Story Transcript
Descripción del Servicio IBM Vulnerability Management Service 1.
Visión general del Servicio El IBM Vulnerability Management Service (denominado “VMS” o “Servicio”) se destina a proporcionar un programa de gestión de vulnerabilidad completo y controlado por la Web que proporciona visibilidad a posibles áreas de exposición dentro de un entorno de red distribuido. Los detalles del pedido del Cliente (por ejemplo: los servicios solicitados, el período de contrato y los costos) se especificarán en un Pedido. Las definiciones de la terminología específica del Servicio se encuentran en www.ibm.com/services/iss/wwcontracts VMS se destina a ayudar a proporcionar a los Clientes las herramientas necesarias para implementar un programa eficiente de gestión de vulnerabilidad. El Servicio se puede prestar como una solución externa o interna. Si se presta como una solución externa, se proporcionará un escaneo que se origina de agentes de escaneo albergados en el Centro de Operaciones de Seguridad (“SOC”) a través de Internet. Si se presta como una solución interna, se desplegará un agente de escaneo (llamado “Agente”) en la red interna del Cliente para proporcionar la gestión de vulnerabilidad de Hosts internos que pueden no ser directamente accesibles para Hosts fuera de la red del Cliente. Se proporcionan los siguientes dispositivos y posibilidades como parte del Servicio: a.
Interfaz controlada por la Web para la planificación de escaneo y emisión de informes;
b.
Escaneo interno y externo;
c.
resultados de vulnerabilidad exactos y detallados;
d.
acceso online a datos de vulnerabilidad;
e.
capacidad de realizar seguimiento de activos individuales, criticidad de dispositivos y asignación de propietarios;
f.
conjunto completo de herramientas para gestión del flujo de trabajo y seguimiento de remediación;
g.
seguimiento de la productividad de los responsables de la remediación de vulnerabilidades y
h.
el acceso para investigación es necesario para identificar las etapas efectivas de la remediación.
El enfoque de IBM a la gestión de vulnerabilidad incluye seis componentes clave. a.
descubrimiento de vulnerabilidad - proporciona una interfaz controlada por la Web que permite al Cliente planificar y lanzar escaneos internos o externos de activos dentro de sus entornos individuales;
b.
aclaración de activos - IBM cataloga cada dispositivo explorado (activo) y permite a los clientes asignar clasificaciones de criticidad para los negocios y propietarios de sistema a activos específicos. Se notifica a los propietarios de activos a través del Centro de Operaciones de Seguridad Virtual (llamado “Virtual-SOC”) cuando se descubren vulnerabilidades, y se les proporciona una vista personalizada de los impactos globales del programa en la postura de seguridad;
c.
remediación – ayuda al Cliente a identificar vulnerabilidades y las asigna a los propietarios designados de los activos para revisión y remediación. Los propietarios de los activos individuales pueden usar el Virtual-SOC para conocer una vulnerabilidad específica y realizar el seguimiento de su remediación dentro de la empresa. El Servicio proporciona un flujo de trabajo detallado;
d.
protección dinámica – integra el VMS a los IBM Managed Security Services ya existentes del Cliente (según sea aplicable) para actualizar las políticas de Prevención de Intrusiones de servidor y red con respuestas de bloqueo apropiadas. Esa posibilidad mejora la gestión de vulnerabilidad para que proporcione protección contra vulnerabilidades;
e.
verificación – permite que la vulnerabilidad permanezca activa hasta que VMS se cerciore de que se ha implementado el parche en forma efectiva y se hayan eliminado todos los vectores de ataque de la vulnerabilidad y
INTC-7817-02 10/2008
Página 1 de 13
f.
emisión de informes detallados - proporciona una vista orientada a resultados del rendimiento del Servicio y de la postura de seguridad.
La tabla a continuación proporciona una visión general de los dispositivos del servicio de VMS. Tabla 1 - Dispositivos del Servicio Dispositivos del Servicio
Escaneo Externo
Escaneo Interno
Ideal para:
Identificar vulnerabilidades en el perímetro de la red
Identificar vulnerabilidades en la empresa
Tamaño de la organización
Cualquiera
Cualquiera
Número de escaneos disponibles
De acuerdo con el número de protocolos de Internet (“IPs”) y la frecuencia adquirida
Escaneos ilimitados de una cantidad especificada de IPs – dentro de las limitaciones de la plataforma
Requiere plataforma de hardware
No
Sí
Políticas disponibles
15
15
Escanea IPs externos
Sí
Sí, dependiendo de la configuración de red
Escanea IPs internos
No
Sí
Clasificación de activos descubiertos
Sí
Asignación de administradores a los activos descubiertos
Sí
Asignar vulnerabilidades para remediación
Sí
Tecnología Dynamic IBM Virtual Patch®
Sí, requiere la compra de un servicio gestionado compatible
Flujo de trabajo de la remediación completa de vulnerabilidad
Sí
Comparaciones verticales y por industria
Sí
Verificación de vulnerabilidades resueltas
Sí
Integración a los Managed Security Services y a los IBM Managed Protection Services
Sí
2.
Responsabilidades de IBM
2.1
Despliegue e Inicio Durante el despliegue e inicio del VMS interno, IBM trabajará con el Cliente para desplegar un nuevo Agente de escaneo interno o iniciar la gestión de un Agente ya existente. En el caso del VMS externo, IBM trabajará con el Cliente para habilitar el escaneo de los Hosts del Cliente orientados hacia fuera.
2.1.1
Inicio del Proyecto IBM enviará al Cliente un e-mail de bienvenida y realizará una llamada inicial para: ●
Presentar a los contactos del cliente el especialista en despliegue IBM que se ha asignado;
●
revisar las responsabilidades de IBM y del Cliente y
●
comenzar a evaluar los requisitos y el entorno del Cliente si se va a desplegar un Agente de escaneo interno.
