Catálogo KEV da CISA muda a priorização de patches

A CISA deu um passo importante para transformar vulnerabilidade explorada em prioridade operacional. A agência publicou o catálogo Known Exploited Vulnerabilities, uma lista viva de CVEs com evidência de exploração no mundo real, e vinculou esse catálogo à Binding Operational Directive 22-01 para agências federais civis dos Estados Unidos.¹²³

O movimento ataca um problema conhecido em gestão de vulnerabilidades: o acúmulo de alertas. Organizações já recebem pontuações CVSS, boletins de fornecedores, resultados de scanners, relatórios de pentest e alertas de inteligência. O desafio não é descobrir que existem falhas. É decidir quais delas precisam sair da fila imediatamente porque adversários já as usam.

Exploração real pesa mais que pontuação abstrata

CVSS continua útil para medir severidade técnica, mas não responde sozinho à pergunta operacional. Uma falha crítica sem exploit ativo pode competir com uma falha média usada em campanhas reais. O catálogo KEV explicita esse critério: se há exploração conhecida, remediação clara e risco relevante para o ambiente federal, a vulnerabilidade entra na lista com prazo.

Isso muda a conversa entre segurança e infraestrutura. Em vez de discutir apenas números, a equipe pode apontar para uma obrigação objetiva: corrigir ou mitigar itens explorados até a data definida. Para ambientes privados, a diretiva não é obrigatória, mas cria uma referência prática de priorização que tende a influenciar auditorias, seguradoras, fornecedores e clientes.

A lista também reduz ambiguidade para executivos. "Temos 20 mil achados" é uma frase paralisante. "Temos 37 vulnerabilidades exploradas conhecidas com prazo definido" é uma unidade de trabalho que pode ser financiada, acompanhada e cobrada.

Patching vira processo de risco contínuo

BOD 22-01 exige que agências federais revisem procedimentos internos de gestão de vulnerabilidades e remediem itens do catálogo dentro dos prazos estabelecidos.² A mensagem é que patching não pode depender de ciclos trimestrais quando a exploração já está em andamento.

Na prática, isso pressiona inventário, exposição de ativos, gestão de exceções e validação de correção. Não basta aplicar um pacote e marcar a tarefa como encerrada. É preciso saber onde o software vulnerável existe, se a versão corrigida entrou em produção, se o controle compensatório é suficiente e se sistemas legados seguem justificadamente aceitos como risco.

O catálogo também favorece integração com ferramentas. Equipes podem cruzar KEV com scanners, CMDB, EDR, SBOM, inventário de cloud e dados de exposição externa. Quanto menos manual for esse cruzamento, menor a chance de um item explorado ficar escondido em um servidor pouco lembrado.

O efeito vai além do governo federal

A autoridade formal da diretiva se concentra em agências federais civis, mas a influência prática é mais ampla. Fornecedores que atendem governo precisam acompanhar esses prazos. Empresas que querem demonstrar maturidade podem usar KEV como camada de priorização. Times de segurança podem comparar sua fila interna com uma lista pública e defensável.

Há também um benefício de linguagem comum. Quando CISA, fornecedores, consultorias e clientes falam sobre o mesmo catálogo, a priorização deixa de ser uma disputa interna de opinião. Isso não elimina análise contextual, mas cria um ponto de partida forte.

O risco é transformar o catálogo em único filtro. Vulnerabilidades não listadas ainda podem ser críticas para um ambiente específico. Sistemas expostos, dados sensíveis, controles fracos e dependências de negócio continuam importando. KEV deve reduzir ruído, não substituir engenharia de risco.

Com o catálogo, a CISA sinaliza uma mudança madura: segurança não é vencer a planilha de severidade, é encurtar o tempo entre exploração pública e correção verificável. Para operações sobrecarregadas, essa diferença é decisiva.