Uma única credencial de engenheiro roubada. Todos os clientes que você atende.

O modelo de acesso do MSP é o alvo de maior valor no cenário de ameaças. Uma única credencial de engenheiro comprometida atinge todos os ambientes de clientes nos quais esse engenheiro trabalhou — simultaneamente. A Kaseya demonstrou isso em 1.500 empresas downstream em questão de horas. A MyCena fecha o ponto de entrada da cascata e transforma a governança de credenciais em uma nova linha de receita.
Solicitar uma apresentação para parceiros →
0
Empresas downstream atingidas no caso Kaseya — por meio de menos de 60 MSPs, em horas
0
Dos MSPs relataram pelo menos um incidente de segurança no último ano — 60% relacionados a ransomware
0
Risco de perda de cliente por incidente com credencial — um cliente perdido, uma revisão de contrato acionada
0
Média do setor para concluir o desligamento de um engenheiro — a janela de exposição ativa por saída
O padrão em cascata

Três incidentes. Mesma arquitetura. Credenciais de MSP como multiplicador.

O modelo de ameaça de MSP é estruturalmente diferente de qualquer outro setor. Uma violação em um MSP não afeta uma única organização — ela afeta todos os clientes que esse MSP atende. O cálculo do atacante é simples: atacar um conjunto de credenciais, alcançar dezenas de empresas simultaneamente.

Kaseya VSA — Julho de 2021
1.500
REvil explorou uma vulnerabilidade na plataforma de gerenciamento MSP da Kaseya.
Menos de 60 MSPs foram diretamente comprometidos — mas esses MSPs atendiam 1.500 empresas downstream. Uma rede de supermercados sueca teve 800 lojas fechadas. Creches na Nova Zelândia foram afetadas. Uma rede farmacêutica sueca. O MSP foi o multiplicador: uma única violação, milhares de vítimas.
Ponto de entrada — credencial e vulnerabilidade da plataforma MSP, cascata para clientes
Sitel Group / Okta — 2022
366
LAPSUS$ comprometeu um engenheiro de suporte da Sitel Group — um grande BPO/MSP — e usou essa credencial para acessar o sistema de gerenciamento de casos de suporte da Okta.
Como os engenheiros da Sitel acessavam rotineiramente múltiplos ambientes de clientes empresariais, uma credencial comprometida afetou 366 clientes empresariais da Okta. A credencial estava em posse do engenheiro. Não havia nada estruturalmente impedindo que ela fosse roubada.
Ponto de entrada — credencial de engenheiro de suporte, cascata para ambientes de clientes
Operation Cloud Hopper — 2016–2017
14+
APT10, um grupo patrocinado pelo Estado chinês, atacou sistematicamente MSPs nos EUA, Reino Unido, Europa e Ásia-Pacífico — especificamente porque credenciais de MSP proporcionavam acesso simultâneo a múltiplos clientes empresariais.
Pelo menos 14 MSPs nomeados foram confirmados como comprometidos, com acesso downstream a clientes nos setores de aeroespacial, defesa, farmacêutico e governo. O MSP foi alvo porque era a chave-mestra.
Ponto de entrada — credenciais de engenheiro MSP, acesso lateral a múltiplos clientes

A arquitetura comum em todas as violações de MSP: um engenheiro detém credenciais que tocam múltiplos ambientes de clientes. Quando essas credenciais são comprometidas — seja por ataque externo, phishing ou ações do próprio engenheiro — todos os ambientes de clientes que essas credenciais podem alcançar ficam expostos simultaneamente. A escala do MSP é o amplificador do atacante. Um engenheiro que acessa 8 ambientes de clientes representa 8 pontos de entrada simultâneos se sua credencial for roubada.

A arquitetura de acesso

Como as credenciais de engenheiros funcionam em ambientes MSP e onde estão as falhas

Todo MSP executa uma versão da mesma cadeia de acesso. A falha de controle de credenciais está sempre no mesmo ponto: nas mãos do engenheiro.

