Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
SISCOM xxxxx WCD xxxxxx
Página 1 de 20
Página 1
Propriedade da Telefônica Brasil S.A. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a prévia autorização da Telefônica Brasil S.A.
1 ESCOPO DO SERVIÇO
Todas as atividades previstas e os entregáveis dos serviços de segurança contemplados
nessa proposta técnica e comercial para o cliente <NOME DO CLIENTE> estarão descritos no
item “ESCOPO DO PROJETO”.
1.1 INFORMAÇÕES DO AMBIENTE DO CLIENTE
A solução apresentada nessa proposta técnica e comercial foi baseada nas informações
e visibilidade do ambiente de T.I. fornecidas pelo (a) <NOME DO CLIENTE>.
Caso em qualquer momento do processo de venda, implantação ou operação encontre
alguma necessidade adicional decorrente de uma nova informação enviada pelo (a) <NOME DO
CLIENTE>, será necessário a avaliação e poderá ter custos adicionais.
1.2 ATIVAÇÃO E CONFIGURAÇÃO DO SERVIÇO
A VIVO EMPRESAS disponibilizará um especialista em segurança da informação para
conduzir as etapas necessárias para a ativação do serviço de forma remota, a partir do nosso
SOC – Security Operation Center localizado no Brasil.
2 CYBERTHREATS
O Serviço CyberThreats está estruturado em dois módulos principais: Detecção de
Ameaças e Resposta às Ameaças.
2.1 DETECÇÃO DE AMEAÇAS
O objetivo geral deste módulo é identificar ameaças ou atividades suspeitas na rede que
possam afetar os ativos do Cliente. Desta forma, este módulo depende principalmente dos dois
seguintes pilares:
• Monitoramento e detecção: o monitoramento de múltiplas fontes é realizado para
detectar eventos ou elementos significativos que possam afetar negativamente o
funcionamento normal do negócio do Cliente.
• Análise e Interpretação: a informação obtida é integrada e processada,
transformando-a em conhecimento válido para a tomada de decisões.
Para este propósito, o serviço CyberThreats processa grandes quantidades de dados de
inúmeras fontes de informação que, graças às ferramentas e processos de propriedade do
Serviço, são transformadas em informações para o Cliente.
SISCOM xxxxx WCD xxxxxx
Página 2 de 20
Página 2
Propriedade da Telefônica Brasil S.A. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a prévia autorização da Telefônica Brasil S.A.
2.2 FONTES DO SERVIÇO
Dentro da metodologia de melhoria contínua do Serviço CyberThreats, e com base no
surgimento e evolução constante das ameaças, o serviço integra continuamente a análise,
avaliação e integração de novas fontes de informação.
Aqui estão algumas das fontes nas quais o Serviço é suportado:
Fontes públicas:
o Motores de busca;
o Redes sociais;
o Canais genéricos de Internet;
o Plataformas de pastas;
o Plataformas de compartilhamento de arquivos;
o Plataformas de vazamentos;
o Registradores de domínio (gTLD e ccTLD);
o Mercados de aplicativos móveis (oficiais e alternativas);
o Bancos de dados de vulnerabilidades;
o Feeds de listas negras, reputação de IPs, domínios e malware.
Fontes underground (deep web):
SISCOM xxxxx WCD xxxxxx
Página 3 de 20
Página 3
Propriedade da Telefônica Brasil S.A. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a prévia autorização da Telefônica Brasil S.A.
o Bancos de dados privados de cartões roubados;
o Bancos de dados privados de credenciais roubadas.
Fontes de Alianças:
o Blueliv;
o Kaspersky;
o Microsoft;
o Zeus Tracker Private;
o Grupo de Trabalho AntiPhishing (APWG);
o Aliança CyberThreat;
o FS-ISAC (Financial Services – Information Sharing and Analysis Center).
Fontes oficiais:
o FIRST (Forum of Incident Response and Security Team);
o NIST (National Institute of Standards and Technology);
o CERTs ( Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança)
/ CSIRTs (Computer Security Incident Response Team).
2.3 TIPOS DE AMEAÇAS
Os tipos de ameaças contemplados pelo serviço CyberThreats são descritos em detalhes
abaixo:
Reputação e Marca:
Dominios sospechosos
Os nomes de domínio que contêm em seu nome palavras-chave diretamente relacionadas ao Cliente serão detectados. Este módulo também é complementado com capacidades de typosquatting com base em algoritmos de similaridade e proximidade:
• Similaridade: substituindo certos carcateres por outros similares ou alterando as palavras para que elas sejam visualmente similares.
• Proximidade: eliminando ou substituindo apenas determinados caracteres.
Além disso, as informações de registro (WHOIS) associadas aos domínios suspeitos identificados serão fornecidas sempre que disponíveis.
Para fazer isso, os bancos de dados dos domínios de alto nível (TLDs, incluindo ccTLDs e os novos gTLDs) serão consultados, tomando como referência os domínios registrados pelo Cliente.
SISCOM xxxxx WCD xxxxxx
Página 4 de 20
Página 4
Propriedade da Telefônica Brasil S.A. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a prévia autorização da Telefônica Brasil S.A.
