termo especÍfico do produto vamps · • abordagem pró-ativa na detecção de vulnerabilidades,...
TRANSCRIPT
TERMO ESPECÍFICO DO PRODUTO - VAMPS
Página 2 de 21
Propriedade da Telefônica. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a sua prévia autorização.
Sumário
1 INTRODUÇÃO ......................................................................................................... 3
2 OBJETIVO DA OFERTA ......................................................................................... 3
3 DESCRIÇÃO DO SERVIÇO .................................................................................... 4
3.1 DETALHES DOS SERVIÇOS ....................................................................................... 4 3.2 MÓDULOS DISPONÍVEIS ................................................................................... 5
3.2.1 Pentest Persistente ..................................................................................... 5
3.2.2 Pentest Manual ........................................................................................... 9 3.2.3 Alertas de Vulnerabilidades ........................................................................ 9 3.2.4 Análise de Vulnerabilidades...................................................................... 12
3.3 PORTAL DE SERVIÇOS .......................................................................................... 17 3.3.1 Monitoramento do Status das Vulnerabilidades........................................ 17 3.3.2 Interface do Portal de Serviços ................................................................. 18
4 CONDIÇÃO COMERCIAL ..................................................................................... 20
5 RESPONSÁBILIDADES ........................................................................................ 20
5.1 RESPONSABILIDADES DA TELEFONICA .................................................................... 20
5.2 RESPONSABILIDADES DO CLIENTE .......................................................................... 21 5.3 LIMITAÇÕES ......................................................................................................... 21
Página 3 de 21
Propriedade da Telefônica. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a sua prévia autorização.
1 INTRODUÇÃO
Dado o aumento da complexidade da infra-estrutura de TI dentro das organizações e a ampla
variedade e sofisticação dos ataques aos quais estamos expostos, é essencial determinar o nível
de segurança de uma organização e seu nível de exposição a ameaças, por meio da detecção
precoce e da gestão adequada do ciclo de vida das vulnerabilidades que ameaçam seus ativos.
O serviço é configurado de maneira modular e com distintas versões, desta maneira o cliente
poderá optar por módulos que façam mais sentido para o seu negócio. No decorrer deste
documento apresentaremos de maneira geral os módulos, versões e entregáveis oferecidos pelo
serviço, porém sua disponibilização está diretamente ligada com a composição contratada pelo
cliente.
O objetivo do serviço VAMPS da VIVO EMPRESAS é fornecer aos nossos clientes os
mecanismos apropriados para detectar e neutralizar as ameaças que possam existir em seus
sistemas e plataformas, além de monitorar o ciclo de vida das vulnerabilidades detectadas nos
levantamentos realizados.
Esse serviço surgiu na necessidade em oferecer aos sistemas de informação um nível adequado
de segurança de acordo com a tecnologia implantada e de cobrir os riscos derivados do
processamento automatizado de informações sob a premissa de uma análise adequada.
Assim, o CLIENTE pode executar as ações que julgar necessárias para prevenir ou mitigar as
ameaças de segurança que afetam sua organização, priorizando e alocando recursos para as
vulnerabilidades que possam implicar um risco para o seu negócio.
O serviço do VAMPS pode atuar da seguinte maneira coordenada e consistente:
• Disponibilizar um canal de comunicação confiável através do analista local que
entende as necessidades e os requisitos do cliente em relação ao serviço.
• Fornecimento do portal web para o cliente gerenciar todas as vulnerabilidades
detectadas e outras entregas de serviços.
• Equipe especializada em segurança da informação que revisam os resultados obtidos
pelas ferramentas para determinar sua gravidade e definir um plano de remediação,
além de executar auditorias manuais sob demanda solicitadas pelos clientes.
• Abordagem pró-ativa na detecção de vulnerabilidades, permitindo que o cliente as
manipule eficientemente.
• Fornecimento de um serviço de gerenciamento de vulnerabilidades que permite que
a equipe de TI do cliente se concentre em corrigir erros de segurança com o objetivo
de reduzir o tempo de exposição a vulnerabilidades.
2 OBJETIVO DA OFERTA
O objetivo desta oferta é descrever as principais informações da proposta técnica e financeira
que o serviço do VAMPS pode entregar e enriquecer o escopo tradicional de auditoria de
Página 4 de 21
Propriedade da Telefônica. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a sua prévia autorização.
vulnerabilidades, adaptando as ferramentas, a experiência e a metodologia em relação ao
gerenciamento de detecção e vulnerabilidade.
