Avaliamos quatro ferramentas líderes de gerenciamento de vulnerabilidades em 11 dimensões. Os resultados revelam um mercado onde “gerenciamento de vulnerabilidades” significa quatro coisas diferentes para quatro fornecedores. Alguns constroem pipelines de detecção baseados em CVE; outros rastreiam a disponibilidade de patches como proxy de risco; um delega explicitamente a verificação a ferramentas de terceiros.
Resultados do benchmark de gerenciamento de vulnerabilidades
ManageEngine VMP | NinjaOne | Automox | Action1 | |
|---|---|---|---|---|
Acesso ao teste | Autoatendimento, minutos | Orientado por vendas, horas–dias | Autoatendimento, 2FA + e-mail corporativo | Autoatendimento, minutos |
Latência de detecção | 5–6 min (manual); 90 min auto; ~25h nova fonte CVE | Inventário: 35s; correlação CVE: ~24h | Sem detecção CVE | Windows ≤11 min; Linux: sem saída CVE |
Precisão de detecção | Fonte NVD, independente do catálogo de patches | Apenas catálogo de patches; fonte de teste CVE inativa | Apenas catálogo de patches; pontos cegos confirmados no LibreOffice + Firefox ESR | Windows: pipeline completo CVE; Linux: apenas delta de versão |
Patch & remediação | 106.973 catálogo; assistente com rollback + SSP | Estrutura de política presente; implantação não testada (requer Admin do Sistema) | Consciente do Patch Tuesday; importação CSV de Qualys/Tenable/Rapid7 | Implantação em 1 min; P2P LAN; orquestração de reinicialização; takeover do Windows |
Alertas & notificações | Sem canal de saída, SMTP ausente em todas as camadas | Sem categoria de Vulnerabilidade em Atividades; VM não gera alertas | Canais múltiplos alegados; não verificados no console | E-mail; apenas um destinatário; supressão silenciosa |
Pegada no endpoint | 26 MB ocioso (ativado sob demanda) | 116 MB no pico | 8,8 MB no pico: o mais leve do grupo | 51,7 MB estável; 0,013% média CPU |
Cobertura de tipos de dispositivos | Windows + Linux + macOS; sem móvel/virtual | Win/Lin/Mac + iOS/Android + Hyper-V/VMware + monitoramento de nuvem | Windows + Linux + macOS; sem móvel/virtual | Windows + Linux + macOS; sem móvel/virtual |
Principais descobertas
- Automox e NinjaOne marcam vulnerabilidades com base na disponibilidade do catálogo de patches, não na correspondência de versão CVE-NVD. Se nenhuma atualização existir no catálogo para uma versão de software, a ferramenta relata “Nenhum CVE Conhecido”, independentemente da quantidade real de CVEs. O LibreOffice 7.1.8.1 (100+ CVEs documentados) e o Firefox ESR 115.12.0 retornaram ambos “Nenhum CVE Conhecido” no Automox por esse motivo. O ManageEngine e o Action1 usam fontes CVE independentes e relatam vulnerabilidades independentemente da disponibilidade de um patch.
- Nenhuma ferramenta detecta software instalado fora do gerenciador de pacotes. Binários extraídos para
/opt/, compilados a partir do código-fonte ou distribuídos por fornecedores fora de seus repositórios oficiais são invisíveis às quatro ferramentas. O ManageEngine e o NinjaOne correspondem CVEs para pacotes listados no dpkg. O Action1 inventaria pacotes dpkg, mas não retorna dados CVE para eles no Linux. O Automox não possui detecção CVE independente. - O módulo VM do NinjaOne não gera alertas e não possui modelo de relatório. A estrutura de alertas lista 13 categorias, incluindo Gerenciamento de Patches do Windows, Bitdefender e CrowdStrike. Vulnerabilidade e CVE não estão entre elas. O catálogo de relatórios inclui um modelo de Conformidade de Patches de 10 seções, mas nada equivalente para gerenciamento de vulnerabilidades.
- O Automox requer um scanner externo para detectar CVEs. A página Remediações importa exportações CSV do Qualys, Tenable, Rapid7 ou CrowdStrike, depois corresponde esses CVEs ao seu catálogo de patches. Ele não realiza detecção independente.
- O ManageEngine e o Automox não possuem canal de alerta de saída. O ManageEngine não possui configuração SMTP em nenhuma camada: configurações globais, preferências por usuário ou entrega por relatório. A documentação da web do Automox lista suporte a Slack, Teams e webhook, mas isso não foi verificado no console durante os testes.
- O NinjaOne desinstalou o Automox dois minutos após instalá-lo na mesma VM do Windows. O log de Atividades registrou: “Software desinstalado: ‘Automox Agent’, Usuário: Sistema.” A desinstalação foi incompleta: o registro do serviço e os arquivos do programa permaneceram. No Linux, o ManageEngine, o Action1 e o NinjaOne rodaram lado a lado sem nenhum agente remover outro.
Métricas medidas
Latência de detecção: Um binário conhecido vulnerável foi instalado em um endpoint limpo, com o carimbo de tempo da conclusão da instalação registrado ao segundo. O cronômetro parou quando o CVE apareceu no painel de vulnerabilidades do produto.
