termo especÍfico do produto vamps · • abordagem pró-ativa na detecção de vulnerabilidades,...

TERMO ESPECÍFICO DO PRODUTO - VAMPS

de 21

Propriedade da Telefônica. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a sua prévia autorização.

Sumário

1 INTRODUÇÃO ......................................................................................................... 3

2 OBJETIVO DA OFERTA ......................................................................................... 3

3 DESCRIÇÃO DO SERVIÇO .................................................................................... 4

3.1 DETALHES DOS SERVIÇOS ....................................................................................... 4 3.2 MÓDULOS DISPONÍVEIS ................................................................................... 5

3.2.1 Pentest Persistente ..................................................................................... 5

3.2.2 Pentest Manual ........................................................................................... 9 3.2.3 Alertas de Vulnerabilidades ........................................................................ 9 3.2.4 Análise de Vulnerabilidades...................................................................... 12

3.3 PORTAL DE SERVIÇOS .......................................................................................... 17 3.3.1 Monitoramento do Status das Vulnerabilidades........................................ 17 3.3.2 Interface do Portal de Serviços ................................................................. 18

4 CONDIÇÃO COMERCIAL ..................................................................................... 20

5 RESPONSÁBILIDADES ........................................................................................ 20

5.1 RESPONSABILIDADES DA TELEFONICA .................................................................... 20

5.2 RESPONSABILIDADES DO CLIENTE .......................................................................... 21 5.3 LIMITAÇÕES ......................................................................................................... 21

de 21


1 INTRODUÇÃO

Dado o aumento da complexidade da infra-estrutura de TI dentro das organizações e a ampla

variedade e sofisticação dos ataques aos quais estamos expostos, é essencial determinar o nível

de segurança de uma organização e seu nível de exposição a ameaças, por meio da detecção

precoce e da gestão adequada do ciclo de vida das vulnerabilidades que ameaçam seus ativos.

O serviço é configurado de maneira modular e com distintas versões, desta maneira o cliente

poderá optar por módulos que façam mais sentido para o seu negócio. No decorrer deste

documento apresentaremos de maneira geral os módulos, versões e entregáveis oferecidos pelo

serviço, porém sua disponibilização está diretamente ligada com a composição contratada pelo

cliente.

O objetivo do serviço VAMPS da VIVO EMPRESAS é fornecer aos nossos clientes os

mecanismos apropriados para detectar e neutralizar as ameaças que possam existir em seus

sistemas e plataformas, além de monitorar o ciclo de vida das vulnerabilidades detectadas nos

levantamentos realizados.

Esse serviço surgiu na necessidade em oferecer aos sistemas de informação um nível adequado

de segurança de acordo com a tecnologia implantada e de cobrir os riscos derivados do

processamento automatizado de informações sob a premissa de uma análise adequada.

Assim, o CLIENTE pode executar as ações que julgar necessárias para prevenir ou mitigar as

ameaças de segurança que afetam sua organização, priorizando e alocando recursos para as

vulnerabilidades que possam implicar um risco para o seu negócio.

O serviço do VAMPS pode atuar da seguinte maneira coordenada e consistente:

• Disponibilizar um canal de comunicação confiável através do analista local que

entende as necessidades e os requisitos do cliente em relação ao serviço.

• Fornecimento do portal web para o cliente gerenciar todas as vulnerabilidades

detectadas e outras entregas de serviços.

• Equipe especializada em segurança da informação que revisam os resultados obtidos

pelas ferramentas para determinar sua gravidade e definir um plano de remediação,

além de executar auditorias manuais sob demanda solicitadas pelos clientes.

• Abordagem pró-ativa na detecção de vulnerabilidades, permitindo que o cliente as

manipule eficientemente.

• Fornecimento de um serviço de gerenciamento de vulnerabilidades que permite que

a equipe de TI do cliente se concentre em corrigir erros de segurança com o objetivo

de reduzir o tempo de exposição a vulnerabilidades.

2 OBJETIVO DA OFERTA

O objetivo desta oferta é descrever as principais informações da proposta técnica e financeira

que o serviço do VAMPS pode entregar e enriquecer o escopo tradicional de auditoria de

de 21


vulnerabilidades, adaptando as ferramentas, a experiência e a metodologia em relação ao

gerenciamento de detecção e vulnerabilidade.