Uso no autorizado de marca
São identificados os sites e conteúdos em redes sociais ou outras plataformas que pretendam suplantar ou aproveitar a imagem e a reputação do Cliente para confundir o usuário final através do uso de sua marca, logotipo ou imagem.
Para tanto, são monitorados redes sociais, canais relacionados ao setor do Cliente, publicidade e blogs em busca de usos não autorizados de suas marcas.
Counterfeit
Serão identificados canais de comercialização não autorizados em que os produtos do Cliente estão disponíveis, falsificações, réplicas, produtos de segunda mão ou que simulam ser um canal de distribuição oficial.
Para isso, serão monitoradas redes sociais, plataformas de vendas / compras on-line, canais relacionados ao setor do Cliente, canais de distribuição não oficiais, publicidade, blogs e fóruns relacionados ao setor.
Contenidos ofensivos
Se identificarán opiniones de usuarios y tendencias conforme a los productos o marcas del Cliente para detectar contenidos ofensivos que dañen directamente su imagen o la reputación de sus marcas.
Para ello se monitorizarán redes sociales, canales relacionados con su sector, blogs y foros, en busca de publicaciones o comentarios que resulten ofensivos, amenazantes, difamatorios, etc. Dado el gran volumen de la información que se puede detectar, el Servicio realizará una valoración de la relevancia de cada información detectada y se acordará con el Cliente el umbral mínimo, a partir del cual dicha información será comunicada.
As opiniões e tendencias dos usuários serão monitoradas de acordo com os produtos ou marcas do Cliente para detectar conteúdo ofensivo que prejudique sua imagem diretamente ou a reputação de suas marcas.
Para este fim, as redes sociais, os canais relacionados ao seu setor, blogs e fóruns serão monitorados, em busca de publicações ou comentários ofensivos, ameaçadores, difamatórios, etc. Dado o grande volume de informações que podem ser detectadas, o Serviço fará uma avaliação da relevância de cada informação detectada e acordará com o Cliente o limite mínimo, a partir do qual essas informações serão comunicadas.
Seguimiento de identidad
digital
O serviço acompanhará as informações publicadas na Internet relacionadas às identidades digitais fornecidas pelo Cliente, com foco em um conjunto de identidades diretamente relacionadas à empresa (Administração Sênior, personalidades, etc.), a fim de identificar situações de sobreposição de informações em perfis sociais que podem levar a vazamentos de informações, publicações não autorizadas ou reações negativas a declarações feitas a partir de perfis sociais.
Para isso, as informações e referências publicadas pelas identidades do Cliente ou por terceiros serão monitoradas, principalmente em redes sociais, fóruns e blogs. Deve-se ter informações detalhadas para identificar na rede, sem qualquer dúvida, as pessoas singulares selecionadas pelo Cliente.
Interrupção de Negócio
Fugas de información
Serão localizadas informações sensíveis ou confidenciais que não devem ser publicadas ou acessíveis pela Internet, de acordo com as indicações do Cliente relativas à sua documentação sensível, confidencial ou restrita.
Para tanto, os repositórios documentais e de arquivos, as plataformas de compartilhamento de informações (pastas) e as informações publicadas nos canais oficiais do Cliente serão monitorados.
Hacktivismo, activismo en
la red y
As intenções dos grupos ativistas e hacktivistas que mostram comportamentos perigosos contra os interesses do Cliente serão identificadas, identificando proativamente futuros ataques, bem como potenciais meios e ferramentas que se destinam a serem utilizados
SISCOM xxxxx WCD xxxxxx
Página 5 de 20
Página 5
Propriedade da Telefônica Brasil S.A. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a prévia autorização da Telefônica Brasil S.A.
detección de DDoS1
para realizá-los: manifestações, ataques DDoS ou defacements, procurando ameaças contra sistemas e ativos físicos, a imagem ou os recursos tecnológicos do Cliente.
Para isso, serão monitoradas redes sociais, meios de comunicação (locais, setoriais, sindicatos, etc.), plataformas de petição e assinaturas e plataformas para compartilhamento de informações e manifestos (pastas).
Vulneración de
mecanismos de
seguridad
As publicações que revelam vulnerabilidades das medidas de segurança, tanto físicas como lógicas, implementadas pelo Cliente serão identificadas. Além disso, os detalhes dessas vulnerabilidades com um CVSS igual ou superior a 7 que afetam o software do Cliente e as vulnerabilidades de 0-day, que podem representar um risco para os ativos do Cliente e que ainda não foram avaliadas, serão notificados.
Para isso, será monitorado o Banco Nacional de Vulnerabilidade do NIST, bem como os canais utilizados para a divulgação de tutoriais focados na evasão de medidas de segurança
Robo de credenciales
Serão identificadas credenciais comprometidas que correspondem às permissões de acesso aos sistemas, instalações e processos relacionados ao Cliente.
Para este fim, as fontes públicas e privadas serão monitoradas: informações coletadas por botnets (servidores criminosos), plataformas de compartilhamento de informações (pastas), credenciais do mercado negro. Além disso, serão fornecidas as informações disponíveis no contexto do roubo (fonte em que foi encontrado, recurso ou sistema ao qual pertence, data de comprometimento).
