VM · Vulnerability Management

O que você não
vê, não pode
Corrigir

Identifique, priorize e remedie vulnerabilidades antes que atacantes as explorem. Escaneamento contínuo, priorização por risco real e gestão de SLA — do descobrimento à correção validada.

Solicitar Escaneamento Como Funciona

alpinistas — vulnerability scanner

Scan ativo

CVEs Críticos

Requerem ação imediata

Ativos Escaneados

94%

247 de 263 ativos

SLA Compliance

89%

Remediações no prazo

CVEs Ativos — Prioridade Alta

Crítico CVE-2024-3400 PAN-OS GlobalProtect — RCE sem autenticação 10.0

Crítico CVE-2024-21887 Ivanti Connect Secure — Injeção de comando 9.8

Alto CVE-2024-1709 ConnectWise ScreenConnect — Auth bypass 8.4

Alto CVE-2024-0204 Fortra GoAnywhere MFT — Auth bypass 9.8

Remediação por Severidade — SLA Compliance

Crítico

50%

Alto

71%

Médio

87%

Baixo

96%

Sobre o Serviço

Visibilidade contínua sobre toda sua superfície de ataque

Vulnerabilidades não exploradas hoje serão vetores de ataque amanhã. Um programa de gestão de vulnerabilidades estruturado garante que nenhum ativo fique fora do radar — e que os riscos mais críticos sejam corrigidos antes de serem explorados.

CVSS v3.1 CIS Controls v8 EPSS

Escaneamento Autenticado e Não-Autenticado

Cobertura total da superfície de ataque interna e externa com scanners de alta precisão e baixo índice de falsos positivos

Priorização por Risco Real (CVSS + EPSS)

Combinamos score CVSS com probabilidade de exploração real (EPSS) e contexto de negócio para focar onde o impacto é maior

SLA de Remediação com Rastreabilidade

Tempos de correção definidos por criticidade, validação pós-patch e histórico auditável de todo o ciclo de vida da vulnerabilidade

O que Entregamos

Do scan à correção validada

Um programa completo de gestão de vulnerabilidades, desde o descobrimento contínuo até a validação técnica de que cada gap foi efetivamente fechado.

Escaneamento Contínuo

Varredura automatizada da infraestrutura interna e externa com scanners de alta precisão, identificando vulnerabilidades em ativos de rede, servidores, containers e aplicações.

Priorização por Risco Real

Score combinado de CVSS + EPSS + contexto de negócio e threat intelligence, concentrando os esforços de correção nas vulnerabilidades com maior impacto e maior probabilidade de exploração.

Gestão de Patches e SLA

Processo estruturado de aprovação, teste e aplicação de patches com SLAs definidos por criticidade: Crítico 24h, Alto 72h, Médio 30 dias — com rastreabilidade completa.

Rastreamento de Remediação

Acompanhamento end-to-end do ciclo de vida de cada vulnerabilidade — da descoberta à validação da correção, com integração opcional a ITSM como Jira e ServiceNow.

Relatórios e Métricas de Programa

Dashboards executivos, relatórios de tendência e KPIs — MTTR, taxa de abertura vs. fechamento, SLA compliance — para gestão estratégica e comunicação com o board.

Validação Pós-Correção

Re-escaneamento e confirmação técnica de que a vulnerabilidade foi efetivamente corrigida, sem regressões ou desvios — com evidências para auditoria e conformidade.

Por que Escolher

Não é sobre encontrar vulnerabilidades — é sobre fechar as certas

Encontrar milhares de CVEs sem contexto cria paralisia, não proteção. A Alpinistas transforma dados brutos de escaneamento em planos de ação priorizados e mensuráveis.

Priorização por exploitabilidade real (CVSS + EPSS)

Combinamos CVSS com o Exploit Prediction Scoring System para focar nas vulnerabilidades com maior probabilidade de serem ativamente exploradas agora.

