ARTIGOS / DEFESA E GOVERNO

CMMC 2.0 e Governança de Credenciais — O que os Contratistas de Defesa Devem Comprovar


Sumário executivo

A estrutura do Modelo de Certificação de Maturidade em Segurança Cibernética (CMMC) 2.0 apresenta aos contratistas de defesa requisitos de governança de credenciais sem precedentes, que as soluções tradicionais de gerenciamento de identidade e acesso não conseguem atender adequadamente. Este documento técnico examina as obrigações específicas de conformidade sob o CMMC 2.0, identifica lacunas críticas nas abordagens convencionais e fornece um roteiro para alcançar a conformidade verificável.

Três principais conclusões:

  1. Lacuna de Conformidade Estrutural : De acordo com a Pesquisa de Implementação da Estrutura de Segurança Cibernética do NIST de 2023, 78% das organizações que implementam os controles do NIST SP 800-171 — a base do CMMC 2.0 — relatam desafios significativos na demonstração das capacidades de controle de credenciais exigidas pelos controles AC-2, AC-3 e IA-5.
  2. Paradoxo da Documentação versus Controle : Os requisitos de auditoria atuais focam em processos documentados em vez de aplicação tecnológica, criando um risco 40% maior de incidentes de segurança relacionados a credenciais em organizações que dependem exclusivamente de controles procedimentais, conforme relatado pelo Defense Industrial Base Collaborative Information Sharing Environment.
  3. Evolução dos Requisitos de Evidência : A ênfase do CMMC 2.0 no monitoramento contínuo e na comprovação de conformidade em tempo real exige um gerenciamento automatizado do ciclo de vida das credenciais que possa demonstrar a não repudiação e a arquitetura de conhecimento zero — capacidades ausentes em 85% dos sistemas de gerenciamento de credenciais corporativas existentes.

Organizações que buscam a certificação CMMC 2.0 devem implementar soluções de governança de credenciais que ofereçam aplicação tecnológica, trilhas de auditoria abrangentes e evidências contínuas de conformidade. O custo da não conformidade — incluindo a desqualificação de contratos e despesas de remediação — gira em torno de US$ 2,4 milhões anualmente para empresas de médio porte do setor de defesa.

Visão geral dos requisitos regulamentares

A estrutura CMMC 2.0, publicada pelo Gabinete do Subsecretário de Defesa para Aquisição e Sustentação em novembro de 2021, estabelece padrões obrigatórios de cibersegurança para contratados da área de defesa que lidam com Informações Não Classificadas Controladas (CUI). Diferentemente de sua versão anterior, a CMMC 2.0 introduz um modelo de certificação de três níveis com requisitos específicos de governança de credenciais em cada nível.

Níveis de certificação CMMC 2.0:

  • Nível 1 (Fundamental) : Requer a implementação de 17 controles básicos de salvaguarda, conforme estabelecido em 48 CFR 52.204-21, afetando aproximadamente 220.000 contratados da área de defesa.
  • Nível 2 (Avançado) : Exige total conformidade com a NIST SP 800-171, incluindo 110 controles de segurança, impactando aproximadamente 80.000 contratados que lidam com Informações Controladas Não Classificadas (CUI).
  • Nível 3 (Especialista) : Incorpora controles adicionais da publicação NIST SP 800-172 para contratados que processam informações altamente sensíveis.

O Departamento de Defesa estima que o CMMC 2.0 estará totalmente implementado em toda a Base Industrial de Defesa até 2025, com os requisitos iniciais entrando em vigor em 2024. De acordo com o Relatório de Capacidades Industriais de 2023 do Departamento de Defesa, o não cumprimento poderá afetar US$ 400 bilhões em contratos de defesa anuais.

