WHITEPAPERS / PROVEDORES DE SERVIçOS GERENCIADOS

Garantia de Credenciais por Terceiros: O Serviço Gerenciado que Clientes Regulados Vão Exigir de Seus BPOs e MSPs


Resumo Executivo

A crise de gerenciamento de credenciais nas relações com terceiros representa um ponto cego crítico para empresas reguladas. Embora 94% das organizações dependam de terceirizadores de processos de negócio (BPOs) e provedores de serviços gerenciados (MSPs), apenas 23% mantêm visibilidade sobre como suas credenciais são gerenciadas por esses parceiros, segundo o Estudo de Gerenciamento de Risco de Terceiros de 2023 do Ponemon Institute.

Três descobertas principais emergem da análise atual do mercado:

Primeiro, as abordagens existentes de gerenciamento de credenciais criam vulnerabilidades estruturais. Gerenciadores de senhas tradicionais e soluções de identidade ainda colocam as credenciais nas mãos dos usuários, criando pontos de exposição inevitáveis. O funcionário médio de um MSP tem acesso a 87 sistemas diferentes de clientes, com credenciais frequentemente armazenadas em planilhas compartilhadas ou gerenciadores de senhas básicos, vulneráveis a ameaças internas e ataques externos.

Segundo, os frameworks regulatórios estão evoluindo rapidamente para exigir o controle de credenciais. A Diretiva NIS2 da UE (Artigo 21) exige "medidas de segurança na cadeia de suprimentos, incluindo aspectos relacionados à segurança nas relações entre cada entidade e seus fornecedores diretos ou prestadores de serviço". Da mesma forma, os requisitos de Resiliência Operacional da FCA sob a PS21/3 exigem "controles apropriados sobre o acesso de terceiros a serviços de negócio críticos".

Terceiro, violações relacionadas a credenciais em relações com terceiros acarretam custos desproporcionais. O Relatório de Custo de Violação de Dados de 2023 da IBM identifica que violações envolvendo terceiros são 13% mais caras que a média, com setores regulados enfrentando penalidades adicionais de, em média, £4,2 milhões por incidente.

A solução exige uma mudança arquitetural fundamental: as organizações devem reter controle completo sobre a geração, distribuição e revogação de credenciais, ao mesmo tempo em que viabilizam operações contínuas com terceiros. Este whitepaper examina os requisitos estruturais para alcançar esse controle.

A Lacuna no Controle de Credenciais

A empresa moderna opera por meio de uma intrincada rede de relações com terceiros. A Pesquisa de Risco de Terceiros de 2023 da Deloitte revela que grandes organizações mantêm, em média, 5.800 relações com terceiros, sendo que 78% delas exigem credenciais de acesso a sistemas. No entanto, as abordagens atuais de gerenciamento de credenciais nessas relações permanecem fundamentalmente falhas.

Escala do Acesso de Terceiros

Os números ilustram a magnitude da exposição. Uma empresa típica da Fortune 500 concede acesso a sistemas para:

  • Mais de 2.400 funcionários de BPOs e MSPs em múltiplos fusos horários
  • Mais de 340 organizações fornecedoras diferentes
  • Mais de 15 países com regulamentações distintas de proteção de dados
  • Mais de 890 aplicações e sistemas diferentes que exigem autenticação

Cada ponto de acesso representa um vetor de vulnerabilidade potencial. O Relatório de Investigações de Violação de Dados de 2023 da Verizon indica que 15% das violações envolvem acesso de terceiros, sendo o comprometimento de credenciais o vetor de ataque em 73% desses incidentes.

Abordagens Atuais de Gerenciamento

As organizações normalmente gerenciam credenciais de terceiros por meio de uma de quatro abordagens, cada uma com limitações inerentes:

Credenciais de Contas Compartilhadas: 43% das organizações ainda usam contas compartilhadas para acesso de terceiros. Essas credenciais, frequentemente armazenadas em gerenciadores de senhas básicos ou sistemas de documentação, não oferecem responsabilização individual e são difíceis de revogar de forma granular.