A oferta de serviço depende de um compromisso com a mais alta qualidade de serviço realizado

pelo VIVO EMPRESAS e a experiência e conhecimento do mercado de segurança. Esse

compromisso é o reflexo da nossa vocação em liderar a evolução tecnológica e garantir a

disponibilidade dos serviços de nossos clientes.

3 DESCRIÇÃO DO SERVIÇO

O Serviço VAMPS fornece uma solução holística que integra diferentes produtos e ferramentas

de segurança, destacando-se dos serviços de segurança tradicionais, oferecendo gerenciamento

de vulnerabilidades de ponta a ponta através de um portal web que permite monitorar a

vulnerabilidade desde a detecção até a resolução.

3.1 Detalhes dos serviços

Procedimento operacional:

Figura 1 – Procedimento operacional do VAMPS

O Cliente, o Portal de Serviços e a Telefônica são as três partes envolvidas no Serviço VAMPS.

O cliente é considerado como uma entidade do Portal de Serviços que permite aos usuários

monitorar o ciclo de vida das vulnerabilidades que ameaçam seus ativos. Os resultados obtidos

a partir das ferramentas de segurança nos ativos do cliente são imediatamente enviados para o

portal do serviço para serem posteriormente validados pela equipe de especialistas do Serviço

localizados nas TAGS da VIVO EMPRESAS

Oferecemos ao cliente um Analista Local como um canal de comunicação confiável, com

conhecimento do contexto dos ativos, permitindo que eles forneçam uma interpretação precisa

dos resultados relacionados as suas necessidades.

O Portal de Serviços é a principal interface fornecida pelo Serviço VAMPS aos usuários e

centraliza a solicitação/emissão de relatórios, envia alertas, notificações e entrega os resultados

dos testes.

de 21


3.2 MÓDULOS DISPONÍVEIS

Abaixo os módulos que disponibilizamos para contratação:

Figura 2 - Módulos disponíveis no VAMPS

3.2.1 Pentest Persistente

3.2.1.1 Desafios dos clientes

Hoje, as empresas precisam lidar com ataques de indivíduos que tentam encontrar

vulnerabilidades e pontos fracos para obter acesso aos sistemas de informação. Esses ataques

podem ser executados a qualquer momento e os invasores podem se beneficiar do ambiente em

constante mudança no qual os sistemas de computadores operam, tirando proveito das violações

de segurança para acessar informações valiosas ou os principais sistemas das organizações.

Figura 3 - Motivos das invasões em 2014. Fonte: http://hackmageddon.com/

As empresas enfrentam o desafio de obter uma imagem atual e real dos ativos de sua

organização e o nível de segurança associado a eles. Além disso, essa imagem deve ser

revisada continuamente ao longo do tempo e permanecer atualizada no contexto do ambiente

em mudança mencionado. O cliente também deverá ser capaz de lidar com essa situação com

de 21


um determinado orçamento, obtendo informações sobre o impacto que os ataques bem-

sucedidos podem ter em sua organização.

3.2.1.2 Solução

Com base na tecnologia Faast, o módulo Pentesting Persistente apresenta o seguinte cenário:

uma plataforma que pode automaticamente e de maneira continua (24/7) implementar as fases

que os invasores usam para comprometer a segurança dos sistemas de informações de uma

empresa, juntamente com uma equipe de segurança qualificada que valida a resultados obtidos

pela plataforma, as vulnerabilidades detectadas e as recomendações dadas.

A serviço FAAST utiliza das seguintes fases:

Fase de descoberta

Através de um nome de domínio, o serviço pode realizar uma pesquisa na Internet para fornecer

uma visão global da empresa. Uma organização deve tentar cobrir todos os pontos de acesso,

enquanto isso, os invasores precisam encontrar pelo menos um ponto de acesso, então o

conhecimento de todos os ativos de uma organização é crucial, pois é impossível verificar se um

ativo é vulnerável.

