Documentação

CVEsafe — Documentação

Tudo sobre o CVEsafe: como a plataforma é construída, como usá-la passo a passo e a explicação técnica de cada funcionalidade. Disponível também em inglês e espanhol.

Visão geral

O CVEsafe é uma plataforma de gestão de vulnerabilidades multi-tenant. Você informa um ativo (site, host, faixa de rede ou API); a plataforma descobre o resto da superfície, roda as engines certas, correlaciona cada achado com seu CVE e contexto de exploração (EPSS/KEV), prioriza o que realmente importa e leva a correção para o seu fluxo de trabalho (ServiceNow, webhooks, relatórios).

Há dois modos de cobertura:

• Sem agente (externo): ativos públicos são escaneados a partir da infraestrutura do CVEsafe.
• Com agente (interno/LAN): um agente leve instalado na sua rede escaneia ativos internos que o scanner público não alcança, faz inventário da LAN e audita a postura das máquinas.

Arquitetura e camadas do software

O CVEsafe é composto pelas seguintes camadas:

O que cada camada faz

• Frontend — a aplicação web (painel, Command Center, alvos, scans, issues, postura, agentes, descoberta da LAN, integrações). Totalmente internacionalizada (PT/EN/ES).
• API (FastAPI) — autenticação (JWT + MFA TOTP), isolamento multi-tenant por organização, permissões (RBAC), cotas de scan por plano e todos os endpoints de negócio. Cada organização só enxerga os próprios dados.
• Fila + Workers (Celery/Redis) — scans rodam de forma assíncrona. As filas são separadas (scans, email, sms, maintenance) para que um acúmulo em uma não trave as outras. Há um worker dedicado a scans e um worker leve para tarefas auxiliares; é possível escalar horizontalmente adicionando nós de worker.
• Agendador (beat) — dispara scans agendados, enriquece as issues com EPSS/KEV periodicamente e sincroniza o estado do ServiceNow.
• Engines — ferramentas de mercado orquestradas: ZAP (daemon via API REST), Nmap, Nuclei, SSLyze e OpenVAS. Cada achado vira uma Finding.
• Banco (PostgreSQL) — armazena alvos, scans, findings, issues (de-duplicadas), inventário da LAN, integrações e configurações. Credenciais sensíveis (ServiceNow, auth de alvo) são guardadas criptografadas.
• Agentes — processos leves nas máquinas do cliente que reivindicam e executam scans de alvos internos, fazem descoberta/inventário da LAN, auditoria SNMP e auditoria de postura do próprio host. Só o resultado sobe — atualizam-se sozinhos.
• Integrações — abrem incidents no ServiceNow (com sincronização nos dois sentidos) e disparam webhooks assinados (HMAC) para qualquer endpoint.

Conceitos

Termo	Significado
Organização	Tenant. Tudo (alvos, scans, equipe, integrações) pertence a uma organização.
Alvo (Target)	Um ativo escaneável: site, host/IP, faixa CIDR ou API. Cada alvo nasce com uma declaração de propriedade.
Grupo	Agrupa alvos (por ambiente, time, app) com nota de risco agregada.
Scan	Uma execução de uma engine contra um alvo.
Finding	Uma observação de um scan.
Issue	A vulnerabilidade de-duplicada e com estado (o "que corrigir"), que agrupa findings ao longo do tempo.
Agente	Software instalado na rede do cliente para scans internos.

Primeiros passos

1. Crie a conta e verifique o e-mail

   Cadastre-se em app.cvesafe.com. A verificação de e-mail é obrigatória antes de rodar qualquer scan.

2. Crie um grupo

   Organize seus ativos por ambiente, time ou aplicação. Cada grupo acompanha uma nota de risco agregada.

3. Adicione um alvo

   Registre um site, host, CIDR ou API que você possui. Você confirma a propriedade do ativo (registro de consentimento para auditoria). Para um domínio, a plataforma mapeia os subdomínios automaticamente.

4. Rode um scan

   Escolha um preset (Rápido / Padrão / Profundo) ou selecione as engines manualmente e inicie. Para alvos internos, instale antes um agente (veja Agente local).

5. Acompanhe e corrija

   O resultado chega com nota de risco e um relatório por e-mail. As vulnerabilidades sobem para Issues, onde você prioriza, atribui responsável e acompanha até a correção.

