Setor público 
Os órgãos públicos estão sob pressão crescente para reduzir custos operacionais e, ao mesmo tempo, fortalecer suas defesas contra ameaças digitais dispendiosas. Sistemas legados e ferramentas
A DIB é composta por mais de 100 mil empresas que fornecem materiais ou serviços ao Departamento de Defesa (DoD) dos EUA. Essas empresas entregam produtos indispensáveis para a defesa nacional e formam uma parte crítica da cadeia de suprimentos do DoD. A DIB inclui desde grandes contratadas de defesa, como Lockheed Martin, Boeing e Northrop Grumman, até pequenas e médias empresas que fornecem produtos e serviços especializados, como drones e veículos militares.
À medida que ataques cibernéticos de estados-nação continuam a atingir serviços do setor público, órgãos governamentais e empresas privadas que fazem parte da DIB precisam levar a segurança cibernética a sério e trabalhar para fortalecer suas defesas. O DoD desenvolveu a estrutura CMMC (Certificação do Modelo de Maturidade em Segurança Cibernética) justamente para aprimorar a postura de segurança cibernética da DIB. Ele combina os padrões de cibersegurança publicados pelo National Institute of Standards and Technology (NIST) aos quais qualquer contratado do governo que deseje fazer negócios com o Departamento de Defesa (DoD) deve aderir.
Ataques cibernéticos direcionados ao DIB
Adversários lançam ataques cibernéticos para roubar dados sensíveis ou propriedade intelectual, sabotar atividades comerciais ou ameaçar cadeias de suprimentos.
Exemplos de alto perfil de ataques cibernéticos nos últimos anos incluem o ataque de ransomware à Colonial Pipeline em 2021, que fechou um grande gasoduto por vários dias, levando à declaração de estado de emergência nacional. No ataque de 2020 à SolarWinds, hackers patrocinados por estados-nação obtiveram acesso a redes, sistemas e dados de milhares de clientes da SolarWinds, incluindo órgãos governamentais locais, estaduais e federais.
A causa raiz do ataque à Colonial Pipeline foi uma senha vazada, combinada ao uso de uma conta VPN inativa e à ausência de autenticação multifator — falhas em princípios básicos de segurança cibernética. No caso da SolarWinds, tratou-se de um ataque à cadeia de suprimentos direcionado aos sistemas de monitoramento de desempenho de TI da empresa, que tinham acesso privilegiado a outros sistemas de TI para obter registros e dados de performance.
Mais recentemente, em abril de 2024, quatro cidadãos iranianos foram indiciados em um tribunal federal e acusados de participar de uma operação de malware que utilizava spear phishing e outras técnicas de invasão para comprometer contas de funcionários do governo dos EUA, incluindo os Departamentos do Tesouro e de Estado, além de contratadas de defesa. Em um dos casos, o Departamento de Justiça observou que:
“Os conspiradores comprometeram a conta de e-mail de administrador pertencente a uma contratada de defesa. O acesso a essa conta de administrador permitiu que os conspiradores criassem contas não autorizadas, que então foram usadas para enviar campanhas de spear phishing a funcionários de outra contratada de defesa e de uma empresa de consultoria.”
Táticas de engenharia social também foram utilizadas para implantar malware nos computadores das vítimas e comprometer dispositivos e contas adicionais.
CMMC e resiliência cibernética
Os hackers precisam comprometer apenas uma conta privilegiada para obter acesso a outras contas e dados dentro da rede de uma organização. As contratadas governamentais que lidam com informações não classificadas controladas (CUI, na sigla em inglês) precisam seguir a certificação da CMMC, que abrange um conjunto de controles organizados em domínios. Esses domínios cobrem uma ampla gama de práticas de segurança cibernética, e os controles são projetados para fortalecer a postura de segurança geral de uma organização.
A conformidade com o Nível 2 da CMMC exige que as organizações atendam a 110 controles de segurança definidos no NIST SP 800-171. Embora não seja possível detalhar todos os controles aqui, existem algumas ações fundamentais que ajudam a garantir a conformidade com a CMMC e a resiliência cibernética:
- Implementar autenticação multifator (MFA): use MFA para acessar sistemas e dados sensíveis, adicionando uma camada extra de proteção a contas com senha.
- Atualizar e aplicar patches em sistemas: mantenha softwares, sistemas operacionais e firmwares sempre atualizados com os patches mais recentes para se proteger contra vulnerabilidades conhecidas.
- Realizar avaliações regulares de segurança: execute auditorias de segurança, avaliações de vulnerabilidades e testes de invasão periodicamente para identificar e corrigir pontos fracos.
- Criptografar dados e senhas sensíveis: use um gerenciador de senhas para proteger dados confidenciais em repouso e em trânsito, prevenindo acessos não autorizados.
- Usar gerenciamento de acesso privilegiado (PAM): – implementar controles de acesso rigorosos para garantir que apenas pessoas autorizadas tenham acesso a informações críticas. Isso inclui controles de acesso com base em função (RBAC) e a aplicação do princípio do menor privilégio.
- Implementar uma arquitetura de segurança de confiança zero: garanta que autenticação, autorização e criptografia — em nível de usuário e dispositivo — sejam aplicadas em toda a organização.
Como o Keeper Security Government Cloud ajuda os contratantes de DIB a atender aos requisitos de CMMC
O Keeper Security Government Cloud (KSGC), que combina gerenciador de senhas e gerenciador de acesso privilegiado, possui autorização FedRAMP e atende a diversos controles da CMMC nos domínios de controle de acesso (AC), auditoria e prestação de contas (AU), identificação e autenticação (IA), entre outros.
O KSGC analisa a força e a segurança das senhas armazenadas em toda a organização e fornece uma pontuação de risco abrangente, tanto para credenciais individuais quanto para a higiene geral de senhas da organização e de seus usuários. Os administradores de TI recebem insights acionáveis por meio de relatórios detalhados e dashboards, que destacam senhas fracas, reutilizadas ou comprometidas. Assim, podem aplicar políticas de senha de forma proativa e adotar medidas corretivas imediatas.
O KSGC utiliza uma arquitetura de segurança de confiança zero e conhecimento zero, além de oferecer administração delegada e políticas de aplicação baseadas em funções. Isso garante aos administradores de sistemas total visibilidade e controle sobre a segurança de identidades e os riscos dentro da organização.
Para saber mais sobre como o KSGC pode ajudar sua instituição a cumprir a CMMC e se proteger contra ataques cibernéticos, solicite uma demonstração hoje mesmo.