Fase de análise

Na fase de análise, a tecnologia Faast que é utilizada neste módulo combina diferentes técnicas

que simulam realisticamente os comportamentos dos invasores: o download de vários tipos de

arquivos com informações confidenciais que foram descobertos anteriormente na fase de

descoberta. As informações contidas nesses arquivos podem ser usadas por usuários mal-

intencionados para planejar ataques: caminhos internos, e-mails, nomes de usuários,

dispositivos de rede, metadados etc.

O Faast tem outros recursos como avaliação SSH, assessment of Poodle, Heartbleed e

certificados (data de expiração, transmissão de domínio, CA não confiável, problemas de

assinatura baseados em MD5 e SHA1, RC), análise de cabeçalhos HTTP, análise de versões de

produtos baseadas em CVEs, avaliação de CMSs (Wordpress, Joomla, Drupal), metadados,

entre outros.

Junto com isso, o serviço oferece uma série de recomendações de segurança. Essas

recomendações não se tornam vulnerabilidades, mas permitem a coleta adicional de

informações sobre possíveis ataques que exploram qualquer uma das vulnerabilidades

detectadas. Exemplos de recomendações são:

Hospedagem compartilhada, cabeçalho CSP HTTP não implementado ou expiração futura do

certificado.

Fase de exploração

de 21


A última fase consiste em realizar os testes de exploração relevantes com as informações obtidas

nas fases de descoberta e análise. Esses testes exigem maior atenção por parte do Faast, pois

os testes realizados não podem comprometer os dados obtidos. Isto é possível através da

exploração controlada de vulnerabilidades conhecidas em ativos e itens detectados em fases

anteriores.

O cliente pode verificar os resultados no Portal de Serviços, o que reduz o tempo necessário

para entrega dos resultados. A equipe de especialistas em segurança TAGS revisa1 os

resultados obtidos com as ferramentas e valida as vulnerabilidades criadas no Portal de Serviços.

Além disso, com base nas informações disponíveis no Portal de Serviços, é possível gerar

relatórios de monitoramento, que permitem acompanhar a evolução do Serviço VAMPS. É útil

para o cliente comparar os resultados de diferentes execuções do Faast através de relatórios

diferenciais e, assim, realizar o monitoramento das vulnerabilidades detectadas com precisão.

Por outro lado, os relatórios de monitoramento permitem que o cliente conheça sua situação

atual com base no status e gravidade e mostre uma análise de serviço no gerenciamento das

vulnerabilidades presentes em seus ativos.

1Nem todos os módulos possuem a análise dos resultados (falso positivo e avaliações). Verifique as versões compatíveis.

O Pentesting Persistente é dividido em quatro modalidades, quais são classificados da menos

para a maior capacidade de processamento:

CARACT.

PLANO LITE P M G GG

PORTAL DE SERVIÇO

QUANTIDADE DE DOMÍNIOS/SUBDOMINIOS

1 ATÉ 10 ATÉ 30 ATÉ 150 ACIMA DE 150

QUANTIDADE SCAN ANO 4 12 RECORRENTE RECORRENTE RECORRENTE

PERIODO ENTRE RELATÓRIOS

90 DIAS 30 DIAS N/A* N/A* N/A*

FILTRO FALSO POSITIVO X

COMPATIBILIDADE PARA INCLUSÃO DE MÓDULOS

PENTEST MANUAL X

ALERTA DE VULNERABILIDADES

X

ANÁLISE DE VULNERABILIDADES

X

*O período entre relatórios para os planos M, G e GG dependem da quantidade e período entre os scanners que foram realizados.

Lite: Desenvolvido para pequenas e médias empresas, oferece a verificação de um (1) domínio,

4 scanners anual (um a cada 90 dias) e o monitoramento de até 10 diretórios no endereço

apontado. Não permite a análise de falso positivo, porém o time técnico verifica se as

vulnerabilidades encontradas estão dento do Top 10 do OWASP. Este módulo não permite a

contratação de demais módulos ou a customização da oferta.

de 21


P: Esta oferta compreende na execução de varreduras com uma frequência e duração máxima

de um mês. Existem dois cenários possíveis: uma varredura em um domínio é concluída em um

período inferior a um mês ou, após um mês, a varredura ainda não concluiu todas as suas tarefas

e é interrompida manualmente. Suporta até 10 domínios/subdominios para verificação.