Cobertura unificada de toda a superfície de ataque

Infraestrutura, cloud, containers, APIs, aplicações web, Active Directory e dispositivos OT/IoT — tudo em um único programa de visibilidade.

Integração com ITSM e pipelines DevSecOps

Abertura automática de tickets no Jira, ServiceNow ou Azure DevOps, com rastreamento de SLA, escalação configurável e integração CI/CD para shift-left.

VMaaS ou assessoria — você escolhe o modelo

Operamos o programa inteiro como serviço gerenciado (VMaaS) ou assessoramos e capacitamos sua equipe interna — adaptável ao seu modelo operacional.

10k+

CVEs gerenciadas mensalmente em programas ativos

72h

Tempo médio de remediação de vulnerabilidades críticas

99%

Taxa de fechamento de críticos dentro do SLA

Anos gerenciando programas de VM no mercado brasileiro

Como Funciona

Do discovery à correção validada

Um ciclo contínuo de quatro etapas que garante visibilidade completa, priorização inteligente e remediação rastreável de cada vulnerabilidade identificada.

Discovery & Inventário

Mapeamos todos os ativos da infraestrutura — rede, cloud, aplicações, endpoints — para garantir cobertura total e nenhum ativo fora do radar de escaneamento.

Escaneamento & Detecção

Scans autenticados e não-autenticados em frequência configurável identificam CVEs em toda a superfície de ataque, com correlação contra NVD e feeds de threat intel.

Priorização & Remediação

Triagem por risco real (CVSS + EPSS + contexto), geração de plano de correção por owner, abertura de tickets no ITSM e rastreamento de SLA até a aplicação do patch.

Validação & Melhoria Contínua

Re-scan de validação confirma a efetividade da correção. Relatórios mensais de tendência, KPIs e recomendações estratégicas alimentam a melhoria contínua do programa.

Cobertura e Metodologia

Nenhum ativo fora do radar

Nossa metodologia integra os principais frameworks e fontes de dados de vulnerabilidade para garantir cobertura técnica profunda e priorização baseada em evidências.

CVSS v3.1 + EPSS — Pontuação por risco real

Combinamos o Common Vulnerability Scoring System com o Exploit Prediction Scoring System para ir além do score bruto e priorizar pela probabilidade de exploração ativa.

CIS Controls v8 — Controle 7: Gestão de Vulnerabilidades

Implementação alinhada ao CIS Control 7, cobrindo discovery contínuo, priorização, remediação e medição — com evidências para auditorias de conformidade.

NVD + feeds de threat intel — Dados sempre atualizados

Integração com o National Vulnerability Database combinada com feeds comerciais e open source para contexto de exploração atualizado em tempo real.

SLA por criticidade — Remediação com prazo e dono

Crítico: 24h · Alto: 72h · Médio: 30 dias · Baixo: 90 dias. Cada vulnerabilidade tem owner definido, prazo rastreado e evidência de correção validada.

Infraestrutura de Rede

Switches, roteadores, firewalls, servidores físicos e virtuais — cobertura completa do ambiente on-premises.

Cloud & Containers

AWS, Azure, GCP, Kubernetes e Docker — escaneamento nativo em cloud com cobertura de imagens e configurações.

Aplicações Web & APIs

DAST integrado ao ciclo de desenvolvimento para aplicações e APIs expostas — identificação de OWASP Top 10 e além.

Active Directory

Análise de configurações inseguras, privilégios excessivos e vulnerabilidades em ambientes AD e Azure AD.

Dispositivos OT/IoT

Tecnologia operacional e dispositivos IoT com escaneamento passivo e ativo sem impacto à disponibilidade.

DevSecOps (SAST/SCA)

Integração no pipeline CI/CD para detecção de vulnerabilidades em código-fonte e dependências de software.

Perguntas Frequentes

Tire suas dúvidas sobre VM

Respostas diretas sobre gestão de vulnerabilidades e como construir um programa eficiente para sua empresa.