O serviço não inclui a verificação da validade ou vigência das credenciais.
FRAUDE ONLINE:
Phishing y pharming
Os sites que simulam ser as páginas legítimas do Cliente com o objetivo de confundir usuários finais e obter suas credenciais de acesso e outros dados confidenciais serão localizados. Os endereços IP e os domínios envolvidos serão identificados, bem como as informações de contexto disponíveis (registrador e localização).
Para tanto serão monitoradas fontes oficiais de organizações internacionais na luta contra o cibercrime (APWG) e fontes confiáveis dedicadas a denunciar sites fraudulentos, bem como bancos de dados de domínios.
Malware
São identificadas amostras de malware segmentadas ou explicitamente relacionadas com o Cliente (URLs, endereços IP, nomes de domínio ou marcas comerciais).
Para fazer isso, arquivos e pastas das fontes confiáveis serão monitorados, rastreamento de familias de malware, repositórios de arquivos e sistemas de compartilhamento de arquivos.
Aplicações Móveis
Suspeitas
São detectadas publicações de aplicativos móveis suspeitos relacionados ao Cliente ou a suplantação dos aplicativos oficiais fornecidos por ele, com o possível objetivo de confundir seus usuários para obter credenciais, dados pessoais ou infectá-los com algum tipo de malware.
Para isso, serão monitorados os mercados móveis oficiais (Apple Store, Google Play, Windows Phone e Blackberry Market), além de mercados móveis alternativos, identificando esses aplicativos móveis com referências ao nome do Cliente ou da marca.
Este módulo é complementado pela inovadora ferramenta Tacyt, desenvolvida pela Telefónica, para a detecção de aplicações móveis suspeitas em mercados Android (oficiais
SISCOM xxxxx WCD xxxxxx
Página 6 de 20
Página 6
Propriedade da Telefônica Brasil S.A. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a prévia autorização da Telefônica Brasil S.A.
e alternativas), com o objetivo de detectar aplicativos feitos por desenvolvedores não autorizados pelo Cliente ou contendo certificados falsos links maliciosos.
Carding
Serão coletados os dados dos cartões bancários que foram comprometidos e que correspondem aos bincodes de propriedade do Clientes.
Para este fim, as fontes privadas, os dados coletados por botnets e mercados underground serão monitorados, fornecendo ao Cliente toda a informação de contexto disponível: data de comprometimento, código BIN, PAN, emissor, proprietário, data de validade, código secreto, preço de venda. O escopo do monitoramento será limitado aos códigos BIN fornecidos pelo Cliente, associados ao número de códigos BIN contratados.
O serviço não inclui a verificação da data de validade ou validade dos cartões recuperados.
2.4 RESPOSTA A AMEAÇAS
Como complemento ao processo de detecção e monitoramento de ameaças, o Serviço CyberThreats também oferece recursos para gerenciar e responder às ameaças detectadas. O objetivo principal da Resposta a Ameaças é focado na mitigação e retirada de ameaças cibernéticas que afetam o Cliente, cuja motivação é baseada na perpetração de uma fraude, na obtenção de informações confidenciais, no abuso da imagem da marca do Cliente ou em qualquer outras ações ilegítimas direcionadas em detrimento da organização do Cliente.
Para isso, o serviço CyberThreats fornece uma solução de resposta completa contra ameaças cibernéticas composta, entre outros, por:
Uma equipe de Resposta especializada em cyberameaças, formada por
especialistas altamente qualificados em problemas dessa complexidade e
também caracterizada por grande criatividade, agilidade e eficácia na prevenção
e luta contra o cibercrime há mais de 10 anos, aplicando as melhores práticas,
metodologias e padrões de mercado: cerca de 99,5% das ameaças geridas pelo
serviço são resolvidas, das quais 75% são resolvidas em menos de 24 horas.
Valores diferenciais como TELCO global, o que nos permite gerenciar fraude em
qualquer país, independentemente de onde localizar geograficamente a infra-
estrutura que suporta o cibercrime, além da vantagem de contramedidas que
minimizam fraude e que são exclusivas das operadoras de Rede.
Acordos e alianças em todo o mundo com outros operadores de rede e
organizações internacionais que combatem a fraude e o cibercrime. A Telefônica
tem sido membro Premium do Grupo de Trabalho Anti-Phishing (APWG) desde
2008 e membro do Forum of Incident Response and Security Team (FIRST) desde
2010, entre outros:
SISCOM xxxxx WCD xxxxxx
Página 7 de 20
Página 7
Propriedade da Telefônica Brasil S.A. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a prévia autorização da Telefônica Brasil S.A.
2.5 MITIGAÇÃO DA AMEAÇA
A aplicação de contramedidas é uma das fases mais importantes do ciclo de vida da
ameaça, uma vez que o que é procurado é impedir que os usuários tenham acesso à fraude
durante o tempo de atividade, minimizando assim o impacto da fraude.