INTC-7817-02 10/2008
Página 2 de 13
Para permitir el despliegue del VMS interno, IBM proporcionará un documento llamado “Requisitos de Acceso a la Red”, que detalla cómo IBM se conectará remotamente a la red del Cliente y describirá los requisitos técnicos específicos para habilitar ese acceso. Normalmente, IBM se conecta a través de métodos de acceso estándar por Internet; sin embargo, se puede usar una VPN de sitio a sitio, si es adecuado. El VMS externo requiere sólo una sesión corta de despliegue entre el Cliente y el especialista de despliegue de IBM. 2.1.2
Evaluación Recolección de Datos IBM trabajará con el Cliente para ayudar a configurar su perfil en el Virtual-SOC. Esa configuración puede incluir cuentas y direcciones IP válidas que pueden sex escaneadas. Evaluación del Entorno Esta sección se aplica sólo a Clientes que compraron la opción de escaneo interno de VMS. A través de la información facilitada, IBM trabajará con el Cliente para comprender su entorno ya existente y crear una configuración para el Agente. Durante esa evaluación, IBM puede recomendar ajustes al diseño de la red para ampliar las posibilidades de escaneo o aumentar la seguridad de otra forma. Evaluación del Agente ya Existente Esta sección se aplica sólo a Clientes que compraron la opción de escaneo interno de VMS. En el caso de que IBM asuma la gestión de un Agente ya existente, debe evaluarlo para asegurar que cumple con algunas especificaciones. IBM puede requerir la reinstalación del software del Agente o del Contenido de Seguridad o bien su upgrade a las versiones más recientes para prestar el Servicio. Otros criterios necesarios pueden incluir la añadidura o remoción de aplicaciones y cuentas de usuario.
2.1.3
Implementación Esta sección se aplica sólo a Clientes que compraron la opción de escaneo interno de VMS. Configuración en IBM En el caso de los Agentes comprados a través de IBM a la época del despliegue, una buena parte de la definición de la configuración y políticas tendrá lugar en las instalaciones de IBM. Para los Agentes ya existentes que ya estén en uso, el cliente tendrá la opción de enviarlos a IBM para que se configuren en las instalaciones de IBM. Instalación Aunque la instalación física y el cableado sean responsabilidad del Cliente, IBM proporcionará soporte en directo, por teléfono y e-mail, y ayudará al Cliente a encontrar los documentos de proveedores que detallan el procedimiento de instalación del Agente. Ese soporte se debe planificar con antecedencia para asegurar la disponibilidad de un especialista en despliegue de IBM. Mediante solicitud del Cliente y por una tarifa adicional, IBM prestará servicios de instalación física. Configuración Remota Cuando asume la gestión de un agente ya existente, IBM normalmente realiza la configuración en forma remota. Se puede requerir que el Cliente cargue físicamente los soportes físicos. Todos los Agentes gestionados requieren alguna configuración remota, que puede incluir el registro del Agente en la infraestructura de IBM Managed Security Services.
2.1.4
Transición al SOC Una vez que el Agente esté configurado, instalado e implementado físicamente y conectado a la infraestructura de IBM Managed Security Services, IBM ofrecerá al Cliente la opción de una demostración de las posibilidades del Virtual-SOC y de la realización de tareas comunes. La etapa final del despliegue del Servicio ocurre cuando el SOC asume la gestión y el soporte del Agente y la relación con el cliente. En ese momento, la etapa de soporte y gestión continua del Servicio comienza oficialmente. Normalmente, IBM presenta el cliente al personal del SOC por teléfono.
INTC-7817-02 10/2008
Página 3 de 13
2.2
Gestión y Soporte Contínuo
2.2.1
Gestión de Vulnerabilidad VMS es un servicio electrónico que explora automáticamente los dispositivos del Cliente para buscar vulnerabilidades conocidas. Cada exploración resulta en informes completos destinados a identificar posibles debilidades, evaluar el riesgo relativo de la red y hacer recomendaciones para gestionar las vulnerabilidades identificadas. El VMS externo está constituido por exploraciones realizadas remotamente que se originan en las instalaciones de IBM. IBM le solicitará al Cliente que confirme que es propietario del intervalo de direcciones IP a ser explorado, antes de la exploración de la misma. IBM sólo puede explorar direcciones IP enrutables públicamente que pertenecen al Cliente. El VMS interno proporciona todos los beneficios de la gestión de vulnerabilidad pero es realizado por un Agente desplegado dentro de la red interna del Cliente. IBM proporcionará una copia licenciada del software IBM Internet Scanner® durante la vigencia del contrato de VMS interno.
2.2.2
Virtual-SOC El Virtual-SOC es una interfaz basada en Web diseñado para proporcionar dispositivos clave del Servicio y soluciones de protección bajo demanda. El Virtual-SOC está estructurado para proporcionar una vista consolidada de la postura de seguridad global del Cliente. El portal tiene capacidad de fusionar datos de varias regiones geográficas o tecnologías en una interfaz común, lo que permite análisis amplio, emisión de alertas, remediación e informe. El Virtual-SOC proporciona acceso en tiempo real para comunicaciones, como creación de tiquetes, manejo de eventos de seguridad, respuesta a incidentes, presentación de datos, generación de informes y análisis de tendencias. Informes VMS se destina a proporcionar informes que enfocan el estado de vulnerabilidades en la empresa del Cliente, medidas de protección que se tomaron, actividades de seguridad, actividades subordinadas y resúmenes de Servicio. Muchos de los informes disponibles se pueden generar a través de conjuntos de datos personalizables y períodos de informe definidos por el usuario con vistas variables. Usuarios del Sistema El Servicio se destina a ayudar organizaciones a gestionar exposiciones a vulnerabilidad en toda la empresa al proporcionar a varios individuos, de diferentes niveles en la organización, niveles variados de acceso al sistema. a.
