A VM – vulnerability management é o pilar da otimização da postura defensiva de muitas operações de segurança. Scans periódicos identificam as CVEs (common vulnerabilities and exposures), geram um relatório baseado em CVSS e o time de TI inicia a sequência de correções.
Agora, se a vulnerability management (VM) é reconhecida como uma necessidade bem real de identificação e remediação de falhas para melhora da postura defensiva, com o tempo ela se tornou mais do que um recurso, um fardo para os times.
Porque, de acordo com o Gartner:
- Apenas 5% das vulnerabilidades são corrigidas por mês
- 60% das violações envolvem vulnerabilidades não remediadas.
Diagnóstico: o backlog de remediação de VM é ingerenciável por falta de visão de prioridade.
Essas red flags levaram a uma reelaboração e readequação do próprio processo de VM.
Resultado disso foi a introdução do Gartner do framework de CTEM – continuous threat exposure management. Mas não para substituir a VM, pois o seu conceito é legítimo, e sim para evoluí-la.
Por que o como o CTEM resolve o que a vulnerability management tradicional deixa passar?
As limitações da vulnerability management tradicional
O ciclo de VM envolve um scanner que identifica CVEs, que alimentam um relatório baseado em scores CVSS que segue para a esteira de correções do time de TI.
Até aí, tudo bem. Mas, se no mundo ideal, toda vulnerabilidade deve ser corrigida, no mundo real os recursos são escassos.
Operado a VM dessa forma, ela produz:
- Explosão de CVEs: milhares de vulnerabilidades podem ser reportadas anualmente, tornando a correção um gargalo, porque o CVSS sozinho não indica se uma falha é explorável no ambiente.
- Pontos cegos: incidência apenas em ativos conhecidos e gerenciados pela TI, raramente detectando shadow IT, configurações incorretas de nuvem ou exposições de identidade.
- Falta de validação: identificar uma vulnerabilidade não significa dizer que um atacante possa chegar a ela, e como o VM não testa os controles existentes os times ficam sem informação sobre as defesas já implantadas e como elas podem reduzir ou ampliar o risco de uma vulnerabilidade ser explorada.
O grande problema da VM tradicional é que ela opera de forma isolada. Ela olha para o software, mas ignora dois contextos fundamentais: prontidão para defesa e urgência de remediação para o negócio. Assim, as equipes de VM ficam sem visibilidade do que é crítico de remediação, o que resulta no gap de mobilização.
O que é CTEM – Continuous Threat Exposure Management?
O Continuous Threat Exposure Management é um conjunto de processos e práticas que permite às organizações avaliar de forma contínua e consistente a acessibilidade, exposição e explorabilidade de seus ativos digitais e físicos internos e externos, conhecidos ou não.
De acordo com o Gartner, empresas que adotam o CTEM serão 3 vezes menos propensas a sofrer invasões bem-sucedidas até o final de 2026.
Os 5 estágios do ciclo CTEM
- Scoping: antes de escanear, é preciso entender o negócio. Quais são as joias da coroa? O que, se for interrompido, interrompe a receita? O escopo no CTEM vai além do IP e abrange identidades e canais de mídias sociais.
- Discovery: identificação de todos os ativos, incluindo perfis em nuvem e vulnerabilidades de terceiros. Aqui, o foco é a superfície de ataque total.
- Prioritization: aqui entra o diferencial técnico. Em vez de focar apenas no CVSS 9.0 ou 10, o CTEM utiliza o EPSS – exploit prediction scoring system e o catálogo KEV – known exploited vulnerabilities da CISA. Prioriza-se o que os atacantes estão realmente usando agora.
- Validation: é aqui que o red team e o purple team brilham. Vários métodos de validação podem ser usados, como vulnerability scanning, penetration testing automatizado e manual, BAS e AEV para avaliar se uma vulnerabilidade é realmente um caminho de ataque viável.
- Mobilization: o objetivo não é enviar um relatório para o time de infraestrutura, e sim alinhar as expectativas e garantir que as correções (ou controles compensatórios) sejam implementadas com base no valor de negócio.