Cadeia de acesso atual — o maior risco está na etapa 2
1
Engenheiro entra — provisionado na plataforma de identidade
Active Directory, Okta ou similar. Direitos de acesso atribuídos.
2
Engenheiro recebe ou cria credenciais
Uma credencial para o jumphost ou gateway Zscaler. Uma conta de administrador local em um servidor de cliente. Uma chave SSH. Uma conta de serviço. Algumas são emitidas, outras o engenheiro cria sozinho. De qualquer forma, as credenciais agora estão em mãos humanas.
Esta é a etapa de maior risco.
3
Engenheiro se conecta via jumphost ou Zscaler
A credencial do gateway alcança todos os ambientes de clientes atrás dele. Um único login. Todo o patrimônio. É o ponto de entrada para todas as falhas que se seguem.
4
Engenheiro abre o PAM do cliente, copia a senha do servidor e a usa manualmente
Se o cliente tem CyberArk: o engenheiro recupera a senha do cofre. Se não tem CyberArk: um gerenciador de senhas compartilhado — visível, copiável e sem controle no ponto de uso.
Visível, copiável, fotografável, compartilhável.
5
Engenheiro sai ou cliente é desligado
A plataforma de identidade é atualizada. O PAM é atualizado. As credenciais que o engenheiro criou sozinho — aquelas que ninguém sabia — continuam ativas. Tempo médio de revogação para credenciais conhecidas: 3,2 dias. Tempo de revogação para credenciais criadas pelo próprio engenheiro: nunca.
Uma revogação perdida é uma constatação de auditoria. Uma credencial dormente explorada é uma violação de cliente — e um contrato em risco.
As quatro dores que isso cria
Dor 01 — Maior risco operacional
Revogação de acesso — manual, lenta e incompleta
Quando um engenheiro sai ou um cliente é desligado, todas as credenciais em todos os ambientes de clientes devem ser revogadas. Com a cadeia de acesso atual, isso é manual, leva horas ou dias e raramente é completo. Uma credencial perdida é uma constatação de auditoria, uma possível violação e um contrato de cliente em risco.
Dor 02 — Custo comercial visível
Redefinições de senha — cobradas dos clientes, ressentidas por ambos os lados
Expiração de senha, bloqueios e eventos de rotação geram um fluxo constante de tickets no service desk. Os clientes pagam por redefinição. Eles ressentem o custo. O MSP carrega a sobrecarga. Ambos os lados sabem que o problema é desnecessário — mas ninguém removeu o mecanismo.
Dor 03 — Invisível até a auditoria
Credenciais compartilhadas — a constatação que aciona revisão de contrato
Credenciais compartilhadas são uma realidade nas operações de MSP. Quando o engenheiro que conhecia a senha compartilhada sai, todos os sistemas que a usam devem ser atualizados — manualmente, em todos os ambientes de clientes. Auditores verificam o uso de credenciais compartilhadas. A falha é cara. Não só a multa — mas o relacionamento com o cliente.
Dor 04 — A consequência comercial
Falha na auditoria — o resultado que importa mais que o custo
Uma constatação de auditoria de governança de acesso de cliente pode acionar revisão de contrato, exigências de remediação, impacto no seguro e, no extremo — rescisão do contrato. O custo da auditoria é gerenciável. O custo de falhar em uma não é. Um cliente perdido de £150K–£500K ARR é a consequência financeira de uma lacuna de governança de credenciais que custa uma fração disso para ser fechada.

“Um engenheiro de MSP que acessa 10 ambientes de clientes está carregando 10 pontos de entrada simultâneos se sua credencial for comprometida. O ROI do atacante ao mirar um MSP é 10x melhor do que mirar uma única empresa. A MyCena remove completamente a credencial da equação.”

Antes e depois

O que muda quando o controle de credenciais é implantado

Não só segurança. A sobrecarga operacional, a exposição à auditoria, o atrito no relacionamento com o cliente — tudo remonta ao mesmo problema arquitetural. Tudo é resolvido pela mesma correção arquitetural.

