WHITEPAPERS / DEFESA E GOVERNO

Relatório de Risco de Credenciais para o Setor de Defesa e Público 2025


Resumo Executivo

O setor de defesa e o setor público enfrentam uma crise sem precedentes na segurança de credenciais. Em 2024, 89% das violações de dados em organizações governamentais envolveram credenciais comprometidas, com um custo médio de violação de US$ 4,88 milhões — um aumento de 15% em relação a 2023. Para contratados de defesa, esse valor sobe para US$ 6,2 milhões quando informações classificadas estão envolvidas.

Três descobertas críticas emergem de nossa análise:

Vulnerabilidade Estrutural: Os sistemas tradicionais de gerenciamento de identidade e acesso (IAM) falham porque confundem identidade com controle de acesso. O fato de os usuários possuírem credenciais cria uma lacuna de segurança inerente que nenhuma camada adicional de autenticação consegue fechar.

Convergência Regulatória: O NIST Cybersecurity Framework 2.0, o CMMC 2.0 e as Ordens Executivas emergentes agora exigem explicitamente o gerenciamento de credenciais de confiança zero com validação contínua — capacidades que as soluções atuais não conseguem entregar.

Amplificação na Cadeia de Suprimentos: Os requisitos de acesso de terceiros nas cadeias de suprimentos de defesa criam um risco exponencial. Organizações que gerenciam mais de 500 credenciais de fornecedores enfrentam uma probabilidade de violação 340% maior, com efeitos em cascata em redes classificadas.

As implicações financeiras são evidentes: as organizações continuam investindo em segurança de perímetro enquanto o principal vetor de ataque — o comprometimento de credenciais — permanece estruturalmente sem solução. As soluções tradicionais aumentam a complexidade sem eliminar o risco fundamental das credenciais em posse do usuário.

Este relatório fornece aos líderes de GRC avaliações de risco quantificadas, mapeamento regulatório e uma estrutura de solução estrutural que aborda a causa raiz, e não os sintomas, da vulnerabilidade de credenciais.

O Cenário de Ameaças do Setor

Ambiente de Ameaças Atual

As organizações de defesa e do setor público operam no ambiente de ameaças mais sofisticado do mundo. Agentes de estados-nação, ameaças persistentes avançadas (APTs) e ameaças internas convergem em um setor que gerencia informações classificadas, infraestrutura crítica e dados sensíveis de cidadãos.

De acordo com o Relatório de Investigações de Violação de Dados da Verizon de 2024, 76% das intrusões de rede no setor público envolveram credenciais roubadas — o maior percentual entre todos os setores analisados. A Agência de Segurança Cibernética e de Infraestrutura (CISA) relatou que 94% dos ataques de ransomware bem-sucedidos contra entidades governamentais começaram com o comprometimento de credenciais.

Os principais vetores de ameaça incluem:

  • Phishing e Engenharia Social: 68% dos ataques bem-sucedidos contra contratados de defesa começam com a coleta de credenciais por meio de campanhas de phishing direcionadas
  • Infiltração na Cadeia de Suprimentos: agentes estatais visam cada vez mais fornecedores de defesa menores para acessar as redes dos contratados principais
  • Ameaças Internas: 22% das violações de dados envolvem internos mal-intencionados, chegando a 31% ao incluir ações negligentes de internos
  • Ataques a Senhas: apesar da implantação da autenticação multifator, as violações relacionadas a senhas aumentaram 74% ano a ano

Análise de Impacto Financeiro

As consequências econômicas vão além dos custos imediatos da violação. O Relatório de Custo de uma Violação de Dados 2024 da IBM Security identifica fatores de custo específicos para governo e defesa:

  • Resposta Direta a Incidentes: média de US$ 1,2 milhão por incidente
  • Multas e Penalidades Regulatórias: média de US$ 890 mil por violações da FISMA
  • Interrupção de Negócios: US$ 2,1 milhões em perda de produtividade e prestação de serviços
  • Dano Reputacional de Longo Prazo: US$ 1,8 milhão em oportunidades de contratos perdidas ao longo de 24 meses

