SEI/MPPI - 0375216 - Análise de Viabilidade

REGISTRO DE PREÇO PARA EVENTUAL FORNECIMENTO DE SOLUÇÃO TECNOLÓGICA DE SEGURANÇA CORPORATIVA NA MODALIDADE SAAS, BASEADA EM COLETA E INTEGRAÇÃO DE DADOS, COM ÊNFASE NO MONITORAMENTO DE INFRAESTRUTURA DO MPPI, INCLUINDO SISTEMA DE ANÁLISE OUT IN DE SEGURANÇA 24X7X365 PARA APLICAÇÕES WEB, SERVIÇOS DE COLETA DE INFORMAÇÕES RELEVANTES FORA DO ESCOPO, DETECÇÃO DE ATAQUES E VARREDURAS, IDENTIFICAÇÃO DE FALHAS DE SEGURANÇA OU DE ATIVOS INFORMACIONAIS COMPROMETIDOS, BUSCANDO MINIMIZAR VULNERABILIDADES

A crescente tentativa de ataque aos ativos do MPPI demanda uma solução de monitoramento persistente 24h por dia, 7 dias por semana, através de ferramenta de alta capacidade de análise preventiva de ameaças cibernéticas. Considerando a necessidade de garantir a alta disponibilidade dos serviços providos pela CTI, necessário um monitoramento além do que já utilizamos, que são os tradicionais Firewalls, que desempenham seu papel de defesa de perímetro com muita eficiência.

Porém alguns serviços necessitam de passagem pelos Firewalls - serviços estes indispensáveis para manutenção de serviços do MPPI e para atender a sociedade. Atacantes persistentes são capazes de identificar os mecanismos de defesa atualmente implantados. Com isso, mimetizam o comportamento de usuários legítimos, sendo capazes de burlar as regras de defesa. As altas taxas de incidentes cibernéticos e vazamentos de dados em todo o mundo apontam para a necessidade de complementar as defesas tradicionais com ferramentas que produzam inteligência de alto nível, sob a perspectiva de tais atacantes. Assim, a ferramenta que pretendemos contratar se apresenta como um importante complemento: trata-se de plataforma que observa os aspectos de segurança além do escopo interno do MPPI, produz conhecimentos sobre atores maliciosos no ambiente digital e simula a maneira como estes enxergam as redes do MPPI. Segundo o Gabinete de Segurança Institucional da Presidência da República (GSI/PR), órgão responsável pela segurança das redes de comunicação do governo federal, em 2019, 2020 e 2021 houveram muitos casos de invasão e tentativas de invasão aos terminais de computação da administração pública federal. Ou seja, observam-se a necessidade de vigilância permanente e de proteção atualizada, especialmente nos órgãos estaduais e municipais.

3.1.SERVIÇOS DE FORNECIMENTO DE DIREITO DE USO EM SAAS DE SOLUÇÃO TECNOLÓGICA DE SEGURANÇA COORPORATIVA

3.1.1 Serviços de Solução de Coleta e Processamento de Dados por 12 meses:

3.1.1.1. Abranger 100% do escopo do MPPI, incluindo ativos de rede, terminais, servidores, aplicações web e demais serviços disponibilizados ao público e aos servidores da instituição;

3.1.1.2. Possibilitar a persistência em tempo real dos dados coletados em base de dados consultável;

3.1.1.3. Disponibilizar o histórico de eventos relacionados a cada consulta, de modo a correlacionar as ocorrências sob a dimensão temporal;

3.1.1.4. Não empregar técnicas de prospecção invasiva contra o escopo do MPPI;

3.1.1.5. Buscar, ativamente, dados que possam ter sido obtidos pela manipulação de ativos do MPPI ou por ataques direcionados aos usuários de suas redes de informática, ainda que tais dados se encontrem fora do escopo ou não estejam indexados em mecanismos de busca (dados em bases de dados pertencentes a terceiros, com segurança frágil, ou na deep / dark web, a título de ilustração);

3.1.1.6. Viabilizar o desenvolvimento de ontologia que permita pesquisas nos canais monitorados além de buscas literais de palavras-chave, de modo a explorar semanticamente todas as possibilidades que as fontes de dados ofereçam;

3.1.1.7.3. aplicações web (página inicial, páginas secundárias, subdomínios, páginas em subdiretórios e demais conte do de texto);

3.1.1.7.5. ontologia de busca de dados que colete informações, nos mais diversos canais, sobre riscos cibernéticos aos quais autoridades e servidores do MPPI possam estar expostos.