As principais contramedidas que podem ser aplicadas são:
Bloqueio no nivel de Navegador (Web Browsers). Esse tipo de bloqueio é uma contramedida adotada conjuntamente com os principais navegadores da Web para proteger os usuários (por meio de um aviso de segurança que avisa que eles estão tentando acessar um site malicioso) enquanto procede ao encerramento do mesmo. Baseia-se no uso de listas negras nos navegadores, que são constantemente atualizados com os dados fornecidos pelos provedores de serviços Antifraud, como a Telefónica
2.6 RETIRADA DA AMEAÇA
Entre todas as medidas que contribuem para cessar a atividade fraudulenta, a gestão da
retirada é o objetivo prioritário na resolução da ameaça, a fase mais importante e em que os
maiores esforços são focados pela Telefónica.
Nesta fase, são realizadas ações técnicas e administrativas para alcançar a retirada final
da ameaça. Caso o Cliente seja responsável por determinadas ações (como ações legais),
nossos especialistas poderão fornecer as evidências necessárias para apoiar a referida ação.
SISCOM xxxxx WCD xxxxxx
Página 8 de 20
Página 8
Propriedade da Telefônica Brasil S.A. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a prévia autorização da Telefônica Brasil S.A.
Após a detecção e validação da ameaça, e em paralelo com as ações de mitigação
descritas acima (contramedidas), as principais ações de resolução que podem ser realizadas
são:
Em nome do cliente, o serviço envia uma notificação de abuso ao ISP, Provedor
de Conteúdo, Registrador de Domínio, etc., conforme apropriado, sobre a
existência do site malicioso / fraudulento que hospeda para que possa ser
desabilitado e removido.
Se a fraude não puder ser resolvida pelos meios habituais de contato com o ISP,
o serviço verifica e interage com o CERT / CSIRT ao qual a ameaça devida à
situação geográfica corresponderia, a fim de alcançar conjuntamente a
incapacidade e cessação da fraude.
Essas medidas não incluem ações jurisdicionais que o cliente poderia interpor, ou
assessoria jurídica sobre o assunto.
2.7 MONITORAÇÃO PÓS-RESOLUÇÃO
Uma vez que as medidas necessárias foram aplicadas para a retirada da atividade fraudulenta, a ameaça passa por dois tipos de monitoramento:
• Encerramento: O caso é monitorado automaticamente, a fim de detectar a sua retirada
ou bloqueio por parte do ISP contatado.
• Monitoramento da reabertura: Uma vez que o caso está fechado, todos os URLs que compõem o caso são monitorados automaticamente com o objetivo de detectar uma possível reabertura dos casos (reativação da ameaça). Se a ocorrência ocorrer no período de 48hs após o encerramento do caso, será considerado o mesmo caso, após esse período será considerado um novo caso.
3 MODELO DE ATENDIMENTO E ESCALADA
Dada a natureza confidencial das informações processadas e comunicadas, a Telefónica
propõe a existência de um único contato dentro do Cliente, que será notificado de qualquer
progresso e, em particular, relacionado ao tratamento de incidentes.
Os pontos de contato para Atendimento e Escalação do Serviço estão descritos abaixo:
Analista Local atribuído ao Cliente, que atenderá qualquer aspecto relacionado à
prestação do serviço (consultas, solicitações, esclarecimentos, incidentes, etc.) às
8x5 horas por e-mail e / ou telefone.
TAGS (Telefonica Advanced Global SOC), que responderá a incidentes e
solicitações de esclarecimentos sobre as informações fornecidas pelo serviço em
8x5 ou 24x7 horas via e-mail e / ou telefone.
SISCOM xxxxx WCD xxxxxx
Página 9 de 20
Página 9
Propriedade da Telefônica Brasil S.A. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a prévia autorização da Telefônica Brasil S.A.
Os incidentes devem sempre ser notificados à Telefônica pelo interlocutor autorizado pelo
cliente para tais fins, e através dos canais estabelecidos. Portanto, não será tratado nenhum tipo
de consulta ou incidente que não seja devidamente solicitado e processado.
4 ENTREGÁVEIS DO SERVIÇO
O Serviço CyberThreats disponibiliza aos seus clientes vários tipos de entregas, que
serão notificados por e-mail e estarão disponíveis no site do Serviço para consulta e
acompanhamento.
A tabela a seguir resume todos os produtos disponíveis no Serviço, embora a seção
"Escopo de Serviço proposto" inclua as entregas incluídas neste contrato.
Entregáveis Periodicidade Horário de
Atendimento Horário de
Entrega
Notificações por e-mail Inmediata N/A 24x7
Informes de seguimiento Mensal N/A 8x5
Investigações pró-ativas Pró-ativa N/A 8x5
Investigações Adhoc Sob Demanda 8x5 / 24x7 8x5 / 24x7
Informes de tendência Pró-ativa N/A 8x5
Informes de terceiros Pró-ativa N/A 8x5
Informe de situação prévia One-shot N/A 8x5
Informes “Riscos do Canal Móvel” Pró-ativa N/A 8x5
Análise Manual de apps oficiais do cliente
Sob Demanda 8x5 8x5
Em seguida, segue a descrição e caracterísitcas de cada um desses entregáveis.