A oferta de serviço depende de um compromisso com a mais alta qualidade de serviço realizado
pelo VIVO EMPRESAS e a experiência e conhecimento do mercado de segurança. Esse
compromisso é o reflexo da nossa vocação em liderar a evolução tecnológica e garantir a
disponibilidade dos serviços de nossos clientes.
3 DESCRIÇÃO DO SERVIÇO
O Serviço VAMPS fornece uma solução holística que integra diferentes produtos e ferramentas
de segurança, destacando-se dos serviços de segurança tradicionais, oferecendo gerenciamento
de vulnerabilidades de ponta a ponta através de um portal web que permite monitorar a
vulnerabilidade desde a detecção até a resolução.
3.1 Detalhes dos serviços
Procedimento operacional:
Figura 1 – Procedimento operacional do VAMPS
O Cliente, o Portal de Serviços e a Telefônica são as três partes envolvidas no Serviço VAMPS.
O cliente é considerado como uma entidade do Portal de Serviços que permite aos usuários
monitorar o ciclo de vida das vulnerabilidades que ameaçam seus ativos. Os resultados obtidos
a partir das ferramentas de segurança nos ativos do cliente são imediatamente enviados para o
portal do serviço para serem posteriormente validados pela equipe de especialistas do Serviço
localizados nas TAGS da VIVO EMPRESAS
Oferecemos ao cliente um Analista Local como um canal de comunicação confiável, com
conhecimento do contexto dos ativos, permitindo que eles forneçam uma interpretação precisa
dos resultados relacionados as suas necessidades.
O Portal de Serviços é a principal interface fornecida pelo Serviço VAMPS aos usuários e
centraliza a solicitação/emissão de relatórios, envia alertas, notificações e entrega os resultados
dos testes.
Página 5 de 21
Propriedade da Telefônica. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a sua prévia autorização.
3.2 MÓDULOS DISPONÍVEIS
Abaixo os módulos que disponibilizamos para contratação:
Figura 2 - Módulos disponíveis no VAMPS
3.2.1 Pentest Persistente
3.2.1.1 Desafios dos clientes
Hoje, as empresas precisam lidar com ataques de indivíduos que tentam encontrar
vulnerabilidades e pontos fracos para obter acesso aos sistemas de informação. Esses ataques
podem ser executados a qualquer momento e os invasores podem se beneficiar do ambiente em
constante mudança no qual os sistemas de computadores operam, tirando proveito das violações
de segurança para acessar informações valiosas ou os principais sistemas das organizações.
Figura 3 - Motivos das invasões em 2014. Fonte: http://hackmageddon.com/
As empresas enfrentam o desafio de obter uma imagem atual e real dos ativos de sua
organização e o nível de segurança associado a eles. Além disso, essa imagem deve ser
revisada continuamente ao longo do tempo e permanecer atualizada no contexto do ambiente
em mudança mencionado. O cliente também deverá ser capaz de lidar com essa situação com
Página 6 de 21
Propriedade da Telefônica. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a sua prévia autorização.
um determinado orçamento, obtendo informações sobre o impacto que os ataques bem-
sucedidos podem ter em sua organização.
3.2.1.2 Solução
Com base na tecnologia Faast, o módulo Pentesting Persistente apresenta o seguinte cenário:
uma plataforma que pode automaticamente e de maneira continua (24/7) implementar as fases
que os invasores usam para comprometer a segurança dos sistemas de informações de uma
empresa, juntamente com uma equipe de segurança qualificada que valida a resultados obtidos
pela plataforma, as vulnerabilidades detectadas e as recomendações dadas.
A serviço FAAST utiliza das seguintes fases:
Fase de descoberta
Através de um nome de domínio, o serviço pode realizar uma pesquisa na Internet para fornecer
uma visão global da empresa. Uma organização deve tentar cobrir todos os pontos de acesso,
enquanto isso, os invasores precisam encontrar pelo menos um ponto de acesso, então o
conhecimento de todos os ativos de uma organização é crucial, pois é impossível verificar se um
ativo é vulnerável.