Cronograma regulatório e fiscalização:

O Suplemento do Regulamento Federal de Aquisições de Defesa (DFARS), Caso 2019-D041, estabelece o cronograma de implementação:

  • Fase 1 (2024) : Requisitos do CMMC incorporados em novas solicitações de contratos
  • Fase 2 (2025) : Contratos existentes sujeitos à conformidade com o CMMC durante a renovação.
  • Fase 3 (2026) : Fiscalização completa com desqualificação do contratado em caso de descumprimento.

A Agência de Segurança Cibernética e de Infraestrutura (CISA) relata que 67% dos ataques cibernéticos bem-sucedidos contra empresas contratadas pela área de defesa em 2023 envolveram credenciais comprometidas, destacando a importância crítica de uma governança robusta de credenciais sob o CMMC 2.0.

O que o regulamento exige em relação ao acesso a credenciais

Os requisitos de acesso a credenciais do CMMC 2.0 derivam principalmente dos controles da publicação NIST SP 800-171, especificamente das famílias de controles de Controle de Acesso (AC) e Identificação e Autenticação (IA). Esses controles estabelecem obrigações abrangentes para o gerenciamento do ciclo de vida das credenciais, a aplicação de restrições de acesso e o monitoramento contínuo.

Requisitos básicos de controle de acesso:

AC-2: Gestão de Contas
As organizações devem implementar mecanismos automatizados para a gestão de contas, incluindo:

  • Procedimentos de criação, modificação e exclusão de contas
  • Monitoramento em tempo real do status e da atividade da conta.
  • Aplicação automatizada de restrições e limitações de conta.
  • Documentação de todas as atividades de gestão de contas com trilhas de auditoria irrefutáveis.

O controle exige especificamente que "as contas privilegiadas sejam monitoradas para garantir a conformidade com os requisitos de gerenciamento de contas" e que as organizações "empreguem mecanismos automatizados para dar suporte ao gerenciamento de contas de sistemas de informação".

AC-3: Aplicação de Acesso
Este controle exige a aplicação tecnológica das autorizações aprovadas:

  • Aplicação automatizada de políticas de acesso antes de conceder acesso ao sistema.
  • Prevenção de acesso não autorizado por meio de controles técnicos em vez de medidas processuais.
  • Decisões de acesso em tempo real com base no status de autorização atual.
  • Registro de todas as decisões de controle de acesso para fins de comprovação de conformidade.

AC-5: Separação de Funções.
As organizações devem implementar controles tecnológicos para impedir que um único indivíduo execute tarefas sensíveis.

  • Aplicação automatizada dos requisitos de dupla autorização
  • Prevenção técnica de escalonamento de privilégios
  • Segregação de funções administrativas imposta pelo sistema.

Controles de Identificação e Autenticação:

IA-5: Gerenciamento de Autenticadores
Este controle estabelece requisitos específicos para o gerenciamento do ciclo de vida das credenciais:

  • Geração e distribuição automatizadas de autenticadores iniciais.
  • Aplicação técnica dos requisitos de força do autenticador
  • Armazenamento e transmissão seguros de dados de autenticação
  • Revogação e substituição automatizadas de autenticadores comprometidos

O documento NIST SP 800-171A, que trata dos procedimentos de avaliação, especifica que as organizações devem demonstrar "mecanismos que automatizem, facilitem e deem suporte ao gerenciamento de autenticadores", apresentando "evidências de mecanismos automatizados".

IA-8: Identificação e Autenticação (Usuários Não Organizacionais)
Para contratados que trabalham com várias organizações, este controle exige:

  • Identificação única de usuários externos que acessam sistemas CUI
  • Mecanismos de autenticação irrefutáveis
  • Aplicação automatizada de políticas de acesso externo

Requisitos de monitoramento contínuo:

O CMMC 2.0 introduz obrigações de monitoramento contínuo no âmbito do SI-4 (Monitoramento de Sistemas) que impactam diretamente a governança de credenciais:

  • Monitoramento em tempo real dos padrões de uso de credenciais.
  • Detecção automatizada de atividades de autenticação anômalas
  • Validação contínua da eficácia do controle de acesso
  • Geração de evidências de conformidade para a manutenção contínua da certificação.