Precisão de detecção: Software com histórico bem documentado de CVEs foi instalado no Windows e no Linux por três caminhos: MSI/EXE (rastreado por registro), dpkg (gerenciador de pacotes) e tarball do fornecedor extraído para /opt/ (fora do gerenciador de pacotes).
Pegada no endpoint: Todas as medições usaram pidstat no nível do processo para capturar RSS (tamanho do conjunto residente) por processo, excluindo cache de página no nível cgroup. As medições no Windows usaram Get-Counter (\Process(*)\Working Set - Private) amostradas a cada 5 segundos durante uma janela de 10 minutos. O mecanismo de varredura sob demanda do ManageEngine foi medido separadamente em ocioso e durante uma varredura ativa. Os quatro agentes Linux rodaram simultaneamente no mesmo host Ubuntu 24.04; as medições no Windows foram feitas em uma VM separada do Windows Server 2022.
Implantação de patch: O tempo de implantação foi medido desde a confirmação na interface até o produto relatar conclusão. O estado pós-implantação foi verificado diretamente no endpoint via histórico de atualizações do Windows para distinguir “binário escrito no disco” de “patch confirmado e ativo” — uma distinção importante quando uma reinicialização é necessária para concluir a instalação.
Acesso ao teste: Cada teste foi tentado primeiro com um endereço Gmail, depois com um endereço institucional onde o Gmail foi rejeitado. Os passos da página inicial até um painel utilizável com instaladores de agentes visíveis foram contados. O tempo desde o envio do formulário até o primeiro agente conectado foi registrado.
Entrega de alertas: Uma regra de alerta personalizada foi criada em cada produto e acionada por um evento de instalação de software. O tempo de entrega e a estrutura do conteúdo do e-mail foram registrados. Quando os alertas pararam de disparar, os logs no lado do agente foram inspecionados para identificar a causa.
Melhores Ferramentas de Gerenciamento de Vulnerabilidades
1. NinjaOne Gerenciamento de Vulnerabilidades
NinjaOne é uma plataforma UEM/RMM que adicionou um módulo VM em março de 2026. Seu gerenciamento de patches é maduro; a camada de detecção de vulnerabilidades não é.
Acesso ao teste: O NinjaOne é orientado por vendas. Após enviar o formulário de teste, a resposta foi “Entraremos em contato em breve.” O acesso veio como um Técnico adicionado a um tenant compartilhado existente (“Hiwell Test Org”), em vez de um ambiente isolado novo.
A tela de onboarding imediatamente mostrou: “Você não tem permissões para gerenciar Dispositivos. Entre em contato com seu Administrador do Sistema para obter ajuda.” A implantação de dispositivos estava indisponível sob a função de Técnico.
Cobertura de dispositivos: O menu Adicionar dispositivo cobre mais do que qualquer outra ferramenta testada: computadores (Windows, Linux, Mac), dispositivos móveis (Apple, Android), infraestrutura virtual (Hyper-V, VMware), monitores de nuvem (ping, verificação de porta, DNS, HTTP/HTTPS) e descoberta de rede. Nenhuma outra ferramenta nesta comparação chega perto.
Detalhe do dispositivo: Cada dispositivo tem gráficos horários ao vivo para CPU, memória, disco e rede, além de um inventário completo de hardware.
A seção Detalhes enumera as portas abertas diretamente: RDP na 3389, SMB na 445 e outras 10 estavam visíveis sem executar uma verificação separada.
O menu Ferramentas fornece Registro Remoto, Gerenciador de Tarefas, Navegador de Arquivos e Gerenciador de Serviços acessíveis pelo navegador, todos ao vivo. A área de trabalho remota completa requer um download separado de cliente nativo.
Detecção CVE: O inventário de software detectou o Firefox em 35 segundos. A aba Vulnerabilidades mostrou 0 resultados no marco de 5 minutos, no de 30 minutos e no de 3 horas, em ambos os dispositivos Windows e Linux e com todos os filtros limpos. O arquivo da lista CVE no lado do agente permaneceu com 44 bytes desde a instalação por mais de 5 horas, inalterado.
A correlação CVE no servidor nunca foi acionada durante o teste. Se isso reflete uma restrição do nível de teste ou um requisito de configuração não atendido não pôde ser determinado. A aba Vulnerabilidades foi preenchida com 85 CVEs aproximadamente 24 horas após a instalação do agente, com a coluna Fontes mostrando “NinjaOne Patching” — o próprio catálogo de patches da ferramenta, não o NVD.
Integração de alertas: A seção Atividades da política lista 13 categorias de alerta: Bitdefender, CrowdStrike, SentinelOne, Webroot, ImageManager, Backup, ShadowProtect, Software, System, User, Windows, Windows Patch Management e Raid. Não há categoria de Vulnerabilidade ou CVE. O módulo VM não produz alertas.
Relatórios: O catálogo de modelos de relatório inclui um modelo de Conformidade de Patches com 10 seções cobrindo patches falhados, patches pendentes, porcentagens de patches instalados e ativação de patch do SO. Não há modelo de Gerenciamento de Vulnerabilidades.