Fase de análise
Na fase de análise, a tecnologia Faast que é utilizada neste módulo combina diferentes técnicas
que simulam realisticamente os comportamentos dos invasores: o download de vários tipos de
arquivos com informações confidenciais que foram descobertos anteriormente na fase de
descoberta. As informações contidas nesses arquivos podem ser usadas por usuários mal-
intencionados para planejar ataques: caminhos internos, e-mails, nomes de usuários,
dispositivos de rede, metadados etc.
O Faast tem outros recursos como avaliação SSH, assessment of Poodle, Heartbleed e
certificados (data de expiração, transmissão de domínio, CA não confiável, problemas de
assinatura baseados em MD5 e SHA1, RC), análise de cabeçalhos HTTP, análise de versões de
produtos baseadas em CVEs, avaliação de CMSs (Wordpress, Joomla, Drupal), metadados,
entre outros.
Junto com isso, o serviço oferece uma série de recomendações de segurança. Essas
recomendações não se tornam vulnerabilidades, mas permitem a coleta adicional de
informações sobre possíveis ataques que exploram qualquer uma das vulnerabilidades
detectadas. Exemplos de recomendações são:
Hospedagem compartilhada, cabeçalho CSP HTTP não implementado ou expiração futura do
certificado.
Fase de exploração
Página 7 de 21
Propriedade da Telefônica. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a sua prévia autorização.
A última fase consiste em realizar os testes de exploração relevantes com as informações obtidas
nas fases de descoberta e análise. Esses testes exigem maior atenção por parte do Faast, pois
os testes realizados não podem comprometer os dados obtidos. Isto é possível através da
exploração controlada de vulnerabilidades conhecidas em ativos e itens detectados em fases
anteriores.
O cliente pode verificar os resultados no Portal de Serviços, o que reduz o tempo necessário
para entrega dos resultados. A equipe de especialistas em segurança TAGS revisa1 os
resultados obtidos com as ferramentas e valida as vulnerabilidades criadas no Portal de Serviços.
Além disso, com base nas informações disponíveis no Portal de Serviços, é possível gerar
relatórios de monitoramento, que permitem acompanhar a evolução do Serviço VAMPS. É útil
para o cliente comparar os resultados de diferentes execuções do Faast através de relatórios
diferenciais e, assim, realizar o monitoramento das vulnerabilidades detectadas com precisão.
Por outro lado, os relatórios de monitoramento permitem que o cliente conheça sua situação
atual com base no status e gravidade e mostre uma análise de serviço no gerenciamento das
vulnerabilidades presentes em seus ativos.
1Nem todos os módulos possuem a análise dos resultados (falso positivo e avaliações). Verifique as versões compatíveis.
O Pentesting Persistente é dividido em quatro modalidades, quais são classificados da menos
para a maior capacidade de processamento:
CARACT.
PLANO LITE P M G GG
PORTAL DE SERVIÇO
QUANTIDADE DE DOMÍNIOS/SUBDOMINIOS
1 ATÉ 10 ATÉ 30 ATÉ 150 ACIMA DE 150
QUANTIDADE SCAN ANO 4 12 RECORRENTE RECORRENTE RECORRENTE
PERIODO ENTRE RELATÓRIOS
90 DIAS 30 DIAS N/A* N/A* N/A*
FILTRO FALSO POSITIVO X
COMPATIBILIDADE PARA INCLUSÃO DE MÓDULOS
PENTEST MANUAL X
ALERTA DE VULNERABILIDADES
X
ANÁLISE DE VULNERABILIDADES
X
*O período entre relatórios para os planos M, G e GG dependem da quantidade e período entre os scanners que foram realizados.
Lite: Desenvolvido para pequenas e médias empresas, oferece a verificação de um (1) domínio,
4 scanners anual (um a cada 90 dias) e o monitoramento de até 10 diretórios no endereço
apontado. Não permite a análise de falso positivo, porém o time técnico verifica se as
vulnerabilidades encontradas estão dento do Top 10 do OWASP. Este módulo não permite a
contratação de demais módulos ou a customização da oferta.
Página 8 de 21
Propriedade da Telefônica. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a sua prévia autorização.
P: Esta oferta compreende na execução de varreduras com uma frequência e duração máxima
de um mês. Existem dois cenários possíveis: uma varredura em um domínio é concluída em um
período inferior a um mês ou, após um mês, a varredura ainda não concluiu todas as suas tarefas
e é interrompida manualmente. Suporta até 10 domínios/subdominios para verificação.