O que o CTEM tem de fundamentalmente diferente da VM
O CTEM se propõe a ir além do standard encontrar-priorizar-remediar porque inclui uma etapa de validação. Essa diferença entre VM e CTEM é fundamental.
A validação adiciona contexto à remediação ao evidenciar como um atacante pode explorar a vulnerabilidade se invadir controles específicos de segurança.
Assim, você tem tanto dados sobre a exposição quanto sobre sua real prontidão para a defesa, o que informa mais adequadamente a tomada de decisão sobre a priorização, alocação de recursos e métricas de sucesso.
Em suma, o CTEM dá as seguintes respostas:
- A severidade percebida já é mitigada, ao menos, com os controles existentes?
- O que deve ser corrigido agora ou pode esperar?
- Como construir resiliência cibernética através da mitigação?
Comparativo geral das diferenças entre VM e CTEM
| Característica | Vulnerability Management (VM) | Continuous Threat Exposure Management (CTEM) |
| Foco principal | CVEs e software patching | Vetores de ataque e exposição de ativos |
| Escopo | Se aplica a todos os ativos e sistemas gerenciados pela TI | É desenhado com foco em processos e funções críticas para o negócio |
| Frequência | Periódica/Agendada | Contínua e dinâmica |
| Validação de exposição | Não se aplica. | Demonstra a explorabilidade no mundo real com simulações de ataque que validam controles |
| Visão de Risco | Técnica (CVSS), mas pode incluir explorabilidade e impacto de negócio | Contexto da ameaça, impacto de negócio e nível de eficácia de controles já implantados |
| Mobilização | Backlog de patches e relatórios de compliance | Backlog de remediação colaborativo com unidades de negócio voltado ao fortalecimento das defesas |
Por que migrar do VM para o framework CTEM?
A superfície de ataque moderna não é mais inteiramente on-premise. Estamos falando de microsserviços e APIs expostas, cloud e cadeias de suprimentos de software. A VM tradicional não orienta a mobilização dos times em um ambiente extremamente complexo.
O CTEM, por outro lado, olha para o caminho de ataque. Ele não pergunta apenas “este servidor está vulnerável?”, mas sim “como um atacante chegaria do meu site público até o meu banco de dados de clientes?”.
Dados do Threat Exposure Validation Impact Report 2025, da Cymulate, confirmam em números vantagens como:
- 20% menos breaches em empresas que rodam processos CTEM ao menos uma vez por mês
- 47% de melhora no MTTD
- 71% dos líderes consideram a validação da exposição absolutamente essencial.
Como criar uma base para evoluir de VM para CTEM?
- Mapear o estado atual em VM: identificar ferramentas de segurança e processos para descobrir, priorizar e mitigar exposições
- Identificar gaps e oportunidades: o que impede ou dificulta a gestão contínua e a redução da exposição (pontos cegos no inventário de ativos, fontes de dados fragmentadas, falta de integração entre ferramentas etc.)
- Definir um escopo de adoção do CTEM: que esforços de evolução para CTEM vão produzir mais impacto? Desenhar um escopo pequeno alinhado às necessidades prementes – como proteção dos ativos críticos, atendimento a requisitos de compliance etc. – vai proporcionar quick wins e ROI.
- Incorporar a etapa de validação: ter um processo de priorização baseado em validação garante as evidências da existência e eficácia dos controles que vão mitigar ou evitar ameaças críticas.
- Expandir a validação contínua de ameaças: a validação contínua de quão bem seus controles de segurança previnem e detectam ataques é o ouro do CTEM.
O futuro da defesa na DataRunk
Vimos que o CTEM é uma evolução da VM, que reestrutura o programa com foco no fortalecimento da resiliência do negócio com base em uma validação constante das defesas.
Uma transição da VM para o CTEM, no entanto, não acontece da noite para o dia. É uma mudança cultural, processual e tecnológica. Por isso a importância de conhecer o estado atual, calcular os ganhos rápidos e caminhar com segurança para a transição completa, com retorno percebido para o negócio.
Para organizações que buscam ganhar maturidade em VM, a DataRunk pode é o parceiro ideal. Agende uma ligação com nosso time para conhecer a nossa proposta de valor no DataRunk CTEM.