Comportamento do agente em relação a outras ferramentas: O NinjaOne registrou-se na VM de teste do Windows. Às 11:31, o log de Atividades registrou: “Software desinstalado: ‘Automox Agent’, Versão: ‘2.5.70’, Usuário: ‘<System>'” dois minutos após o registro, via uma ação automatizada do sistema. A remoção foi incompleta; veja Principais Descobertas para detalhes.
Pegada no endpoint: Memória máxima do agente Linux: 116 MB. Windows: quatro processos totalizando aproximadamente 127 MB de conjunto de trabalho, 92 segundos de CPU em três horas.
O NinjaOne é uma plataforma UEM/RMM que adicionou um módulo VM. A camada de inventário de software do agente funciona bem; a camada de correlação CVE depende de processamento no servidor que estava inativa durante o período de teste.
Diferenças principais:
- O inventário de software é preciso e rápido: o Firefox 115.12.0 apareceu no painel em 35 segundos após a instalação
- A correlação CVE estava inativa durante todo o teste. O arquivo
NinjaWPM-cve-patch-list.jsonpermaneceu com 44 bytes por mais de 5 horas; a aba Vulnerabilidades foi preenchida com 85 CVEs aproximadamente 24 horas após a instalação do agente — inconsistente com o posicionamento “em tempo real com IA” - Maior suporte a tipos de dispositivos: Windows, Linux, macOS, iOS, Android, Hyper-V, VMware, monitoramento de ping na nuvem e descoberta de rede
- O módulo VM não gera alertas (sem categoria “Vulnerabilidade” na estrutura de alertas de Atividades) e não possui modelo de relatório dedicado
- No Windows, o agente removeu o Automox 2 minutos após a instalação via uma regra de Política do Servidor Windows, deixando arquivos órfãos; nenhum comportamento equivalente no Linux
2. ManageEngine Vulnerability Manager Plus
O ManageEngine VMP é o único scanner de vulnerabilidades feito sob medida nesta comparação. A detecção funciona independentemente da disponibilidade de patches; vulnerabilidades são relatadas mesmo quando nenhum patch existe.
Acesso ao teste. Autoatendimento, sem contato de vendas necessário. O formulário de inscrição aceita Gmail. Após o envio, o painel carrega imediatamente com um contador de 30 dias. Um modal de solicitação de demonstração aparece, mas tem um botão Visitar que é visível — não é um bloqueio. A interface carrega em turco com base no endereço IP, a única ferramenta nesta comparação com localização não em inglês. A instância da região da UE é atribuída automaticamente.
Onboarding: A tela Primeiros Passos mostra quatro etapas de fluxo de trabalho: Pré-requisitos, Configurações de Patch, Implantação e Fluxo de Trabalho de Gerenciamento de Patch. Três das quatro são focadas em patch. A abordagem é detectar e depois corrigir, não detecção em tempo real.
Painel: Abre na aba Vulnerabilidades com uma Matriz de Idade de Vulnerabilidades — agrupamentos de severidade × idade — mostrando há quanto tempo as descobertas estão abertas. Um feed de Últimas Notícias de Segurança traz avisos de segurança de fornecedores diretamente para o painel direito.
A visão Sistemas — painel esquerdo — segmenta dispositivos por estado operacional: Altamente Vulnerável, Vulnerável, Saudável, Reinicialização Pendente, Falha na Implantação de Patch, Sistemas sem Contato com Agente, Sistemas EOL e Zero-day encontrado. O dispositivo apareceu na lista em segundos após a instalação do agente.
A varredura inicial executa em duas etapas. Um banner confirma que resultados limitados são mostrados primeiro; a varredura completa termina em minutos. Os patches ausentes subiram de 0 para 8 entre as duas etapas.
Detalhe do dispositivo: A visão detalhada do dispositivo cobre mais terreno do que qualquer outra ferramenta testada.
A aba Resumo mostra quatro gráficos de ameia de Severidade de Ameaça lado a lado: Patch, Vulnerabilidades de Software, Configurações Incorretas do Sistema e Configuração Incorreta do Servidor Web. O endpoint de teste Windows Server 2022 padrão mostrou 7 patches ausentes, 28 vulnerabilidades de software e 54 configurações incorretas.
A aba Software & Componentes lista cada componente instalado com contagens de Patches Ausentes, Patches Instalados e Vulnerabilidades por linha. O próprio Windows Server 2022 carregava 16 vulnerabilidades; o Curl para Windows, fornecido com a imagem do SO, não instalado pelo usuário, carregava 10.
A aba Vulnerabilidades é uma lista em nível CVE com Status de Exploração, Disponibilidade de Patch, Pontuação CVSS 3.0, Versão Detectada, Data de Publicação e Data de Suporte por linha. As pontuações CVSS variaram de 4,3 a 9,9 no endpoint padrão.
A aba Patches categoriza patches ausentes em Atualizações de Segurança, Opcionais, Terceiros, Driver, Pacote de Serviço e BIOS, com ações Instalar/Publicar Patches e Recusar Patch embutidas.