Grupos e alvos

Tipos de alvo:

Tipo	Exemplo	Uso
website	https://example.com	Apps web (testes web, CVEs, TLS, subdomínios).
host	scanme.example.com	Um host/IP (portas/serviços, vulnerabilidades de rede).
cidr	10.0.0.0/24	Faixa de rede (portas/serviços, descoberta de LAN).
api	https://api.example.com	APIs (testes web, CVEs).

Um alvo pode ser externo (escaneado pela infra do CVEsafe) ou interno (marcado como interno e fixado a um agente, escaneado de dentro da sua rede).

Verificações (o que você escolhe)

Você não escolhe uma ferramenta — escolhe o que verificar. Cada verificação é entregue pela nossa suíte orquestrada (um detalhe de implementação). Selecione só o que precisa, parte do que precisa, ou tudo de uma vez.

Verificação	O que faz
Descoberta de portas e serviços (TCP)	Encontra portas TCP abertas e o serviço/versão de cada uma — sua superfície exposta. Variações: top 100, TCP completo, UDP.
Detecção de CVE por serviço/versão	Casa os serviços e versões detectados com CVEs conhecidos (com CVSS).
Testes de vulnerabilidade de rede (NVTs)	Dezenas de milhares de checagens de rede mapeadas para CVEs.
CVEs conhecidos & misconfigurations	Assinaturas para CVEs conhecidos, painéis admin expostos, credenciais padrão e fingerprint de tecnologia.
Análise passiva web	Cabeçalhos de segurança ausentes, cookies inseguros, vazamento de informação — sem atacar (seguro em produção).
Teste ativo web (SQLi, XSS, traversal)	Envia requisições controladas para confirmar injeção SQL, XSS, command injection e path traversal.
Validação de certificado TLS	Validade, emissor, hostname, autoassinado e problemas de cadeia.
Protocolos e cifras TLS fracos	TLS 1.0/1.1, RC4, Diffie-Hellman fraco e cripto obsoleta.
Heartbleed / ROBOT	Checagens específicas de falhas TLS conhecidas.
Mapeamento de subdomínios	Enumera a superfície externa via Certificate Transparency + DNS.

Cada verificação corresponde a um módulo da suíte; você combina as que quiser numa única execução. No agente, há ainda lan_discovery, host_audit e snmp_audit (veja as seções de Agente).

Scans autenticados

Para encontrar vulnerabilidades atrás de login, configure uma credencial no alvo. Em Alvos → botão "Auth" (sites e APIs), escolha o tipo:

• Bearer token — injeta Authorization: Bearer <token>.
• Cabeçalho personalizado — ex.: X-API-Key: <valor>.
• Cookie de sessão — injeta Cookie: ....
• Basic auth — usuário e senha (vira Authorization: Basic ...).

A credencial é guardada criptografada e, no scan, o motor de teste web a injeta nas requisições restrita ao host daquele alvo (segura mesmo com scans simultâneos). O agente também faz scans autenticados por SNMP nos dispositivos da LAN (veja Auditoria SNMP).

Agendamento

Qualquer alvo pode ter scans recorrentes (diário, semanal ou mensal), no horário que você definir. Os scans agendados rodam automaticamente e mantêm a cobertura sempre atual — útil para acompanhar a postura e disparar a verificação automática de correções (veja verify-on-rescan).

Agente local

O agente é um processo leve (Windows/Linux) que roda na sua rede e executa scans que o scanner público não alcança. Ele se registra, reivindica trabalhos da fila, executa localmente e envia apenas os resultados.

Instalação (Windows)

Em Agents, gere uma chave e rode no PowerShell como Administrador:

PS C:\> $env:CVESAFE_KEY="sat_..."; $env:CVESAFE_API="https://api.cvesafe.com/api/v1"; irm "https://app.cvesafe.com/agent/windows/install.ps1" | iex

O instalador registra um serviço em segundo plano (executa como SYSTEM), instala um ícone na bandeja e se mantém atualizado sozinho. Em Linux, use o comando install.sh mostrado na mesma tela.

O que o agente roda

• nmap (top 100 / full / UDP) — descoberta de portas e serviços. O agente auto-provisiona o nmap + Npcap no primeiro uso, se ainda não houver.
• nmap_vuln — detecção de CVE por serviço/versão.
• lan_discovery — inventário da rede (veja abaixo).
• snmp_audit — enumeração SNMP autenticada de um device.
• host_audit — auditoria de postura da própria máquina.
• nuclei e subdomain discovery — também rodam localmente.