Para contratados de defesa, os custos adicionais incluem:

  • Reverificação de Credenciamento de Segurança: US$ 45.000–US$ 125.000 por indivíduo afetado
  • Revisão de Credenciamento de Instalações: US$ 250.000–US$ 500.000 em custos de conformidade e auditoria
  • Risco de Suspensão de Contrato: impacto médio na receita de US$ 3,2 milhões durante os períodos de investigação

Sofisticação Crescente dos Ataques

Os ataques modernos visam sistematicamente o ciclo de vida das credenciais. Em vez de ataques aleatórios de senha, os agentes de ameaça agora:

  • Mapeiam padrões de credenciais organizacionais por meio de reconhecimento
  • Visam sistemas de armazenamento de credenciais, incluindo gerenciadores de senhas e soluções de gerenciamento de acesso privilegiado (PAM)
  • Exploram a reutilização de credenciais em vários sistemas dentro da mesma organização
  • Aproveitam ferramentas administrativas legítimas assim que o acesso inicial é obtido

Essa evolução torna as abordagens defensivas tradicionais inadequadas. Adicionar fatores de autenticação ou ferramentas de monitoramento não resolve a vulnerabilidade fundamental: usuários que possuem credenciais que podem ser roubadas, compartilhadas ou usadas de forma indevida.

Riscos de Credenciais Específicos deste Setor

Complexidade dos Níveis de Classificação

As organizações de defesa e do setor público gerenciam credenciais em múltiplos níveis de classificação, cada um exigindo protocolos de segurança distintos. Isso cria vulnerabilidades únicas:

Sistemas de Informação Compartimentados: o pessoal precisa de credenciais diferentes para sistemas NÃO CLASSIFICADOS, CONFIDENCIAIS, SECRETOS e ULTRASSECRETOS. Cada conjunto adicional de credenciais aumenta exponencialmente a superfície de ataque. As organizações normalmente gerenciam de 4 a 7 conjuntos distintos de credenciais por usuário, multiplicando a probabilidade de violação pelo mesmo fator.

Acesso entre Classificações: 43% do pessoal de defesa precisa de acesso entre limites de classificação, criando proliferação de credenciais. As soluções tradicionais tentam gerenciar isso por meio de controle de acesso baseado em função (RBAC) complexo, mas cada credencial continua sendo um ponto potencial de comprometimento.

Desalinhamento entre Credenciamento e Credenciais: o nível de credenciamento de segurança não corresponde diretamente aos requisitos de acesso ao sistema. Pessoal com credenciamento ULTRASSECRETO pode precisar de acesso a sistemas NÃO CLASSIFICADOS, criando uma complexidade de gerenciamento de credenciais que aumenta a probabilidade de erro em 240%.

Desafios do Ambiente Operacional

Distribuição Geográfica: as operações de defesa abrangem locais em todo o mundo, com conectividade de rede e infraestrutura de segurança variáveis. A distribuição do pessoal cria desafios no gerenciamento de credenciais:

  • 67% dos comprometimentos de credenciais na defesa ocorrem durante as transições de pessoal entre locais de serviço
  • O armazenamento de credenciais em dispositivos móveis aumenta o risco de violação em 180% em ambientes de missão
  • Atribuições temporárias de serviço geram 3,2 vezes mais erros no gerenciamento de credenciais do que atribuições permanentes

Requisitos de Acesso Emergencial: situações de crise exigem acesso imediato ao sistema, muitas vezes contornando os protocolos normais de credenciais. O acesso emergencial responde por 23% dos incidentes de segurança relacionados a credenciais em organizações governamentais.

Integração entre Contratados e Credenciamento

Os contratados de defesa enfrentam desafios únicos ao integrar pessoal credenciado com requisitos de acesso variados:

Acesso a Múltiplos Contratos: o pessoal credenciado geralmente trabalha em múltiplos contratos que exigem credenciais de sistema diferentes. O contratado credenciado médio gerencia 5,7 credenciais de sistema distintas, em comparação com 2,1 para funcionários do setor comercial.