A aba Configuração de Segurança é uma checklist de endurecimento estilo CIS/STIG. Cada linha corrigível tem um link “Implantar Configuração Segura” — as descobertas se conectam diretamente à remediação com um clique. O endpoint de teste tinha 30 itens, incluindo TLSv1.1 habilitado, BitLocker desativado, Firewall do Windows não detectado, limiares de bloqueio de conta não configurados e nível de autenticação do LAN Manager configurado incorretamente.
A aba Auditoria de Porta mapeia cada porta aberta para o binário responsável com caminho completo do executável. A porta 3389 mapeia para svchost.exe, a porta 445 para ntoskrnl.exe — Chrome e Edge são listados separadamente na 5353.
Visão de Ameaças da Frota: As ameaças de navegação cobrem oito subseções em toda a frota.
As visões Vulnerabilidades e CVEs Detectados mostram pontuações CVSS 3.0 e CVSS 2.0 em colunas paralelas. O produto preserva o CVSS 2.0 legado para organizações que ainda usam como referência.
Configurações Incorretas do Sistema agrega lacunas de endurecimento em toda a frota com uma ação “Implantar Configuração Segura” por linha.
Software de Alto Risco rastreia datas de Fim de Vida. O Windows Server 2022 apareceu com sua data de EOL de 13 de outubro de 2031 e um contador restante de 1.990 dias.
Gerenciar Exceções permite que ameaças específicas sejam aceitas por grupo de dispositivos. Nenhuma exceção foi definida nos testes; a infraestrutura está presente.
Seção Patches: A barra lateral esquerda mostra contagens ao vivo: Ausentes 9, Instalados 3, Aplicáveis 12, Suportados 106.973, Mais Recentes 2.195. Cada página de patch tem Links Rápidos embutidos com Tutoriais, Base de Conhecimento e FAQ documentação incorporada ao fluxo de trabalho, em vez de acessada separadamente.
O catálogo de Patches Suportados cobre 106.973 entradas da Adobe, Microsoft, Mozilla, Splunk, Oracle e outros. A visão Patches Mais Recentes mostra 2.195 entradas recentemente adicionadas, ordenadas por data de lançamento. Recusar Patch bloqueia patches específicos por grupo de dispositivos. Upload Pendente aceita patches personalizados para software fora do catálogo.
Implantação de patch: O assistente de implantação cobre: operação Instalar vs Desinstalar (rollback embutido), Implantar diretamente vs Publicar no Portal de Autoatendimento, seletor de política de implantação, data “Forçar implantação após” para cumprimento de SLA e direcionamento segmentado por Escritório Remoto e computador individual.
Uma atualização de definição do Defender foi implantada no teste, concluída com Status: Sucesso e Observações: “Esta versão já existe.” O produto detectou que o patch já havia sido aplicado e não o reinstalou. A tentativa automática em caso de falha é padrão de 2 tentativas.
Gerenciamento da frota de agentes. A seção Agente mostra a saúde da frota de agentes, incluindo atualidade da versão, última hora de contato, status de sincronização AD, gerenciamento de escritório remoto e política de computadores inativos.
Pegada no endpoint: Cinco processos ociosos, RAM ociosa combinada aproximadamente 83 MB. O mecanismo de varredura dcpatchscan é ativado apenas durante varreduras — não visível em ocioso. Durante uma varredura, consumiu aproximadamente 160 MB de RAM e 100% de um núcleo de CPU no Windows, comparado a aproximadamente 144 MB e 16% de um núcleo no Linux. O design sob demanda significa que a pegada ociosa permanece bem abaixo das bases contínuas do NinjaOne (116–127 MB) e do Action1 (51 MB).
Latência de detecção: Varredura Manual Agora: 5 a 6 minutos. Ciclo automático: fixo em 90 minutos, não configurável pelo usuário. Novas entradas de fonte CVE propagam em até 25 horas (sincronização diária do BD mais um ciclo de atualização de 90 minutos). A página Admin > Configurações do Agente não possui campo de intervalo de atualização; solicitações para adicioná-lo estão abertas no fórum oficial sem resolução.
Alerta e notificação: Não existe canal de alerta de saída em nenhuma camada: sem SMTP em Configurações Globais, sem preferência de notificação por usuário, sem agendamento de relatório ou entrega por e-mail. A página Auditoria > Alertas registra eventos internos (perda de contato do agente, patches falhados, novos endpoints), mas não pode roteá-los externamente.
Relatórios: Mais de 16 relatórios pré-definidos em seis categorias (Patch, Sistema, APD, Configuração, SSP, Ameaça). Sem construtor de relatórios personalizados. Seletor de colunas e filtros disponíveis dentro de relatórios pré-definidos. Sem predefinições de intervalo de datas. Exportação: PDF, CSV, XLSX. Um modal de aviso GDPR requer confirmação antes de cada exportação. Sem entrega agendada ou por e-mail.