M: Permite a configurar a frequencia das verificações, além de possuir uma capacidade de

processamento superior se comparado a modalidade P. Suporta até 30 domínios para

verificação.

G: Permite a configurar a frequencia das verificações, além de possuir uma capacidade de

processamento superior se comparado a modalidade M. Suporta até 150 domínios para

verificação.

GG: Permite a configurar a frequencia das verificações, além de possuir uma capacidade de

processamento superior se comparado a modalidade G. Suporta acima de 150 domínios para

verificação.

Uma vez que o plano tenha sido selecionado, o cliente necessita fornecer uma lista de domínios

para análise indicando a prioridade relevante da varredura. Essas informações serão usadas

pelo VAMPS para distribuir a capacidade de varredura do Faast de maneira mais apropriada.

Os resultados do módulo Pentesting Persistente são complementados pelo módulo de Avaliação

de Vulnerabilidade do VAMPS.

3.2.1.3 Valor

Baseado no nome do domínio, o Faast descobre os ativos da organização que são acessíveis

pela Internet e automatiza técnicas reais de ataque, combinando vulnerabilidades aparentemente

menores, de modo que um alto impacto seja alcançado, da mesma maneira que um invasor faria.

O serviço é persistente e contínuo2, preparando uma organização para um ambiente em

constante mudança que não pode ser auditado manualmente e periodicamente. Neste sentido,

o Faast é continuamente atualizado com as mais recentes técnicas de ataque tornadas públicas.

Conta com uma equipe de especialistas em segurança dedicada a fornecer para o Faast novos

recursos que melhoram os resultados das fases de descoberta, análise e subsequente

exploração deste serviço de Pentesting Persistente.

2Caso o monitoramento contínuo seja necessário, verifique quais os planos atendem a essa necessidade.

3.2.1.4 Benefícios

Testes personalizáveis focados na segurança global do cliente e identificação e inventário dos

ativos da organização.

Automação das mais recentes técnicas de penetração baseadas em ataques reais.

Detecção antecipada de ameaças através da avaliação contínua dos ativos da organização. Isso

resulta em uma resposta às ameaças de segurança o mais rápido possível, reduzindo o tempo

em que os sistemas são expostos a vulnerabilidades.

de 21


Exploração de vulnerabilidades para realizar intrusões, como um invasor real determinaria o

impacto das ameaças identificadas.

3.2.2 Pentest Manual

3.2.2.1 Solução

O módulo Pentesting Manual fornece orientações claras e concisas sobre como proteger os

sistemas e informações do cliente contra ataques do mundo real. Um fator-chave no sucesso do

Pentesting é a metodologia baseada no comportamento de invasores reais com uma abordagem

sistemática e científica para documentar com sucesso um teste e criar relatórios em diferentes

níveis de gerenciamento de uma organização. Além disso, esta metodologia não deve ser

restritiva e deve fornecer ao pentester um espaço de manobra, pois ele é responsável por

certificar se uma vulnerabilidade é explorável.

A abordagem deste módulo baseia-se na implementação de técnicas e fases para simular ações

e metodologias utilizadas por invasores reais.

As capacidades dos pentesters não se limitam à execução de varreduras de segurança e

ferramentas que analisam a configuração dos elementos que compreendem sistemas de

informação. O pentester pode coletar essas informações e usá-las para atingir níveis que as

ferramentas automatizadas não podem alcançar.

Desta maneira, este módulo pode analisar a lógica de negócios do cliente. Esta análise não pode

ser implementada por uma ferramenta automatizada, que tenta analisar o funcionamento das

aplicações com base em um conjunto finito de testes. Em certos casos, os testes a serem

implementados podem exigir um conhecimento abrangente do aplicativo analisado.