Provisionamento de Contas Individuais: 38% provisionam contas individuais, mas dependem dos terceiros para gerenciar a segurança das credenciais. Essa abordagem transfere o risco sem transferir a responsabilização, criando lacunas de visibilidade quando ocorrem incidentes.

Federação de Identidade: 15% tentam estender seus sistemas de identidade a terceiros por meio de protocolos de federação. No entanto, isso ainda exige que os terceiros gerenciem repositórios locais de credenciais, mantendo a exposição fundamental.

Gerenciamento de Acesso Privilegiado (PAM): 4% implantam soluções de PAM para acesso de terceiros. Embora represente uma melhoria em relação às outras abordagens, o PAM tradicional ainda exige visibilidade de credenciais nos endpoints, criando superfícies de ataque.

Expectativas Regulatórias

Os frameworks regulatórios reconhecem cada vez mais essa lacuna. As Diretrizes sobre Terceirização da Autoridade Bancária Europeia (EBA/GL/2019/02) exigem especificamente que "as instituições devem garantir que os direitos de acesso sejam adequadamente gerenciados" e que "medidas de segurança apropriadas sejam implementadas para proteger contra acesso não autorizado".

A orientação sobre Relações com Terceiros do Office of the Comptroller of the Currency dos EUA (OCC 2020-10) determina que "os bancos devem implementar controles apropriados para restringir o acesso de terceiros apenas aos sistemas e dados necessários para a execução dos serviços contratados".

Esses requisitos compartilham elementos comuns: as organizações devem manter o controle sobre as credenciais de acesso, ao mesmo tempo em que viabilizam as operações de terceiros. As abordagens atuais não atendem a esse padrão.

O Custo do Fracasso

O impacto financeiro do comprometimento de credenciais em relações com terceiros vai além dos custos imediatos de violação. A Pesquisa Global de Crimes Econômicos e Fraude de 2023 da PwC identifica os seguintes custos médios:

  • Remediação direta da violação: £3,4 milhões
  • Penalidades regulatórias: £4,2 milhões (setores regulados)
  • Interrupção de negócios: £2,8 milhões
  • Honorários legais e profissionais: £1,9 milhão
  • Danos à reputação e perda de clientes: £5,7 milhões

Custo médio total por incidente: £18 milhões para empresas reguladas.

A lacuna no controle de credenciais representa mais do que um desafio técnico — constitui um risco estratégico de negócio que exige atenção no nível de conselho e soluções estruturais.

Por Que as Ferramentas Existentes Falham

A geração atual de ferramentas de gerenciamento de credenciais, embora aborde algumas preocupações de segurança, não resolve o problema fundamental do controle de credenciais de terceiros. Compreender essas limitações exige examinar por que abordagens centradas em identidade se mostram inadequadas para o ambiente de terceiros.

A Confusão entre Identidade e Acesso

A maioria das soluções existentes confunde gerenciamento de identidade com controle de acesso. Sistemas de Single Sign-On (SSO), Autenticação Multifator (MFA) e Gerenciamento de Acesso Privilegiado (PAM) operam sob a premissa de que autenticar a identidade equivale a controlar o acesso. Essa abordagem funciona razoavelmente bem dentro dos limites organizacionais, mas falha em relações com terceiros.

O Guia de Mercado de Gerenciamento de Identidade e Acesso de 2023 do Gartner observa que "arquiteturas tradicionais de IAM presumem limites de confiança que não existem mais em ecossistemas de negócios digitais". A questão central está na premissa arquitetural de que os usuários precisam possuir credenciais para utilizá-las.

Gerenciadores de Senhas: Armazenamento Aprimorado, Mesmas Vulnerabilidades

Os gerenciadores de senhas corporativos representam a abordagem mais comum para o gerenciamento de credenciais de terceiros. No entanto, limitações arquiteturais fundamentais persistem:

Armazenamento Local de Credenciais: Mesmo gerenciadores de senhas criptografados armazenam dados de credenciais localmente ou em repositórios em nuvem acessíveis. As violações da LastPass em 2022 demonstraram que cofres de credenciais criptografados permanecem vulneráveis a invasores determinados com recursos computacionais suficientes.