Diferenças principais:
- 11 módulos em um único produto: Avaliação de Vulnerabilidade, Conformidade, Gerenciamento de Patch, Varredura de Dispositivos de Rede, Gerenciamento de Configuração de Segurança, Mitigação de Zero-Day, Endurecimento de Servidor Web, Auditoria de Software de Alto Risco, Auditoria de Antivírus, Auditoria de Porta e Relatórios
- Catálogo de 106.973 patches; opções de implantação em nuvem e local; instância SaaS da região da UE
- O ciclo de varredura automático é fixo em 90 minutos e não é configurável pelo usuário (solicitações de recursos no fórum sem resolução); a nova fonte CVE leva até 25 horas para propagar (sincronização do BD + um ciclo de atualização)
- Sem canal de alerta de saída: SMTP está ausente em todas as camadas de configuração
3. Automox
O Automox é uma plataforma de automação de patches, não um scanner de vulnerabilidades. Sua capacidade de gerenciamento de vulnerabilidades é construída em torno da importação de saída de scanners do Qualys, Tenable, Rapid7 ou CrowdStrike, em vez de realizar detecção CVE independente.
Acesso ao teste: Teste de 15 dias, sem cartão de crédito necessário. O Gmail é rejeitado — um e-mail corporativo é obrigatório. Após o envio, o fluxo adiciona duas etapas extras antes do painel: uma tela de login separada e 2FA obrigatório por e-mail. O mínimo de senha é 12 caracteres, o mais rigoroso das quatro ferramentas. Instância global única em console.automox.com, sem opções regionais.
Instalação do agente: O modal Adicionar Dispositivos mostra o UUID da chave de acesso, um menu suspenso de SO, um botão Baixar Instalador e a linha de comando equivalente para instalação silenciosa: Automox_Installer-2.5.70.msi ACCESSKEY=<uuid>. Um binário, uma chave, o fluxo de instalação mais simples das quatro ferramentas testadas.
O instalador executa uma verificação de saúde pós-instalação embutida antes de fechar: início do serviço, teste do daemon, relatório IRS (Serviço de Resultado de Instalação). Ele não fecha até confirmar “Configuração bem-sucedida!”, eliminando a ambiguidade sobre se o agente realmente se conectou.
O dispositivo apareceu na lista Dispositivos em 1 a 2 minutos com uma tag “Adicionado Recentemente”.
Detalhe do dispositivo: O detalhe do dispositivo tem quatro abas: Resumo, Saúde, Rede e Sistema. Nenhuma política foi atribuída na instalação; o agente foi registrado ao grupo Padrão sem agendamento de patch anexado. O ManageEngine aplica um escopo de varredura padrão automaticamente; o Automox requer atribuição de política explícita antes que qualquer coisa seja executada.
Inventário de software e linguagem de severidade: A lista de Software no nível do dispositivo usa valores de Severidade emprestados do catálogo de Microsoft Update: Crítico, Desconhecido ou “Nenhum CVE Conhecido”. Não há pontuação CVSS da NVD. A coluna Versão Mais Recente está vazia em todas as linhas; o Automox rastreia se uma atualização existe, não a versão upstream. Dias Expostos mede há quanto tempo um patch está pendente, não há quanto tempo desde que um CVE foi publicado.
Painel: O KPI principal é a matriz Contagem de Patch Pendente: linhas de severidade (Crítico / Alto / Médio / Baixo / Desconhecido) × colunas de idade (90+ dias, 61-89, 31-60, 16-30, ≤15 dias). Solução de Problemas de Dispositivo sinaliza: Precisa reiniciar, Tentativas de atualização falhadas, Desconectado 30+ dias, Incompatível. Nenhuma contagem CVE, nenhuma pontuação de severidade de vulnerabilidade em qualquer lugar do painel.
Arquitetura de política: Três tipos de política: Política de Patch (com subtipos Avançado, Patchar Tudo, Patchar Tudo Exceto, Apenas Patchar, Aprovações Manuais, Severidade), Política de Software Necessário e Worklet. Não há Política de Varredura de Vulnerabilidade ou tipo de política baseado em CVE. A seção Agendamento oferece um botão de rádio Patch Tuesday que auto-alinha ao ciclo de lançamento da segunda terça-feira da Microsoft.
Catálogo de Worklet: Worklets são modelos de script shell para tarefas de configuração. As categorias são Preferências do Sistema, Segurança e Ciclo de Vida de Software. Não existe categoria de Vulnerabilidade.
Página Remediações: o sinal arquitetônico central. A página Remediações em Automatizar tem uma ação: Importar. O filtro Provedor CSV lista Relatório Genérico, CrowdStrike, Qualys, Rapid7 e Tenable Vulnerability Management. As colunas da tabela são Vulnerabilidades Corrigíveis, Vulnerabilidades Não Correspondidas e Dispositivos Desconhecidos. O Automox mapeia a saída de um scanner de terceiros contra seu próprio catálogo de patches e mostra quais CVEs ele pode corrigir. Ele não realiza sua própria detecção CVE.
Gerenciar > Software: inventário global da frota. A visão de Software em nível de frota adiciona um filtro “Vulnerabilidade ou ID CVE”, confirmando que dados CVE existem no sistema em algum nível. No entanto, a coluna Severidade ainda exibe categorias KB-meta, não pontuações CVSS. Colunas Dias Expostos, Ignorados e Impactados estão disponíveis para triagem em nível de frota.
