícias e perspectivas
    - Pesquisas, notícias e perspectivas
      Saiba mais
  - Pesquisas e análises
    - Pesquisas e análises
      Saiba mais
  - Notícias sobre Segurança
    - Notícias sobre Segurança
      Saiba mais
  - Zero Day Initiatives (ZDI)
    - Zero Day Initiatives (ZDI)
      Saiba mais
Serviços
- Nossos Serviços
  - Nossos Serviços
    - Nossos Serviços
      
      Amplie sua equipe com especialistas confiáveis em cibersegurança 24h por dia, 7 dias por semana, para prever, prevenir e gerenciar violações.
      Saiba mais
  - Pacotes de Serviços
    - Pacotes de Serviços
      
      Aumente as equipes de segurança com detecção, resposta e suporte gerenciados 24 horas por dia, 7 dias por semana, 365 dias por ano
      Saiba mais
  - Cyber Risk Advisory
    - Cyber Risk Advisory
      
      Avalie, compreenda e mitigue o risco cibernético com orientações estratégicas.
      Saiba mais
  - Managed Detection and Response (MDR)
    - Managed Detection and Response (MDR)
      
      Aumente sua equipe com detecção e resposta gerenciadas (MDR) em e-mails endpoints, servidores, workloads em nuvem e redes.
      Saiba mais
  - Resposta a Incidentes
    - Resposta a Incidentes
      - Resposta a Incidentes
        
        Nossos especialistas estão à disposição, quer você esteja enfrentando uma violação ou procurando melhorar proativamente seus planos de IR
        Saiba mais
    - Corretoras de Seguros e Escritórios de Advocacia
      - Corretoras de Seguros e Escritórios de Advocacia
        
        Impeça violações com a melhor tecnologia de resposta e deteção do mercado e reduza o tempo de inatividade e os custos de sinistros dos clientes
        Saiba mais
  - Red e Purple Teaming
    - Red e Purple Teaming
      
      Execute cenários de ataque do mundo real para desenvolver prontidão e fortalecer suas defesas
      Saiba mais
  - Serviços de Suporte
    - Serviços de Suporte
      Saiba mais
Parceiros
- Programa de Parceiros
  - Programa de Parceiros
    - Visão Geral do Programa de Parceiros
      
      Faça sua empresa crescer enquanto protege seus clientes com a melhor e mais completa segurança multicamadas do segmento
      Saiba mais
  - Competências dos Parceiros
    - Competências dos Parceiros
      
      Destaque-se para os clientes com recomendações de competência que demonstram sua experiência
      Saiba mais
  - Sucessos de Parceiros
    - Sucessos de Parceiros
      Saiba mais
  - Provedores de Serviço (xSP)
    - Provedores de Serviço (xSP)
      
      Ofereça serviços de segurança proativos a partir de uma plataforma de segurança única e centrada no parceiro, construída para MSPs, MSSPs e equipes DFIR.
      Saiba mais
- Parceiros da Alianças
  - Parceiros da Alianças
    - Parceiros da Alianças
      
      Trabalhamos com os melhores para você otimizar seu desempenho e valor
      Saiba mais
  - Parceiros da Alianças de Tecnologia
    - Parceiros da Alianças de Tecnologia
      Saiba mais
  - Encontre Parceiros de Alianças
    - Encontre Parceiros de Alianças
      Saiba mais
- Trend Vision One Marketplace
  - Trend Vision One™
    
    Marketplace
    
    Confira as soluções de parceiros aprovadas pela Trend para nossa plataforma líder.
    Saiba mais
- Recursos para Parceiros
  - Recursos para Parceiros
    - Recursos para Parceiros
      
      Descubra recursos projetados para acelerar o crescimento do seu negócio e aprimorar suas capacidades como parceiro da Trend Micro
      Saiba mais
  - Login do Portal do Parceiro
    - Login do Portal do Parceiro
      Login
  - Trend Campus
    - Trend Campus
      
      Acelere seu aprendizado com o Trend Campus, uma plataforma educacional fácil de usar que oferece orientação técnica personalizada
      Saiba mais
  - Co-venda
    - Co-venda
      
      Acesse serviços colaborativos projetados para ajudar você a mostrar o valor do Trend Vision One™ e expandir seus negócios
      Saiba mais
  - Seja um parceiro
    - Seja um Parceiro
      Saiba mais
  - Distribuidores
    - Distribuidores
      Saiba mais
- Encontre Parceiros
  - Encontre Parceiros
    