Contactos de Seguridad Autorizados Los usuarios clasificados como contactos de seguridad del Cliente serán los usuarios principales de VMS y tendrán acceso total al sistema, incluyendo la capacidad de implementar exploraciones, generar informes, asignar vulnerabilidades para remediación y aplicar parches virtuales. Los analistas de IBM SOC sólo aceptarán llamadas de los contactos de seguridad autorizados del Cliente. Los Clientes pueden designar a hasta tres contactos de seguridad autorizados para VMS.
b.
Subordinados/ Administradores de Sistema Los usuarios clasificados con este nivel recibirán acceso limitado al sistema de VMS. Los subordinados/ administradores de sistema son designados por los contactos de seguridad autorizados del Cliente y luego se les asignan dispositivos específicos a los cuales pueden tener acceso. Luego se pueden asignar las vulnerabilidades a esos individuos para remediación así que se las identifiquen durante el proceso de descubrimiento. Posteriormente, los subordinados/ administradores del sistema pueden iniciar sesiones en el sistema, investigar las vulnerabilidades identificadas y documentar los esfuerzos de remediación. Los usuarios de ese nivel no tienen la autoridad para revisar datos o realizar cambios en dispositivos que no estén asignados directamente a ellos. Los Clientes pueden identificar a una cantidad ilimitada de subordinados/ administradores del sistema para el servicio de VMS (dentro de las restricciones de la plataforma).
Panel de Instrumentos Además de la vista de vulnerabilidades, VMS proporciona una visión general “de un vistazo” (llamada “Panel de Instrumentos”) para proporcionar una instantánea del estado de seguridad del Cliente en lo concerniente a las vulnerabilidades. El Panel de Instrumentos proporciona a los administradores una visión general de las vulnerabilidades en la red del Cliente, desglosada por gravedad y asignación de INTC-7817-02 10/2008
Página 4 de 13
tíquet, resultados actuales de exploraciones, Hosts más vulnerables (es decir, activos) y estado de remediación de los usuarios subordinados. Los contactos de seguridad autorizados del Cliente tendrán acceso a todo el Panel de Instrumentos y todos los dispositivos y la funcionalidad del servicio. Los usuarios subordinados recibirán una vista más enfocada que resume las vulnerabilidades o activos que les están asignados. 2.2.3
Escaneo VMS identifica activos de red (por ejemplo: servidores y dispositivos de red), cataloga cada elemento y crea una asociación entre los activos y sus respectivas vulnerabilidades. VMS proporciona una interfaz controlada por la Web que controla el inicio de la exploración, la identificación de los activos a explorar y los tipos de exploración a realizar. Después que se concluye una exploración, se envían notificaciones electrónicas a los contactos de seguridad autorizados del Cliente para informarlos que la revisión de los resultados está por realizar. VMS proporciona al Cliente dos tipos distintos de escaneo, que se pueden usar juntos o separados: Escaneo Externo El escaneo externo proporciona al Cliente la vista que un posible pirata informático tiene del perímetro de la red y se destina a resaltar las exposiciones al riesgo que están abiertas a la comunidad general de Internet. Las exploraciones externas sólo identifican y evalúan los dispositivos con direcciones IP enrutables. Las direcciones IP no enrutables protegidas por firewalls cerrados no se explorarán. Las exploraciones son planificadas por el Cliente a través del Virtual-SOC y lanzadas desde el entorno protegido del centro de datos de IBM. Las exploraciones externas no requieren CPE, configuración ni inversión en hardware/software. El escaneo externo se realiza de acuerdo con el número de IPs y la frecuencia de escaneo. Se compra la exploración externa de acuerdo con el número de IPs a explorar durante un determinado período. El Cliente puede adquirir cualquier cantidad de IPs a explorar semanal, mensual o trimestralmente. Cada exploración resta de la agrupación de IPs disponibles, no importando si durante cada exploración se evalúa el mismo sistema o sistemas distintos. Los IPs disponibles se renuevan automáticamente, de acuerdo con la frecuencia que se adquirió. Al final del período de tiempo determinado, se pierde el derecho a explorar los IPs no utilizados. Escaneo Interno El escaneo interno se destina a permitir que el Cliente evalúe el estado de las vulnerabilidades en toda la empresa. Ese tipo de evaluación es importante pues un gran porcentaje de los ataques basados en red (por ejemplo: worms de propagación en masa) frecuentemente se originan desapercibidamente dentro de una red protegida o privada. Las exploraciones internas se lanzan desde un Agente de escaneo ubicado en las instalaciones del Cliente y requieren que él proporcione el hardware y sistema operativo adecuado. Se puede lanzar un número ilimitado de exploraciones desde el Agente de escaneo interno, de acuerdo con el número de IPs que se compró. Los Agentes de escaneo interno pueden procesar hasta 10.000 IPs exclusivos por dispositivo. Cuando se usan ambos tipos de escaneo juntos, ellos ayudan al Cliente a delinear las vulnerabilidades que sólo se pueden identificar desde fuera, las que sólo se pueden identificar desde dentro o desde dentro y fuera. Esas informaciones pueden ayudar al Cliente a priorizar las vulnerabilidades a tratar.
2.2.4
Políticas de Exploración Para proporcionar flexibilidad a cada exploración planificada, están disponibles 15 políticas diferentes para el escaneo interno y externo. Esas 15 políticas le permiten al Cliente evaluar vulnerabilidades y exposiciones en una gama de tipos de dispositivo con grados variados de intrusión. Un ejemplo de eso es una política hecha a la medida específicamente para realizar exploraciones de evaluación, para identificar vulnerabilidades en activos como servidores, desktops, enrutadores y conmutadores.