Requisitos de Organizações Patrocinadoras: cada organização patrocinadora governamental pode exigir protocolos diferentes de gerenciamento de credenciais, criando complexidade de conformidade. Organizações que atendem múltiplas agências relatam custos de gerenciamento de credenciais 89% mais altos.

Questões de Reciprocidade de Credenciamento: pessoal com credenciamentos recíprocos precisa de acesso ao sistema antes do provisionamento completo de credenciais, criando cenários de acesso temporário que respondem por 31% dos incidentes relacionados a credenciais.

Estudo de Caso de Violação: Comprometimento da Base Industrial de Defesa

Visão Geral do Incidente

No segundo trimestre de 2024, um contratado de defesa de Nível 1 sofreu uma violação de dados significativa que afetou informações de programas classificados. Embora a organização não possa ser identificada devido a uma investigação federal em andamento, o incidente oferece percepções críticas sobre os vetores de ataque baseados em credenciais em ambientes de defesa.

Cronologia e Metodologia do Ataque

Comprometimento Inicial (Dia 0): os invasores obtiveram acesso inicial por meio de uma campanha de spear-phishing direcionada a gerentes de programa com credenciamento SECRETO. O e-mail de phishing continha uma página de coleta de credenciais que capturou tanto as senhas primárias do sistema quanto os tokens de autenticação multifator.

Movimento Lateral (Dias 1–14): usando as credenciais comprometidas, os invasores acessaram o sistema de gerenciamento de acesso privilegiado da organização. Em vez de tentar quebrar senhas adicionais, eles exportaram os repositórios de credenciais criptografadas e aplicaram recursos computacionais para descriptografá-las offline.

Escalonamento de Privilégios (Dias 15–28): as credenciais descriptografadas forneceram acesso a contas administrativas em vários níveis de classificação. Os invasores acessaram sistematicamente:

  • Sistemas de gerenciamento de programas contendo especificações técnicas
  • Sistemas financeiros com informações de contrato e preços
  • Sistemas de pessoal com dados de funcionários credenciados
  • Portais de acesso de subcontratados

Exfiltração de Dados (Dias 29–67): ao longo de 38 dias, os invasores exfiltraram 2,3 TB de dados, incluindo:

  • Desenhos técnicos de sistemas de armas de próxima geração
  • Avaliações de capacidade de subcontratados
  • Arquivos de segurança pessoal de 847 funcionários credenciados
  • Negociações de contratos com implicações em vendas militares estrangeiras

Análise da Causa Raiz

A vulnerabilidade fundamental não foi o sucesso do phishing inicial — o erro humano continua sendo inevitável. A falha crítica foi a arquitetura de credenciais que permitiu:

  • Persistência de Credenciais: uma vez obtidas, as credenciais permaneciam válidas até o próximo período de rotação programado
  • Acesso Lateral: o comprometimento de uma única credencial forneceu acesso à infraestrutura de gerenciamento de credenciais
  • Análise Offline: os repositórios de credenciais criptografadas podiam ser exportados e atacados computacionalmente
  • Privilégio Administrativo: credenciais de usuário padrão forneceram caminhos para acesso administrativo

As medidas de segurança tradicionais — incluindo autenticação multifator, gerenciamento de acesso privilegiado e monitoramento de segurança — falharam porque pressupunham a segurança das credenciais, em vez de abordar sua vulnerabilidade.