Sem controle de credenciais — hoje
Engenheiro copia a senha do cliente do CyberArk ou cofre compartilhado. A credencial fica visível, copiável e em sua posse durante toda a sessão — e possivelmente além.
Engenheiro sai. Ticket manual de desligamento aberto. TI trabalha na lista. Média de 3,2 dias para concluir a revogação. Múltiplos ambientes de clientes, múltiplos sistemas, múltiplas credenciais — cada uma uma possível exposição ativa.
Auditor do cliente pede log de acesso mostrando atribuição individual por engenheiro por sessão. TI compila um relatório dos logs de SIEM em 48–72 horas. A evidência fica incompleta. Constatações são levantadas.
Expiração de senha causa bloqueio. Ticket de service desk aberto. Cliente cobrado. Ambos os lados frustrados com um problema que nenhum consegue eliminar facilmente com a arquitetura atual.
Uma credencial de engenheiro comprometida fornece acesso a todos os ambientes de clientes para os quais esse engenheiro foi provisionado. Uma credencial. Múltiplos clientes. Exposição simultânea. A arquitetura do Kaseya.
Com o controle de credenciais MyCena
Engenheiro clica para conectar. MyCena injeta a credencial na autenticação. A credencial nunca fica visível, nunca é copiada, nunca fica em posse do engenheiro. Nada para phishar. Nada para compartilhar. Nada para vender.
Engenheiro sai. Um único comando. Todo o acesso em todos os ambientes de clientes revogado em segundos — não em dias. Log com timestamp gerado automaticamente. Evidência para auditor pronta imediatamente.
Auditor do cliente pede log de acesso. MyCena produz o log completo, atribuído e com timestamp sob demanda — todas as sessões, todos os sistemas, todos os engenheiros. Gerado continuamente. Não compilado antes da auditoria.
Tickets de expiração e bloqueio de senha desaparecem. Engenheiros nunca detêm senhas — não há nada para expirar ou esquecer. O volume de redefinições no service desk para eventos de credenciais cai para zero.
O comprometimento de credencial afeta apenas a sessão de um engenheiro — não todos os ambientes de clientes para os quais ele foi provisionado. A arquitetura em cascata é fechada. O raio de explosão no estilo Kaseya torna-se estruturalmente impossível.
O caso comercial

Controle de credenciais como linha de receita de serviço gerenciado

Controle de credenciais não é um custo para MSPs. É uma linha de serviço gerenciado que reduz sobrecarga operacional, elimina exposição à auditoria e diferencia o MSP na retenção de clientes e em novas conversas de negócios.

“A coisa mais difícil nas operações de MSP não é provisionar acesso — é revogá-lo. Todo engenheiro que sai, todo contrato de cliente que termina, cria um problema de revogação multi-sistema que nenhuma ferramenta única resolve de forma limpa atualmente.”
Controle de Credenciais Como Serviço
Gerar e distribuir credenciais criptografadas para os usuários dos clientes — funcionários, contratados, fornecedores não conhecem as credenciais dos seus clientes. Acabaram-se as redefinições de senha.
Relatório mensal de acesso — todos os eventos de credenciais por cliente, com timestamp. Formatado para envio ao auditor do cliente.
Log de revogação — todos os eventos de remoção de acesso com timestamp. Prova de desligamento oportuno.
Resumo de evidências para seguro — resumo trimestral formatado para subscritores de seguro cibernético. Apoia a negociação de prêmio na renovação.
Como funciona

Controle de credenciais para acessar todos os ambientes de clientes

A MyCena é implantada no nível do MSP. Todo ambiente de cliente é governado pelo MSP. Nenhum sistema de cliente é modificado. Nenhum PAM de cliente é substituído.

