Pular para o conteúdo
Vulnerabilidades e Testes de Segurança

O que é varredura de vulnerabilidades?

Varredura de vulnerabilidades é o exame automatizado de sistemas, redes e aplicações que compara o que está instalado com uma base de falhas conhecidas (as CVEs) e devolve uma lista priorizada do que precisa de correção. É a forma de enxergar em escala, sem depender de olhar máquina por máquina, o que está exposto no seu ambiente. Funciona como um raio-X recorrente da sua superfície de ataque.

Zamak TechnologiesAtualizado em 12 de julho de 2026

Como a varredura de vulnerabilidades funciona

Um scanner de vulnerabilidades não invade nada; ele inspeciona. Consulta cada sistema, identifica versões e configurações, e cruza tudo com uma base atualizada de falhas conhecidas. O resultado é um retrato do que está aberto, pronto para virar prioridade de correção.

1

Inventário dos alvos

A varredura começa descobrindo o que existe na rede: endereços, serviços, portas abertas, versões de software. Sem esse mapa, os pontos cegos ficam de fora e viram justamente a brecha que ninguém viu.

2

Varredura e comparação

Cada ativo é comparado com uma base de milhares de falhas conhecidas (as CVEs). O scanner sinaliza onde a versão instalada, a configuração ou a porta aberta corresponde a uma vulnerabilidade catalogada.

3

Correlação e pontuação

Os achados recebem uma nota de gravidade (o padrão CVSS) e são agrupados. Aqui também entram os falsos positivos: nem todo alerta é real, e é por isso que a varredura pede um olhar humano depois.

4

Relatório e reteste

O resultado vira um relatório priorizado, com o que corrigir primeiro. Depois da correção, uma nova varredura confirma que a falha sumiu de verdade, fechando o ciclo.

Fonte: NIST (guia SP 800-115, de teste e avaliação de segurança) e o programa CVE, o catálogo público de vulnerabilidades.

Tipos de varredura de vulnerabilidades

  • Autenticada e não autenticada A não autenticada olha o sistema de fora, como um estranho. A autenticada entra com credenciais e enxerga o que só um usuário logado veria, encontrando muito mais. A autenticada é mais completa; ambas se complementam.
  • Interna e externa A externa varre o que está exposto à internet, a vitrine que o atacante vê primeiro. A interna varre a rede por dentro, revelando até onde alguém chegaria depois de entrar.
  • De rede Examina servidores, roteadores, firewalls e dispositivos em busca de serviços expostos, portas abertas e versões vulneráveis. É a varredura clássica de infraestrutura.
  • De aplicação web Foca em sites e sistemas próprios, procurando falhas no código, como injeção e sequestro de sessão, que uma varredura de rede não enxerga.
  • Baseada em agente Um agente leve instalado em cada dispositivo reporta as falhas de dentro, continuamente, sem depender de alcançar a máquina pela rede. Ideal para equipamentos móveis e ambientes distribuídos.

O que está em jogo para o negócio

48 mil+
novas vulnerabilidades por ano; acompanhar isso à mão é impossível, e a varredura é a única forma de escala (programa CVE / NVD)
20%
das violações começam pela exploração de uma vulnerabilidade, um salto de 34% em um ano (Verizon DBIR 2025)
32 dias
mediana para corrigir falhas de borda; o que não é varrido não entra nem nessa conta (Verizon DBIR 2025)

Com mais de 48 mil vulnerabilidades novas por ano (programa CVE / NVD), acompanhar o que está exposto a olho nu é simplesmente impossível. A varredura resolve a escala: em horas, examina todo o ambiente e devolve a lista do que precisa de atenção. Mas há um limite importante que separa a varredura de um teste completo. O scanner entrega dados brutos: aponta onde uma falha pode existir, não prova que ela é explorável de verdade, e às vezes acusa problemas que não são reais (os falsos positivos). Por isso a varredura é o primeiro passo, não o último. Ela mostra a superfície; confirmar o risco de fato exige validação humana, o que leva ao teste de invasão. Ainda assim, sem varredura contínua a empresa fica cega: a exploração de vulnerabilidades já responde por 20% das violações (Verizon DBIR 2025), e não dá para corrigir o que nunca se olhou.