    Localize um parceiro que ofereça as soluções da Trend Micro
    Saiba mais
Empresa
- Por que a Trend Micro?
  - Por que a Trend Micro?
    - Por que a Trend Micro?
      Saiba mais
  - Reconhecimento do mercado
    - Reconhecimento do mercado
      Saiba mais
  - Alianças estratégicas
    - Alianças estratégicas
      Saiba mais
- Histórias de Clientes
  - Histórias de Clientes
    - Casos de Sucesso de Clientes
      
      Histórias reais e estudos de caso de como clientes globais usam o Trend para prever, prevenir, detectar e responder a ameaças.
      Saiba mais
  - Impacto Empresarial ESG
    - Impacto Empresarial ESG
      
      Veja como a resiliência cibernética levou a um impacto mensurável, defesa mais inteligente e desempenho sustentado.
      Saiba mais
  - Voz do Cliente
    - Voz do Cliente
      
      Ouça diretamente dos nossos usuários. As percepções deles moldam nossas soluções e impulsionam a melhoria contínua.
      Saiba mais
  - A Conexão Humana
    - A Conexão Humana
      
      Conheça as pessoas por trás da proteção — nossa equipe, clientes e o bem-estar digital aprimorado.
      Saiba mais
- Compare com a Trend Micro
  - Compare com a Trend Micro
    - Compare com a Trend Micro
      
      Veja como a Trend supera a concorrência
      Vamos lá
  - versus. Crowdstrike
    - Trend Micro versus Crowdstrike
      
      A Crowdstrike fornece cibersegurança eficaz por meio de sua plataforma nativa em nuvem, mas seus preços podem esticar os orçamentos, especialmente para organizações que buscam escalabilidade econômica por meio de uma verdadeira plataforma única
      Vamos lá
  - vs. Microsoft
    - Trend Micro vs. Microsoft
      
      A Microsoft oferece uma camada fundamental de proteção, mas muitas vezes exige soluções complementares para resolver totalmente os problemas de segurança dos clientes
      Vamos lá
  - vs. Palo Alto Networks
    - Trend Micro vs. Palo Alto Networks
      
      Palo Alto oferece soluções avançadas de cibersegurança, mas navegar em seu conjunto abrangente pode ser complexo e desbloquear todos os recursos requer um investimento significativo
      Vamos lá
  - vs. SentinelOne
    - Trend Micro vs. SentinelOne
      Vamos lá
- Sobre Nós
  - Sobre Nós
    - Sobre Nós
      Saiba mais
  - Trust Center
    - Trust Center
      Saiba mais
  - História
    - História
      Saiba mais
  - Diversidade, Equidade e Inclusão
    - Diversidade, Equidade e Inclusão
      Saiba mais
  - Responsabilidade social corporativa
    - Responsabilidade social corporativa
      Saiba mais
  - Liderança
    - Liderança
      Saiba mais
  - Especialistas em segurança
    - Especialistas em segurança
      Saiba mais
  - Educação em segurança na internet e cibersegurança
    - Educação em segurança na internet e cibersegurança
      Saiba mais
  - Jurídico
    - Jurídico
      Saiba mais
  - Investidores
    - Investidores
      Saiba mais
  - Parceria com a Fórmula 1
    - Parceria com a Fórmula 1
      
      Parceiro oficial da equipe McLaren de Fórmula 1
      Saiba mais
- Connect With Us
  - Connect With Us
    - Conecte-se Conosco
      Saiba mais
  - Imprensa
    - Imprensa
      Saiba mais
  - Eventos
    - Eventos
      Saiba mais
  - Carreiras
    - Carreiras
      Saiba mais
  - Webinars
    - Webinars
      Saiba mais

Procurando soluções para casa?

Sob ataque?

Suporte

Recursos

Fazer login

arrow_back

search close

O que é o CVSS (Common Vulnerability Scoring System)?

Fernando Cardoso

- Última atualização 05/02/2026

O CVSS (Common Vulnerability Scoring System) é um padrão internacional para medir a gravidade de vulnerabilidades de segurança em software e sistemas.

Saiba mais

Índice

keyboard_arrow_down

O CVSS usa critérios neutros em relação a fornecedores e uma metodologia padronizada de pontuação para expressar a gravidade das vulnerabilidades de forma consistente e quantitativa.

Ao depender de métricas objetivas em vez de interpretações específicas de fornecedores, o CVSS permite que as organizações comparem vulnerabilidades entre produtos, ambientes e setores usando uma linguagem comum.

