ARTIGOS / PROVEDORES DE SERVIçOS GERENCIADOS

Os agentes de suporte técnico com IA e os scripts RMM armazenam credenciais de clientes. Codificadas de forma fixa. Sem rotação. Incontroláveis.


Quando a plataforma VSA da Kaseya foi comprometida em julho de 2021, o grupo de ransomware REvil não se limitou a invadir uma única empresa — eles criptografaram simultaneamente dados em 1.500 empresas subsequentes por meio de um único ataque à cadeia de suprimentos. O incidente expôs uma vulnerabilidade fundamental nas operações de provedores de serviços gerenciados (MSPs): a distribuição ampla e incontrolável de credenciais de clientes em sistemas automatizados que nunca foram projetados para lidar com informações confidenciais de forma segura.

Dois anos depois, o problema se intensificou. Os MSPs agora implementam agentes de suporte técnico com inteligência artificial e scripts de monitoramento e gerenciamento remoto (RMM) cada vez mais sofisticados, todos exigindo acesso privilegiado aos ambientes dos clientes. Esses sistemas armazenam milhares de credenciais pré-definidas, muitas vezes sem rotação por meses, sem nenhuma supervisão centralizada de quem — ou o quê — tem acesso a quais sistemas dos clientes.

A crise da proliferação de credenciais MSP

Os MSPs operam com um modelo de segurança fundamentalmente diferente das empresas tradicionais. Enquanto uma única organização pode gerenciar credenciais para sua própria infraestrutura, os MSPs mantêm acesso privilegiado a centenas ou milhares de ambientes de clientes simultaneamente. Cada relacionamento com um cliente multiplica exponencialmente a superfície de ataque às credenciais.

Considere o fluxo de trabalho típico de um MSP: agentes RMM exigem direitos de administrador local em todos os endpoints dos clientes. Scripts do PowerShell incorporam credenciais de contas de serviço para automatizar o gerenciamento de patches. Sistemas de helpdesk com IA armazenam senhas de administradores de domínio para redefinir contas de usuário. Soluções de backup mantêm credenciais de banco de dados com acesso de leitura a conjuntos de dados completos dos clientes. Cada sistema se torna um ponto de entrada potencial para invasores que buscam transitar da infraestrutura do MSP para as redes dos clientes.

"O modelo MSP cria uma relação de confiança invertida", explica um sócio sênior de uma consultoria Big Four que pediu anonimato. "A segurança tradicional pressupõe que você está protegendo seus próprios ativos. Os MSPs precisam proteger os ativos de todos os outros, mantendo a eficiência operacional. A matemática da gestão de credenciais simplesmente não é escalável."

O desafio se intensifica com a integração da IA. Os agentes de suporte técnico modernos precisam de amplas permissões para resolver chamados automaticamente — redefinições de senha, desbloqueios de contas, instalações de software. Ao contrário dos técnicos humanos, que podem trocar suas credenciais trimestralmente, os sistemas de IA esperam acesso programático e persistente aos diretórios de clientes e interfaces administrativas.

Os dados revelam exposição sistemática.

Pesquisas recentes da Agência de Segurança Cibernética e de Infraestrutura (CISA) revelaram que 68% das violações bem-sucedidas em provedores de serviços gerenciados (MSPs) envolveram o comprometimento de credenciais armazenadas. As Diretrizes de Segurança para MSPs de 2023 da agência destacaram especificamente "segredos embutidos em scripts de automação" como um vetor de ataque primário.

Uma análise independente realizada pela empresa de inteligência de ameaças Recorded Future identificou mais de 12.000 credenciais RMM expostas em mercados da dark web durante 2023, representando um aumento de 340% em relação ao ano anterior. As credenciais forneciam acesso administrativo a ambientes de clientes em diversos setores, incluindo saúde, finanças e infraestrutura crítica.

Mais preocupante é a lacuna na rotação de credenciais. O Relatório de Segurança para MSPs de 2023 da ConnectWise constatou que 47% dos MSPs rotacionam as credenciais dos clientes menos de duas vezes por ano, com 23% admitindo ciclos de rotação superiores a 12 meses. Para sistemas com inteligência artificial, os números pioram: 71% dos agentes automatizados usam credenciais que nunca foram rotacionadas desde a implantação inicial.

A Agência da União Europeia para a Cibersegurança (ENISA) quantificou o impacto subsequente em seu relatório de 2023 sobre o Panorama das Ameaças à Cadeia de Suprimentos: a violação de segurança média de um MSP (provedor de serviços gerenciados) afeta agora 47 organizações clientes, com custos médios de recuperação de € 2,3 milhões por cliente afetado. O relatório identificou a gestão de credenciais como o maior fator de risco controlável.

Por que as ferramentas de segurança existentes falham no modelo MSP?