4.1 NOTIFICAÇÕES POR CORREIO ELETRÔNICO
O Serviço CyberThreats da Telefônica emite notificações por email em 24x7 sobre o
status e a natureza das ameaças detectadas e incidentes gerenciados, limitados aos módulos
contratados.
SISCOM xxxxx WCD xxxxxx
Página 10 de 20
Página 10
Propriedade da Telefônica Brasil S.A. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a prévia autorização da Telefônica Brasil S.A.
4.2 INFORME DE SEGMENTO
Os Relatórios de Acompanhamento mensais apresentarão, com um formato padronizado,
a atividade relacionada ao processo de Detecção e Resposta realizada pelo Serviço no mês
anterior. A entrega deste relatório será feita na escala 8x5 horas.
O relatório mensal de detecção de ameaças incluirá:
Avaliações e recomendações sobre a atividade do mês anterior.
Estatísticas da Evolução das Ameaças detectadas no mês anterior.
Estatísticas da Evolução das Ameaças detectadas nos últimos 12 meses.
Lista resumo das ameaças detectadas durante o mês anterior, com informações
sobre a data de detecção, tipo, nome, status e nível de risco de cada ameaça.
Detalhe completo de cada uma das ameaças detectadas.
Informe Periódico correspondente ao proceso de Detecção de Ameaças
SISCOM xxxxx WCD xxxxxx
Página 11 de 20
Página 11
Propriedade da Telefônica Brasil S.A. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a prévia autorização da Telefônica Brasil S.A.
O Relatório mensal de resposta às ameaças apresentará:
Estatísticas das ameaças gerenciadas e resolvidas durante o mês anterior.
Estatísticas de ameaças gerenciadas e resolvidas durante o mês anterior
associado ao Cliente.
Estatísticas de Evolução das Ameaças gerenciadas nos últimos 12 meses, por
tipo, status, prioridade e tempo de resolução da ameaça, associada ao Cliente.
Informe Periódico correspondente a Resposta de Ameaças
4.3 INVESTIGAÇÕES PRÓATIVAS
A equipe de analistas do serviço pode realizar, de forma proativa investigações com o
objetivo de prover ao cliente informações detalhadas sobre as ameaças detectadas e reportadas.
Estas investigações sem custo adicional para o Cliente, são oferecidas ao cliente como valor
agregado ao Serviço e são disponibilizadas no horário 8x5 por meio do Portal do Serviço.
Como exemplo detalhamos três possíveis tipos de relatórios:
• Investigações sobre ameaças detectadas de forma recorrente. Podem iniciar de
forma proativa, atividades de investigação que detalham as informações sobre as
detecções de forma recorrente com o objetivo de concluir se uma ameaça é
direcionada ou genérica.
• Investigações sobre ameaças com alto impacto em meios de comunicação.
Podem iniciar de forma proativa, atividades de investigação que detalham as
informações sobre as detecções de forma recorrente com o objetivo de concluir
se as informações publicadas em meios de comunicação ou blogs de segurança
efetivamente afetam os serviços do cliente.
• Investigações sobre ameaças relacionadas com informações sensíveis presentes
nos metadatos de documentos corporativos, que poderiam ser utilizados como
vetor de ataques de engenharia social ou de arquivos de dados.
SISCOM xxxxx WCD xxxxxx
Página 12 de 20
Página 12
Propriedade da Telefônica Brasil S.A. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a prévia autorização da Telefônica Brasil S.A.
4.4 RELATÓRIOS DE TENDÊNCIAS
Como valor agregado e sem custo adicional para o Cliente, o Serviço preparará relatórios
de tendências em que a evolução ao longo do tempo das ameaças à Segurança Cibernética é
analisada. Esses relatórios são disponibilizados no período 8x5 através do Portal de Serviços.
Por exemplo, os tópicos que se enquadram nesta categoria de relatórios são:
• Ciberameaça hacktivista: relatório analítico que contém a verificação periódica do
comportamento hacktivista em diversas áreas de observação, como Espanha,
América Latina e Asia, onde uma descrição das operações hacktivistas e ataques
cibernéticos mais significativos são detalhados, incluindo sempre que possível a
as identidades hacktivistas, a quem é atribuída a autoria das ações e uma análise
focada nas estruturas, infra-estruturas, objetivos e capacidades das organizações
hacktivistas.
• Ameaças cibernéticas setoriais: um relatório que inclui uma análise da evolução
ao longo do tempo das ameaças cibernéticas mais comuns que afetam setores
como varejo, bancário, energia e telecomunicações.
4.5 INFORME DE TERCEIROS
O Serviço inclui a entrega ao Cliente de relatórios elaborados por empresas e principais
organizações da Cibersegurança em todo o mundo.
4.6 INVESTIGAÇÕES AD-HOC
O Cliente terá a possibilidade de solicitar investigações personalizadas sobre assuntos
de especial interesse para ele, relacionados a possíveis ameaças que possam afetá-lo e que se
enquadram no âmbito do Serviço contratado. Estas solicitações devem ser enviadas em horários
comercial.
Será analizado o esforço necessário para a investigação (horas técnicas em horário
comercial), e caso o cliente aceite, o consumo de horas será deduzido do pacote de horas
contratado (detalhado na seção "Escopo proposto do Serviço") e a data entrega estimada. O
custo mínimo para a realização de uma investigação será de um dia útil e as investigações serão
realizadas no períod comercial 8x5 horas.