Os testes executados são os mais diversos, podendo atender diversos ambientes (de acordo

com os módulos contratados pelo cliente), são eles:

Teste de Penetração;

Auditória de aplicações móveis;

Serviços Post-Exploration;

Engenharia social;

3.2.3 Alertas de Vulnerabilidades


O número de vulnerabilidades tornadas públicas anualmente e que afetam produtos comerciais

é bastante alto, o que dificulta que administradores de sistemas de segurança determinem quais

vulnerabilidades afetam suas plataformas. Desta maneira as empresas são colocadas em um

constante desafio que envolve a melhor maneira de gerenciar todas as vulnerabilidades de seus

ativos e tecnologias.

de 21


Figura 4 - Número de vulnerabilidades publicas até Abril 2019 (Fonte: http://www.cvedetails.com/browse-by-date.php)

3.2.3.2 Solução

Em sua fase inicial, o módulo Alertas de Vulnerabilidades classifica, com a ajuda do cliente, os

elementos de hardware e as versões de softwares instalados em seus ativos (sistemas

operacionais, pacotes de softwares, etc) de acordo com a classificação do CPE (Common

Platform Enumeration).

Figura 5 - Portal de serviço: classificação de ativo baseado no CPE

O cliente pode definir tags personalizadas no Portal de Serviços para catalogar seus ativos, o

que permite a identificação rápida por meio de filtros e edição em grupo.

A funcionalidade deste módulo consiste em vincular o inventário atualizado de ativos localizados

ao banco de dados de vulnerabilidades publicado pelo NIST (National Institute of Standards and

Technology), fornecendo as vulnerabilidades que afetam especificamente seus ativos. Cada

novo resultado aciona automaticamente a notificação de alertas e a geração de vulnerabilidades

do mesmo modo como se fosse detectada de maneira proativa. Essas vulnerabilidades são

classificadas como potenciais no Portal de Serviços, permitindo monitorar o status das

vulnerabilidades.

O cliente pode definir os critérios para a configuração de alertas automáticos com base em vários

parâmetros, como gravidade de acordo com o CVSS (Common Vulnerability Scoring System),

quando ser notificado (diariamente, semanalmente ou individualmente para cada

vulnerabilidade) ou o produto de uma família específica , entre outros. As figuras a seguir

http://www.cvedetails.com/browse-by-date.php

de 21


mostram o processo de alertas de vulnerabilidade passo a passo, desde a sua criação (Figura

5), passando pela lista de alertas configurados (Figura 6), até a entrega final do alerta via email

(Figura 7).

Figura 6 - Parametros para criação de alertas

O cliente pode definir quantos alertas desejar com base em vários padrões, como nível de

gravidade de acordo com CVSS, Grupo, Ativo, Produtos, Idiomas ou envio de atualizações.

Figura 7 - Painel com os alertas configurados

de 21


Figura 8 - Notificação do usuário

3.2.3.3 Valor

Oferecemos ao cliente a possibilidade de saber quais são as novas vulnerabilidades que afetam

seus ativos e realizar o monitoramento. A descrição dessas vulnerabilidades fornece informações

sobre o sistema afetado, a categoria e os métodos de correção.

3.2.3.4 Benefícios

Geração de um inventário de ativos para a plataforma tecnológica do cliente.

Melhora a manutenção e atualização do inventário de ativos através do Portal de Serviços.

Identificação de vulnerabilidades existentes com base no inventário de ativos do cliente.

Notificação automática de novas vulnerabilidades associadas aos ativos que compõem a

plataforma tecnológica do cliente.

Facilita o gerenciamento de vulnerabilidades existentes através do Portal de Serviços,

identificando os grupos responsáveis pelo ambiente afetado, gravidade e correção.

3.2.4 Análise de Vulnerabilidades


Devido à constante evolução dos sistemas computacionais e ao contínuo surgimento de novas

vulnerabilidades, os clientes enfrentam o desafio de monitorar centenas ou mesmo milhares de

ativos, analisando se os ativos foram afetados pelas vulnerabilidades.

Além disso, esse monitoramento requer um investimento significativo em termos de tempo e

recursos para detectar quais ativos podem estar vulneráveis na organização, além da utilização

de ferramentas que facilitam a detecção e o gerenciamento da correção de vulnerabilidades.

de 21


3.2.4.2 Solução

A funcionalidade do módulo Avaliação de Vulnerabilidades consiste no uso de tecnologia líder

de mercado que analisa os ativos do ambiente automaticamente para identificar possíveis

vulnerabilidades, descobrir novos sistemas, identificar portas abertas ou até mesmo verificar se

a configuração atende aos padrões de segurança. Este módulo permite a digitalização interna

usando um dispositivo de escaneamento (client) implantado nas instalações do cliente.

