Nova diretiva de correções
A CISA (Agência de Segurança Cibernética e de Infraestrutura dos EUA) publicou na quarta-feira (11) a Diretiva Operacional Vinculante BOD 26-04, que ordena agências federais a priorizar correções de vulnerabilidades com base em risco em vez de gravidade CVSS. A mudança reflete o cenário atual: o volume de falhas publicadas tornou o modelo de “corrigir tudo” insustentável, impulsionado por ferramentas de IA que aceleram tanto a pesquisa quanto a exploração de vulnerabilidades.
Os quatro critérios de risco
A BOD 26-04 estabelece quatro fatores para determinar a urgência de correção: se a vulnerabilidade afeta sistemas expostos à internet; se está no catálogo KEV (Known Exploited Vulnerabilities) da CISA; se pode ser explorada de forma automatizada; e se a exploração concede ao atacante controle parcial ou total do sistema.
Uma falha que concede controle total de um sistema exposto, está sendo explorada ativamente e pode ser atacada em escala representa o nível mais alto de urgência — exigindo correção em até três dias úteis, conforme já ocorreu em casos como o zero-day ativo no PeopleSoft. O framework substitui a abordagem anterior, baseada quase exclusivamente na pontuação CVSS, por uma avaliação contextual que considera a superfície de ataque real.
| Critério | Pergunta-chave |
|---|---|
| Exposição | O sistema é acessível pela internet? |
| Exploração ativa | A falha está no catálogo KEV da CISA? |
| Automação | Pode ser explorada em massa automaticamente? |
| Impacto | O atacante obtém controle parcial ou total? |
Perímetro versus núcleo
A diretiva concentra-se no perímetro da rede e não impõe a mesma urgência para vulnerabilidades no núcleo interno. A CISA reconheceu essa limitação: segundo a agência, atacantes não comprometem redes centrais primariamente por falhas em produtos, mas usam configurações exploráveis e credenciais válidas — a técnica conhecida como “living off the land” (LOTL). Para essas ameaças, a agência recomenda hardening de configurações, segmentação de rede e autenticação multifator (MFA) resistente a phishing.
Sinais além do BOD
Especialistas já recomendam complementar o framework com outros sinais. Thorsten Rosendahl, da Cisco Talos, sugere considerar o EPSS (Exploit Prediction Scoring System) — uma pontuação dinâmica que estima a probabilidade de exploração nos próximos 30 dias com base em sinais do mundo real. O NIST propôs recentemente a métrica LEV (Likely Exploited Vulnerabilities), que estima se uma falha já foi usada em ataques. A CISA afirmou que revisará a diretiva e atualizará suas orientações de forma contínua.
Para organizações fora do governo federal americano, a BOD 26-04 serve como referência prática: priorize falhas em sistemas expostos, monitore o catálogo KEV e integre métricas de probabilidade de exploração ao processo de correção, especialmente diante de ameaças como o zero-day que bypassou BitLocker no Windows.