2.2.5
Planificación de Exploraciones Los Clientes pueden planificar exploraciones 24 horas al día, 7 días a la semana a través del VirtualSOC. El Cliente puede planificar una exploración al proporcionar los siguientes parámetros: •
scan name – un breve alias para la exploración;
•
description – finalidad de la exploración;
•
scan type – externa o interna;
INTC-7817-02 10/2008
Página 5 de 13
2.2.6
•
scan time and recurrence – se pueden planificar exploraciones únicas o recurrentes;
•
scan retry interval – número de horas a transcurrir para que se inicie nuevamente una exploración fallada;
•
policy – se puede seleccionar cualquiera de las políticas ofrecidas y
•
scan target – un intervalo predefinido de IPs de destino o un intervalo específico del usuario.
Resultados de la Exploración Los resultados de la exploración quedan disponibles inmediatamente después de la conclusión exitosa de una exploración planificada. Se pueden ver los resultados de cada exploración separada en forma independiente a través de la opción “Scan History” del Panel de Instrumentos. Esa forma distribuida de archivar y almacenar los datos de exploración permite que los contactos de seguridad autorizados del Cliente revisen rápidamente los resultados de una única exploración, mientras revisan también el estado global de los activos y sus respectivas vulnerabilidades en toda la empresa. Los resultados de la exploración normalmente incluyen, total o parcialmente, las siguientes informaciones:
2.3
•
activos descubiertos (IPs);
•
servicios disponibles;
•
sistemas operativos identificados y
•
vulnerabilidades con gravedad asociada.
Priorización y Asignación de Vulnerabilidades Uno de los retos de la gestión de vulnerabilidad es la priorización adecuadas de las vulnerabilidades que se deben remediar primero, como también el seguimiento y registro de la priorización. VMS muestra los sistemas vulnerables con la gravedad de las vulnerabilidades identificadas y la criticidad para los negocios de los activos afectados. Las informaciones disponibles tornan la priorización de vulnerabilidades más gestionable. Las vulnerabilidades se pueden asignar electrónicamente al subordinado/ administrador del sistema adecuado para remediación.
2.3.1
Criticidad de los Activos VMS proporciona a los contactos de seguridad autorizados del Cliente la capacidad de asignar una clasificación numérica de criticidad para los negocios a cada activo descubierto. Las clasificaciones se pueden asignar a un o varios activos cada vez. La asignación de una clasificación de criticidad para los negocios a cada activo descubierto permite la priorización de las vulnerabilidades a remediar. Las clasificaciones de criticidad para los negocios se almacenan en el VMS y pueden ser modificadas en cualquier momento por los contactos de seguridad autorizados del Cliente.
2.3.2
Asignando Vulnerabilidades para Remediación VMS le permite al Cliente realizar el seguimiento y distribuir la carga de trabajo al asignar vulnerabilidades directamente a los responsables de arreglarlas. Los contactos de seguridad autorizados del Cliente pueden definir subordinados/ administradores de sistema en el sistema. La definición de esos individuos crea automáticamente los inicios de sesión adecuados e notifican electrónicamente al usuario que se le ha agregado al sistema. Eso proporciona a los subordinados/ administradores de sistema la capacidad de iniciar la sesión directamente en el sistema para recibir la carga de trabajo asignada (vulnerabilidades). Si se requiere mantenimiento realizado por el usuario, un contacto de seguridad autorizado por el Cliente tendrá la autoridad de modificar las credenciales de inicio de sesión y añadir o suprimir cuentas. Después que los usuarios adecuados son insertados en el sistema, se puede asignarlos directamente a los activos descubiertos cuya remediación es de su responsabilidad. A medida que se descubren vulnerabilidades, la asociación de administradores del sistema a activos específicos ayuda a acelerar el proceso de asignación de vulnerabilidades.
2.3.3
Realizando el Seguimiento de las Vulnerabilidades Asignadas A través del Panel de Instrumentos, los contactos de seguridad autorizados del Cliente pueden revisar un resumen de administradores del sistema y de las vulnerabilidades asignadas a ellos. Una gama de opciones de informe está disponible para permitir que los contactos de seguridad autorizados del cliente generen informes acerca de las actividades de subordinados/ administradores del sistema. Esos
INTC-7817-02 10/2008
Página 6 de 13
informes pueden ayudar a identificar quiénes son los individuos más productivos y dónde puede ser necesario un esfuerzo adicional.
2.4
Parches Dinámicos Virtuales Al combinar VMS con el Sistema de Prevención de Intrusiones de Red IBM Proventia® (“IPS”) bajo la gama de IBM Managed Security Services, VMS puede proporcionar al Cliente posibilidades de aplicación de parches dinámicos virtuales. Los contactos de seguridad autorizados del Cliente pueden configurar la implementación del Servicio para que solicite al SOC, en forma automática o selectiva, despliegue parches virtuales a otros dispositivos gestionados. Los parches virtuales ayudan a proteger los sistemas vulnerables contra ataques mientras los administradores del sistema aplican los parches suministrados por los proveedores. Las posibilidades de parche virtual son soportados en los Dispositivos Proventia IPS y el software RealSecure® Server. Para que ocurra la aplicación de parches virtuales, los dispositivos de Prevención de Intrusiones deben estar bajo la gestión total de los IBM Managed Security Services, que están disponibles mediante una tarifa adicional. No hay soporte a aplicación de parches virtuales de tecnología de Prevención de Intrusiones no gestionados o de terceros.