M: Permite a configurar a frequencia das verificações, além de possuir uma capacidade de
processamento superior se comparado a modalidade P. Suporta até 30 domínios para
verificação.
G: Permite a configurar a frequencia das verificações, além de possuir uma capacidade de
processamento superior se comparado a modalidade M. Suporta até 150 domínios para
verificação.
GG: Permite a configurar a frequencia das verificações, além de possuir uma capacidade de
processamento superior se comparado a modalidade G. Suporta acima de 150 domínios para
verificação.
Uma vez que o plano tenha sido selecionado, o cliente necessita fornecer uma lista de domínios
para análise indicando a prioridade relevante da varredura. Essas informações serão usadas
pelo VAMPS para distribuir a capacidade de varredura do Faast de maneira mais apropriada.
Os resultados do módulo Pentesting Persistente são complementados pelo módulo de Avaliação
de Vulnerabilidade do VAMPS.
3.2.1.3 Valor
Baseado no nome do domínio, o Faast descobre os ativos da organização que são acessíveis
pela Internet e automatiza técnicas reais de ataque, combinando vulnerabilidades aparentemente
menores, de modo que um alto impacto seja alcançado, da mesma maneira que um invasor faria.
O serviço é persistente e contínuo2, preparando uma organização para um ambiente em
constante mudança que não pode ser auditado manualmente e periodicamente. Neste sentido,
o Faast é continuamente atualizado com as mais recentes técnicas de ataque tornadas públicas.
Conta com uma equipe de especialistas em segurança dedicada a fornecer para o Faast novos
recursos que melhoram os resultados das fases de descoberta, análise e subsequente
exploração deste serviço de Pentesting Persistente.
2Caso o monitoramento contínuo seja necessário, verifique quais os planos atendem a essa necessidade.
3.2.1.4 Benefícios
Testes personalizáveis focados na segurança global do cliente e identificação e inventário dos
ativos da organização.
Automação das mais recentes técnicas de penetração baseadas em ataques reais.
Detecção antecipada de ameaças através da avaliação contínua dos ativos da organização. Isso
resulta em uma resposta às ameaças de segurança o mais rápido possível, reduzindo o tempo
em que os sistemas são expostos a vulnerabilidades.
Página 9 de 21
Propriedade da Telefônica. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a sua prévia autorização.
Exploração de vulnerabilidades para realizar intrusões, como um invasor real determinaria o
impacto das ameaças identificadas.
3.2.2 Pentest Manual
3.2.2.1 Solução
O módulo Pentesting Manual fornece orientações claras e concisas sobre como proteger os
sistemas e informações do cliente contra ataques do mundo real. Um fator-chave no sucesso do
Pentesting é a metodologia baseada no comportamento de invasores reais com uma abordagem
sistemática e científica para documentar com sucesso um teste e criar relatórios em diferentes
níveis de gerenciamento de uma organização. Além disso, esta metodologia não deve ser
restritiva e deve fornecer ao pentester um espaço de manobra, pois ele é responsável por
certificar se uma vulnerabilidade é explorável.
A abordagem deste módulo baseia-se na implementação de técnicas e fases para simular ações
e metodologias utilizadas por invasores reais.
As capacidades dos pentesters não se limitam à execução de varreduras de segurança e
ferramentas que analisam a configuração dos elementos que compreendem sistemas de
informação. O pentester pode coletar essas informações e usá-las para atingir níveis que as
ferramentas automatizadas não podem alcançar.
Desta maneira, este módulo pode analisar a lógica de negócios do cliente. Esta análise não pode
ser implementada por uma ferramenta automatizada, que tenta analisar o funcionamento das
aplicações com base em um conjunto finito de testes. Em certos casos, os testes a serem
implementados podem exigir um conhecimento abrangente do aplicativo analisado.
Os testes executados são os mais diversos, podendo atender diversos ambientes (de acordo
com os módulos contratados pelo cliente), são eles:
Teste de Penetração;
Auditória de aplicações móveis;
Serviços Post-Exploration;
Engenharia social;
3.2.3 Alertas de Vulnerabilidades
3.2.3.1 Desafios dos clientes
O número de vulnerabilidades tornadas públicas anualmente e que afetam produtos comerciais
é bastante alto, o que dificulta que administradores de sistemas de segurança determinem quais
vulnerabilidades afetam suas plataformas. Desta maneira as empresas são colocadas em um
constante desafio que envolve a melhor maneira de gerenciar todas as vulnerabilidades de seus
ativos e tecnologias.
