CISA estabelece prazo de até três dias para agências federais corrigirem falhas críticas

15 de junho de 2026

Aprofundamento CEVIU

Aprofundamento

A CISA não está só apertando prazos: está trocando um modelo de priorização baseado em pontuação abstrata (CVSS) por uma triagem operacional realista, o SSVC. A nova BOD 26-04 exige que agências federais civis classifiquem cada vulnerabilidade com base em quatro fatores concretos: se o ativo está exposto à internet, se a falha já foi explorada no mundo real (KEV), se o ataque pode ser totalmente automatizado e qual o impacto pós-exploração (ex.: execução remota de código vs. controle total do sistema). Só as combinações mais perigosas, como uma vulnerabilidade KEV em um servidor web público, automatizável e que dá root, caem na janela de três dias. O resto segue prazos escalonados: 14, 60 dias ou até o próximo ciclo de atualização planejado.

O grande salto técnico é a exigência explícita de triagem forense antes do patch em casos críticos. Aplicar um update não remove um invasor, e a diretiva reconhece isso como regra, não exceção. Isso muda o fluxo operacional: agora, 'corrigir' significa primeiro investigar, depois remediar, depois validar. É menos sobre velocidade bruta e mais sobre precisão tática, especialmente relevante para equipes de TI que operam com orçamentos apertados e múltiplas camadas de legado.

Por que isso importa

Para empresas privadas que prestam serviço ao governo ou compartilham dados com agências federais, essa diretiva define o novo padrão mínimo de segurança operacional. Não é só compliance: é antecipação. Se sua arquitetura de nuvem ou seu sistema de gestão de vulnerabilidades ainda depende de CVSS sozinho, você já está fora da curva, e provavelmente fora de futuros contratos. A mudança também pressiona fornecedores de soluções de segurança a integrar SSVC e workflows de detecção pré-patch nativamente, não como feature opcional. E para CIOs brasileiros que gerenciam infraestruturas híbridas com componentes em nuvem pública, a lição é clara: priorizar por risco real, não por nota teórica, reduz custo operacional e aumenta resiliência sem exigir mais pessoal.

Perguntas frequentes

O que muda na prática para uma equipe de segurança que já usa CVSS?

Você precisa repensar sua fila de correção. Vulnerabilidades com CVSS 9.8 mas sem evidência de exploração (KEV) ou exposição externa podem sair da prioridade máxima. Já uma falha com CVSS 7.2, mas listada no catálogo KEV, acessível via internet e automatizável, entra na janela de três dias. O foco desloca-se do score para o cenário de ataque real.

Por que a CISA exige triagem forense antes do patch em casos críticos?

Porque patches não evictam invasores. Um atacante pode já ter implantado backdoors ou movido lateralmente antes da correção. A diretiva obriga a verificar comprometimento ativo, com logs, memory dumps ou análise de comportamento, antes de fechar a brecha. Ignorar isso transforma 'remediação' em mera formalidade.

Essa diretiva afeta empresas privadas no Brasil?

Diretamente, não. Indiretamente, sim, e com força. Fornecedores globais de software e infraestrutura já estão adaptando seus SLAs e relatórios de segurança para alinhar com SSVC e prazos de três dias. Empresas brasileiras que usam esses serviços ou participam de cadeias de suprimento do setor público devem esperar exigências equivalentes em contratos e auditorias.

Fontes

cisa.govfonte original

Avalie este artigo:

Categoria: CEVIU TI
Publicado: 15 de junho de 2026
Editoria: CEVIU TI