2.5
Remediación de Vulnerabilidades Cuando los subordinados/ administradores del sistema hayan sido notificados electrónicamente acerca de las asignaciones de vulnerabilidad, se les solicitará a esas personas que inicien la sesión directamente en el Virtual-SOC para revisar la carga de trabajo asignada a ellas. Tras la revisión, los usuarios pueden comenzar a investigar y documentar los esfuerzos a medida que buscan una solución. A medida que se realizan progresos, los contactos de seguridad autorizados del Cliente pueden seguirlos a través de las posibilidades de revisión en tiempo real proporcionadas por el Virtual-SOC.
2.5.1
Revisando/ Investigando Vulnerabilidades A medida que los subordinados/ administradores del sistema inician la sesión en el Virtual-SOC, se les proporcionará una lista detallada de las vulnerabilidades cuya revisión está pendiente. Se pueden revisar las vulnerabilidades en detalle, incluyendo propiedades de activos, gravedad de la vulnerabilidad, descripción, impactos y etapas recomendadas de remediación. VMS proporciona al usuario informaciones de referencia para comprender vulnerabilidades específicas y etapas de remediación apropiadas. Lectura extensa e investigación externa no son necesarias para desarrollar un plan para resolver un problema específico.
2.5.2
Flujo de Trabajo de Remediación VMS proporciona al Cliente un flujo de trabajo destinado a orientarlo en el proceso de remediación. A través de esta herramienta, se le proporcionará a un subordinado/ administrador del sistema la etapa siguiente para resolver una vulnerabilidad específica. El flujo de trabajo es controlado principalmente por el estado de la vulnerabilidad. Por ejemplo: se puede usar el siguiente estado durante el proceso de remediación: •
open – estado inicial, definido automáticamente tras el descubrimiento de una vulnerabilidad;
•
ignored – indica que se debe pasar por alto una determinada vulnerabilidad en el momento. Ese estado es configurado manualmente y no es recomendable;
•
notified – indica que una vulnerabilidad fue asignada para remediación. Ese estado es configurado automáticamente;
•
reviewed – indica que el administrador del sistema revisó la vulnerabilidad. Ese estado es configurado automáticamente;
•
in progress – indica que la vulnerabilidad fue revisada y la remediación está en curso. Ese elemento es configurado manualmente;
•
resolved pending confirmation – indica que se cree que se resolvió la vulnerabilidad y se necesita una exploración de seguimiento para confirmar. Ese estado es configurado manualmente.
Los indicadores de estado arriba se proporcionan sólo para fines de ejemplo. Los indicadores de estado reales del Servicio se pueden modificar de acuerdo con la retroalimentación del Cliente o la necesidad técnica. La remediación de vulnerabilidades normalmente requiere que se inhabilite los servicios vulnerables o se apliquen parches de software. Ya que puede ser difícil determinar si se ha aplicado un parche con éxito o INTC-7817-02 10/2008
Página 7 de 13
si se resolvió una determinada vulnerabilidad, VMS no permiten que los usuarios configuren el estado de la vulnerabilidad como “resolved”. En lugar de eso, VMS permite a los usuarios configurar el estado como “resolved pending confirmation”. Las vulnerabilidades permanecen en ese estado hasta que se inicie una exploración de seguimiento y se confirme que la vulnerabilidad no existe más. 2.5.3
Integración de los IBM Managed Security Services y Protección VMS proporciona una posibilidad adicional cuando se usa en conjunto con otros IBM Managed Security Services. Esa combinación ayuda a mezclar los datos recolectados para proporcionar una vista completa de las vulnerabilidades y su relación con los Incidentes de Seguridad y escalamientos bajo los IBM Managed Security Services y IBM Managed Protection Services.
2.5.4
Gestión de Agentes de Escaneo Si se proporcionan licencias de Agente como parte del escaneo interno de la implementación de VMS, IBM proporcionará la gestión completa de los Agentes. Se facilitará la gestión de los Agentes a través del uso de Windows Terminal Services con cifrado habilitado. Bajo esa configuración, IBM retendrá en forma exclusiva el acceso a nivel de administrador al dispositivo. Todo y cualquier cambio en la aplicación de escaneo o en el sistema operativo subyacente estará bajo la responsabilidad exclusiva de los analistas de operaciones de seguridad de IBM. El Cliente puede gestionar los Agentes de escaneo interno, a condición de que el Cliente tenga o compre una licencia aplicable para el Agente. El Cliente debe recibir la aprobación de IBM antes de realizar cambios en el Agente o en el sistema operativo. Si no se recibe la aprobación, IBM no tendrá responsabilidad por anomalías en el servicio relacionadas con la funcionalidad inadecuada del Agente de escaneo. Supervisión de Estado y Disponibilidad Se supervisan el estado y rendimiento de VMS a través de un Agente de supervisión basado en Host (cuando sea posible) o SNMP. El Agente mantiene a los analistas de seguridad de IBM informados acerca de posibles problemas a medida que se desarrollan. Son métricas clave analizadas por el Agente de supervisión: ●
capacidad del disco duro;
●
utilización de CPU;
●
utilización de memoria y
●
disponibilidad de procesos.