Página 10 de 21
Propriedade da Telefônica. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a sua prévia autorização.
Figura 4 - Número de vulnerabilidades publicas até Abril 2019 (Fonte: http://www.cvedetails.com/browse-by-date.php)
3.2.3.2 Solução
Em sua fase inicial, o módulo Alertas de Vulnerabilidades classifica, com a ajuda do cliente, os
elementos de hardware e as versões de softwares instalados em seus ativos (sistemas
operacionais, pacotes de softwares, etc) de acordo com a classificação do CPE (Common
Platform Enumeration).
Figura 5 - Portal de serviço: classificação de ativo baseado no CPE
O cliente pode definir tags personalizadas no Portal de Serviços para catalogar seus ativos, o
que permite a identificação rápida por meio de filtros e edição em grupo.
A funcionalidade deste módulo consiste em vincular o inventário atualizado de ativos localizados
ao banco de dados de vulnerabilidades publicado pelo NIST (National Institute of Standards and
Technology), fornecendo as vulnerabilidades que afetam especificamente seus ativos. Cada
novo resultado aciona automaticamente a notificação de alertas e a geração de vulnerabilidades
do mesmo modo como se fosse detectada de maneira proativa. Essas vulnerabilidades são
classificadas como potenciais no Portal de Serviços, permitindo monitorar o status das
vulnerabilidades.
O cliente pode definir os critérios para a configuração de alertas automáticos com base em vários
parâmetros, como gravidade de acordo com o CVSS (Common Vulnerability Scoring System),
quando ser notificado (diariamente, semanalmente ou individualmente para cada
vulnerabilidade) ou o produto de uma família específica , entre outros. As figuras a seguir
Página 11 de 21
Propriedade da Telefônica. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a sua prévia autorização.
mostram o processo de alertas de vulnerabilidade passo a passo, desde a sua criação (Figura
5), passando pela lista de alertas configurados (Figura 6), até a entrega final do alerta via email
(Figura 7).
Figura 6 - Parametros para criação de alertas
O cliente pode definir quantos alertas desejar com base em vários padrões, como nível de
gravidade de acordo com CVSS, Grupo, Ativo, Produtos, Idiomas ou envio de atualizações.
Figura 7 - Painel com os alertas configurados
Página 12 de 21
Propriedade da Telefônica. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a sua prévia autorização.
Figura 8 - Notificação do usuário
3.2.3.3 Valor
Oferecemos ao cliente a possibilidade de saber quais são as novas vulnerabilidades que afetam
seus ativos e realizar o monitoramento. A descrição dessas vulnerabilidades fornece informações
sobre o sistema afetado, a categoria e os métodos de correção.
3.2.3.4 Benefícios
Geração de um inventário de ativos para a plataforma tecnológica do cliente.
Melhora a manutenção e atualização do inventário de ativos através do Portal de Serviços.
Identificação de vulnerabilidades existentes com base no inventário de ativos do cliente.
Notificação automática de novas vulnerabilidades associadas aos ativos que compõem a
plataforma tecnológica do cliente.
Facilita o gerenciamento de vulnerabilidades existentes através do Portal de Serviços,
identificando os grupos responsáveis pelo ambiente afetado, gravidade e correção.
3.2.4 Análise de Vulnerabilidades
3.2.4.1 Desafios dos clientes
Devido à constante evolução dos sistemas computacionais e ao contínuo surgimento de novas
vulnerabilidades, os clientes enfrentam o desafio de monitorar centenas ou mesmo milhares de
ativos, analisando se os ativos foram afetados pelas vulnerabilidades.
Além disso, esse monitoramento requer um investimento significativo em termos de tempo e
recursos para detectar quais ativos podem estar vulneráveis na organização, além da utilização
de ferramentas que facilitam a detecção e o gerenciamento da correção de vulnerabilidades.
Página 13 de 21
Propriedade da Telefônica. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a sua prévia autorização.
3.2.4.2 Solução
A funcionalidade do módulo Avaliação de Vulnerabilidades consiste no uso de tecnologia líder
de mercado que analisa os ativos do ambiente automaticamente para identificar possíveis
vulnerabilidades, descobrir novos sistemas, identificar portas abertas ou até mesmo verificar se
a configuração atende aos padrões de segurança. Este módulo permite a digitalização interna
usando um dispositivo de escaneamento (client) implantado nas instalações do cliente.
