Quando agentes da inteligência russa infiltraram a SolarWinds em 2020, comprometendo 18.000 organizações, incluindo nove agências federais americanas, eles não exploraram vulnerabilidades sofisticadas de zero-day nem implantaram ameaças persistentes avançadas. Eles usaram um ataque de senha. A violação que redefiniu o debate sobre segurança nacional e desencadeou ordens executivas começou com credenciais comprometidas — um ataque de password spraying contra as ferramentas de acesso à rede da empresa.
O incidente expôs uma fraqueza fundamental na segurança da cadeia de suprimentos de defesa: a incapacidade estrutural de controlar o acesso por credenciais em ecossistemas complexos de fornecedores. Três anos depois, enquanto os contratantes de defesa enfrentam exigências cibernéticas sem precedentes sob novas determinações federais, o mesmo defeito arquitetural persiste em toda a cadeia de suprimentos.
O Desafio das Credenciais na Cadeia de Suprimentos de Defesa
As cadeias de suprimentos de defesa operam por meio de redes complexas de contratantes principais, subcontratados e fornecedores, cada um mantendo sistemas de identidade separados, mas necessitando de acesso a dados governamentais classificados ou sensíveis. No âmbito do framework Cybersecurity Maturity Model Certification (CMMC) 2.0 do Departamento de Defesa, as organizações que lidam com Informações Não Classificadas Controladas (CUI) devem demonstrar práticas de cibersegurança “avançadas”, incluindo controles robustos de acesso.
No entanto, as abordagens atuais criam o que os profissionais de segurança chamam de “paradoxo das credenciais”: as organizações precisam conceder acesso para manter a continuidade operacional, ao mesmo tempo em que garantem que esse acesso não possa ser comprometido. Os sistemas tradicionais de Identity and Access Management (IAM) partem do pressuposto de que os usuários devem controlar suas próprias credenciais — criando, armazenando e inserindo senhas ou gerenciando tokens de autenticação. Essa premissa entra em conflito direto com os requisitos de segurança de defesa, onde as organizações precisam manter controle absoluto sobre o acesso a dados sensíveis.
O desafio se intensifica nas fronteiras da cadeia de suprimentos. Quando um contratante de defesa de Nível 1 concede acesso a um fornecedor de Nível 2, ele herda as vulnerabilidades de credenciais desse fornecedor. Uma única senha comprometida em qualquer nível pode se propagar por toda a cadeia de suprimentos, como demonstrou o caso SolarWinds.
A Escala do Comprometimento de Credenciais
Dados recentes revelam a magnitude das ameaças baseadas em credenciais que os fornecedores de defesa enfrentam. De acordo com o Relatório de Investigações de Violações de Dados de 2023 da Verizon, 86% das violações no setor público envolveram credenciais roubadas, enquanto 74% incluíram um elemento humano — principalmente por meio de ataques de engenharia social direcionados a senhas e sistemas de autenticação.
A Defense Counterintelligence and Security Agency (DCSA) registrou um aumento de 300% nos incidentes cibernéticos que afetaram contratantes de defesa com autorizações de segurança entre 2021 e 2022. Desses, o comprometimento de credenciais foi o vetor principal de ataque em 67% dos casos, segundo análise do Defense Industrial Base Cybersecurity Program.
Financeiramente, violações relacionadas a credenciais custam em média US$ 5,4 milhões por incidente para contratantes de defesa, incluindo multas regulatórias, custos de remediação e possível perda de autorizações de segurança, conforme o Relatório de Custo de Violações de Dados de 2023 da IBM. Para fornecedores menores de defesa, um único incidente pode representar uma ameaça existencial à continuidade dos negócios.
A Cybersecurity and Infrastructure Security Agency (CISA) mantém um banco de dados de vulnerabilidades exploradas conhecidas, no qual ataques baseados em credenciais representam 43% de todos os incidentes registrados que afetam setores de infraestrutura crítica, incluindo organizações da base industrial de defesa.
Limitações das Soluções Atuais
Os contratantes de defesa investiram pesadamente em plataformas de Identity and Access Management (IAM), ferramentas de Privileged Access Management (PAM), sistemas de Single Sign-On (SSO), autenticação multifator (MFA) e arquiteturas Zero Trust. Embora essas tecnologias tragam benefícios importantes de segurança, elas compartilham uma premissa de projeto fundamental que cria vulnerabilidade persistente.