O conjunto de sistemas críticos, redes e plataformas que fazem parte do escopo deste módulo

são definidos na primeira fase. Além disso, a execução das varreduras, as janelas de tempo para

a auditoria, a periodicidade dos testes, possíveis restrições e políticas de varredura (testes a

serem realizados) que melhor atendam às necessidades do cliente são planejadas e acordadas.

O cliente deverá considerar o seguinte:

• Nenhum ataque de negação de serviço (DoS) será realizado.

• Para determinados tipos de testes, o cliente fornecerá as credenciais de acesso

necessárias para continuar com a avaliação de vulnerabilidade.

• O tipo de testes a serem realizados por cada auditoria podem ser diferentes, isso devido

o modo de auditoria, o tempo de execução e as evidências obtidas.

Com base nas informações acordadas com o cliente, a equipe de especialistas em segurança

do TAGS fica responsável pela configuração das ferramentas e pelo início da execução da

avaliação de vulnerabilidades. Recomenda-se uma escaneamento de descoberta inicial para

otimizar a localização dos dispositivos de varredura. Esse processo não requer a instalação de

hardware adicional na organização e não exige nenhuma tarefa de configuração pelo cliente. No

entanto, embora as varreduras externas não exijam software adicional, para varreduras de rede

internas, a instalação de software adicional (mecanismo de varredura) é necessária na

infraestrutura do cliente. Esta instalação será realizada pelo cliente com o apoio do TAGS e do

analista local.

Quando o teste é concluído, os resultados da avaliação são automaticamente enviados para o

Portal de Serviços, pois estão integrados à tecnologia NeXpose (Rapid7) usada para verificação

de vulnerabilidades. Uma API também está disponível paraintegrar com outras fontes (SIEM,por

exemplo). A equipe de especialistas em segurança do TAGS revisa os resultados obtidos com

as ferramentas e valida as vulnerabilidades criadas no Portal de Serviços.

O cliente pode verificar os resultados da varredura no Portal de Serviços conforme eles são

relatados pelas ferramentas e podem gerar relatórios técnicos, de monitoramento e diferenciais

ilimitados que lhes permitem ver a evolução do serviço VAMPS.

O módulo de Avaliação de Vulnerabilidade é complementado com os resultados do módulo de

Pentesting Persistente, que se concentra na auditoria de aplicações web.

3.2.4.3 Valor

O valor agregado pelo serviço é a automatização do processo de detecção e a avaliação da

vulnerabilidade, considerando se são novos, reabertos, corrigidos, descartados, assumidos ou

de 21


ativos, permitindo o monitoramento do status e do gerenciamento do ciclo de vida das ameaças.

Essa ideia é reforçada pelo fato de que é possível escanear um grande número de endereços IP

em curtos períodos de tempo, facilitando muito o gerenciamento da correção das

vulnerabilidades detectadas.

3.2.4.4 Benefícios

Redução de custos em termos de recursos, treinamento e documentação necessária para

avaliação de vulnerabilidade.

Automação das mais recentes técnicas de varredura de vulnerabilidades.

Como é contínuo, facilita a resposta antecipada e a proteção contra ameaças de segurança.

Obtenção de uma avaliação das vulnerabilidades enfrentadas pelos sistemas do cliente.

Obtenção e recomendação de soluções para as vulnerabilidades detectadas de um ponto de

vista corretivo e preventivo.

Descoberta de ativos e categorização de sistemas operacionais e aplicativos vinculados à

funcionalidade do CMDB (Configuration Management Database) oferecida pelo Portal de

Serviços.

3.2.4.5 Entregáveis

O Portal de Serviços do VAMPS centraliza a geração de diversos tipos de realtórios:

- Alerta de Vulnerabilidades:

O módulo Alertas de Vulnerabilidade monitora a liberação de vulnerabilidades que podem afetar

a plataforma tecnológica do cliente.

Com base nos critérios configurados pelo CLIENTE, os alertas serão enviados por email de

acordo com os modelos gerais definidos, que incluirão caixas de email de cada cliente. Esses

envios podem ser individuais, diário ou semanal.