Además de las métricas de estado del sistema, IBM supervisa la disponibilidad del dispositivo. Si se pierde el contacto con un dispositivo gestionado, se inician verificaciones adicionales basadas en tiempo para comprobar la identificación de un corte válido. En el caso de que se confirmen problemas en el estado del sistema o un corte, se crea un tiquete de problema y se avisa a un analista de seguridad de IBM para que comience la investigación. El estado de todos los tiquetes de estado del sistema está disponible a través del Virtual-SOC. Notificación de Corte Si no se puede contactar el Agente a través de los medios estándar dentro de banda, se avisará al Cliente por teléfono a través de un procedimiento de escalamiento predeterminado. Tras el escalamiento por teléfono, IBM comienza a investigar los problemas relacionados con la configuración o funcionalidad del dispositivo gestionado. Actualizaciones de Aplicación Periódicamente, IBM tendrá que instalar parches y actualizaciones de software para mejorar el rendimiento del dispositivo, habilitar otras funcionalidades y resolver posibles problemas de aplicación. La aplicación de esos parches y actualizaciones puede requerir tiempo de inactividad de la plataforma o asistencia del Cliente. Si es necesario, IBM establece una ventana de mantenimiento antes de esas actualizaciones y el anuncio expresa claramente los impactos del mantenimiento planificado y los requisitos específicos del Cliente. Actualizaciones del Contenido de Seguridad Para asegurar la identificación correcta de las amenazas más actuales, IBM actualiza el Agente con el Contenido de Seguridad más reciente. El Contenido de Seguridad, entregado en la forma de nuevas
INTC-7817-02 10/2008
Página 8 de 13
verificaciones o firmas para el escáner de vulnerabilidad, mejora las posibilidades de detección del Agente. A criterio de IBM, las actualizaciones del Contenido de Seguridad pueden descargarse e instalarse en la plataforma de seguridad en cualquier momento. Esa operación es transparente a los usuarios. Resolución de Problemas en el Agente de Escaneo Si el Agente de escaneo no funciona como se espera o si se detecta que es el posible origen de un problema relacionado con la red o el servidor, IBM examinará su configuración y funcionalidad para buscar posibles problemas. La resolución de problemas puede consistir en un análisis offline realizado por IBM o en una sesión de resolución activa de problemas entre IBM y el Cliente. IBM intentará resolver los problemas técnicos en la forma más apropiada y factible. Si se descarta la posibilidad de que el Agente es el origen de un determinado problema, IBM no participará más en la solución de problemas. Retención y Restauración de Datos Durante la prestación del Servicio, el Agente de escaneo generará una gran cantidad de datos relacionados con las vulnerabilidades descubiertas en el entorno del Cliente. Esos datos se almacenarán en el Virtual-SOC y permanecerán accesibles online durante el período de un año a partir del momento que los datos entran en el sistema. Mediante solicitud del cliente, IBM enviará una solicitud de ubicación y recuperación de soporte físico. Se aplicarán tarifas por hora de consultoría al tiempo que se emplee para restaurar y preparar datos en el formato solicitado por el Cliente. Todos los tiempos de retención especificados presuponen que se ha mantenido un contrato activo de VMS para cada origen único de registro/ evento. La cancelación del Servicio en lo que respecta a un determinado origen de registro/ evento o la cancelación de VMS requiere que IBM suprima todos los datos recolectados desde los orígenes de registro/ evento afectados.
3.
Responsabilidades del Cliente Aunque IBM va a trabajar con los Clientes de escaneo interno para desplegar e implementar el Agente, como también gestionar el Agente, se exigirá que el Cliente trabaje con IBM de buena fe y ayude a IBM en algunas situaciones, según se solicite.
3.1
Despliegue e Inicio Con la asistencia remota de IBM, el Cliente desplegará un nuevo Agente o comenzará la gestión de un Agente ya existente, según sea aplicable. Mediante la solicitud de IBM, el Cliente proporcionará la documentación que comprueba la propiedad de los intervalos de las direcciones IP a explorar y trabajará con el IBM de buena fe para evaluar con exactitud la red y el entorno del Cliente. El Cliente debe proporcionar contactos dentro de la organización y especificar una vía de escalamiento en la misma, en el caso de que IBM necesite ponerse en contacto. El Cliente debe asegurar que cualquier Agente ya existente cumpla con las especificaciones de IBM y debe trabajar para cumplir con las recomendaciones acerca de los requisitos de red y acceso de red del Cliente, en el caso de que sean necesarios cambios para asegurar estrategias de protección factibles. Si IBM asume la gestión de un Agente ya existente, puede requerir la reinstalación o el upgrade del software o contenido de seguridad del agente para prestar el Servicio. Otros criterios necesarios pueden involucrar la añadidura o remoción de aplicaciones y cuentas de usuario. El cliente será el único responsable de dichos upgrades, añadiduras o remociones. El Cliente trabajará con IBM de buena fe para que los Agentes internos de escaneo estén “activos” dentro de los plazos establecidos. El Cliente es responsable de ayudar IBM a obtener el acceso remoto al Agente de escaneo interno al configurar servicios de terminal, según el especialista de despliegue de IBM lo solicite.
3.2
Gestión y Soporte Contínuo
3.2.1
Configuración/ Gestión de Cambios El Cliente reconoce que IBM es la única parte autorizada a realizar cambios directos en el sistema del Agente cuando él es gestionado por IBM. El Cliente acepta trabajar de buena fe para permitir que IBM actualice los Agentes de escaneo interno a medida que nuevos releases de la aplicación de escáner de Internet quedan disponibles.
INTC-7817-02 10/2008
Página 9 de 13
Se requiere que el Cliente proporcione un anuncio con antecedencia acerca de cualquier reinicio del sistema, mantenimiento o pruebas de alimentación que se hayan planificado y puedan resultar en la inaccesibilidad temporal del Agente de escaneo interno. En el caso de anomalía en el hardware o sistema operativo del Agente de escaneo interno, el Cliente es responsable de todas las actividades asociadas con la resolución de la anomalía. Se puede requerir que el Cliente ayude a aplicar parches o actualizar la aplicación del Agente de escaneo interno. 3.2.2
Entorno del Servidor / Requisitos Los Servidores que tienen el Agente de escaneo instalado deben cumplir los requisitos mínimos de sistema más actuales, según se describe en la documentación del producto proporcionada por el proveedor. El Cliente es responsable de tomar las medidas adecuadas para asegurar que la red en la cual el Agente de escaneo interno está instalado es segura, usa las configuraciones de firewall y sigue las prácticas de seguridad adecuadas. El Cliente debe proporcionar un entorno seguro, con control físico, para los servidores en los cuales el Agente de escaneo interno reside. El Cliente debe asegurar que los puntos de control de acceso en sus respectivas redes permiten que el tráfico de los Agentes de escaneo pase a través de ellos para evaluar adecuadamente las vulnerabilidades. El Cliente debe asegurar que el Agente de escaneo interno sea accesible por Internet a través de una dirección IP estática.