Como tirar o máximo da varredura de vulnerabilidades

Ter um scanner não basta; o valor está em como ele é usado. Alguns cuidados fazem toda a diferença:

  1. Varra tudo, não só o perímetroServidores, estações, nuvem, dispositivos móveis. A falha costuma estar justo no ativo esquecido, aquele que ninguém lembrava que estava ligado.
  2. Prefira a varredura autenticadaEntrar com credenciais revela muito mais do que olhar de fora. A varredura não autenticada mostra a fachada; a autenticada mostra o interior.
  3. Torne a varredura contínuaUma varredura por ano deixa o ambiente sem visão quase o tempo todo. O ideal é recorrente, para acompanhar as falhas que surgem toda semana.
  4. Priorize por exploração realA lista bruta é longa demais para corrigir inteira. Cruze a gravidade (CVSS) com a chance de exploração (EPSS) e a lista de falhas em uso ativo (o catálogo KEV da CISA).
  5. Valide os achadosTrate o relatório como ponto de partida, não como verdade final. Confirme os principais achados, descarte falsos positivos e, para os críticos, use um teste de invasão para provar o risco.

Na prática

Um relatório de varredura com 500 alertas vermelhos não é um plano; é um susto. O valor da varredura não está no tamanho da lista, mas na resposta a uma pergunta: destes 500, quais um atacante realmente usaria amanhã? Priorizar essa resposta é o que separa varrer de proteger.

Como a Zamak usa a varredura a seu favor

A Zamak Technologies mantém a varredura de vulnerabilidades rodando de forma contínua no seu ambiente, com o apoio de uma plataforma de teste de vulnerabilidades e do monitoramento e gestão remota. Mas não para no relatório: prioriza os achados pelo risco real ao seu negócio, descarta os falsos positivos e acompanha a correção até o reteste, ao lado da sua equipe. A varredura vira o começo de um ciclo, não uma pilha de alertas. É parte da Cibersegurança gerenciada do Método Zamak, e você pode medir o seu ponto de partida com o diagnóstico de cibersegurança.

Perguntas frequentes sobre varredura de vulnerabilidades

O que é varredura de vulnerabilidades?
É um exame automatizado que percorre sistemas, redes e aplicações comparando o que está instalado com uma base de falhas conhecidas (as CVEs), e devolve uma lista priorizada do que precisa de correção. É a forma de ver em escala o que está exposto.
Qual a diferença entre varredura de vulnerabilidades e teste de invasão (pentest)?
A varredura é automática e ampla: aponta onde falhas podem existir, mas não as explora. O teste de invasão é conduzido por especialistas que exploram as falhas de verdade, provando o impacto real. A varredura mostra a superfície; o pentest mede a profundidade. As duas se completam.
Varredura autenticada ou não autenticada, qual usar?
As duas, com propósitos diferentes. A não autenticada mostra o que um estranho veria de fora. A autenticada entra com credenciais e encontra muito mais, porque enxerga o sistema por dentro. Programas maduros combinam as duas.
A varredura pode derrubar meus sistemas?
Quando bem configurada, o risco é baixo: a maioria das varreduras é leve e não intrusiva. Em ambientes sensíveis, usa-se a varredura autenticada e janelas de menor uso para reduzir qualquer impacto. O risco de não varrer é bem maior.
O scanner encontra todas as vulnerabilidades?
Não. Ele encontra as falhas conhecidas e catalogadas, e ainda gera falsos positivos e alguns falsos negativos. Por isso a varredura precisa de validação humana e, para os pontos críticos, de um teste de invasão que confirme o que é explorável de verdade.
Com que frequência devo varrer?
De forma contínua ou, no mínimo, mensal, além de uma nova varredura após cada correção importante. Como milhares de falhas surgem a cada mês, varrer uma vez por ano deixa quase todo o período sem visão.