Os sistemas tradicionais de IAM autenticam os usuários e depois lhes concedem credenciais que eles podem ver, armazenar e reutilizar. Mesmo com MFA, os usuários recebem tokens de autenticação ou credenciais de sessão que ficam presentes em seus navegadores ou dispositivos. As soluções PAM criptografam e guardam credenciais privilegiadas em cofres, mas precisam descriptografá-las e apresentá-las aos usuários quando o acesso é necessário. Os sistemas SSO reduzem a proliferação de senhas, mas criam pontos únicos de falha onde o comprometimento de um conjunto de credenciais concede acesso a múltiplos sistemas.
As arquiteturas Zero Trust melhoram a postura de segurança por meio de verificação contínua e acesso com privilégio mínimo, mas ainda dependem de credenciais controladas pelo usuário para a autenticação inicial. O princípio “nunca confie, sempre verifique” não consegue superar a realidade estrutural de que os usuários precisam possuir credenciais para obter o acesso inicial.
Isso cria o que pesquisadores de cibersegurança chamam de “janela de exposição de credenciais” — qualquer momento em que os dados de autenticação existem em uma forma que os usuários podem ver, copiar ou comprometer inadvertidamente por meio de phishing, malware ou engenharia social. Atores estatais, especialmente aqueles responsáveis pelo ataque à SolarWinds, demonstraram capacidades sofisticadas para explorar essas janelas de exposição em múltiplas organizações simultaneamente.
Controle Estrutural de Credenciais
Para resolver a segurança da cadeia de suprimentos de defesa é necessário repensar a relação fundamental entre identidade e acesso. Em vez de autenticar usuários e depois conceder credenciais a eles, as organizações precisam de sistemas que mantenham controle contínuo sobre o acesso sem expor as credenciais aos usuários.
A abordagem patenteada da MyCena separa a verificação de identidade do controle de credenciais por meio de isolamento criptográfico. Quando os usuários se autenticam, eles nunca recebem nem veem as credenciais reais do sistema. Em vez disso, a plataforma gera, criptografa e gerencia centralmente todas as credenciais de acesso, entregando-as diretamente aos sistemas-alvo sem exposição ao usuário. Os usuários se autenticam para provar sua identidade, mas nunca detêm as chaves que concedem acesso ao sistema.
Essa mudança arquitetural elimina as janelas de exposição de credenciais. Ataques de phishing não conseguem roubar credenciais que os usuários nunca viram. Malware não consegue extrair tokens de autenticação que nunca existiram nos dispositivos dos usuários. Engenharia social não consegue comprometer senhas que os usuários nunca conheceram.
Para as cadeias de suprimentos de defesa, esse modelo permite controle granular de acesso entre fronteiras organizacionais. Contratantes principais podem conceder aos fornecedores acesso a sistemas específicos enquanto mantêm controle criptográfico sobre as credenciais reais. O acesso pode ser revogado instantaneamente, sem necessidade de redefinição de senhas ou gestão de certificados em múltiplas organizações de fornecedores.
Essa abordagem está alinhada aos requisitos de controle de acesso do CMMC, ao mesmo tempo em que fornece trilhas de auditoria que demonstram governança contínua de credenciais. As organizações podem provar aos auditores que as credenciais nunca foram expostas a comprometimento, mesmo durante sessões ativas de usuários.
Implementação Estratégica para Organizações de Defesa
Os contratantes de defesa devem avaliar arquiteturas de controle de credenciais como parte das iniciativas de conformidade com o CMMC. Em vez de adicionar camadas de fatores de autenticação aos sistemas existentes, as organizações precisam de plataformas que eliminem completamente a exposição de credenciais.
A implementação deve começar pelos sistemas de alto valor que contêm CUI ou dados classificados, e depois se estender aos pontos de acesso da cadeia de suprimentos. As organizações devem priorizar soluções que se integrem às infraestruturas de segurança existentes, ao mesmo tempo em que forneçam garantia criptográfica de que as credenciais permanecem sob controle organizacional.
O incidente SolarWinds demonstrou que adversários sofisticados explorarão as práticas mais fracas de credenciais em qualquer ponto da cadeia de suprimentos. Os contratantes de defesa não conseguem alcançar verdadeira segurança na cadeia de suprimentos enquanto os usuários continuarem vendo, armazenando e potencialmente comprometendo as credenciais que concedem acesso a sistemas sensíveis.
Três anos após o SolarWinds, a janela para melhorias incrementais se fechou. A segurança da cadeia de suprimentos de defesa exige soluções estruturais que eliminem a exposição de credenciais, e não tecnologias que tornem o comprometimento apenas marginalmente mais difícil.