Etapa 01
MSP gera todas as credenciais de engenheiros de forma centralizada
Todas as credenciais para todos os ambientes de clientes são geradas pelo MSP de forma centralizada através da MyCena. Nenhum engenheiro cria seu próprio acesso. Nenhuma credencial é copiada de um PAM de cliente e mantida manualmente. A propriedade da credencial é do MSP — não do engenheiro — desde o momento da geração.
Etapa 02
Clique para conectar — injeção invisível, nada para segurar
Engenheiros clicam no ícone do ambiente do cliente. A MyCena injeta a credencial no ponto de autenticação — ela nunca é exibida, nunca digitada, nunca visível na tela. Nada existe na área de transferência, memória ou dispositivo do engenheiro que um atacante possa capturar ou que o engenheiro possa compartilhar.
Etapa 03
Log de acesso em tempo real — evidência de auditoria do cliente gerada automaticamente
Todos os eventos de credenciais em todos os ambientes de clientes são registrados — qual engenheiro, qual sistema do cliente, timestamp por segundo. O log de auditoria existe continuamente. Quando um auditor de cliente pede evidência de acesso, o MSP produz o log imediatamente — não compilado em 48 horas, não montado a partir de consultas de SIEM. Sob demanda.
Etapa 04
Revogação com um único comando — engenheiro ou cliente, todos os ambientes
Engenheiro sai: um único comando, acesso revogado em todos os ambientes de clientes em segundos, log com timestamp produzido. Cliente desligado: mesmo comando, mesma velocidade. A média de 3,2 dias de atraso no desligamento — e todas as janelas de exposição que ela cria — é eliminada. A categoria de constatação de auditoria deixa de existir.
Marco regulatório

As perguntas de auditoria dos clientes que a MyCena ajuda você a responder

Clientes empresariais estão começando a exigir atestação de governança de credenciais de seus MSPs como condição de renovação de contrato. Todo framework regulatório relevante cria essa exigência. A MyCena gera a evidência automaticamente.

ISO 27001:2022 — A.9 Controle de Acesso
Os requisitos A.9 de controle de acesso e A.12.4 de logging exigem registro contínuo de eventos de credenciais e capacidade de revogação demonstrável. MSPs que atendem clientes sob programas de certificação ISO 27001:2022 devem fornecer evidência técnica de governança de acesso — não apenas declarações de política. O log contínuo da MyCena satisfaz isso diretamente.
✓ Evidência contínua de acesso — tecnicamente demonstrável
SOC 2 Type II
Os requisitos SOC 2 voltados para o cliente de governança de acesso e controles de desligamento exigem demonstração contínua de controles — não instantâneos pontuais. MSPs com Acesso Governado fornecem evidência contínua de que o acesso é governado, atribuído e revogável. Auditores SOC 2 recebem logs, não políticas.
✓ Evidência contínua de controle SOC 2 — disponível sob demanda
FCA / DORA
SYSC 8 e DORA Artigo 28 exigem gerenciamento documentado de risco de terceiros em ICT, incluindo governança de acesso e capacidade de revogação instantânea. Clientes de serviços financeiros devem demonstrar os controles de acesso de seus MSPs. A MyCena fornece essa demonstração automaticamente com todo relatório mensal de acesso.
✓ Governança de acesso de terceiros DORA Artigo 28 — atendida
Cyber Essentials Plus
MSPs que atendem clientes do governo do Reino Unido ou exigências da cadeia de suprimentos devem demonstrar controles do Cyber Essentials Plus — incluindo verificação de controle de acesso e governança de contas de usuário. O controle arquitetural de credenciais da MyCena satisfaz os requisitos técnicos do CE Plus de forma estrutural, em vez de por autoatestação.
✓ Controle de acesso CE Plus — verificado arquiteturalmente
HIPAA (quando aplicável)
MSPs que acessam sistemas ePHI em nome de clientes de saúde devem satisfazer os requisitos HIPAA 164.312(a)(1) de identificação única de usuário e 164.312(b) de controle de auditoria. A geração individual de credenciais e o logging contínuo de acesso da MyCena satisfazem ambos os requisitos arquiteturalmente — sem credenciais compartilhadas, todo evento atribuído.
✓ Controle de acesso e auditoria HIPAA — atribuição individual estrutural
Seguro cibernético
Subscritores de seguro cibernético de MSPs estão avaliando a governança de acesso de engenheiros e controles de credenciais de clientes como fatores de classificação materiais. Evidência de governança de acesso de terceiros — logs de revogação com timestamp, resumos trimestrais de acesso — apoia diretamente a negociação de prêmio. A MyCena inclui esse pacote de evidências como padrão.
✓ Pacote de evidências para subscrição — incluído como padrão
Briefing para parceiros MSP
Um briefing de 45 minutos sobre Controle de Credenciais como linha de serviço gerenciado
Agendar um briefing para parceiro →
MyCena
Powered by  GDPR Cookie Compliance
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.