As investigações serão realizadas pela equipe de analistas, que implementará os
mecanismos de coleta de informações necessários para atender os requisitos específicos do
Cliente. Uma vez concluída a investigação, um Relatório será apresentado com os resultados da
mesma e das principais linhas de ação.
Nota: as investigações exigidas exigem um número variável de dias úteis de analistas,
dependendo do escopo e complexidade da investigação. O Anexo inclui uma lista de
investigações, a título de exemplo, que podem ser tomadas como referência para estimar o
número de dias adicionais que o Cliente pode exigir.
SISCOM xxxxx WCD xxxxxx
Página 13 de 20
Página 13
Propriedade da Telefônica Brasil S.A. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a prévia autorização da Telefônica Brasil S.A.
4.7 RELATÓRIO DE SITUAÇÃO PRÉVIA
O Serviço oferece a possibilidade de realizar uma investigação sobre as ameaças
ocorridas antes de contratá-la. Esta investigação consiste em um monitoramento de ameaças,
de acordo com os módulos contratados, cobrindo os seis meses anteriores à data de início do
monitoramento.
O objetivo desta investigação é detectar as ameaças que, mesmo tendo ocorrido no
passado, implicam um risco para o desenvolvimento da atividade do cliente. O conhecimento de
ameaças anteriores permitirá ao Cliente compreender melhor sua situação atual e ajudá-lo a
tomar medidas para prevenir futuras ameaças.
Como resultado desta investigação, um relatório completo das ameaças detectadas será
entregue, incluindo todas as informações de contexto das detecções.
NOTA: Uma vez que o período de monitoramento abrange os seis meses anteriores à
contratação do Serviço, pode acontecer que um alto número de detecções e / ou ameaças seja
identificado, então, assim que o Serviço for iniciado, o número de detecções pode ser reduzido.
4.8 RELATÓRIO DE RISCOS DO CANAL MÓVEL
O serviço oferece uma proposta adicional destinada a fornecer uma solução completa
contra os riscos no canal móvel. Esta solução é oferecida por meio de uma série de resultados
periódicos e análise on-demand, conforme detalhado abaixo.
Esta solução destina-se a proporcionar às organizações uma visão global de segurança
e possíveis problemas relacionados às suas aplicações móveis. Para este fim, a proposta foca
em três blocos principais:
• Descoberta e monitoramento do canal móvel do cliente, identificando
continuamente novas aplicações e versões pertencentes ou relacionadas ao
Cliente.
• Análise de vulnerabilidade persistente nas aplicações oficiais do Cliente.
• Estudo de aplicativos suspeitos desenvolvidos por terceiros relacionados ao
Cliente.
O escopo desta solução concentra-se na descoberta e estudo de riscos de segurança
associados ao ecossistema móvel do Cliente. Isso inclui seus aplicativos móveis oficiais, bem
como outros aplicativos suspeitos / relacionados ao cliente e desenvolvidos por terceiros.
Note-se que o alcance desta solução está limitado aos mercados oficiais (Google Play e
Applestore), bem como mercados não oficiais (+50).
Para fornecer um resultado preciso e atualizado ao longo do tempo, o Cliente deve
fornecer ao Serviço uma lista de seus desenvolvedores e aplicativos oficiais durante a fase de
provisão.
SISCOM xxxxx WCD xxxxxx
Página 14 de 20
Página 14
Propriedade da Telefônica Brasil S.A. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a prévia autorização da Telefônica Brasil S.A.
Finalmente, deve-se notar que a avaliação econômica desta proposta ("Risco de Canal
Móvel") está diretamente ligada ao número de aplicativos oficiais que o Cliente deseja monitorar.
4.9 RELATÓRIO DE DESCOBERTA INICIAL DOS APLICATIVOS RELACIONADOS
Na fase inicial, o Serviço fornecerá ao Cliente um inventário dos aplicativos móveis,
incluindo detalhes de versões, datas de atualização, mercado, nome do desenvolvedor,
certificados, conta de e-mail, etc.. Este primeiro relatório incluirá a descoberta associada às
aplicações móveis oficiais do Cliente, bem como as aplicações suspeitas desenvolvidas por
terceiros distribuídas em mercados oficiais e não oficiais.
4.10 RELATÓRIO DA EVOLUÇÃO DOS RISCOS NO CANAL MÓVEL
Este relatório de monitoramento é trimestral e visa oferecer uma visão contínua e
atualizada dos riscos de uma organização em seu canal móvel. A estrutura geral do relatório está
indicada abaixo:
• Acompanhamento de novas aplicações móveis oficiais e versões de clientes
publicadas em mercados oficiais ao longo do tempo. Esta seção pretende oferecer
ao Cliente uma foto atualizada contínua de seu parque.
• Análise persistente de vulnerabilidades em aplicações móveis oficiais do cliente
visando a identificação contínua de novas vulnerabilidades e outros riscos de
segurança. O número total de aplicações analisadas pelo Serviço dependerá do
escopo contratado pelo Cliente (número de aplicativos contratados).