Acesso Controlado pelo Usuário: Os gerenciadores de senhas ainda colocam as credenciais sob controle do usuário. Os usuários podem exportar, copiar ou tirar capturas de tela das credenciais, criando cópias não controladas fora da visibilidade organizacional.

Mecanismos de Compartilhamento: A maioria dos gerenciadores de senhas permite o compartilhamento de credenciais por meio de mecanismos que as replicam em múltiplos endpoints, multiplicando as superfícies de ataque em vez de reduzi-las.

O Relatório Forrester Wave de Gerenciamento de Senhas de 2023 identifica que "os recursos de compartilhamento em gerenciadores de senhas criam novos vetores de risco que as organizações têm dificuldade em monitorar e controlar".

Single Sign-On: Limitações da Federação

As soluções de SSO tentam abordar o acesso de terceiros por meio de protocolos de federação (SAML, OAuth, OpenID Connect). Embora melhorem a experiência do usuário e reduzam a proliferação de senhas, o SSO introduz vulnerabilidades diferentes:

Ataques Baseados em Tokens: Os tokens de SSO se tornam alvos de alto valor. O ataque à SolarWinds demonstrou como tokens de autenticação comprometidos permitem acesso persistente e generalizado em sistemas federados.

Dependência do Provedor de Identidade: O SSO cria pontos únicos de falha. Quando os provedores de identidade sofrem interrupções ou comprometimentos, as operações de negócio inteiras param.

Integração Limitada com Terceiros: Muitas aplicações de terceiros não possuem suporte moderno à federação, forçando o retorno à autenticação tradicional baseada em credenciais.

O IBM Security X-Force Threat Intelligence Index 2023 reporta um aumento de 200% nos ataques baseados em tokens, visando especificamente implementações de SSO em ambientes de terceiros.

Gerenciamento de Acesso Privilegiado: Soluções Incompletas

As soluções de PAM representam o estado da arte atual para o gerenciamento de acesso de alto privilégio. No entanto, várias limitações arquiteturais impedem o controle completo de credenciais de terceiros:

Gravação de Sessão vs. Controle de Credenciais: O PAM normalmente foca no monitoramento de sessões, em vez da eliminação de credenciais. Os usuários ainda recebem credenciais durante as sessões, permitindo uma possível exfiltração.

Complexidade de Integração de Aplicações: As implementações de PAM exigem um extenso trabalho de integração para cada aplicação-alvo. A Pesquisa de Implementação de 2023 da CyberArk indica que as implantações médias de PAM levam 18 meses e cobrem apenas 60% das aplicações-alvo.

Desafios de Implantação com Terceiros: O PAM tradicional exige a implantação de infraestrutura local, criando complexidade operacional para implementações com terceiros.

Estrutura de Custos: Os modelos de licenciamento de PAM tornam a implantação em toda a organização economicamente desafiadora. O custo médio por conta gerenciada varia de US$ 150 a US$ 400 anuais, tornando a cobertura abrangente proibitiva.

Zero Trust: Princípios vs. Implementação

Os frameworks de Zero Trust fornecem excelentes princípios de segurança, mas enfrentam dificuldades na implementação prática com terceiros. O princípio central do Zero Trust, "nunca confie, sempre verifique", exige mecanismos granulares de controle de acesso que as ferramentas atuais não conseguem entregar em ambientes de terceiros.

A Publicação Especial 800-207 do NIST define a Arquitetura Zero Trust, mas reconhece que "aplicações e infraestruturas legadas podem não suportar pontos de aplicação de política granulares". Essa limitação se mostra particularmente aguda em relações com terceiros que envolvem pilhas de tecnologia diversas.