- Relatórios de Serviços:

O Portal de Serviços permite que o cliente gere relatórios do VAMPS com base nas informações

obtidas por cada um dos módulos contratados. Os relatórios são personalizáveis pelo cliente,

que podem adicionar seções e editar o conteúdo. Além disso, o cliente recebe um Relatório

Técnico quando o projeto termina. Os cinco tipos de relatórios mencionados têm uma versão

padrão e detalhada:

• Relatório técnico de vulnerabilidades;

• Diferencial entre execuções;

• Acompanhamento (Follow-up);

de 21


• Acompanhamento de Projeto;

• Customizado;

- Notificações de Serviços:

As notificações são enviadas por email para o cliente, de acordo com modelos de notificação

padrão, identificados em determinados eventos.

Abaixo os diferentes tipos de notificações que podem ser encaminhadas:

• Alerta de Vulnerabilidades: Sumário Diário, Sumário Semanal, Individual para cada

vulnerabilidade.

• Ativos: Criação, Modificação da Informação, Excluído.

• Ocorrências: Criação, Alterações nas informações, status ou severidade.

• Criação ou Exclusão do Certificado de Correção.

• Exclusão

- Projetos

• Inicio do Projeto (3 dias antes)

• Fim do Projeto

• Sumário do Pentest Persistente

• Resultado da Análise das Vulnerabilidades

- Relatórios

• Novo Relatório Publicado

3.2.4.6 Requisitos de Ambiente

- Sistemas Operacionais

• Sistema Operacional com configurações regionais English/United States

• As seguintes plataformas 64-bit versions são suportadas:

Linux Windows

Ubuntu Linux 18.04 LTS Microsoft Windows Server 2016

de 21


Ubuntu Linux 16.04 LTS

(RECOMENDADO)

Microsoft Windows Server 2012 R2

Ubuntu Linux 14.04 LTS

Red Hat Enterprise Linux Server 7

Microsoft Windows Server 2008 R2

Microsoft Windows 8.1

Red Hat Enterprise Linux Server 6 Microsoft Windows 7 SP1

CentOS 7

Oracle Linux 7

SUSE Linux Enterprise Server 12

openSUSE Leap 15

- Navegadores

Browsers

Google Chrome (atualizado)

Mozilla Firefox (atualizado)

Mozilla Firefox ESR (atualizado)

Microsoft Edge

Microsoft Internet Explorer 11

- Hardware

Volume Licenças Processador Memória Armazenamento

Console Até 5.000 ativos Quad-Core 16GB 1TB

Console Até 20.000 ativos 2 x Hexa-Core 64GB 2TB



Engine Até 5.000 ativos / dia Quad-Core 8GB 100GB

Engine Até 20.000 ativos / dia Octa-Core 16GB 200GB

de 21


3.3 Portal de Serviços

O Portal de Serviços é parte integrante da proposta de valor, pois é a interface de comunicação

entre o cliente e o VAMPS. Fornece ao cliente um painel de controle para visualizar todas as

vulnerabilidades descobertas pelos módulos contratados, priorizar sua correção, acessar as

informações detalhadas e gerenciar o ciclo de vida das vulnerabilidades e o inventário de ativos

e a criação de relatórios técnicos e de monitoramento que permite ao cliente entender o impacto

de tais vulnerabilidades em seus negócios.

Figura 9 - Módulos do Vamps

O Serviço VAMPS não se concentra exclusivamente na detecção de vulnerabilidades, mas

também fornece suporte de gerenciamento.

O Console da Web pode ser acessado pelos navegadoresmais comuns (IE v8 e posterior,

Chrome, Firefox, etc).

3.3.1 Monitoramento do Status das Vulnerabilidades

O Portal de Serviços permite ao cliente monitorar as vulnerabilidades detectadas nas auditorias

como parte do serviço, bem como acessar as seguintes opções:

• Visualizar quantas vulnerabilidades o CLIENTE tem e seu status, indicando claramente o

nível de segurança de seus ativos digitais e sistemas de informações.

• Suporte para o gerenciamento de várias vulnerabilidades.