Falar com um Especialista

São complementares, não substitutos. O Pentest é pontual: um time simula ataques reais para descobrir como um atacante comprometeria seu ambiente — foco em exploração e cadeia de ataque. A Gestão de Vulnerabilidades é contínua: escaneia sistematicamente toda a infraestrutura em busca de vulnerabilidades conhecidas (CVEs), prioriza por risco e rastreia a remediação ao longo do tempo. O Pentest responde "o que pode ser comprometido?"; o VM responde "o que está vulnerável e foi corrigido?". Empresas maduras fazem os dois.

A frequência ideal depende do nível de maturidade e da criticidade do ambiente. Para ativos críticos expostos à internet, recomendamos escaneamento contínuo ou semanal — novas CVEs são publicadas diariamente e janelas de exploração se abrem em horas. Para ambientes internos, quinzenal ou mensal pode ser suficiente como ponto de partida. O CIS Controls v8 recomenda escaneamento automatizado contínuo para organizações maduras. Na prática, iniciamos clientes com escaneamento semanal de ativos externos e quinzenal de internos, evoluindo para contínuo conforme o programa amadurece.

A regra de ouro: priorize pela combinação de criticidade do ativo + severidade da vulnerabilidade + probabilidade de exploração ativa. Uma CVE 9.8 em um servidor interno sem exposição externa é menos urgente que uma CVE 7.5 em um servidor web público com exploits conhecidos em circulação. Nossa metodologia usa CVSS como baseline, enriquecido com EPSS (probabilidade de exploração nos próximos 30 dias), dados de KEV (Known Exploited Vulnerabilities da CISA) e contexto de negócio para criar uma fila de remediação que faz sentido para o risco real, não apenas para os números.

CVSS (Common Vulnerability Scoring System) é o padrão da indústria para pontuar a gravidade técnica de uma vulnerabilidade em escala de 0 a 10. O problema é que o CVSS mede a severidade teórica, não o risco real. Estudos mostram que menos de 5% das CVEs publicadas são ativamente exploradas em ataques. Se você priorizar apenas pelo CVSS, estará gastando energia em vulnerabilidades que ninguém está explorando enquanto deixa passar as que já têm exploit em uso. Por isso usamos o CVSS combinado com o EPSS, que estima a probabilidade de uma CVE específica ser explorada nos próximos 30 dias, e com o KEV da CISA, que lista vulnerabilidades com exploração confirmada em ambientes reais.

A ISO 27001 exige, no Anexo A (Controle 8.8), a gestão de vulnerabilidades técnicas — identificação, avaliação e tratamento em tempo hábil. Um programa de VM documentado, com SLAs, relatórios e evidências de remediação é evidência direta para auditores de certificação. Para a LGPD, o Art. 46 exige que as empresas adotem medidas técnicas adequadas para proteger dados pessoais. Vulnerabilidades não corrigidas em sistemas que processam dados pessoais representam falha de segurança que pode resultar em sanções da ANPD — especialmente se um incidente decorrer de uma vulnerabilidade que já era conhecida. O programa VM fornece o histórico de tratamento necessário para demonstrar diligência regulatória.

Conteúdos

Acesse Nossos Materiais

Guias práticos, templates e análises técnicas sobre gestão de vulnerabilidades para apoiar a evolução do seu programa de segurança.

E-book

Guia de Gestão de Vulnerabilidades para equipes de segurança brasileiras

Do discovery ao patch validado: metodologia completa para estruturar um programa de VM com SLAs, métricas e integração com seu ITSM.

Baixar grátis

Template

Política de gestão de vulnerabilidades com SLAs e fluxo de aprovação

Template pronto para adaptação: política completa com definição de SLAs por criticidade, processo de exceção, responsabilidades e métricas de programa.

Baixar grátis

Artigo

CVSS vs. EPSS: por que o score clássico não basta para priorizar vulnerabilidades

Análise técnica comparando CVSS, EPSS e KEV da CISA — com dados reais de como cada abordagem afeta a eficiência do programa de remediação.

Ler artigo

O que você nãovê, não podeCorrigir