O Problema Estrutural

A questão fundamental com as ferramentas existentes está em sua premissa arquitetural compartilhada: os usuários precisam possuir credenciais para utilizá-las. Essa premissa cria vulnerabilidades inerentes:

  • Proliferação de Credenciais: todo mecanismo de autenticação cria credenciais que existem em algum lugar do ecossistema
  • Fatores Humanos: os usuários representam o elo de segurança mais fraco, independentemente da tecnologia ao redor
  • Expansão da Superfície de Ataque: cada ferramenta de gerenciamento de credenciais adiciona complexidade e pontos potenciais de vulnerabilidade
  • Cobertura Incompleta: nenhuma abordagem existente isoladamente aborda todos os cenários de acesso de terceiros

A solução exige abandonar a premissa de que os usuários precisam deter credenciais, avançando em direção a arquiteturas nas quais as organizações retêm controle completo sobre as credenciais, ao mesmo tempo em que viabilizam operações de acesso contínuas.

A Superfície de Ataque Criada pelas Credenciais

Compreender os vetores de ataque específicos que as credenciais criam em relações com terceiros exige examinar tanto as vulnerabilidades técnicas quanto os fatores humanos. A superfície de ataque vai além do simples comprometimento de senhas, abrangendo cenários sofisticados de ameaça direcionados ao ciclo de vida das credenciais.

Vulnerabilidades no Ciclo de Vida das Credenciais

O ciclo de vida típico das credenciais em relações com terceiros cria múltiplos pontos de exposição:

Fase de Geração: 67% das organizações dependem de terceiros para gerar suas próprias credenciais, segundo o Estudo de Risco de Terceiros de 2023 do Ponemon. Essa abordagem elimina a visibilidade organizacional desde o início, impedindo controles de segurança eficazes.

Fase de Distribuição: A distribuição inicial de credenciais normalmente ocorre por canais inseguros. O e-mail continua sendo o principal método de distribuição para 78% das organizações, apesar das limitações fundamentais de segurança do e-mail. Slack, Microsoft Teams e outras plataformas de colaboração servem cada vez mais como mecanismos de compartilhamento de credenciais, criando registros digitais persistentes de dados de acesso sensíveis.

Fase de Armazenamento: As práticas de armazenamento de credenciais de terceiros variam drasticamente. O Relatório de Segurança de Acesso Remoto de 2023 da BeyondTrust constatou que:

  • 34% dos MSPs armazenam credenciais de clientes em planilhas compartilhadas
  • 28% usam gerenciadores de senhas comerciais básicos, sem controles corporativos
  • 23% dependem de armazenamento de senhas baseado em navegador
  • 15% usam gerenciamento de senhas de nível corporativo com criptografia

Fase de Uso: Cada uso de credencial cria exposição potencial. Os mecanismos de preenchimento automático do navegador armazenam credenciais em cache na memória. Sessões de área de trabalho remota podem armazenar credenciais em arquivos de conexão. Integrações de aplicações frequentemente exigem credenciais em arquivos de configuração ou variáveis de ambiente.

Fase de Rotação: A rotação de credenciais em ambientes de terceiros permanece problemática. O Relatório de Panorama de Ameaças Avançadas Globais de 2023 da CyberArk indica que 43% das credenciais de terceiros nunca são rotacionadas, enquanto 31% são rotacionadas apenas anualmente.

Fase de Revogação: A revogação de credenciais sofre com baixa visibilidade e controle. Quando as relações com terceiros terminam, 58% das organizações não conseguem garantir a revogação completa das credenciais devido a inventários pouco claros e credenciais copiadas.

Cenários de Ameaça Interna

As relações com terceiros ampliam inerentemente a superfície de ameaça interna. O Centro CERT de Ameaças Internas da Carnegie Mellon identifica padrões específicos em incidentes internos envolvendo terceiros:

Abuso de Usuário Privilegiado: Usuários de terceiros com acesso elevado representam risco desproporcional. O administrador médio de um MSP tem acesso a 23 sistemas de clientes, com credenciais normalmente compartilhadas entre membros da equipe para garantir a continuidade operacional.

Coleta de Credenciais: Insiders mal-intencionados coletam e exfiltram credenciais sistematicamente para exploração posterior. O Relatório de Ameaças Internas de 2023 da Verizon documenta casos em que funcionários de terceiros, ao deixarem a empresa, mantiveram acesso a credenciais por meses após a conclusão do projeto.