As soluções tradicionais de gerenciamento de identidade e acesso (IAM) foram projetadas para casos de uso em organizações individuais. Elas pressupõem um diretório unificado, aplicação consistente de políticas e controle administrativo direto — pressupostos que não se aplicam a ambientes de provedores de serviços gerenciados (MSP), onde os técnicos precisam de acesso privilegiado em dezenas de domínios de clientes distintos.

As ferramentas de gerenciamento de acesso privilegiado (PAM) apresentam um desempenho ligeiramente melhor, mas enfrentam dificuldades com os requisitos de automação das operações modernas de MSPs. As soluções de PAM normalmente exigem processos de finalização de compra interativos e sessões com tempo limitado — incompatíveis com agentes de IA que precisam de acesso persistente e programático para resolver chamados em larga escala.

O login único (SSO) e a autenticação multifator (MFA) fornecem segurança de perímetro, mas não resolvem o problema fundamental: as credenciais ainda precisam existir em algum lugar, em formato de texto simples, para que os sistemas automatizados possam utilizá-las. Sejam armazenadas em arquivos de configuração, variáveis ​​de ambiente ou cofres criptografados, as credenciais permanecem vulneráveis ​​e podem ser extraídas por invasores que comprometam os sistemas subjacentes.

As arquiteturas de Confiança Zero prometem eliminar credenciais persistentes por meio de verificação contínua, mas a complexidade de implementação as torna impraticáveis ​​para MSPs que gerenciam centenas de ambientes de clientes heterogêneos. A sobrecarga administrativa de manter políticas de Confiança Zero em vários domínios de clientes geralmente supera os benefícios de segurança.

O problema central permanece estrutural: todas as soluções existentes partem do pressuposto de que usuários e sistemas legítimos devem, em última instância, possuir credenciais para autenticação. Essa premissa cria uma superfície de ataque irredutível — as credenciais existem e, portanto, podem ser roubadas.

Separar a identidade do controle de acesso

A solução exige o abandono da premissa fundamental de que usuários e sistemas precisam de credenciais para comprovar sua identidade. Técnicas criptográficas avançadas permitem que as organizações mantenham controle total sobre a geração, distribuição e revogação de credenciais, ao mesmo tempo que proporcionam acesso contínuo a usuários e sistemas autorizados.

Nesse modelo, os MSPs geram credenciais exclusivas para cada ambiente do cliente, mas nunca as distribuem para técnicos ou sistemas automatizados. Em vez disso, as solicitações de acesso são validadas criptograficamente com base em políticas centralizadas, e as credenciais são transmitidas diretamente da infraestrutura segura do MSP para os sistemas do cliente, sem armazenamento intermediário ou exposição.

Quando um agente de suporte técnico com IA precisa redefinir a senha de um cliente, ele envia uma solicitação autenticada para a infraestrutura de credenciais do MSP. O sistema valida a solicitação de acordo com políticas predefinidas, gera os tokens de autenticação necessários e executa a redefinição de senha diretamente — sem que o agente de IA receba ou armazene as credenciais do cliente.

Essa abordagem elimina a superfície de ataque que possibilitou incidentes como o da Kaseya. Scripts RMM comprometidos não conseguem extrair credenciais embutidas no código, pois elas não existem. Bancos de dados de agentes de IA roubados não contêm material de autenticação reutilizável. As credenciais do cliente permanecem sob o controle direto do MSP, mesmo com o acesso ampliado para milhares de interações automatizadas.

O imperativo regulatório

Os MSPs não podem se dar ao luxo de tratar a segurança de credenciais como um mero detalhe técnico. A Diretiva NIS2 da UE, em vigor desde outubro de 2024, exige explicitamente "medidas técnicas e organizacionais adequadas" para a cibersegurança da cadeia de suprimentos, com multas que chegam a 2% do faturamento global. A diretiva menciona especificamente os provedores de serviços gerenciados como "entidades essenciais" sujeitas a rigorosos requisitos de segurança.

Nos Estados Unidos, as novas regras de divulgação de segurança cibernética da SEC exigem que empresas de capital aberto relatem incidentes relevantes em até quatro dias úteis. Violações de segurança de provedores de serviços gerenciados (MSPs) que afetam clientes de empresas de capital aberto agora acarretam obrigações de divulgação obrigatória, criando responsabilidade regulatória direta por falhas na gestão de credenciais.

Os MSPs com visão de futuro estão reconhecendo que o controle de credenciais representa tanto um requisito de conformidade quanto uma vantagem competitiva. À medida que as organizações clientes enfrentam crescente pressão regulatória, elas priorizam cada vez mais os parceiros MSP que podem demonstrar controles de segurança comprováveis ​​sobre credenciais de acesso críticas.

Os números são claros: os MSPs que continuam a depender de modelos de credenciais distribuídas enfrentam uma superfície de ataque cada vez maior, obrigações regulatórias mais rigorosas e demandas crescentes dos clientes por garantia de segurança. A questão não é se devemos implementar o controle centralizado de credenciais, mas sim com que rapidez ele pode ser implementado antes do próximo incidente na cadeia de suprimentos.

MyCena
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.