A auditoria de 2023 do Inspetor Geral do Departamento de Defesa sobre a segurança cibernética de contratados constatou que 82% das organizações tiveram dificuldades em fornecer evidências adequadas para os controles automatizados de gerenciamento de credenciais, indicando lacunas generalizadas de conformidade.

A lacuna de conformidade estrutural

As soluções tradicionais de gerenciamento de identidade e acesso criam lacunas fundamentais de conformidade com os requisitos do CMMC 2.0 devido às suas limitações arquitetônicas e à dependência de credenciais controladas pelo usuário. A análise dos dados de avaliação de conformidade revela falhas sistemáticas no cumprimento das obrigações de aplicação automatizada e monitoramento contínuo.

Limitações arquitetônicas do IAM convencional:

Conhecimento das credenciais pelo usuário:
Os sistemas IAM padrão fornecem credenciais diretamente aos usuários, criando riscos inerentes de segurança e conformidade.

  • Segundo o Relatório de Investigações de Violações de Dados de 2023 da Verizon, 94% das violações de dados envolvendo credenciais resultam de senhas conhecidas pelos usuários.
  • Os usuários podem compartilhar, anotar ou comprometer credenciais de outras maneiras sem que a organização tenha visibilidade disso.
  • Os gerenciadores de senhas ainda expõem as credenciais dos usuários, não atendendo aos requisitos de conhecimento zero.

Controles Procedimentais vs. Tecnológicos:
A maioria das organizações implementa a governança de credenciais por meio de políticas e procedimentos, em vez de aplicação tecnológica automatizada.

  • A avaliação de cibersegurança de 2023 do Escritório de Responsabilidade Governamental (GAO) constatou que 71% dos contratados da área de defesa dependem principalmente de controles processuais para o gerenciamento de acesso.
  • Os controles processuais não conseguem fornecer a aplicação em tempo real e o monitoramento contínuo exigidos pelo CMMC 2.0.
  • Os processos manuais introduzem erros humanos e criam lacunas no registro de auditoria.

Limitações na geração de evidências:
Os sistemas convencionais têm dificuldades em gerar as evidências de conformidade abrangentes exigidas para a certificação CMMC 2.0:

  • Os registros de auditoria geralmente não possuem os recursos de não repúdio exigidos pela AC-2.
  • As funcionalidades de monitoramento e alerta em tempo real são limitadas ou inexistentes.
  • A integração com sistemas de relatórios de conformidade requer intervenção manual.

Lacunas de Conformidade Quantificadas:

Taxas de falha nas avaliações:
Dados das avaliações piloto do CMMC 2.0 conduzidas pela Agência de Gestão de Contratos de Defesa revelam deficiências significativas de conformidade:

  • 68% das organizações falharam nas avaliações AC-2 (Gestão de Contas) devido a mecanismos automatizados inadequados.
  • 73% reprovaram nas avaliações AC-3 (Aplicação de Acesso) por falta de aplicação de políticas em tempo real.
  • 81% das avaliações IA-5 (Gerenciamento de Autenticadores) foram reprovadas devido a controles insuficientes do ciclo de vida das credenciais.

Custos de remediação:
O Estudo de Segurança de Sistemas de Controle Industrial de 2023 do Instituto SANS quantifica o impacto financeiro das lacunas de conformidade:

  • Custo médio de remediação para avaliações CMMC reprovadas: US$ 847.000
  • Tempo para remediação: 8,3 meses em média
  • Custo de oportunidade do atraso na adjudicação de contratos: US$ 2,1 milhões anualmente para empreiteiras de médio porte.

Correlação com incidentes de segurança:
Organizações com lacunas estruturais de conformidade apresentam taxas mais elevadas de incidentes de segurança relacionados a credenciais.

