O Relatório Global de Violação de Terceiros, divulgado em 2025, trouxe um dado alarmante sobre ataques cibernéticos recentes: após analisar 1.000 violações de dados ocorridas em 2024, o estudo revelou que 35,5% das violações tiveram origem em fornecedores e parceiros comerciais.
A estatística evidencia que grupos de cibercriminosos estão explorando as vulnerabilidades de segurança de empresas terceirizadas como porta de entrada para atingir suas organizações-alvo.
Ao mesmo tempo, a complexidade desse cenário aumenta quando muitas organizações não possuem visibilidade adequada sobre o nível de segurança de seus fornecedores.
SecurityScorecard para avaliação de riscos de terceiros
É nesse contexto que surge o SecurityScorecard. A plataforma é usada por organizações que precisam avaliar e monitorar a segurança cibernética de sua cadeia de suprimentos.
O SecurityScorecard coleta uma ampla variedade de dados de inteligência sobre ameaças em toda a internet pública e na dark web. A solução utiliza um motor global de inteligência de segurança, chamado ThreatMarket™, que opera de forma não intrusiva, analisando milhões de ativos digitais distribuídos pela internet.
Como funciona a coleta de dados
Em suma, o processo de coleta de sinais do SecurityScorecard reúne informações abrangentes sobre dispositivos, recursos, organizações e provedores de serviços conectados à internet. Essa abordagem permite uma avaliação contínua e em tempo real da postura de segurança, sem a necessidade de acesso interno aos sistemas das organizações avaliadas.
A plataforma monitora indicadores públicos de segurança, como configurações de DNS, certificados SSL/TLS, exposição de portas e serviços, presença de malware, vazamentos de dados, dentre outros. Desse modo, essas informações são processadas por algoritmos que traduzem dados técnicos em métricas de risco compreensíveis para executivos e profissionais de segurança.
O sistema de pontuação: simplicidade e precisão
O sistema de pontuação do SecurityScorecard utiliza um score de segurança que atribui pontuações de “A” a “F“, sendo “A” a melhor nota possível e “F”, a mais crítica.
A pontuação geral é calculada com base na performance em 10 categorias específicas de segurança. Além disso, cada uma dessas áreas também recebe notas individuais de A a F, permitindo uma análise granular dos pontos fortes e vulnerabilidades de cada organização.
As 10 categorias de avaliação detalhadas
1. Application Security (segurança de aplicações): esta categoria avalia a segurança das aplicações web públicas da empresa. O sistema verifica uma série de problemas comuns, incluindo headers HTTP ausentes ou mal configurados, problemas na configuração de certificados SSL/TLS, uso de frameworks ou bibliotecas desatualizadas, e outras vulnerabilidades que podem ser exploradas por atacantes.
2. Cubit Score: representa uma das funcionalidades da plataforma. Trata-se de um modelo preditivo baseado em inteligência artificial que estima a probabilidade de a empresa sofrer uma violação de segurança nos próximos 12 meses. Esse score é calculado com base em dados históricos de incidentes, comportamentos de risco detectados em tempo real e comparações estatísticas com perfis de empresas que já foram comprometidas anteriormente.
3. DNS Health (saúde do DNS): esta categoria avalia a configuração dos registros DNS da empresa, verificando se estão adequadamente configurados e seguros. Problemas no DNS podem levar a ataques de envenenamento, redirecionamentos maliciosos e outras formas de comprometimento. A análise inclui a verificação de registros SPF, DKIM, DMARC para prevenção de phishing, além da configuração adequada de outros registros críticos.
4. Endpoint Security (segurança de Endpoints): o sistema detecta sinais de uso de sistemas operacionais e dispositivos desatualizados ou vulneráveis que estejam expostos à internet. Isso inclui a identificação de versões obsoletas de sistemas operacionais, software desatualizado, dispositivos IoT mal configurados e outros endpoints que possam representar pontos de entrada para atacantes.
5. Hacker Chatter (“conversas de hackers”): monitora menções da empresa na dark web, fóruns e outros canais utilizados por cibercriminosos. O monitoramento inclui a busca por discussões sobre possíveis alvos, venda de dados comprometidos, planejamento de ataques e outras atividades maliciosas que possam estar relacionadas à organização.
6. Information Leak (vazamento de informações): verifica se há vazamento de dados sensíveis da empresa na internet, incluindo credenciais de acesso, informações confidenciais, códigos-fonte, documentos internos e outros dados que não deveriam estar publicamente acessíveis.
7. IP Reputation (reputação de IP): avalia a reputação dos endereços IP públicos da empresa, verificando se estão associados a atividades maliciosas, listados em blacklists de segurança, ou sendo utilizados para envio de spam ou hospedagem de malware.
8. Network Security (segurança de rede): examina a exposição da infraestrutura de rede da organização, identificando serviços desnecessariamente expostos, portas abertas, configurações inseguras de firewall e outras vulnerabilidades de rede que possam ser exploradas por atacantes.
9. Patching Cadence: avalia a agilidade e eficácia da empresa na aplicação de correções de segurança (patches).
10. Social Engineering (engenharia social): mede a exposição pública de informações sobre funcionários que possam ser utilizadas para golpes de engenharia social, como phishing, vishing e outras técnicas de manipulação.
Benefícios estratégicos para a gestão de riscos
A implementação do SecurityScorecard oferece benefícios para organizações que buscam fortalecer sua postura de segurança cibernética. Algumas delas são:
Visibilidade contínua
Diferentemente de avaliações pontuais, a plataforma oferece monitoramento contínuo, permitindo que as organizações acompanhem mudanças na postura de segurança de seus fornecedores em tempo real.
Objetividade na avaliação
Por basear-se em dados externos e observáveis, o SecurityScorecard elimina a subjetividade das avaliações autodeclaratórias, oferecendo uma perspectiva imparcial sobre os riscos.
Facilidade de comunicação
O sistema de pontuação facilita a comunicação de riscos para stakeholders não técnicos, incluindo executivos e conselhos administrativos.
Gestão proativa de riscos
Com alertas automáticos sobre mudanças significativas nos scores de segurança, as organizações podem agir proativamente para mitigar riscos antes que se materializem em incidentes.
Implementação e melhores práticas
Para maximizar os benefícios do SecurityScorecard, as organizações devem considerar algumas práticas recomendadas:
- Benchmarks mínimos de segurança para diferentes categorias de fornecedores, considerando o nível de acesso e criticidade dos serviços prestados.
- Avaliações de segurança aos processos de due diligence e gestão contínua de fornecedores.
- Planos de ação para fornecedores que apresentem scores baixos, incluindo prazos para melhorias e possíveis penalidades contratuais.
A Redbelt Security está pronta para apoiar o seu negócio
A Redbelt Security pode auxiliar no desenvolvimento de um plano de cibersegurança de acordo com as necessidades da sua empresa. Fale com um de nossos consultores para saber mais.