Descoberta da LAN

Em Descoberta da LAN, selecione um agente e informe uma faixa (ex.: 192.168.0.0/24). O agente varre, identifica cada host vivo (SO, serviços, fabricante do MAC, descrição SNMP) e classifica o tipo de equipamento — roteador, switch, impressora, câmera IP, NAS, host Windows/Linux. Cada dispositivo é cadastrado como um ativo no inventário.

Enquanto a varredura roda, um painel de andamento mostra o estado em tempo real (na fila / aguardando agente / escaneando… / concluído com o nº de ativos) — a tela atualiza a cada poucos segundos.

O inventário é organizado por bloco de IP (sub-rede /24), com o tipo de cada equipamento. Para cada ativo você pode:

• Promover o host para um scan de CVE individual;
• Cadastrar SNMP e rodar a auditoria SNMP em profundidade.

E para varrer em lote: "Escanear CVEs na rede" roda a detecção de CVE em todo o range informado, e "Escanear CVEs do bloco" faz o mesmo só naquela sub-rede /24 — ambos via agente. Os resultados aparecem em Scans / Vulnerabilidades.

Auditoria SNMP

Para um ativo descoberto, cadastre a credencial SNMP (community, versão e porta) e clique em "Auditar SNMP". O agente usa essa credencial para enumerar o dispositivo em profundidade (interfaces, conexões, processos, software e serviços instalados) e ainda detecta community fraca/padrão (ex.: public), que é um achado de risco. A credencial trafega apenas pelo canal autenticado do agente.

Auditoria de host

Na tela Agents, o botão "Auditar host" roda uma auditoria de postura na máquina onde o agente está instalado (ele roda como SYSTEM, então enxerga a configuração protegida). Verifica, entre outros:

• Atualizações do Windows pendentes médio/alto
• SMBv1 habilitado (EternalBlue/WannaCry) alto
• RDP sem NLA (BlueKeep) alto
• Firewall, Defender/antivírus e assinaturas, BitLocker, UAC
• Autologon com senha em texto claro, contas locais fracas, Guest habilitado

Cada fraqueza vira uma finding e entra no fluxo de Issues, lado a lado com os resultados de rede.

Issues e ciclo de vida

Os findings de todos os scans de um alvo se consolidam em Issues de-duplicadas — o "o que corrigir". Cada issue tem status, responsável, histórico e contagem de ocorrências.

• De-duplicação por organização + alvo + engine + fingerprint (título normalizado + local).
• Verify-on-rescan — se um novo scan da mesma engine não vê mais a issue, ela é resolvida automaticamente. Se reaparecer, ela reabre.
• Estados: aberta, triada, em progresso, resolvida, falso-positivo (o falso-positivo é "pegajoso" e não reabre sozinho).

Priorização (EPSS / KEV)

Cada issue com CVE é enriquecida com:

• CVSS — severidade técnica.
• EPSS — probabilidade (0–100%) de exploração nos próximos 30 dias (FIRST).
• KEV — se o CVE está no catálogo de Known Exploited Vulnerabilities da CISA (explorado ativamente).

A combinação gera uma prioridade e uma nota A–F (0–10) por ativo e por grupo, para você focar nos poucos achados que realmente colocam você em risco — não em milhares de alertas.

Postura e relatórios

O painel de Postura mostra abertas por severidade/prioridade, KEV em aberto, MTTR (tempo médio de remediação) e a tendência ao longo do tempo. O Command Center dá a visão consolidada por engine/superfície.

Relatórios: ao fim de um lote de scans, um relatório consolidado é enviado por e-mail (pode ser compartilhado com terceiros) e há exportação CSV para o seu pipeline.

Receitas (como fazer)

Fluxos prontos para as tarefas mais comuns.

Escanear um site protegido por login

1. Adicione o site como alvo

   Em Alvos, adicione a URL (tipo website).

2. Configure a autenticação

   No alvo, clique em Auth e informe a credencial (bearer token, cabeçalho, cookie ou basic). Veja Scans autenticados.

3. Rode a verificação

   Em Rodar verificação, selecione "Análise passiva web" e/ou "Teste ativo web (SQLi, XSS)". A credencial é injetada automaticamente.

Inventariar a rede interna e escanear CVEs

1. Instale um agente

   Em Agents, gere a chave e instale o agente na rede (veja Agente local).

