A diretiva recente do Pentágono para suspender a Booz Allen Hamilton de novos contratos classificados, após uma violação de credenciais que expôs comunicações militares sensíveis, ilustra uma realidade dura: a gestão tradicional de identidade não consegue atender aos requisitos em evolução do CMMC 2.0 e do NIST 800-171. O incidente, que envolveu credenciais de administrador comprometidas levando a acesso não autorizado a sistemas de defesa, custou ao contratante US$ 75 milhões em receita perdida e danificou décadas de relacionamentos com clientes.
A lacuna de controle de credenciais na contratação de defesa
Os contratantes de defesa enfrentam uma convergência regulatória sem precedentes. O processo obrigatório de certificação do CMMC 2.0, combinado com os 110 requisitos de segurança do NIST 800-171, cria um framework de conformidade que as soluções atuais de identidade não conseguem atender adequadamente. O problema central não está na força da autenticação, mas na arquitetura de controle de credenciais.
A prática atual do setor permite que os usuários criem, gerenciem e armazenem suas próprias credenciais. Esse princípio de projeto fundamental entra em conflito com a exigência do CMMC 2.0 de “controle organizacional sobre autenticadores” e com o mandato do NIST 800-171 de “acesso controlado com base em autorizações aprovadas”. Quando os usuários detêm suas credenciais — mesmo que criptografadas —, a organização não consegue demonstrar o nível de controle que esses frameworks exigem.
A ênfase do Departamento de Defesa em conformidade baseada em evidências significa que os contratantes devem provar, e não apenas afirmar, que as credenciais permanecem sob autoridade organizacional durante todo o seu ciclo de vida. Os sistemas tradicionais de gestão de identidade criam uma lacuna de evidências: eles podem registrar eventos de autenticação, mas não conseguem demonstrar custódia organizacional contínua dos próprios fatores de autenticação.
A escala das violações relacionadas a credenciais na contratação governamental
Dados federais revelam a magnitude do comprometimento de credenciais na base industrial de defesa. A Cybersecurity and Infrastructure Security Agency (CISA) relatou que 82% das violações envolvendo contratantes governamentais em 2023 tiveram o mau uso de credenciais como vetor principal de ataque. Desses incidentes, 67% envolveram credenciais que eram tecnicamente “seguras” — atendiam aos requisitos de complexidade e estavam protegidas por autenticação multifator.
A mais recente avaliação de ameaças da Defense Counterintelligence and Security Agency identificou o roubo de credenciais como o método de acesso inicial mais comum usado por atores estatais contra contratantes de defesa. O tempo médio de permanência de credenciais comprometidas em ambientes de contratantes de defesa chegou a 287 dias em 2023, segundo o CrowdStrike Government Sector Threat Report.
Talvez mais significativamente, a análise da Government Accountability Office sobre as avaliações piloto do CMMC constatou que 73% dos contratantes participantes falharam nos requisitos relacionados à gestão do ciclo de vida de credenciais. A deficiência mais comum foi a incapacidade de demonstrar controle organizacional sobre os fatores de autenticação usados por funcionários e terceiros.
Essas estatísticas refletem um problema arquitetural fundamental, e não falhas de implementação. As organizações não conseguem controlar o que não possuem, e os sistemas tradicionais de identidade são projetados com base na premissa de que os usuários, em última análise, detêm suas credenciais de autenticação.
Por que as soluções atuais de identidade não resolvem o controle de credenciais
As plataformas de Identity and Access Management (IAM) são excelentes para gerenciar identidades de usuários e políticas de acesso, mas geralmente dependem de credenciais controladas pelo usuário. Seja armazenadas em gerenciadores de senhas, aplicativos autenticadores móveis ou tokens de hardware, a credencial acaba residindo com o usuário. Isso cria uma lacuna inerente de controle organizacional que nenhuma quantidade de políticas ou monitoramento consegue preencher.