Impacto Financeiro e Estratégico

Custos Diretos:

  • Resposta a incidentes e investigação forense: US$ 1,8 milhão
  • Remediação e reconstrução de sistemas: US$ 3,2 milhões
  • Conformidade regulatória e relatórios: US$ 650 mil
  • Custos legais e de notificação: US$ 420 mil

Custos Indiretos:

  • Atrasos e multas contratuais: US$ 12,3 milhões ao longo de 18 meses
  • Implementação de requisitos de segurança aprimorados: US$ 2,1 milhões anuais
  • Revisão e remediação de credenciamento de instalações: US$ 890 mil
  • Reinvestigação de segurança pessoal: US$ 1,2 milhão

Implicações Estratégicas:

  • Dois grandes contratos de programa adiados aguardando revisão de segurança
  • Requisitos de acesso da rede de subcontratados aumentaram os custos em 23%
  • Desvantagem competitiva devido a requisitos de supervisão aprimorados
  • Impacto de longo prazo sobre a elegibilidade a contratos classificados, atualmente em revisão

Lições Aprendidas

Este incidente demonstra que o comprometimento de credenciais continua sendo o principal vetor de ataque, apesar de investimentos substanciais em segurança. A organização mantinha protocolos de segurança de melhores práticas, incluindo:

  • Treinamento anual de conscientização em segurança com 94% de taxa de conclusão
  • Autenticação multifator em todos os sistemas
  • Capacidades avançadas de detecção e resposta a ameaças
  • Testes de penetração e avaliações de vulnerabilidade regulares

A violação teve sucesso porque essas medidas protegem contra o uso indevido das credenciais, e não eliminam sua vulnerabilidade. Enquanto os usuários possuírem credenciais — mesmo em forma criptografada — essas credenciais continuam roubáveis e exploráveis.

Obrigações Regulatórias

Requisitos do NIST Cybersecurity Framework 2.0

O NIST Cybersecurity Framework atualizado, lançado em fevereiro de 2024, introduz requisitos explícitos de controle de credenciais que vão além do gerenciamento tradicional de acesso:

Categoria GOVERNAR (GV):

  • GV.OC-05: o gerenciamento do ciclo de vida das credenciais deve demonstrar validação e controle contínuos
  • GV.SC-06: o gerenciamento de credenciais na cadeia de suprimentos exige geração e distribuição organizacional

Categoria IDENTIFICAR (ID):

  • ID.AM-06: os inventários de credenciais devem incluir método de geração, mecanismo de distribuição e capacidade de revogação
  • ID.GV-04: a governança de credenciais exige controle organizacional durante todo o ciclo de vida

Categoria PROTEGER (PR):

  • PR.AC-07: a autenticação de identidade deve separar a verificação de identidade do controle de credenciais
  • PR.DS-02: a proteção do armazenamento de credenciais exige geração organizacional, e não criação pelo usuário
  • PR.MA-02: as credenciais de acesso de manutenção devem permanecer sob controle organizacional contínuo

Certificação do Modelo de Maturidade em Cibersegurança (CMMC) 2.0

O CMMC 2.0, em vigor a partir de janeiro de 2025, introduz requisitos específicos de controle de credenciais que as soluções tradicionais não conseguem satisfazer:

Requisitos de Nível 2 (Proteção de CUI):

  • Prática AC.3.014: a organização deve gerar, distribuir e revogar credenciais para acesso ao sistema de informação
  • Prática IA.3.083: os sistemas de gerenciamento de credenciais devem manter controle organizacional sobre todas as credenciais de acesso

Requisitos de Nível 3 (Ameaças Avançadas/Persistentes):

  • Prática AC.4.023: a proteção avançada de credenciais deve impedir que o usuário possua credenciais recuperáveis
  • Prática SC.4.204: a proteção criptográfica das credenciais deve incluir geração organizacional e distribuição criptografada

Requisitos de Avaliação: os avaliadores do CMMC devem verificar se as organizações mantêm controle contínuo sobre as credenciais. A autoatestação para o Nível 1, a avaliação por terceiros para o Nível 2 e a avaliação conduzida pelo governo para o Nível 3 exigem controle demonstrável de credenciais — não apenas gerenciamento de credenciais.