Movimento Lateral: Credenciais de terceiros comprometidas permitem movimento lateral entre os ambientes dos clientes. A Análise de Ataques a Terceiros da AttackerKB mostra que 89% das violações envolvendo terceiros incluem movimento lateral para sistemas além do escopo de acesso inicial.

Vetores de Ataque Externo

Invasores externos têm como alvo cada vez mais as credenciais de terceiros, por representarem vetores de ataque de alto valor:

Ataques à Cadeia de Suprimentos: Os ataques à SolarWinds, Kaseya e outros na cadeia de suprimentos demonstram como o comprometimento de credenciais de terceiros permite impacto generalizado. O framework MITRE ATT&CK documenta as credenciais de terceiros como uma técnica primária (T1199) para comprometimento da cadeia de suprimentos.

Campanhas de Phishing: Trabalhadores de terceiros recebem campanhas de phishing direcionadas, projetadas para coletar credenciais de sistemas específicos de clientes. O Grupo de Análise de Ameaças do Google reporta um aumento de 340% em campanhas de phishing direcionadas a terceiros em 2023.

Operações de Ransomware: Grupos modernos de ransomware visam especificamente MSPs e BPOs para acessar múltiplos ambientes de clientes simultaneamente. O Centro de Reclamações de Crimes na Internet do FBI (IC3) reporta que 23% dos incidentes de ransomware em 2023 tiveram origem em acesso de terceiros.

Ataques à Infraestrutura em Nuvem: Credenciais de terceiros armazenadas em ambientes de nuvem enfrentam técnicas de ataque sofisticadas. AWS, Azure e Google Cloud relatam um aumento nas tentativas de comprometer credenciais armazenadas em tenants de terceiros.

Técnicas de Ataque Técnico

Métodos de ataque técnico específicos visam as credenciais de terceiros:

Extração de Memória: Ferramentas como o Mimikatz extraem credenciais da memória do sistema durante sessões ativas. Mesmo gerenciadores de senhas criptografados se tornam vulneráveis quando as credenciais são descriptografadas para uso.

Interceptação de Rede: Ataques do tipo man-in-the-middle capturam credenciais durante a transmissão. Embora o HTTPS forneça criptografia, a manipulação de certificados e o envenenamento de DNS permitem técnicas de interceptação sofisticadas.

Vulnerabilidades de Aplicações: As aplicações de terceiros frequentemente contêm vulnerabilidades que expõem credenciais armazenadas. O OWASP Top 10 2021 identifica a "Configuração Incorreta de Segurança" como um vetor primário de exposição de credenciais.

Ataques a Bancos de Dados: Injeção de SQL e outros ataques a bancos de dados visam os repositórios de credenciais em aplicações de terceiros. Mesmo senhas com hash se mostram vulneráveis a ataques criptográficos avançados, dados recursos computacionais suficientes.

Vetores de Engenharia Social

Os fatores humanos representam vulnerabilidades persistentes no gerenciamento de credenciais de terceiros:

Pretexting: Invasores se passam por pessoal do cliente para solicitar informações de credenciais de trabalhadores de terceiros. O Anti-Phishing Working Group reporta uma taxa de sucesso de 67% para ataques de pretexting bem elaborados direcionados a relações com terceiros.

Comprometimento de E-mail Corporativo (BEC): Ataques de BEC direcionados a trabalhadores de terceiros frequentemente solicitam alterações ou compartilhamento de credenciais. O FBI estima US$ 2,7 bilhões em perdas por BEC especificamente direcionadas a relações com terceiros em 2023.

Inteligência em Redes Sociais: Invasores coletam informações de redes sociais para elaborar ataques direcionados a trabalhadores de terceiros com acesso a credenciais valiosas.