3.2.3
Mantenimiento de Software El Cliente es responsable de asegurar que se mantengan soporte y mantenimiento válidos para las instancias de escáner de Internet proporcionadas por el Cliente y para las plataformas de hardware en las cuales la aplicación reside.
3.2.4
Compilación de Datos El Cliente permite que IBM reúna y compile datos de registro de eventos de seguridad para analizar tendencias y amenazas reales o posibles. IBM puede compilar (o combinar de otra manera) esos datos de registro de eventos de seguridad con datos similares de otros clientes a condición de que esos datos se compilen o combinen en una forma que no revele, de ninguna manera, los datos como algo que se pueda atribuir al Cliente.
4.
Acuerdos de Nivel de Servicio Los acuerdos de nivel de servicio ("SLAs") de IBM establecen objetivos de tiempo de respuesta y contramedidas para Incidentes de Seguridad resultantes del Servicio. Los SLAs entran en vigor cuando se concluye el proceso de despliegue, se configura el dispositivo como “live” y se realiza exitosamente la transición del soporte y la gestión del dispositivo al SOC. Las compensaciones de SLA están disponibles a condición de que el cliente cumpla son sus obligaciones, según se definen en esa Descripción de Servicio.
4.1
Garantías del SLA Las garantías del SLA descritas abajo abarcan las métricas concernientes a la prestación del Servicio. A menos que se declare explícitamente a continuación, no se aplican garantías adicionales de ninguna clase al Servicios prestado bajo esta Descripción de Servicio. Las compensaciones para el incumplimiento de las garantías del SLA están especificadas en la sección intitulada “Compensaciones de SLA” a continuación. a.
Garantía de implementación de escaneo de vulnerabilidad – IBM comenzará la implementación de una evaluación planificada de vulnerabilidad dentro de una hora (más o menos) a partir del momento planificado por el Cliente (o por IBM en nombre del Cliente) y todas las exploraciones se concluirán sin anomalías. Esa garantía sólo se aplica a solicitudes de exploración configuradas correctamente, respecto a dispositivos y redes cubiertos por una suscripción actual al VMS.
b.
Garantía de aplicación de parches virtuales – IBM implementará solicitudes de parche, recibidas a través del Virtual-SOC, dentro de dos horas a partir del momento que la solicitud entra en el sistema. Esa garantía se basa en la hora de la implementación efectiva, no en la hora que se avisó
INTC-7817-02 10/2008
Página 10 de 13
al Cliente respecto a la conclusión de la solicitud. Esa garantía sólo se aplica cuando la implementación solicitada se aplica a una tecnología gestionada válida de Prevención de Intrusiones bajo una suscripción actual a los IBM Managed Security Services. c.
Garantía de supervisión proactiva del sistema – se le avisará al Cliente dentro de 15 minutos a partir del momento que IBM determina que el Agente de escaneo interno gestionado del cliente no está accesible a través de la conectividad estándar dentro de banda.
d.
Garantía de actualización proactiva del Contenido de Seguridad – IBM aplicará todas las actualizaciones del Contenido de Seguridad a la plataforma gestionada de seguridad del Cliente dentro de 72 horas a partir del momento que el proveedor publicó para el público general la actualización del Contenido de Seguridad.
SLA
4.2
Escaneo Externo
Escaneo Interno
Garantía de implementación de escaneo de vulnerabilidad
Disponible
Disponible
Garantía de aplicación de parche virtual
Disponible
Disponible
Garantía de supervisión proactiva del sistema
No disponible
Disponible
Garantía de actualización proactiva del Contenido de Seguridad
No disponible
Disponible
Compensaciones de SLA IBM emitirá un crédito como la única compensación para el incumplimiento de cualquier una de las garantías descritas en la sección “Garantías del SLA” durante cualquier mes natural. El Cliente puede no puede obtener más que un crédito para cada SLA por día, en una forma que no supere un total, referente a todos los SLAs de 25.000 dólares de Estados Unidos o lo equivalente en moneda local, en un determinado mes natural. a.
Compensación para la implementación del escaneo de vulnerabilidad – si IBM no cumple esa garantía, se emitirá un crédito como sigue: (1)
Exploraciones externas – una exploración planificada adicional (es decir, adicional respecto a la original), de valor igual o inferior, sin costo o
(2)
Exploraciones internas – un día del total facturado de la tarifa mensual de VMS;
b.
Compensación para la aplicación de parches virtuales – si IBM no cumple esa garantía, se emitirá un crédito correspondiente a un día de la tarifa mensual total de VMS;
c.
Compensaciones para la supervisión proactiva del sistema y actualización proactiva del Contenido de Seguridad - si IBM no cumple cualquiera de esas garantías, se emitirá un crédito correspondiente a un día de la tarifa mensual total de VMS.
Tabla 3 – Resumen de SLAs y Compensaciones Compensaciones para el VMS Acuerdos de Nivel de Servicio
Exploraciones Externas
Garantía de implementación de escaneo de vulnerabilidad
Crédito de 1 exploración adicional
Garantía de aplicación de parche virtual
Crédito de 1 día de la tarifa mensual del VMS
Garantía de supervisión proactiva del sistema
No disponible
INTC-7817-02 10/2008
Exploraciones Internas
Crédito de 1 día de la tarifa mensual del VMS
Página 11 de 13
Garantía de actualización proactiva del Contenido de Seguridad
5.