Os sistemas de Privileged Access Management enfrentam limitações semelhantes. Embora possam guardar e rotacionar senhas para contas de sistema, eles não conseguem eliminar credenciais controladas pelo usuário para acesso humano. O usuário privilegiado ainda precisa se autenticar usando credenciais que ele possui, criando a mesma lacuna de controle em um nível de privilégio mais alto.
O Single Sign-On reduz a proliferação de credenciais, mas não elimina o controle do usuário sobre os fatores de autenticação primários. A autenticação multifator fortalece a verificação, mas geralmente depende de dispositivos e aplicativos pertencentes ao usuário. As arquiteturas Zero Trust melhoram as decisões de autorização, mas ainda dependem de credenciais controladas pelo usuário para a autenticação inicial.
Essas soluções abordam a força da autenticação e a aplicação de políticas de acesso, mas nenhuma altera fundamentalmente a relação de controle entre usuário e credencial. Sob escrutínio regulatório, essa premissa arquitetural se torna um passivo de conformidade.
Separação estrutural entre identidade e acesso
A solução está em reconhecer que a verificação de identidade e a habilitação de acesso são funções distintas que podem ser separadas arquiteturalmente. Em vez de melhorar o controle do usuário sobre as credenciais, as organizações podem eliminá-lo completamente por meio de sistemas de geração e distribuição de credenciais que mantêm a custódia institucional.
A abordagem da MyCena representa essa mudança estrutural. A plataforma gera credenciais únicas para cada combinação de usuário e recurso, criptografa-as usando chaves controladas pela organização e distribui o acesso sem expor as credenciais aos usuários. Do ponto de vista do usuário, o acesso parece fluido. Do ponto de vista da organização, todas as credenciais permanecem sob controle institucional durante todo o seu ciclo de vida.
Essa arquitetura permite que as organizações atendam à exigência do CMMC 2.0 de “controle organizacional sobre autenticadores” e aos mandatos de “acesso controlado” do NIST 800-171 por meio de medidas técnicas, e não apenas políticas. Os usuários não conseguem compartilhar, roubar ou comprometer credenciais que nunca possuem. O phishing se torna ineficaz quando não há credenciais visíveis para o usuário como alvo.
A abordagem também atende às exigências de evidências que os frameworks de conformidade cada vez mais enfatizam. As organizações podem demonstrar custódia contínua de credenciais, fornecer logs detalhados de acesso sem preocupações de privacidade e revogar o acesso instantaneamente, sem depender da cooperação do usuário ou da disponibilidade do dispositivo.
Implicações para a conformidade de contratantes de defesa
Os contratantes de defesa que avaliam a prontidão para o CMMC 2.0 devem examinar sua arquitetura de controle de credenciais pela lente da custódia organizacional, e não apenas da força da autenticação. A questão não é se as credenciais são seguras, mas se a organização mantém controle contínuo sobre elas.
Essa avaliação arquitetural se torna particularmente crítica para contratantes que lidam com Informações Não Classificadas Controladas (CUI) ou que buscam níveis mais altos do CMMC. O aumento do escrutínio do Departamento de Defesa sobre controles de segurança relacionados a credenciais sugere que as abordagens tradicionais de gestão de identidade podem se tornar insuficientes para futuras concessões de contratos.
Os contratantes devem avaliar as soluções com base na capacidade de eliminar, e não apenas gerenciar, o controle do usuário sobre as credenciais. O objetivo não é uma autenticação mais forte, mas a custódia organizacional dos fatores de autenticação. Essa mudança de abordagem alinha a arquitetura técnica aos requisitos regulatórios e fornece a base de evidências que as avaliações do CMMC 2.0 exigirão.
O ambiente regulatório da indústria de defesa cada vez mais exige provas, e não promessas, de controle de segurança. Uma arquitetura de credenciais que mantém custódia institucional oferece tanto a postura de segurança quanto a base probatória que esses frameworks requerem.