Agente Linux: O agente Linux inventariou 746 pacotes. A lista de Software mostra Versão Instalada, Versão Disponível, Dias Expostos, Severidade, Lista KEV e colunas EPSS. As colunas KEV e EPSS estão vazias para todas as entradas; as colunas existem no esquema, mas não são preenchidas. A Severidade reflete o sinal do catálogo de patches, não da NVD.
Pontos cegos do catálogo de patches: O Firefox ESR 115.12.0 no Windows mostrou Instalado 115.12.0, Disponível 140.10.2, Dias Expostos 9, Severidade “Nenhum CVE Conhecido” — aproximadamente 25 versões de lançamento e milhares de CVEs separam esses dois, mas o catálogo não carrega sinal CVE para essa lacuna de versão. O LibreOffice 7.1.8.1 no Linux (14 pacotes instalados, 100+ CVEs documentados da NVD) mostrou todos os pacotes como “Instalado” com Versão Disponível vazia e Severidade vazia. O fornecedor pulou do ramo 7.1 para a série 24.x, então nenhuma entrada de atualização existe no catálogo, e a ferramenta não retorna sinal de vulnerabilidade.
Pegada no endpoint: Pico do agente Linux: 8,8 MB, o mais leve das quatro ferramentas testadas, apesar de nenhuma alegação de marketing sobre pegada. A pegada no Windows não foi medida: a política do NinjaOne removeu o agente Automox 2 minutos após o NinjaOne se registrar na mesma VM, então nenhuma linha de base do Windows foi capturada.
Diferenças principais:
- Automatizar → Remediações: aceita exportações CSV do Qualys, Tenable, Rapid7, CrowdStrike ou formato genérico; mapeia CVEs para itens corrigíveis e mostra contagens Corrigíveis vs. Não Correspondidos
- Os rótulos de Severidade são emprestados das classificações do catálogo de Microsoft Update (Crítico / Desconhecido / Nenhum CVE Conhecido), não pontuações CVSS da NVD
- A detecção baseada em catálogo de patches produz pontos cegos sistemáticos: o LibreOffice 7.1.8.1 e o Firefox ESR 115.12.0 retornaram ambos “Nenhum CVE Conhecido” apesar de terem centenas de CVEs documentados, porque nenhuma atualização do catálogo existe para esses ramos de versão
- Agente mais leve do grupo com pico de 8,8 MB no Linux — apesar de não fazer nenhuma alegação de marketing sobre pegada
- Três tipos de política: Política de Patch (com agendamento consciente do Patch Tuesday), Política de Software Necessário e Worklet (modelos de script shell/PowerShell)
- O teste requer um e-mail corporativo; Gmail rejeitado
4. Action1
O Action1 é um RMM nativo da nuvem com um pipeline de vulnerabilidade no Windows capaz. No Linux, ele inventaria pacotes e rastreia deltas de versão, mas não produz saída CVE. Os comportamentos nos dois SOs são arquitetonicamente diferentes e precisam ser avaliados separadamente.
Acesso ao teste: Autoatendimento, Gmail aceito, sem contato de vendas. Após o envio do formulário, um código de confirmação chega por e-mail; inseri-lo leva diretamente ao painel com instaladores de agentes prontos. Sem assistente de onboarding, sem formulário de solicitação de teste, sem período de espera.
Instalação do agente Windows: O instalador tem 6,9 MB e conclui em 67 segundos. Um e-mail de confirmação chega imediatamente após, e o painel mostra: “O agente foi instalado com sucesso. Seu endpoint agora está conectado à nuvem Action1.”
Instalação do agente Linux: O agente Linux tem 2,3 MB (.deb) e instala em 5 a 6 segundos via um único comando curl + apt. O ID da organização está embutido no pacote; nenhuma configuração pós-instalação é necessária. Três caminhos de implantação são oferecidos: Interativo (para usuários iniciantes), Não Assistido e Direto. RPM também está disponível para sistemas da família Red Hat. Após a instalação, o agente detectou uma atualização de kernel pendente e corretamente sinalizou o endpoint Linux como ‘Reinicialização Necessária’ — lendo o estado específico da distribuição, em vez de aplicar lógica do Windows ao Linux.
Painel: Sem nenhum gatilho manual de varredura, 114 vulnerabilidades e 3 atualizações ausentes apareceram em minutos após o agente Windows ficar online. O painel centraliza dois widgets de triagem: um medidor de Conformidade de Remediação de Vulnerabilidades com faixas de SLA (Crítico: 1-7 dias, Alto: 8-30 dias, Médio: 31-90 dias, Baixo: 90+ dias) e uma matriz de Prazo de Remediação de Vulnerabilidades mostrando severidade × status de atraso no SLA. O mesmo layout é repetido para atualizações. Um banner de marketing de camada free e botões de compartilhamento social também aparecem no painel.