No disponible
Mantenimiento del Portal en Forma Planificada y de Emergencia “Mantenimiento planificado” designa cualquier mantenimiento: a.
acerca del cual se avisa al Cliente por lo menos cinco días antes o
b.
realizado durante la ventana de mantenimiento mensual estándar en el segundo sábado de cada mes, de las 8:00 a las 16:00, horario del Este de Estados Unidos. Se le avisará al contacto designado por el Cliente acerca del mantenimiento planificado.
Ninguna declaración de la sección intitulada “Acuerdos de Nivel de Servicio” impedirá IBM de realizar el mantenimiento de emergencia según sea necesario. Durante ese mantenimiento de emergencia, el punto de contacto principal del Cliente afectado recibirá un aviso dentro de 30 minutos a partir del inicio del mantenimiento de emergencia y dentro de 30 minutos de la conclusión de cualquier mantenimiento de emergencia.
5.2
Exclusiones y Estipulaciones de SLAs
5.2.1
Información de Contacto con el cliente Varios SLAs requieren que IBM notifique al contacto designado por el cliente tras la ocurrencia de ciertos eventos. En el caso de que ocurra uno de esos eventos, el Cliente es el único responsable de facilitar a IBM la información de contacto exacta y actual relativa a los contactos designados. Las informaciones de contacto actualizadas registradas están disponibles a los contactos autorizados. IBM estará libre de sus obligaciones bajo esos SLAs si las informaciones de contacto de IBM están desactualizadas o equivocadas debido a la acción u omisión del Cliente.
5.2.2
Notificaciones de Cambio en la Red/Servidor del Cliente El cliente es responsable de notificar IBM con antecedencia respecto a cualquier cambio de red o servidor en el entorno del firewall. Si no es posible notificar con antecedencia, se exige que el Cliente notifique IBM de los cambios dentro de siete días naturales a partir de la realización de los cambios en el servidor o la red. Si el Cliente no notifica a IBM según lo establecido arriba, todas las compensaciones de SLA se consideran nulas y sin efecto.
5.2.3
Conformidad e Informes de SLA La conformidad del SLA y las compensaciones asociadas se basan en entornos de red, conectividad de Internet y circuito y firewalls totalmente funcionales, como también servidores configurados correctamente. Si la no conformidad del SLA es producida por un hardware o software de CPE (incluyendo todo y cualquier Agente), todas las compensaciones de SLA se consideran nulas y sin efecto. IBM proporcionará informes de conformidad del SLA a través del Virtual-SOC.
5.2.4
Prueba de las Posibilidades de Supervisión y Respuesta El Cliente puede probar las posibilidades de supervisión y respuesta de IBM al realizar actividades de reconocimiento, ataques a la red o sistema y/o comprometimientos del sistema simulados o reales. Esas actividades pueden ser iniciadas directamente por el Cliente o por un tercero contratado, sin aviso previo a IBM. Los SLAs no se aplican al período de esas actividades; las compensaciones no serán pagables en el caso de que no se cumpla con las garantías asociadas.
6.
Objetivos de Nivel de Servicio Los objetivos de nivel de servicio IBM (denominados “SLOs”) establecen objetivos sin efecto obligatorio referentes al suministro de ciertos dispositivos del Servicio. Los SLOs entran en vigor cuando se concluye el proceso de despliegue, se configura el dispositivo como “live” y se realiza exitosamente la transición del soporte y la gestión del dispositivo al SOC. IBM se reserva el derecho de modificar esos SLOs con un aviso por escrito con 30 días de antecedencia. a.
Virtual-SOC – IBM proporciona un objetivo de accesibilidad del 99,9% relativo al Virtual-SOC fuera de los horarios detallados en la sección intitulada “Mantenimiento del Portal en Forma Planificada y de Emergencia”.
b.
Emergencia de Internet – En el caso de que IBM declare una emergencia de Internet, el objetivo de IBM es notificar, por e-mail, a los puntos de contacto designados por el Cliente dentro de 15 minutos a partir de la declaración de emergencia. Esa notificación incluye un número de rastreo de
INTC-7817-02 10/2008
Página 12 de 13
incidentes, número de teleconferencia y hora que IBM realizará una sesión informativa acerca de la situación. Durante las emergencias de Internet declaradas, IBM realizará una sesión informativa acerca de la situación a través de una teleconferencia en vivo y proporcionará un e-mail resumido para facilitar informaciones que el Cliente puede usar para proteger su organización. Sesiones informativas sobre la situación tras el inicio de una emergencia de Internet reemplazan cualquier exigencia de que IBM proporcione escalamientos específicos para cada cliente respecto a eventos directamente relacionados con la emergencia de Internet declarada. Durante una emergencia de Internet, IBM comunicará todos los incidentes con otros niveles de prioridad a través de sistemas automatizados como e-mail, buscapersonas y correo de voz. Se reanudarán las prácticas estándar de escalamiento cuando termine la emergencia de Internet declarada. El fin de un estado de emergencia se caracteriza por una reducción del nivel de AlertCon a AlertCon 2 o una notificación por e-mail enviada a un contacto de seguridad autorizado del cliente.
7.
Otros Términos y Condiciones IBM se reserva el derecho de modificar los términos de esta Descripción de Servicio en cualquier momento. Si dicha modificación reduce el ámbito o nivel del Servicio que se está prestando (por ejemplo: eliminación de un Servicio prestado anteriormente o aumento del tiempo de respuesta a Incidentes de Seguridad), IBM proporcionará un anuncio con por lo menos 30 días de antecedencia a través del portal Web de ISS u otros medios electrónicos.
INTC-7817-02 10/2008
Página 13 de 13