Quantificando a Superfície de Ataque

A superfície de ataque cumulativa criada pelas abordagens tradicionais de gerenciamento de credenciais de terceiros pode ser quantificada:

  • Cópias médias de credenciais: 4,7 por usuário de terceiros (original, backup, cópias compartilhadas, versões em cache)
  • Duração da exposição: 247 dias, em média, entre o comprometimento da credencial e a detecção
  • Potencial de movimento lateral: 23 sistemas por credencial comprometida, em média
  • Tempo de recuperação: 67 dias, em média, para alcançar a revogação completa de credenciais em relações com terceiros

Essas métricas ilustram por que as abordagens tradicionais se mostram inadequadas. A superfície de ataque escala com a proliferação de credenciais, criando um risco crescente exponencialmente à medida que as relações com terceiros se expandem.

A solução exige eliminar completamente a posse de credenciais, removendo a superfície de ataque em vez de tentar defendê-la.

A Correção Estrutural: Controle de Credenciais

Enfrentar as vulnerabilidades de credenciais de terceiros exige mudanças arquiteturais fundamentais que eliminem a posse de credenciais, mantendo a funcionalidade operacional. A correção estrutural envolve separar a propriedade das credenciais de seu uso, permitindo que as organizações retenham controle completo sobre a autenticação, ao mesmo tempo em que capacitam terceiros a desempenhar as funções necessárias.

Princípios Arquiteturais

O controle eficaz de credenciais de terceiros se apoia em quatro princípios arquiteturais centrais:

Posse Zero de Credenciais: Os usuários terceirizados nunca recebem, veem ou armazenam credenciais reais. A autenticação ocorre por meio de mecanismos controlados que eliminam a possibilidade de extração, cópia ou exfiltração de credenciais.

Geração e Controle Centralizados: A organização cliente gera, gerencia e controla todas as credenciais usadas para acesso ao sistema. Os terceiros não podem criar, modificar ou gerenciar credenciais de forma independente para os sistemas do cliente.

Revogação em Tempo Real: O acesso às credenciais pode ser revogado instantaneamente em todos os sistemas e usuários simultaneamente. A revogação ocorre no nível arquitetural, e não por meio de alterações de senha ou exclusões de conta que podem se propagar de forma lenta ou incompleta.

Visibilidade Completa de Auditoria: Todo uso de credenciais gera registros de auditoria abrangentes, visíveis à organização cliente. Os terceiros não podem acessar sistemas sem gerar trilhas de auditoria detalhadas e em tempo real.

Requisitos de Implementação Técnica

A implementação de um controle estrutural de credenciais exige capacidades técnicas específicas:

Isolamento Criptográfico: As credenciais devem ser isoladas criptograficamente dos ambientes dos usuários finais. Isso exige mecanismos de criptografia nos quais as chaves de descriptografia permaneçam sob controle da organização cliente, nunca acessíveis a usuários ou sistemas de terceiros.

Autenticação Baseada em Sessão: Em vez de fornecer credenciais para uso independente, o sistema deve fornecer sessões autenticadas nas quais a aplicação das credenciais ocorre no lado do servidor, de forma invisível aos usuários finais.

Integração com Aplicações: A solução deve se integrar a diversos tipos de aplicações, incluindo sistemas legados, aplicações em nuvem e software personalizado, sem exigir modificações do lado da aplicação.

Aplicação de Políticas: Controles de política granulares devem permitir permissões de acesso específicas (baseadas em tempo, específicas por recurso, limitadas por operação) sem expor as credenciais subjacentes.

Alinhamento Regulatório

Essa abordagem arquitetural se alinha com os requisitos regulatórios em evolução em múltiplas jurisdições:

Diretiva NIS2 Europeia: O Artigo 21 exige "medidas de segurança para redes e sistemas de informação", incluindo "controle de acesso". A ênfase da diretiva em "medidas de segurança da cadeia de suprimentos" apoia especificamente arquiteturas nas quais as organizações clientes mantêm controle sobre os mecanismos de acesso de terceiros.

Autoridade de Conduta Financeira do Reino Unido (FCA): Os requisitos de resiliência operacional da PS21/3 determinam "controles apropriados sobre o acesso de terceiros...

MyCena
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.