• Monitoramento e estudo de aplicativos suspeitos detectados pelo Serviço. Uma
lista de aplicativos móveis suspeitos detectados e reportados durante o último
trimestre pelo Serviço será fornecido. Neles, será realizada uma análise focada
na contextualização das ameaças mais relevantes.
• Conclusões e recomendações.
4.11 ANÁLISES MANUAIS EM APLICATIVOS OFICIAIS DO CLIENTE (SOB DEMANDA)
Opcionalmente, o serviço oferece recursos sob demanda para análise detalhada das
aplicações móveis oficiais do Cliente. Este produto abrange uma análise aprofundada, incluindo
testes estáticos e dinâmicos nos aplicativos analisados. O caso de uso geral para este produto
é dirigido a novos aplicativos desenvolvidos pela organização, que exigem um estudo detalhado
antes de fazer o upload do aplicativo no mercado oficial.
Este tipo de entrega pode ser consumido sob demanda por meio de uma bolsa de análise
(detalhado na seção "Escopo de Serviço proposto").
SISCOM xxxxx WCD xxxxxx
Página 15 de 20
Página 15
Propriedade da Telefônica Brasil S.A. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a prévia autorização da Telefônica Brasil S.A.
4.12 MODALIDADES DA PROPOSTA "RISCOS NO CANAL MÓVEL"
Para se adaptar às necessidades específicas de cada cliente, a proposta "Riscos no
Canal Móvel" é comercializada em duas modalidades comerciais diferentes. O escopo é
detalhado abaixo:
• Modalidade Standart: Nesta modalidade, o Serviço se concentrará
especificamente na descoberta e análise de vulnerabilidades nos aplicativos
móveis oficiais do Cliente. Vale ressaltar que as seções relacionadas à descoberta
de aplicativos suspeitos desenvolvidos por terceiros (seção do Relatório Inicial de
Descobertas) e o estudo de aplicativos suspeitos desenvolvidos por terceiros
(seção do Relatório de Evolução de Riscos) não serão incluídos no escopo para
esta modalidade .
• Modalidade Premium: nesta modalidade, serão incluídos todos os resultados
descritos acima, isto é, descoberta e análise de vulnerabilidades nos aplicativos
móveis oficiais do cliente, bem como a descoberta e estudo de aplicativos móveis
suspeitos desenvolvidos por terceiros. Deve-se notar que, dentro desta
modalidade, o módulo "Aplicações móveis suspeitas
4.13 PORTAL DE SERVIÇOS
O Portal Online do serviço CyberThreats é uma parte essencial da proposta de valor do
Serviço. Centraliza todas as entregas realizadas e fornece uma ferramenta essencial para
rastrear ameaças.
O acesso ao portal é realizado por meio de usuário e senha.
SISCOM xxxxx WCD xxxxxx
Página 16 de 20
Página 16
Propriedade da Telefônica Brasil S.A. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a prévia autorização da Telefônica Brasil S.A.
Portal de Serviço CyberThreats
4.13.1 Reposta a Ameaças
A ferramenta permite a consulta das diferentes fases que compõem o tratamento de uma
ameaça até sua resolução final. As características mais significativas são descritas abaixo:
• Módulo Casos: O total de ameaças tratadas pelo Serviço é apresentado,
categorizado de acordo com seu status atual, prioridade, tempo de resolução ou
status de bloqueio. Além disso, as funções de filtragem e exportação são
oferecidas para simplificar seu gerenciamento.
Lista de Casos
• Estatísticas: facilita a compreensão do status do Serviço por meio da apresentação de uma série de gráficos representativos da situação atual e evolução das ameaças geridas pelo Serviço
SISCOM xxxxx WCD xxxxxx
Página 17 de 20
Página 17
Propriedade da Telefônica Brasil S.A. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a prévia autorização da Telefônica Brasil S.A.
Exemplo de Estatísticas de Ameaças
4.14 CONTATOS TÉCNICOS
O cliente poderá designar até 03 (três) administradores de sua empresa, unidade de
negócio ou filial para contato com a Central de Relacionamento, os quais serão denominados
Pontos Focais. Os nomes deverão ser informados durante o processo de implantação do Serviço.
A Central de Relacionamento da Telefônica não efetua atendimento ao usuário final.
4.15 CENTRAL DE SERVIÇOS
As requisições de serviços e comunicação de incidentes deverão ser feitas para a Central
de Relacionamento, por meio do telefone 0800 151551, Opção 3 - Demais Serviços + código de acesso 1629.
SISCOM xxxxx WCD xxxxxx
Página 18 de 20
Página 18
Propriedade da Telefônica Brasil S.A. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a prévia autorização da Telefônica Brasil S.A.
O SOC (Security Operation Center) efetuará o acompanhamento das solicitações. A cada
nova solicitação será associado um número de registro da chamada e quando for o caso, um
nível de severidade, conforme o grau crítico do problema avaliado.