Qual é o objetivo do CVSS?

O objetivo do CVSS é ajudar as organizações a avaliar, comparar e priorizar vulnerabilidades de forma consistente com base na gravidade. As pontuações do CVSS fornecem uma entrada estruturada para o gerenciamento de vulnerabilidades e decisões de remediação baseadas em risco.

Cada vulnerabilidade recebe uma pontuação numérica que varia de 0.0 a 10.0 , que também é mapeada para níveis qualitativos de gravidade.

Baixo
Médio
Alto
Crítico

Devido à sua abordagem padronizada, o CVSS é amplamente utilizado por equipes de segurança, fornecedores, equipes de resposta a incidentes e bases de dados de vulnerabilidades como referência principal para priorização de remediação.

Quem mantém o CVSS e como ele evoluiu?

O CVSS é mantido pelo CVSS Special Interest Group (CVSS-SIG) sob o FIRST (Forum of Incident Response and Security Teams). O FIRST é uma organização internacional de Cibersegurança focada em melhorar a resposta a incidentes e a coordenação de vulnerabilidades em todo o mundo.

Desde sua introdução, o CVSS passou por várias revisões para refletir mudanças na tecnologia e nos cenários de ameaças. A atualização principal mais recente foi anunciada em julho de 2023, com o CVSS v4.0 oficialmente lançado em novembro de 2023, marcando uma evolução significativa na forma como a gravidade das vulnerabilidades é avaliada.

O FIRST descreve o CVSS como um framework projetado para fornecer uma abordagem padronizada para avaliar a gravidade das vulnerabilidades e ajudar as organizações a priorizar esforços de resposta.
FIRST (Forum of Incident Response and Security Teams)

O que é o CVSS v4.0 e por que ele é importante?

O CVSS v4.0 é a versão principal mais recente do framework CVSS, projetada para lidar com limitações estruturais das versões anteriores. Ele melhora a precisão da pontuação, reduz ambiguidades e expande a aplicabilidade além dos ambientes tradicionais de TI.

De forma mais notável, o CVSS v4.0 introduz separação mais clara de métricas, maior granularidade de pontuação e suporte explícito para Tecnologia Operacional (TO), Sistemas de Controle Industrial (ICS) e ambientes de IoT, refletindo como as organizações modernas realmente operam.

Quais grupos de métricas compõem o CVSS v4.0?

O CVSS v4.0 é composto por quatro grupos de métricas que avaliam a gravidade das vulnerabilidades sob diferentes perspectivas. Esses grupos podem ser combinados para calcular pontuações alinhadas a casos de uso específicos.

Os quatro grupos de métricas são:

Métricas Base – Medem a gravidade intrínseca de uma vulnerabilidade
Métricas de Ameaça – Refletem atividade de exploração no mundo real
Métricas Ambientais – Personalizam a gravidade com base no contexto organizacional
Métricas Suplementares – Fornecem contexto adicional relacionado à resposta

Cada grupo atende a um propósito distinto dentro dos workflows de avaliação e resposta a vulnerabilidades.

O que são as Métricas Base do CVSS?

As Métricas Base medem a gravidade inerente de uma vulnerabilidade, independentemente de condições externas. Elas avaliam tanto a dificuldade de exploração de uma vulnerabilidade quanto o impacto potencial caso a exploração ocorra.

As Métricas Base normalmente são avaliadas pelo fornecedor do produto e, uma vez definidas, permanecem estáveis ao longo do tempo. No CVSS v4.0, as Métricas Base foram refinadas para melhorar clareza e granularidade, permitindo pontuações de gravidade mais precisas.

O que são as Métricas de Ameaça do CVSS?

As Métricas de Ameaça avaliam quão ativamente uma vulnerabilidade está sendo explorada em condições do mundo real. Este grupo de métricas se concentra em se existe código de exploração e se a exploração foi observada na prática.

Como a atividade de ameaças muda ao longo do tempo, as Métricas de Ameaça são inerentemente dinâmicas e geralmente são avaliadas pelos consumidores de vulnerabilidades usando inteligência de ameaças e contexto operacional.

As principais considerações incluem:

Disponibilidade de código de exploit
Evidência de exploração ativa ou disseminada

O que são as Métricas Ambientais do CVSS?

As Métricas Ambientais ajustam a gravidade da vulnerabilidade ao ambiente específico de uma organização. Elas consideram o quão crítico o sistema afetado é para confidencialidade, integridade e disponibilidade dentro de uma determinada organização.