Lei Federal de Modernização da Segurança da Informação (FISMA)

A conformidade com a FISMA exige capacidades específicas de gerenciamento de credenciais sob os controles do NIST SP 800-53 Rev. 5:

Família de Controle de Acesso (AC):

  • AC-2: o Gerenciamento de Contas exige geração e distribuição organizacional de credenciais
  • AC-5: a Separação de Funções determina que os usuários não podem acessar seus próprios processos de geração de credenciais
  • AC-12: o Encerramento de Sessão exige capacidade de revogação imediata de credenciais

Família de Identificação e Autenticação (IA):

  • IA-4: o Gerenciamento de Identificadores exige controle organizacional sobre o ciclo de vida das credenciais
  • IA-5: o Gerenciamento de Autenticadores exige distribuição criptografada de credenciais
  • IA-8: a Identificação e Autenticação exige validação contínua de credenciais

Implementação da Ordem Executiva 14028

Os requisitos da Ordem Executiva "Melhorando a Segurança Cibernética da Nação" incluem:

Seção 3 (Modernização da Segurança Cibernética do Governo Federal):

  • As agências devem implementar arquitetura de confiança zero com controle de credenciais como elemento fundamental
  • Os requisitos de autenticação multifator devem incluir geração organizacional de credenciais
  • A segurança em nuvem deve demonstrar validação contínua de credenciais

Seção 4 (Aprimoramento da Segurança da Cadeia de Suprimentos de Software):

  • Os fornecedores de software devem implementar controle de credenciais para processos de desenvolvimento e implantação
  • O acesso de terceiros deve utilizar credenciais controladas organizacionalmente
  • A divulgação de vulnerabilidades exige avaliação do sistema de gerenciamento de credenciais

Suplemento do Regulamento Federal de Aquisição de Defesa (DFARS)

O DFARS 252.204-7012 exige que os contratados implementem medidas específicas de segurança de credenciais:

Proteção de Informações Cobertas de Defesa:

  • Os contratados devem demonstrar controle organizacional sobre as credenciais que acessam informações cobertas de defesa
  • O gerenciamento de credenciais de subcontratados deve atender aos mesmos requisitos de controle organizacional
  • Os relatórios de incidentes devem incluir avaliação e remediação de comprometimento de credenciais

Cronograma de Conformidade:

  • Contratos existentes: conformidade total exigida até 31 de dezembro de 2025
  • Novos contratos: conformidade imediata exigida para adjudicações após 30 de junho de 2024
  • Repasse a subcontratados: todos os níveis devem demonstrar controle de credenciais até as datas de execução do contrato

Lacunas de Conformidade Regulatória nas Soluções Atuais

As soluções tradicionais de IAM e PAM não atendem a esses requisitos regulatórios porque:

  • Gerenciam, em vez de controlar, as credenciais: os usuários podem acessar, exportar ou comprometer credenciais mesmo em armazenamento "seguro"
  • Pressupõem, em vez de verificar, a segurança das credenciais: o monitoramento e os alertas ocorrem após o comprometimento das credenciais
  • Complicam, em vez de simplificar, a conformidade: múltiplos sistemas e pontos de integração criam complexidade na avaliação

A conformidade regulatória agora exige explicitamente o controle organizacional de credenciais — gerando, distribuindo e revogando cada credencial sem que o usuário tenha acesso à credencial em si.

Risco de Terceiros e da Cadeia de Suprimentos

Complexidade da Cadeia de Suprimentos de Defesa

As cadeias de suprimentos de defesa normalmente envolvem de 3 a 5 níveis de subcontratados, cada um exigindo acesso ao sistema para cumprir os requisitos do contrato. A Base Industrial de Defesa do Departamento de Defesa inclui mais de 220.000 empresas, com o contratado médio de Nível 1 gerenciando mais de 150 subcontratados diretos e mais de 500 relacionamentos indiretos na cadeia de suprimentos.