4.15.1 Horário de Atendimento
Para os serviços que possuem atendimento na modalidade 8x5, o horário de atendimento
é das 08:00 às 17:00 horas, de segunda a sexta. Para os serviços na modalidade 12x5, o horário
é das 08:00 às 20:00 horas, também de segunda a sexta. Na modalidade 24x7 não há
interrupção no horário de atendimento.
4.15.2 Fluxo de Atendimento
Para controle das solicitações, bem como para o adequado acompanhamento do
desempenho do serviço, o cliente deve orientar e garantir que não haverá interação direta de
seus usuários finais com a Central de Relacionamento da Telefônica | Vivo, sendo tal atividade
atribuída apenas à equipe de suporte do cliente.
Havendo a necessidade de interação com o cliente, a equipe técnica do SOC, por meio
do Centro Técnico, entrará em contato com um dos os pontos focais previamente definidos pelo
cliente.
O ponto de contato do cliente sempre será a Central de Relacionamento (nível 1), seja
para abrir novas solicitações, reportar incidentes ou consultar o status de chamados abertos. A
Central de Relacionamento é responsável por registrar todos os chamados dos clientes. De
acordo com a complexidade da solicitação os chamados poderão ser encaminhados pela própria
Cental para o Centro Técnico/SOC.
Figura 2 - Fluxo de Atendimento
4.15.3 Fechamento de Chamado
O chamado somente será concluído com o "de acordo" dado por um dos três pontos
focais, sendo o contato efetuado por telefone ou e-mail.
SISCOM xxxxx WCD xxxxxx
Página 19 de 20
Página 19
Propriedade da Telefônica Brasil S.A. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a prévia autorização da Telefônica Brasil S.A.
4.15.4 SUPORTE
O SOC disponibiliza três níveis de suporte para atendimento aos serviços contratados
pelo cliente:
• Suporte 1º Nível: realizado pela equipe do SOC que trabalham 24 x 7 (vinte e quatro
horas por dia, sete dias por semana) para atendimento a qualquer grau de severidade de
incidentes ou solicitações;
• Suporte 2º Nível: realizado pela equipe do SOC que trabalha 8 x 5 (oito horas por dia, 5
dias por semana), podendo ser acionado fora deste horário pelo 1º Nível para
cumprimento de SLO/SLA dos serviços;
• Suporte 3º Nível: realizado pela equipe de especialistas do SOC que trabalha 8 x 5 (oito
horas por dia, 5 dias por semana), podendo ser acionado fora deste horário pelo 2º Nível
para cumprimento de SLO/SLA dos serviços.
O relacionamento com os fornecedores ou parceiros envolvidos na solução dos
problemas é de responsabilidade da equipe técnica do SOC Telefônica | Vivo.
4.15.5 ACORDOS DO NÍVEL DE SERVIÇO
4.15.5.1 Disponibilidade
Refere-se à disponibilidade do serviço Gestão de Vulnerabilidades, sendo medidos
mensalmente. Tem-se como premissa que a rede do cliente está propriamente configurada
24x7x365.
Tipo Descrição SLA
Disponibilidade do portal de
administração
Disponibilidade do portal de administração do cliente final
99,9%
Quadro 1 - SLA de Disponibilidade
4.15.5.2 Atendimento
Trata-se do tempo de espera para atendimento por meio da Central de Relacionamento.
Tipo Descrição Objetivo SLA
Atendimento Tempo máximo de espera
para atendimento 10 segundos 80%
Quadro 2 - SLA de Atendimento
4.15.5.3 Suporte
Tratam-se dos tempos de resposta do SOC para os chamados abertos.
Severidade Descrição Objetivo SLA
SISCOM xxxxx WCD xxxxxx
Página 20 de 20
Página 20
Propriedade da Telefônica Brasil S.A. Toda e qualquer reprodução, distribuição, comunicação pública é expressamente proibida sem a prévia autorização da Telefônica Brasil S.A.
Crítico Evento que impede a realização de funções críticas frequentemente ou por um período prolongado.
2 horas 95%
Alto Evento permanente que impede a realização de funções não-críticas.
4 horas 95%
Médio Evento ocasional que impede a realização de funções não-críticas.
24 horas 95%
Baixo Evento que impacta operações administrativas, não-críticas ou funções secundárias.
36 horas 95%
Solicitações O serviço não está afetado. Dúvidas sobre algum aspecto técnico ou característica do serviço.
48 horas 95%
Quadro 3 - SLA de Suporte
4.15.5.4 INTERRUPÇÕES PROGRAMADAS
As interrupções programadas de disponibilidade do serviço, sejam elas programadas ou
motivadas por alguma solicitação do Cliente, não serão contabilizadas para o cálculo da
disponibilidade do serviço.
4.15.5.5 GESTÃO DO SERVIÇO
A prestação dos serviços pela Telefônica | Vivo e o cumprimento do contrato a ser
firmado, deverá ser fiscalizado, monitorados e geridos pelas partes para fins de contínua
avaliação e melhoria dos serviços prestados.
A gestão operacional do futuro contrato será feita através da gerência técnico-operacional
da Telefônica | Vivo, que deverá zelar pelo bom desenvolvimento de todos os projetos e
processos ligados aos serviços prestados ao Cliente, mantendo um canal de alto nível para
comunicação entre as empresas.