• Após cada execução, o cliente é informado sobre as ameaças detectadas e corrigidas.

de 21


• Consulta a cada status dos projetos e o planejamento dos testes que foram utilizados nas

verificações.

• Detalhes técnicos: ativos auditados, janela de teste usada, etc.

• Ativos descobertos no domínio e relações externas do mesmo.

• Metadados detectados nos arquivos públicos do cliente.

• Vulnerabilidades potenciais associadas à versão do produto, softwares utilizados.

• Lista detalhada de vulnerabilidades identificadas: descrição, impacto, solução, categoria

da vulnerabilidade, bem como evidência das vulnerabilidades e recomendações para a

mitigação do mesmo.

3.3.2 Interface do Portal de Serviços

O acesso ao Portal de Serviços é via Single Sign-On (SSO) usando os seguintes links:

https://cybersecurity.telefonica.com

Figura 10 - Tela de Login do Portal de Serviços

Dashboard: o cliente poderá ver o estado geral dos módulos contratados e escolher o modo

como a informação é apresentada.

https://cybersecurity.telefonica.com/

de 21


Figura 11 - Visão Geral do Portal de Serviços

Vulnerabilidades: composto por Projetos, Ocorrências e Alertas de Vulnerabilidade. O cliente

pode verificar a lista de projetos executados e ver o cronograma de testes.

Figura 12 - Lista de Vulnerabilidades

Ativos: mostra uma lista dos recursos do cliente com suas características. O cliente pode editar

as características dos ativos.

Relatórios: exibe uma lista de relatórios disponíveis solicitados. O cliente pode verificar as

informações em um relatório, solicitar um novo relatório e revisar sua estrutura.

de 21


Figura 13 - Tela do Gerenciamento de Documentos

4 CONDIÇÃO COMERCIAL

Acrescentar neste item as condições comerciais com as quantidades de dominios/sub (FaasT),

ativos para a análise de vulnerabilidades (NeXpose), prazo comercial e valores do precificador.

Condições

Descrição Qtd. Período XX Meses

Valor Mensal

Portal de Serviços Incluso

R$ xxxx,xx

Alerta de Vulnerabilidades - Ativos Gerenciados pelo xxxxxxxxxxxxx

Até xxx

Análise de Vulnerabilidades Até xxx

Pentesting Persistente Até xxx

5 RESPONSÁBILIDADES

5.1 Responsabilidades da Telefonica

• Controlar, organizar e gerenciar a parametrização das informações fornecidas pelo

cliente no portal.

• Participar das reuniões de trabalho acordadas com o cliente.

• Manter a equipe do Cliente informada sobre as ações e resultados das diferentes

atividades realizadas.

• Garantir a confidencialidade dos dados fornecidos pelo cliente para o desenvolvimento

da atividade.

• Garantir a qualidade do serviço, proporcionando as instalações e pessoal necessários

para a execução das atividades contratadas.

de 21


5.2 Responsabilidades do cliente

• Atribuir os contatos e responsáveis das pessoas com permissão para realizar as

consultas na ferramenta.

• Fornecer as informações solicitadas pela Telefonica.

• Realização de atividades de monitoramento e comunicação de quaisquer alterações em

tempo hábil.

5.3 Limitações

Este serviço não inclui:

• Configuração de outras redes ou equipamentos de segurança de propriedade do cliente

ou de qualquer outro que não faça parte do serviço.

• Qualquer outro tipo de serviço que não esteja descrito na proposta técnica/comercial.

• A implementação de medidas corretivas para sistemas e aplicações para atender o

escopo do projeto, sendo de total responsabilidade do cliente implementar as medidas

corretivas, se necessário.

• Resposta a incidentes e procedimentos de encaminhamento para escalonar sua

resolução.

Qualquer atraso causado devido a falta de informações que não foram fornecidas durante a fase

de provisão e que possam causar problemas subsequentes na execução do projeto, será de

responsabilidade do cliente.

Requisitos adicionais do cliente que possam aparecer durante ou após a execução do serviço e

que não forem incluídos serão estudados pela Telefonica para determinar seu impacto nas

condições estabelecidas pela oferta do serviço.

termo especÍfico do produto vamps · • abordagem pró-ativa na detecção de vulnerabilidades,...

Documents