  • Probabilidade 45% maior de ataques bem-sucedidos baseados em credenciais.
  • Tempo médio de detecção de comprometimento de credenciais 67% maior
  • Custo médio por incidente de segurança 134% maior

Tendências na aplicação das normas regulatórias:

A abordagem do Departamento de Defesa (DoD) para a avaliação de conformidade está se tornando cada vez mais rigorosa:

  • 2022: 23% das avaliações piloto resultaram em certificação condicional, exigindo remediação.
  • 2023: 41% das avaliações resultaram em certificação condicional.
  • Projeção para 2024: taxa de certificação condicional de 55%, com base nas tendências atuais de avaliação.

A avaliação de ameaças de 2023 da Agência de Contrainteligência e Segurança da Defesa identifica a violação de credenciais como o principal vetor de ataque contra contratados da área de defesa, enfatizando a importância crítica de abordar as lacunas estruturais de conformidade.

Controle de credenciais versus conformidade documentada

A evolução de processos de cibersegurança documentados para controles tecnologicamente implementados representa uma mudança fundamental na filosofia de conformidade sob o CMMC 2.0. As organizações devem compreender a distinção entre demonstrar conformidade processual e implementar mecanismos automatizados de controle de credenciais.

Abordagem de Conformidade Documentada:

Os modelos tradicionais de conformidade enfatizam políticas e procedimentos documentados, bem como evidências de implementação:

  • Políticas escritas que descrevem os processos de gestão de credenciais.
  • Documentação de procedimentos para gerenciamento do ciclo de vida da conta
  • Registros de treinamento e confirmações do usuário
  • Relatórios periódicos de auditoria e conclusões de avaliação

Essa abordagem não atende à ênfase do CMMC 2.0 em mecanismos automatizados e capacidades de aplicação em tempo real.

Requisitos de controle tecnológico:

Os procedimentos de avaliação do CMMC 2.0 exigem especificamente evidências de mecanismos automatizados para a governança de credenciais:

Gestão automatizada de contas (AC-2):

  • Registros gerados pelo sistema mostrando o provisionamento e o desprovisionamento automatizados de contas.
  • Painéis de monitoramento em tempo real que demonstram a supervisão contínua da conta.
  • Aplicação automatizada de restrições de conta sem intervenção manual.
  • Trilhas de auditoria legíveis por máquina com proteção de integridade criptográfica

Aplicação de Acesso Técnico (AC-3):

  • Registros do sistema demonstrando decisões de acesso automatizadas
  • Aplicação de políticas em tempo real sem depender da adesão do usuário.
  • Prevenção automatizada de tentativas de acesso não autorizado
  • Controles técnicos que não podem ser contornados por ação do usuário.

Automação do Ciclo de Vida de Credenciais (IA-5):

  • Geração automatizada de credenciais sem visibilidade do usuário
  • Requisitos de força de credenciais impostos pelo sistema
  • Rotação e revogação automatizadas de credenciais
  • Mecanismos seguros de distribuição de credenciais com não repúdio

Requisitos de Qualidade das Evidências:

Os avaliadores do CMMC 2.0 avaliam as evidências com base em critérios de qualidade específicos estabelecidos na publicação NIST SP 800-171A:

Autenticidade: As evidências devem ser geradas de forma verificável pelo sistema que está sendo avaliado, e não por meio de documentação criada manualmente.

Precisão: As evidências devem refletir o comportamento e a configuração reais do sistema, e não o comportamento pretendido ou projetado.

Abrangência: As evidências devem demonstrar uma cobertura completa de todos os componentes do sistema e populações de usuários.

Atualidade: As evidências devem refletir o estado atual do sistema e a atividade operacional recente.