O conjunto de sistemas críticos, redes e plataformas que fazem parte do escopo deste módulo
são definidos na primeira fase. Além disso, a execução das varreduras, as janelas de tempo para
a auditoria, a periodicidade dos testes, possíveis restrições e políticas de varredura (testes a
serem realizados) que melhor atendam às necessidades do cliente são planejadas e acordadas.
O cliente deverá considerar o seguinte:
• Nenhum ataque de negação de serviço (DoS) será realizado.
• Para determinados tipos de testes, o cliente fornecerá as credenciais de acesso
necessárias para continuar com a avaliação de vulnerabilidade.
• O tipo de testes a serem realizados por cada auditoria podem ser diferentes, isso devido
o modo de auditoria, o tempo de execução e as evidências obtidas.
Com base nas informações acordadas com o cliente, a equipe de especialistas em segurança
do TAGS fica responsável pela configuração das ferramentas e pelo início da execução da
avaliação de vulnerabilidades. Recomenda-se uma escaneamento de descoberta inicial para
otimizar a localização dos dispositivos de varredura. Esse processo não requer a instalação de
hardware adicional na organização e não exige nenhuma tarefa de configuração pelo cliente. No
entanto, embora as varreduras externas não exijam software adicional, para varreduras de rede
internas, a instalação de software adicional (mecanismo de varredura) é necessária na
infraestrutura do cliente. Esta instalação será realizada pelo cliente com o apoio do TAGS e do
analista local.
Quando o teste é concluído, os resultados da avaliação são automaticamente enviados para o
Portal de Serviços, pois estão integrados à tecnologia NeXpose (Rapid7) usada para verificação
de vulnerabilidades. Uma API também está disponível paraintegrar com outras fontes (SIEM,por
exemplo). A equipe de especialistas em segurança do TAGS revisa os resultados obtidos com
as ferramentas e valida as vulnerabilidades criadas no Portal de Serviços.
O cliente pode verificar os resultados da varredura no Portal de Serviços conforme eles são
relatados pelas ferramentas e podem gerar relatórios técnicos, de monitoramento e diferenciais
ilimitados que lhes permitem ver a evolução do serviço VAMPS.
O módulo de Avaliação de Vulnerabilidade é complementado com os resultados do módulo de
Pentesting Persistente, que se concentra na auditoria de aplicações web.
3.2.4.3 Valor
O valor agregado pelo serviço é a automatização do processo de detecção e a avaliação da
vulnerabilidade, considerando se são novos, reabertos, corrigidos, descartados, assumidos ou
Página 14 de 21
Propriedade da Telefônica. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a sua prévia autorização.
ativos, permitindo o monitoramento do status e do gerenciamento do ciclo de vida das ameaças.
Essa ideia é reforçada pelo fato de que é possível escanear um grande número de endereços IP
em curtos períodos de tempo, facilitando muito o gerenciamento da correção das
vulnerabilidades detectadas.
3.2.4.4 Benefícios
Redução de custos em termos de recursos, treinamento e documentação necessária para
avaliação de vulnerabilidade.
Automação das mais recentes técnicas de varredura de vulnerabilidades.
Como é contínuo, facilita a resposta antecipada e a proteção contra ameaças de segurança.
Obtenção de uma avaliação das vulnerabilidades enfrentadas pelos sistemas do cliente.
Obtenção e recomendação de soluções para as vulnerabilidades detectadas de um ponto de
vista corretivo e preventivo.
Descoberta de ativos e categorização de sistemas operacionais e aplicativos vinculados à
funcionalidade do CMDB (Configuration Management Database) oferecida pelo Portal de
Serviços.
3.2.4.5 Entregáveis
O Portal de Serviços do VAMPS centraliza a geração de diversos tipos de realtórios:
- Alerta de Vulnerabilidades:
O módulo Alertas de Vulnerabilidade monitora a liberação de vulnerabilidades que podem afetar
a plataforma tecnológica do cliente.
Com base nos critérios configurados pelo CLIENTE, os alertas serão enviados por email de
acordo com os modelos gerais definidos, que incluirão caixas de email de cada cliente. Esses
envios podem ser individuais, diário ou semanal.