2. Rode a descoberta

   Em Descoberta da LAN, escolha o agente e a faixa (ex.: 192.168.0.0/24) e clique em Iniciar descoberta. Acompanhe o andamento ao vivo.

3. Escaneie CVEs

   Use "Escanear CVEs na rede" (range todo) ou "Escanear CVEs do bloco" por sub-rede. Para um device específico, cadastre SNMP e clique em Auditar SNMP.

Validar só o certificado TLS de um host

1. Adicione o host

   Tipo host ou website.

2. Selecione a verificação

   Em Rodar verificação, marque apenas "Validação de certificado TLS" (e, se quiser, "Protocolos e cifras TLS fracos"). Inicie.

Levar vulnerabilidades para o ServiceNow

1. Conecte o ServiceNow

   Em Integrações, informe a URL, o usuário (role itil) e a senha; habilite e teste a conexão.

2. Escolha o disparo

   Ative o push automático acima de um limite de severidade, ou use o botão "→ ServiceNow" por vulnerabilidade. Veja ServiceNow.

ServiceNow (ITSM)

Em Integrações, conecte sua instância ServiceNow (URL, usuário com a role itil, senha — guardada criptografada). A integração é bidirecional:

• Push — abra a vulnerabilidade como um incident (manual por issue, ou automático acima de um limite de severidade). A severidade vira impact/urgency; o número/link do incident fica na issue.
• Resolver aqui → fecha lá — ao resolver a issue no CVEsafe, o incident é movido para Resolved.
• Fechar lá → resolve aqui — uma tarefa periódica (a cada 15 min) lê o estado do incident; se ele foi resolvido/fechado, a issue é resolvida automaticamente no CVEsafe.

Webhooks

Webhooks de saída enviam um POST JSON quando uma vulnerabilidade é aberta ou resolvida — para Slack, Jira, Zendesk, n8n, SOAR ou automações próprias. Cada endpoint tem um filtro de evento e um limite de severidade.

O corpo é assinado com HMAC-SHA256 usando o segredo do endpoint, no cabeçalho X-CVEsafe-Signature (e o tipo em X-CVEsafe-Event) — verifique a assinatura no receptor:

# pseudo-código de verificação
sig = "sha256=" + hmac_sha256(secret, corpo_bruto)
if sig == header["X-CVEsafe-Signature"]: # válido

Exemplo de payload (issue.opened):

{
  "event": "issue.opened",
  "organization_id": 1,
  "issue": {
    "id": 123, "title": "...", "severity": "high",
    "cve_id": "CVE-2021-44228", "cvss_score": 10.0,
    "epss_score": 0.97, "kev": true,
    "priority": "urgent", "target": "10.0.0.50"
  }
}

Segurança e privacidade

• Isolamento multi-tenant — cada organização só acessa os próprios dados; toda consulta é escopada por organização.
• Credenciais criptografadas — senha do ServiceNow e credenciais de scan autenticado são guardadas com criptografia simétrica (Fernet); nunca retornam ao cliente.
• Autenticação — login por JWT + MFA (TOTP) e dispositivos confiáveis.
• Canal do agente — máquina-a-máquina por token de agente; credenciais sensíveis (ex.: SNMP) trafegam só por esse canal.
• Autorização para scan — você precisa ser dono do ativo ou ter autorização; registramos uma declaração de propriedade para cada alvo.
• Compromisso de confidencialidade — não acessamos, analisamos nem compartilhamos seus dados ou resultados de scan.

Planos e limites

Os planos (Free, Basic, Premium, Professional) definem cota mensal de scans, número de alvos e membros, retenção de dados e quais engines/recursos ficam disponíveis (ex.: agente interno e scans autenticados em planos superiores). Veja os detalhes em cvesafe.com/pricing.

FAQ

Vocês guardam meus dados ou resultados?

Não acessamos, analisamos nem armazenamos seus dados ou resultados além do necessário para mostrá-los na sua conta. Seus alvos e achados são só seus.

Agente ou sem agente?

Ativos públicos não precisam de instalação. Para ativos acessíveis só dentro da sua rede, instale o agente — ele reivindica e executa esses scans localmente e devolve os achados.

Scan não autorizado é permitido?

Não. Você precisa ser dono do ativo ou ter autorização por escrito; registramos a declaração de propriedade de cada alvo.

Posso integrar com minhas ferramentas?

Sim — ServiceNow (bidirecional) e webhooks assinados para qualquer endpoint (Slack, Jira, Zendesk, SOAR, automações).