Análise da Proliferação de Credenciais:

  • Os contratados principais gerenciam, em média, 847 contas de usuários terceirizados
  • Cada usuário terceirizado exige 2,3 conjuntos distintos de credenciais em diferentes níveis de classificação
  • Os eventos do ciclo de vida das credenciais (provisionamento, modificação, revogação) ocorrem 67 vezes por dia em grandes contratados
  • Os processos manuais de gerenciamento de credenciais introduzem erros em 23% dos eventos do ciclo de vida

Requisitos de Acesso vs. Controle de Segurança

Os requisitos de acesso de terceiros criam uma tensão fundamental entre a necessidade operacional e o controle de segurança:

Necessidades de Acesso ao Programa:

  • Subcontratados de projeto e engenharia precisam de acesso a sistemas técnicos
  • Parceiros de fabricação precisam de credenciais de sistemas de produção
  • Contratados de teste e validação devem acessar sistemas de garantia de qualidade
  • Provedores de logística precisam de acesso a sistemas de gerenciamento da cadeia de suprimentos

Desafios de Controle de Segurança:

  • 43% das credenciais de terceiros permanecem ativas além da conclusão do contrato
  • O compartilhamento de credenciais entre o pessoal de subcontratados ocorre em 67% das organizações
  • O provisionamento de acesso emergencial contorna os controles normais de segurança em 78% das vezes
  • Os processos de revogação de credenciais levam em média 4,2 dias, criando janelas estendidas de vulnerabilidade

Vetores de Ataque na Cadeia de Suprimentos

Os adversários visam cada vez mais as credenciais da cadeia de suprimentos como um caminho eficiente para as redes dos contratados principais:

Alvo em Subcontratados: fornecedores menores geralmente têm infraestrutura de segurança menos robusta, o que facilita o comprometimento de credenciais. Uma vez obtidas, as credenciais dos fornecedores fornecem acesso legítimo aos sistemas dos contratados principais.

Exploração da Reutilização de Credenciais: 56% dos subcontratados de defesa usam padrões de credenciais semelhantes em múltiplos contratados principais, permitindo movimento lateral entre programas de defesa.

Persistência de Longo Prazo: o acesso na cadeia de suprimentos geralmente envolve cronogramas de projeto estendidos, permitindo que os invasores mantenham acesso persistente por meio de padrões legítimos de uso de credenciais.

Quantificação do Risco de Terceiros

A Pesquisa Global de Crimes Econômicos 2024 da PwC identifica fatores de risco específicos para as cadeias de suprimentos de defesa:

Multiplicadores de Probabilidade:

  • Organizações com 100 a 250 usuários terceirizados: probabilidade de violação 180% maior
  • Organizações com 250 a 500 usuários terceirizados: probabilidade de violação 280% maior
  • Organizações com mais de 500 usuários terceirizados: probabilidade de violação 340% maior

Amplificadores de Impacto:

  • As violações na cadeia de suprimentos custam 89% mais do que as violações internas devido à complexidade
  • O tempo de resposta a incidentes aumenta 67% quando credenciais de terceiros estão envolvidas
  • Os requisitos de relatórios regulatórios adicionam um custo médio de US$ 340 mil para incidentes na cadeia de suprimentos

Falhas no Gerenciamento de Credenciais de Fornecedores

As abordagens tradicionais de gerenciamento de fornecedores falham porque se concentram na avaliação do fornecedor, e não no controle de credenciais:

Limitações da Avaliação de Risco de Fornecedores:

  • As avaliações analisam as capacidades de segurança do fornecedor, não a arquitetura de segurança de credenciais
  • Questionários e auditorias fornecem instantâneos pontuais, não controle contínuo de credenciais
  • As classificações de segurança dos fornecedores não se correlacionam com a probabilidade de comprometimento de credenciais

Lacunas no Controle Contratual:

  • Os requisitos de segurança normalmente especificam controles que os fornecedores devem implementar, não a arquitetura de credenciais
  • As cláusulas de notificação de violação são ativadas após o comprometimento das credenciais, não antes
  • A alocação de responsabilidade não aborda a causa raiz da vulnerabilidade das credenciais

Complexidade de Integração:

  • Cada fornecedor pode usar um sistema diferente de gerenciamento de credenciais, criando desafios de integração
  • As soluções de login único (SSO) reduzem o atrito do usuário, mas mantêm a vulnerabilidade das credenciais
MyCena
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.