Como resultado, as pontuações das Métricas Ambientais podem variar significativamente entre organizações, dependendo do papel do sistema, impacto nos negócios e restrições operacionais.

O que são as Métricas Suplementares do CVSS?

As Métricas Suplementares fornecem informações contextuais adicionais para apoiar decisões de resposta a vulnerabilidades. Embora não influenciem os cálculos de pontuação do CVSS, elas oferecem insights valiosos para o planejamento de remediação.

Exemplos de fatores capturados pelas Métricas Suplementares incluem:

Nível de automação de ataque
Complexidade de recuperação
Esforço necessário para restaurar sistemas afetados

Essas métricas ajudam as organizações a avançar da avaliação de gravidade para o planejamento prático de resposta.

Quais tipos de pontuações do CVSS existem no CVSS v4.0?

O CVSS v4.0 oferece suporte a vários tipos de pontuação com base em diferentes combinações de grupos de métricas. Isso permite que as organizações avaliem a gravidade das vulnerabilidades a partir de perspectivas base, ambiental e de ameaça em tempo real.

Os principais tipos de pontuação do CVSS incluem:

CVSS-B – Pontuação Base apenas
CVSS-BE – Base + Ambiental
CVSS-BT – Base + Ameaça
CVSS-BTE – Base + Ameaça + Ambiental

Por exemplo, organizações que avaliam a gravidade de vulnerabilidades em seu próprio ambiente normalmente usam CVSS-BE, enquanto aquelas que incorporam inteligência ativa de ameaças usam CVSS-BTE

O que mudou no CVSS v4.0 em comparação ao CVSS v3.1?

O CVSS v4.0 foi desenvolvido para lidar com desafios bem documentados do CVSS v3.1. Com o tempo, o CVSS v3.1 tornou-se cada vez mais desalinhado com sistemas modernos e condições de ameaça.

O FIRST identificou vários problemas-chave, incluindo:

Dependência excessiva de Pontuações Base para análise de risco
Influência limitada das Métricas Temporais agora Métricas de Ameaça
Representação insuficiente de ameaças em tempo real
Aplicabilidade limitada a TO, ICS e sistemas críticos para segurança
Agrupamento excessivo de pontuações nas faixas Alto e Crítico
Granularidade limitada de pontuação
Metodologia de pontuação complexa e pouco intuitiva

Desafios do CVSS v3.1 conforme publicados pelo FIRST, resumidos e traduzidos para maior clareza.

Como essas mudanças melhoram o CVSS v4.0?

As atualizações introduzidas no CVSS v4.0 tornam a pontuação de vulnerabilidades mais precisa, acionável e relevante. Cada mudança aborda diretamente uma limitação identificada em versões anteriores.

As principais melhorias incluem:

Maior granularidade nas Métricas Base
Remoção de lógica ambígua de pontuação downstream
Métricas de Ameaça simplificadas com maior influência na pontuação
Introdução de Métricas Suplementares para suporte à resposta
Aplicabilidade expandida a ambientes de TO, ICS e IoT

O FIRST observa que o CVSS v4.0 foi projetado para “refletir melhor condições reais de exploração e arquiteturas modernas de sistemas.”

Por que a cobertura expandida de TO é a mudança mais significativa no CVSS v4.0?

O aprimoramento mais significativo no CVSS v4.0 é a inclusão explícita de ambientes de Tecnologia Operacional (TO). Esta é a primeira versão do CVSS a considerar formalmente vulnerabilidades que podem ter implicações de segurança física.

À medida que a transformação digital continua a borrar a linha entre TI e TO, vulnerabilidades em sistemas industriais podem impactar diretamente produção, segurança e vida humana. O CVSS v4.0 reflete essa realidade ao incorporar métricas sensíveis à segurança e considerações de impacto downstream.

Como as organizações devem se preparar para usar o CVSS v4.0 de forma eficaz?

Para usar o CVSS v4.0 de forma eficaz, as organizações devem adaptar práticas de gerenciamento de vulnerabilidades para considerar realidades de TI e TO. Embora o CVSS v4.0 melhore a visibilidade, desafios de resposta permanecem especialmente em ambientes de TO.