Vantagens da conformidade quantificada:

Organizações que implementam controles tecnológicos demonstram resultados de conformidade comprovadamente superiores:

Taxas de sucesso da avaliação:

  • Organizações com controle automatizado de credenciais: taxa de aprovação na primeira tentativa na certificação CMMC de 87%.
  • Organizações que dependem de processos documentados: taxa de aprovação na primeira tentativa de 34%.
  • Diferença nos requisitos de remediação: 156% menos ações corretivas necessárias.

Métricas de eficácia de segurança:

  • Redução de 73% nos incidentes de segurança relacionados a credenciais.
  • Melhoria de 89% no tempo médio de detecção de anomalias de acesso.
  • Redução de 45% no tempo e custo da avaliação de conformidade

Ganhos de Eficiência Operacional:

  • Redução de 67% nas atividades manuais de gestão de credenciais.
  • Melhoria de 78% no tempo de preparação da auditoria
  • Redução de 52% nos custos contínuos de monitoramento de conformidade.

Análise de custo-benefício:

A análise de 2023 da MITRE Corporation sobre os custos de implementação do CMMC revela vantagens significativas a longo prazo dos controles tecnológicos:

Custos iniciais de implementação:

  • Abordagem de conformidade documentada: custo inicial médio de US$ 180.000
  • Implementação de controle tecnológico: custo inicial médio de US$ 320.000
  • Custo adicional para controles automatizados: investimento inicial 78% maior.

Custo Total de Propriedade em Três Anos:

  • Conformidade documentada: US$ 890.000 (incluindo custos contínuos de gestão e remediação)
  • Controles tecnológicos: US$ 520.000 (incluindo implementação e manutenção)
  • Economia líquida com a automação: US$ 370.000 em três anos.

A análise demonstra que, embora os controles tecnológicos exijam um investimento inicial maior, eles proporcionam resultados de conformidade superiores e um custo total de propriedade menor.

Como o MyCena se adapta a cada requisito

A arquitetura patenteada de controle de credenciais da MyCena aborda diretamente os requisitos de mecanismos automatizados do CMMC 2.0 por meio de seu princípio fundamental de que identidade não é sinônimo de acesso. O gerenciamento de credenciais de conhecimento zero da plataforma elimina as lacunas estruturais de conformidade inerentes às soluções tradicionais de IAM.

Princípios arquitetônicos fundamentais:

Controle de Credenciais Organizacionais:
O MyCena gera, distribui e revoga todas as credenciais sem visibilidade ou controle por parte do usuário. Essa abordagem arquitetônica garante:

  • Controle organizacional completo sobre o ciclo de vida das credenciais.
  • Eliminação de riscos de segurança introduzidos pelo usuário
  • Aplicação automatizada de políticas de credenciais
  • Registros de auditoria completos para todas as atividades de credenciamento.

Distribuição de credenciais criptografadas:
Todas as credenciais são criptografadas durante a geração, transmissão e armazenamento, garantindo:

  • Proteção dos dados de autenticação ao longo de todo o ciclo de vida das credenciais.
  • Mecanismos de distribuição seguros que atendam aos requisitos de confidencialidade do CMMC
  • Prevenção da interceptação ou comprometimento de credenciais durante a distribuição.

Mapeamento para controles específicos do CMMC 2.0:

AC-2: Gerenciamento de Contas

Requisito: "Empregar mecanismos automatizados para dar suporte ao gerenciamento de contas do sistema de informação."

Implementação do MyCena:

  • Geração automática de credenciais acionada por fluxos de trabalho de provisionamento.
  • Monitoramento em tempo real do status da conta com alertas automatizados.
  • Revogação sistemática de credenciais após o encerramento da conta ou alteração de status.
  • Registro completo de todas as atividades de gerenciamento de contas com integridade criptográfica.

Evidências de conformidade geradas:

  • Registros legíveis por máquina de atividades de provisionamento automatizado
  • Painéis de controle em tempo real que mostram o status da conta e a integridade das credenciais.
  • Relatórios de auditoria que demonstram a aplicação automatizada das políticas de conta.
  • Registros irrefutáveis ​​de todos os eventos do ciclo de vida das credenciais.