Lista de vulnerabilidades e priorização CVE: A página Vulnerabilidades mostra ID CVE, Pontuação CVSS, sinalizador CISA KEV, Data de Publicação, Status de Remediação, Software Vulnerável (com caminho completo da versão) e contagem de endpoints afetados. O CISA KEV é uma coluna de primeira classe que destaca CVEs que estão sendo explorados ativamente no mundo real, um sinal de triagem mais forte do que o CVSS sozinho. O EPSS está ausente.
Painel de detalhe CVE: Cada CVE abre um painel lateral com três abas: Endpoints (máquinas afetadas com um botão Iniciar Remediação), Software Vulnerável (software afetado por plataforma) e Detalhes. A aba Detalhes inclui pontuação base CVSS, Pontuação de Impacto, Pontuação de Explorabilidade, análise de subvetor CVSS em forma legível, sinalizador de associação com ransomware, links de múltiplas fontes (NVD, NVD++ via VulnCheck, aviso do fornecedor) e um prazo de remediação auto-calculado com base na severidade. CVEs Críticos recebem um SLA de 7 dias; Médio-Alto recebem 30 dias, calculado retroativamente da data de publicação do CVE.
Latência de detecção: O Firefox ESR 115.0esr foi instalado com uma flag silenciosa, e o carimbo de tempo da conclusão da instalação foi registrado ao segundo. O agente enviou o inventário de software para a nuvem em T+4 minutos e 33 segundos; a nuvem reconheceu 1 segundo depois; a lista de Vulnerabilidades foi preenchida com CVEs do Firefox em até 11 minutos após a instalação. O agente usa um intervalo de sondagem de 5 minutos. O rótulo de marketing “em tempo real” é impreciso; “quase em tempo real / sondagem a cada 5 minutos” é a descrição correta. Nenhum gatilho de varredura manual é necessário, o que o diferencia de ferramentas com varredura agendada.
Detecção CVE no Linux (ausente): Um pacote deliberadamente vulnerável do Firefox ESR 102.15.1 (EOL desde setembro de 2023, 50+ CVEs não corrigidos) foi instalado via dpkg. O agente detectou a instalação em 66 segundos e enviou a versão correta para a nuvem. O payload da nuvem mostrou: "CVE": "", "Security Severity": "Unspecified". A página Vulnerabilidades mostrou “Nenhum software vulnerável.” A mesma versão do Firefox no Windows produziu 11+ CVEs com pontuações CVSS de 9,8 a 10. O agente Linux do Action1 é um rastreador de delta de versão: ele registra versão instalada, versão mais recente e disponibilidade de atualização, mas não realiza consulta em banco de dados CVE para pacotes Linux.
Implantação de patch: Dois fluxos paralelos existem. O fluxo orientado por vulnerabilidade vai: Detalhe CVE > Iniciar Remediação > assistente de 3 etapas. Três estratégias estão disponíveis: Implantar Atualizações, Desinstalar Software e Documentar Controles Compensatórios. O terceiro é notável; permite documentar a aceitação de risco para software que não pode ser corrigido. O fluxo orientado por atualização via Aprovação de Atualização adiciona compartilhamento de arquivos P2P baseado em LAN para escritórios remotos, orquestração de reinicialização (reinicialização automática com popup configurável voltado ao usuário e tempo limite) e a opção de desativar completamente as atualizações nativas do Windows para que apenas patches aprovados pelo Action1 sejam implantados. Essas capacidades existem apenas no fluxo orientado por atualização; o assistente orientado por vulnerabilidade não as oferece.
Tempo de implantação de patch para KB5082142: 1 minuto de Executar Agora até status de Sucesso. No entanto, “Sucesso” no mecanismo de automação significa que o binário foi escrito no disco, não que o patch está ativo. Sem uma reinicialização, a página Vulnerabilidades continuou mostrando o CVE corrigido como Pendente porque o SO ainda não havia confirmado a alteração. O mecanismo de automação rotulou a operação como sucesso; o scanner de vulnerabilidades continuou mostrando o CVE como Pendente — o comportamento correto, já que o patch requer uma reinicialização para entrar em vigor. Após a reinicialização, o CVE foi removido da lista.
Alertas e notificações: Os alertas são construídos sobre relatórios: um usuário se inscreve em mudanças (Criado / Excluído / Modificado) nos dados de um relatório nomeado. Os e-mails de alerta chegam rapidamente e incluem campos estruturados: Fornecedor, Versão, Tipo de Instalação e Instalado Para. O campo destinatário aceita apenas um endereço de e-mail; não há canal Slack, Teams ou webhook. Existe um mecanismo de supressão silenciosa: após o N-ésimo gatilho da mesma regra dentro de uma janela de tempo, a regra para de disparar sem nenhuma indicação na interface. O estado de supressão é visível apenas no log local do agente. Usuários esperando por alertas após o limite de supressão ter sido cruzado não têm como descobrir a causa pela interface.
Pegada no endpoint: Medida durante 10 minutos durante um ciclo de instalação do Firefox, varredura e avaliação de alerta: média de CPU 0,013%, pico de CPU 1,56% no momento em que o ciclo de sondagem disparou, RAM estável em 51,7 MB com uma banda de 0,14 MB em toda a janela, IO de disco quase zero exceto por breves gravações de cache de varredura. A alegação de “impacto zero no endpoint” é suportada pela medição. Testes de carga sintética pesada não foram realizados.