- Relatórios de Serviços:
O Portal de Serviços permite que o cliente gere relatórios do VAMPS com base nas informações
obtidas por cada um dos módulos contratados. Os relatórios são personalizáveis pelo cliente,
que podem adicionar seções e editar o conteúdo. Além disso, o cliente recebe um Relatório
Técnico quando o projeto termina. Os cinco tipos de relatórios mencionados têm uma versão
padrão e detalhada:
• Relatório técnico de vulnerabilidades;
• Diferencial entre execuções;
• Acompanhamento (Follow-up);
Página 15 de 21
Propriedade da Telefônica. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a sua prévia autorização.
• Acompanhamento de Projeto;
• Customizado;
- Notificações de Serviços:
As notificações são enviadas por email para o cliente, de acordo com modelos de notificação
padrão, identificados em determinados eventos.
Abaixo os diferentes tipos de notificações que podem ser encaminhadas:
• Alerta de Vulnerabilidades: Sumário Diário, Sumário Semanal, Individual para cada
vulnerabilidade.
• Ativos: Criação, Modificação da Informação, Excluído.
• Ocorrências: Criação, Alterações nas informações, status ou severidade.
• Criação ou Exclusão do Certificado de Correção.
• Exclusão
- Projetos
• Inicio do Projeto (3 dias antes)
• Fim do Projeto
• Sumário do Pentest Persistente
• Resultado da Análise das Vulnerabilidades
- Relatórios
• Novo Relatório Publicado
3.2.4.6 Requisitos de Ambiente
- Sistemas Operacionais
• Sistema Operacional com configurações regionais English/United States
• As seguintes plataformas 64-bit versions são suportadas:
Linux Windows
Ubuntu Linux 18.04 LTS Microsoft Windows Server 2016
Página 16 de 21
Propriedade da Telefônica. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a sua prévia autorização.
Ubuntu Linux 16.04 LTS
(RECOMENDADO)
Microsoft Windows Server 2012 R2
Ubuntu Linux 14.04 LTS
Red Hat Enterprise Linux Server 7
Microsoft Windows Server 2008 R2
Microsoft Windows 8.1
Red Hat Enterprise Linux Server 6 Microsoft Windows 7 SP1
CentOS 7
Oracle Linux 7
SUSE Linux Enterprise Server 12
openSUSE Leap 15
- Navegadores
Browsers
Google Chrome (atualizado)
Mozilla Firefox (atualizado)
Mozilla Firefox ESR (atualizado)
Microsoft Edge
Microsoft Internet Explorer 11
- Hardware
Volume Licenças Processador Memória Armazenamento
Console Até 5.000 ativos Quad-Core 16GB 1TB
Console Até 20.000 ativos 2 x Hexa-Core 64GB 2TB
Console Até 150.000 ativos 2 x Hexa-Core 128GB 4TB
Console Até 400.000 ativos 2 x Hexa-Core 256GB 8TB
Engine Até 5.000 ativos / dia Quad-Core 8GB 100GB
Engine Até 20.000 ativos / dia Octa-Core 16GB 200GB
Página 17 de 21
Propriedade da Telefônica. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a sua prévia autorização.
3.3 Portal de Serviços
O Portal de Serviços é parte integrante da proposta de valor, pois é a interface de comunicação
entre o cliente e o VAMPS. Fornece ao cliente um painel de controle para visualizar todas as
vulnerabilidades descobertas pelos módulos contratados, priorizar sua correção, acessar as
informações detalhadas e gerenciar o ciclo de vida das vulnerabilidades e o inventário de ativos
e a criação de relatórios técnicos e de monitoramento que permite ao cliente entender o impacto
de tais vulnerabilidades em seus negócios.
Figura 9 - Módulos do Vamps
O Serviço VAMPS não se concentra exclusivamente na detecção de vulnerabilidades, mas
também fornece suporte de gerenciamento.
O Console da Web pode ser acessado pelos navegadoresmais comuns (IE v8 e posterior,
Chrome, Firefox, etc).
3.3.1 Monitoramento do Status das Vulnerabilidades
O Portal de Serviços permite ao cliente monitorar as vulnerabilidades detectadas nas auditorias
como parte do serviço, bem como acessar as seguintes opções:
• Visualizar quantas vulnerabilidades o CLIENTE tem e seu status, indicando claramente o
nível de segurança de seus ativos digitais e sistemas de informações.
• Suporte para o gerenciamento de várias vulnerabilidades.