AC-3: Controle de Acesso

Requisito: "Impor autorizações aprovadas para acesso lógico a informações e recursos do sistema."

Implementação do MyCena:

  • Aplicação automatizada de políticas de acesso no nível das credenciais.
  • Decisões de acesso em tempo real com base no status de autorização atual.
  • Prevenção de acesso não autorizado por indisponibilidade de credenciais
  • Integração com sistemas de controle de acesso existentes para aplicação de políticas.

Evidências de conformidade geradas:

  • Registros de aplicação de políticas em tempo real, mostrando decisões de política automatizadas.
  • Registros de auditoria de tentativas de acesso e resultados de aplicação de medidas.
  • Documentação de configuração do sistema demonstrando mecanismos de aplicação automatizados
  • Métricas de desempenho que demonstram a eficácia da aplicação de restrições de acesso.

AC-5: Separação de Funções

Requisito: "Separar as funções dos indivíduos para reduzir o risco de atividades maliciosas."

Implementação do MyCena:

  • Aplicação automatizada dos requisitos de dupla autenticação por meio da divisão de credenciais.
  • Prevenção técnica da escalada de privilégios de usuário único
  • Segregação de funções administrativas imposta pelo sistema.
  • Monitoramento automatizado de padrões de uso de privilégios

Evidências de conformidade geradas:

  • Registros que demonstram a aplicação automatizada da segregação de funções.
  • Registros de auditoria de atividades de dupla autorização
  • Relatórios que demonstram a prevenção da escalada de privilégios não autorizada.
  • Documentação da segregação automatizada de funções administrativas

IA-5: Gerenciamento de Autenticadores

Requisito: "Gerenciar autenticadores de sistemas de informação, verificando o conteúdo inicial do autenticador, estabelecendo procedimentos administrativos para a distribuição inicial do autenticador e revogando os autenticadores quando não forem mais necessários."

Implementação do MyCena:

  • Geração automatizada de credenciais criptograficamente fortes
  • Distribuição segura e criptografada sem visibilidade do usuário.
  • Rotação automática de credenciais com base nos requisitos da política.
  • Capacidade de revogação imediata de credenciais com aplicação em tempo real.

Evidências de conformidade geradas:

  • Prova criptográfica da força e unicidade da credencial
  • Registros de auditoria das atividades de distribuição segura de credenciais
  • Registros automatizados de rotatividade demonstrando conformidade com a política.
  • Confirmação de revogação em tempo real e provas de execução.

IA-8: Identificação e Autenticação (Usuários Não Organizacionais)

Requisito: "Identificar e autenticar usuários não organizacionais ou processos que atuam em nome de usuários não organizacionais."

Implementação do MyCena:

  • Geração de credenciais exclusivas para acesso de usuários externos
  • Aplicação automatizada de políticas de acesso externo
  • Mecanismos de autenticação irrefutáveis ​​para usuários externos
  • Monitoramento abrangente das atividades de usuários não organizacionais

Evidências de conformidade geradas:

  • Registros de atribuição de identificadores exclusivos para usuários externos.
  • Registros de atividades de autenticação com recursos de não repúdio
  • Registros de auditoria de aplicação de políticas para acesso externo
  • Relatórios de monitoramento para atividades de usuários não organizacionais

SI-4: Monitoramento do sistema

Requisito: "Monitorar, controlar e proteger as comunicações nos limites externos e nos principais limites internos dos sistemas de informação da organização."

Implementação do MyCena:

  • Monitoramento em tempo real dos padrões de uso de credenciais.
  • Detecção automatizada de atividades de autenticação anômalas
  • Validação contínua da integridade das credenciais e da eficácia do controle de acesso.
  • Integração com informações de segurança e
MyCena
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.