As principais diferenças incluem:

Sistemas de TO priorizam disponibilidade e segurança em vez de aplicação de patches
Ambientes de implantação frequentemente são fechados e gerenciados por fornecedores
A aplicação de patches pode ser inviável ou explicitamente evitada

Sem pessoal que compreenda os contextos de TI e TO, as organizações podem ter dificuldade em agir apenas com base em insights de vulnerabilidades

Por que a Visibilidade de Ativos de TO e a Prevenção de Exploits são Críticas?

A visibilidade de ativos de TO e a prevenção de exploits são essenciais quando a aplicação tradicional de patches não é prática. As organizações devem primeiro entender quais ativos de TO possuem antes de poderem gerenciar as vulnerabilidades associadas.

A redução eficaz do risco de vulnerabilidades de TO normalmente envolve:

Descoberta abrangente de ativos de TO
Monitoramento contínuo do tráfego de rede
Sensores específicos de TO e ferramentas de visibilidade
Virtual patching por meio de sistemas de prevenção de intrusão (IPS) focados em TO

Esses controles ajudam a evitar exploração e reduzir riscos mesmo quando as vulnerabilidades não podem ser remediadas por meio de patches.

Onde posso obter ajuda com CVSS e priorização de risco de vulnerabilidades?

O Trend Vision One™ oferece uma solução de Cyber Risk Exposure Management (CREM) que vai além da pontuação básica de CVSS para ajudar as organizações a entender, priorizar e reduzir riscos em toda a sua Superfície de Ataque. Ele combina pontuação de gravidade de vulnerabilidades com inteligência de ameaças em tempo real e análise contextual de risco, permitindo que as equipes de segurança tomem decisões mais rápidas e inteligentes.

Essa abordagem integra recursos-chave como Gerenciamento de Superfície de Ataque, Gerenciamento de Vulnerabilidades e Avaliação de Postura de Segurança em ambientes de TI, TO, nuvem e híbridos. Não se trata apenas de identificar vulnerabilidades é sobre transformar insights em ações práticas que fortalecem a resiliência e minimizam a exposição.

Com o Cyber Risk Exposure Management, você pode:

Obter visibilidade sobre seus ativos e vulnerabilidades mais críticos
Priorizar a remediação com base em risco do mundo real, não apenas em pontuações teóricas
Reduzir a probabilidade de exploração por meio de estratégias proativas de redução de risco

Saiba mais

Fernando Cardoso

Vice-Presidente de Gerenciamento de Produto

Fernando Cardoso é o Vice-Presidente de Gerenciamento de Produto na Trend Micro, com foco no mundo em constante evolução de IA e cloud. Sua carreira começou como Network and Sales Engineer, onde aprimorou suas habilidades em datacenters, cloud, DevOps e Cibersegurança — áreas que continuam sendo sua paixão.

Perguntas Frequentes (FAQs)

Expand all Hide all

O que significa CVSS em Cibersegurança?

add

CVSS significa Common Vulnerability Scoring System. É um framework padronizado usado para medir a gravidade de vulnerabilidades de segurança em software e sistemas. O CVSS fornece pontuações numéricas que ajudam as organizações a comparar vulnerabilidades de forma consistente e priorizar esforços de remediação.

O que é uma pontuação CVSS?

add

Uma pontuação CVSS é um valor numérico que representa a gravidade de uma vulnerabilidade. As pontuações variam de 0.0 a 10.0, com pontuações mais altas indicando maior risco. Essas pontuações são comumente categorizadas como Baixo, Médio, Alto ou Crítico.

Quem usa pontuações CVSS?

add

As pontuações CVSS são usadas por equipes de segurança, fornecedores e bases de dados de vulnerabilidades em todo o mundo. As organizações confiam nelas para priorizar aplicação de patches, orientar resposta a incidentes e apoiar decisões de gerenciamento de vulnerabilidades baseadas em risco em ambientes diversos.

Qual é a diferença entre CVSS v3.1 e CVSS v4.0?

add

O CVSS v4.0 melhora a precisão e a aplicabilidade em comparação ao CVSS v3.1. Ele introduz maior granularidade de pontuação, simplifica a avaliação de ameaças e expande a cobertura para ambientes de TO, ICS e IoT, ao mesmo tempo em que reduz ambiguidades de pontuação.

Quais são os grupos de métricas no CVSS v4.0?

add

O CVSS v4.0 inclui quatro grupos de métricas que avaliam a gravidade das vulnerabilidades sob diferentes perspectivas. São elas Métricas Base, Métricas de Ameaça, Métricas Ambientais e Métricas Suplementares, que juntas oferecem uma pontuação de gravidade mais contextualizada.