RISK-013 Bypass de MFA via protocolos legados e fluxos não cobertos
Detalhes e análise do risco
Critical
Open
Operacional
- ID do Risco
- RISK-013
- Título do Risco
- Bypass de MFA via protocolos legados e fluxos não cobertos
- Categoria (ISO 31000)
- Operacional
- Descrição do Risco
- Se o MFA resistente a phishing (FIDO2/CBA) não for aplicado de forma uniforme, endpoints que não suportam MFA (p.ex., POP/IMAP/SMTP, WS-Trust/legacy PowerShell, RDP/WinRM com contas locais, Basic Auth, senhas de aplicativo) podem permitir autenticação apenas com senha. Isso cria um caminho de desvio para atacantes que obtêm credenciais administrativas por phishing ou vazamentos.
- Tipo de Risco
- Operativo
- Responsável
- Não informado
- Status
- Open
- Framework Aplicável
- Qriar IAM Security Framework
- Ativo de Informação
- Não informado
- Fonte de Ameaça
- atacante externo
- Data de Revisão
- Não informado
- Evento de Ameaça
- Explorar serviços/protocolos legados sem exigência de FIDO2/CBA para acessar privilégios administrativos
Risco Inerente
| 1 | 2 | 3 | 4 | 5 | |
|---|---|---|---|---|---|
| Catastrófico | 5 | 10 | 15 | 20 | 25 |
| Maior | 4 | 8 | 12 | 16 | 20 |
| Moderado | 3 | 6 | 9 | 12 | 15 |
| Menor | 2 | 4 | 6 | 8 | 10 |
| Insignif. | 1 | 2 | 3 | 4 | 5 |
| Raro | Improvável | Possível | Provável | Quase Certo |
Risco Residual
| 1 | 2 | 3 | 4 | 5 | |
|---|---|---|---|---|---|
| Catastrófico | 5 | 10 | 15 | 20 | 25 |
| Maior | 4 | 8 | 12 | 16 | 20 |
| Moderado | 3 | 6 | 9 | 12 | 15 |
| Menor | 2 | 4 | 6 | 8 | 10 |
| Insignif. | 1 | 2 | 3 | 4 | 5 |
| Raro | Improvável | Possível | Provável | Quase Certo |
- Descrição do Cenário
- Frequência de tentativas moderada e vulnerabilidade elevada em serviços legados aumenta a probabilidade de acesso privilegiado; perda potencial catastrófica devido a controle total do ambiente.
-
Frequência Mín.
-
Frequência Máx.
-
Magnitude Mín.
-
Magnitude Máx.
-
Expectativa de Perda Anual (BRL)
- Resposta ao Risco
- Modificar
- Status da Resposta
- Planejado
- Plano de Resposta
- Não informado
- Notas de Mitigação
- Desabilitar autenticação legada e senhas de aplicativo; aplicar políticas de Acesso Condicional e 'authentication strengths' exigindo FIDO2/CBA em todos os endpoints; inventariar e testar serviços; bloquear Basic/WS-Trust, POP/IMAP; segmentar e monitorar acessos administrativos.
| ID | Descrição do Risco | Domínio |
|---|---|---|
| AUTH-001 | Impor MFA Resistente a Phishing (FIDO2/CBA) para todas as contas administrativas, bloqueando SMS/Voz. | Autenticação |
Nenhum histórico registrado.
Score Inerente
15
Critical
Score Residual
15
Critical
Probabilidade (1-5)
3/5
→
3/5
Impacto (1-5)
5/5
→
5/5
Criado em
16/02/2026 01:10
Atualizado em
26/02/2026 06:45