Relatórios: O construtor de relatórios oferece dois tipos (Resumo com agrupamento, Simples para tabelas planas), seletor de colunas, etapa de filtro, entrega agendada, Inscrever-se, exportação CSV e exportação PDF. Cinco categorias de relatórios integradas incluem Gerenciamento de Vulnerabilidades com cinco sub-relatórios: Vulnerabilidades Selecionadas, Todas as Vulnerabilidades Críticas, Controles Compensatórios Documentados, Vulnerabilidades Exploradas Conhecidas e Resumo de Vulnerabilidades. Todos são visões do estado atual. Não há relatório integrado “CVEs Corrigidos ao Longo do Tempo” ou “Histórico de Patch por CVE”. Um CVE corrigido é removido da lista; ele não passa para um estado resolvido. Reconstruir qual CVE foi fechado em qual data requer cruzar manualmente o Histórico de Automação, que por si só tem um problema de poluição de histórico por entradas duplicadas de Executar Agora.
Diferenças principais:
- Detecção no Windows em ≤11 minutos após a instalação do agente (sondagem a cada 5 minutos); upload instalação-para-nuvem medido em 4 minutos e 33 segundos
- Painel de detalhe CVE: CVSS + sinalizador CISA KEV + associação com ransomware + SLA baseado em severidade (Crítico 7 dias, Médio/Alto 30 dias, auto-calculado da data de publicação) + links de múltiplas fontes (NVD, NVD++, aviso do fornecedor)
- Agente Linux: 2,3 MB .deb, instala em 5–6 segundos, auto-habilitado no systemd; RPM também disponível. Inventaria pacotes dpkg em ~66 segundos, mas não produz saída CVE — payload do agente retorna
"CVE": "", "Security Severity": "Unspecified". Instalar o Firefox 102 EOL no Linux deixou a lista de Vulnerabilidades vazia. - Pegada do agente verificada por pidstat: 51,7 MB estável, média 0,013% CPU, pico 1,56% durante a varredura
- Notificações de alerta limitadas a um único endereço de e-mail; sem Slack, Teams ou webhook; regras de alerta param silenciosamente de disparar após N gatilhos sem indicação na interface
- Relatórios: Construtor Personalizado + 5 categorias de sub-relatórios VM (Selecionar / Crítico / Compensatório / KEV / Resumo) + Agendar + Inscrever-se; sem relatório integrado “CVEs Corrigidos ao Longo do Tempo”
Metodologia
Endpoints: Windows Server 2022 Standard 21H2 (Build 20348.3207) e Ubuntu 24.04.4 LTS (kernel 6.8.0-111). Os quatro agentes rodaram simultaneamente no host Linux. No Windows, NinjaOne e Automox foram instalados sequencialmente na mesma VM.
Software vulnerável: Firefox ESR 115.12.0, 7-Zip 19.00, Edge 148 (Windows); Node.js 18.19.1, vsftpd 3.0.5, Apache 2.4.58, LibreOffice 7.1.8.1, /opt/firefox-115.0esr/ tarball do fornecedor (Linux).
Medição: pidstat (RSS e CPU no nível do processo), Get-Counter (contadores de desempenho do Windows), pywinrm e paramiko (execução remota de comandos). Métricas de nível cgroup excluídas para evitar inflação por cache de página.
Escopo: macOS excluído. Os testes seguiram a sequência: onboarding do teste → instalação do agente → painel inicial → detalhe do dispositivo → política/varredura → inventário de vulnerabilidades → fluxo de patch → configuração de alerta → desempenho do endpoint → relatórios.
Perguntas frequentes
As ferramentas de gerenciamento de vulnerabilidades detectam vulnerabilidades de software e SO em endpoints gerenciados, priorizam-nas por severidade e conectam as descobertas aos fluxos de trabalho de patch. O objetivo é reduzir a janela entre a publicação de um CVE e a correção da versão afetada.
Na prática, essas ferramentas diferem substancialmente na forma como detectam vulnerabilidades. Algumas consultam diretamente o NVD; outras inferem risco da disponibilidade do catálogo de patches. Essa diferença arquitetônica determina o que elas podem e não podem encontrar.
Cite esta pesquisa
Escolha o formato adequado ao local onde você vai publicar. Colar a versão com link no seu CMS preserva o backlink.
@misc{dogan2026,
author = {Dogan, Sedat and Sezer, Sena},
title = {{Melhores Ferramentas de Gerenciamento de Vulnerabilidades}},
year = {2026},
month = jun,
howpublished = {\url{https://aimultiple.com/vulnerability-management-tools}},
note = {AIMultiple. Acessado em 2 Junho 2026}
}








































Seja o primeiro a comentar
Seu endereço de e-mail não será publicado. Todos os campos são obrigatórios. Os comentários são deixados em seu idioma original.