• Após cada execução, o cliente é informado sobre as ameaças detectadas e corrigidas.
Página 18 de 21
Propriedade da Telefônica. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a sua prévia autorização.
• Consulta a cada status dos projetos e o planejamento dos testes que foram utilizados nas
verificações.
• Detalhes técnicos: ativos auditados, janela de teste usada, etc.
• Ativos descobertos no domínio e relações externas do mesmo.
• Metadados detectados nos arquivos públicos do cliente.
• Vulnerabilidades potenciais associadas à versão do produto, softwares utilizados.
• Lista detalhada de vulnerabilidades identificadas: descrição, impacto, solução, categoria
da vulnerabilidade, bem como evidência das vulnerabilidades e recomendações para a
mitigação do mesmo.
3.3.2 Interface do Portal de Serviços
O acesso ao Portal de Serviços é via Single Sign-On (SSO) usando os seguintes links:
https://cybersecurity.telefonica.com
Figura 10 - Tela de Login do Portal de Serviços
Dashboard: o cliente poderá ver o estado geral dos módulos contratados e escolher o modo
como a informação é apresentada.
Página 19 de 21
Propriedade da Telefônica. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a sua prévia autorização.
Figura 11 - Visão Geral do Portal de Serviços
Vulnerabilidades: composto por Projetos, Ocorrências e Alertas de Vulnerabilidade. O cliente
pode verificar a lista de projetos executados e ver o cronograma de testes.
Figura 12 - Lista de Vulnerabilidades
Ativos: mostra uma lista dos recursos do cliente com suas características. O cliente pode editar
as características dos ativos.
Relatórios: exibe uma lista de relatórios disponíveis solicitados. O cliente pode verificar as
informações em um relatório, solicitar um novo relatório e revisar sua estrutura.
Página 20 de 21
Propriedade da Telefônica. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a sua prévia autorização.
Figura 13 - Tela do Gerenciamento de Documentos
4 CONDIÇÃO COMERCIAL
Acrescentar neste item as condições comerciais com as quantidades de dominios/sub (FaasT),
ativos para a análise de vulnerabilidades (NeXpose), prazo comercial e valores do precificador.
Condições
Descrição Qtd. Período XX Meses
Valor Mensal
Portal de Serviços Incluso
R$ xxxx,xx
Alerta de Vulnerabilidades - Ativos Gerenciados pelo xxxxxxxxxxxxx
Até xxx
Análise de Vulnerabilidades Até xxx
Pentesting Persistente Até xxx
5 RESPONSÁBILIDADES
5.1 Responsabilidades da Telefonica
• Controlar, organizar e gerenciar a parametrização das informações fornecidas pelo
cliente no portal.
• Participar das reuniões de trabalho acordadas com o cliente.
• Manter a equipe do Cliente informada sobre as ações e resultados das diferentes
atividades realizadas.
• Garantir a confidencialidade dos dados fornecidos pelo cliente para o desenvolvimento
da atividade.
• Garantir a qualidade do serviço, proporcionando as instalações e pessoal necessários
para a execução das atividades contratadas.
Página 21 de 21
Propriedade da Telefônica. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a sua prévia autorização.
5.2 Responsabilidades do cliente
• Atribuir os contatos e responsáveis das pessoas com permissão para realizar as
consultas na ferramenta.
• Fornecer as informações solicitadas pela Telefonica.
• Realização de atividades de monitoramento e comunicação de quaisquer alterações em
tempo hábil.
5.3 Limitações
Este serviço não inclui:
• Configuração de outras redes ou equipamentos de segurança de propriedade do cliente
ou de qualquer outro que não faça parte do serviço.
• Qualquer outro tipo de serviço que não esteja descrito na proposta técnica/comercial.
• A implementação de medidas corretivas para sistemas e aplicações para atender o
escopo do projeto, sendo de total responsabilidade do cliente implementar as medidas
corretivas, se necessário.
• Resposta a incidentes e procedimentos de encaminhamento para escalonar sua
resolução.
Qualquer atraso causado devido a falta de informações que não foram fornecidas durante a fase
de provisão e que possam causar problemas subsequentes na execução do projeto, será de
responsabilidade do cliente.
Requisitos adicionais do cliente que possam aparecer durante ou após a execução do serviço e
que não forem incluídos serão estudados pela Telefonica para determinar seu impacto nas
condições estabelecidas pela oferta do serviço.