3.1.1.8. Notificar o MPPI sobre incidentes relevantes dentro de prazo razoável, especialmente acerca dos incidentes relacionados abaixo, tendo-se como prazo máximo os respectivos intervalos:

3.1.1.8.4. dados coletados pelos honeypots referentes ao escopo do MPPI: 1 hora;

3.1.1.8.5. vulnerabilidades inerentes às redes de comunicação do MPPI: 24 horas;

3.1.1.8.6. menções ao escopo do MPPI por atores maliciosos nos canais monitorados: 1 hora;

3.1.1.9. Garantir a confidencialidade, a disponibilidade e a integridade dos dados coletados, por meio da implementação, na ferramenta, de:

3.1.1.9.2. mecanismos de firewall e sistemas de detecção e prevenção de invasões (IDS/IPS);

3.1.1.9.4. disponibilização de duplo fator de autenticação para os usuários.

3.1.1.10. Normalizar, armazenar e correlacionar os dados de diferentes fontes e formatos, por meio de funcionalidades analíticas de grande volume de dados (big data);

3.1.1.11. Permitir consultas em estruturas de pesquisa dinâmicas e complexas, por meio da aplicação de filtros para a manipulação dos dados coletados;

3.1.1.12. Assinalar as informações mais relevantes para o contexto analisado, por meio da aplicação de técnicas de mineração de dados (data mining);

3.1.1.13. Apresentar os resultados de consultas nas estruturas de pesquisa estatísticas e dinâmicas em uma interface integrada de forma gráfica, clara e acessível;

3.1.1.16. Possibilitar a realização de buscas de interesse do MPPI com base em diferentes critérios (domínios, ISP, AS, aplicações, IOCs, nomes de servidores ou de pessoas expostas politicamente, e-mails, potenciais atores de ataques cibernéticos, etc);

3.1.1.17. Permitir o correlacionamento de buscas, de modo a conferir dinamismo na análise e visão global dos cenários, pela possibilidade de informação, à ferramenta, de múltiplos fatores de busca (domínios, ISP, AS, IP, fontes do dado…);

3.1.1.18. Possibilitar a customização da ferramenta para eventual expansão das coletas para escopo além do MPPI, incluindo riscos inerentes a outras organizações que, porventura, manipulem dados sensíveis pertinentes ao MPPI;

3.1.1.19. Manter base de dados atualizada e consultável sobre as principais ameaças cibernéticas, riscos, vulnerabilidades, hackers individuais e grupos que possam ameaçar as redes de informática e aplicações mantidas e/ou disponibilizadas pelo MPPI;

3.1.1.20. Disponibilizar interface web acessível de qualquer sistema operacional;

3.1.1.21. Viabilizar a elaboração de dashboards customizáveis e atualizáveis conforme os eventos coletados;

3.1.1.22. Exibir as informações coletadas sob filtros temporais, quantitativos e qualitativos;
3.1.1.23. Emitir notificações automáticas por e-mail e por aplicativo de mensageria para os incidentes coletados;

3.1.1.24. Possuir interface para exportação de dados nos formatos XML, CSV e JSON, de modo a permitir a integração com outras bases de dados;

3.1.1.25. Permitir buscas textuais com base em filtro de texto completo ou de expressões regulares;

3.1.1.26. Permitir buscas textuais com base em filtro na origem do dado, no tipo ou categoria de incidente, e em lapso temporal delimitado;

3.1.1.27. Combinar múltiplos filtros sucessivos que devem contemplar todos os campos dos registros;

3.1.1.28. Permitir a elaboração de gráficos de diversos tipos que respondam dinamicamente combinação de múltiplos filtros, simultâneos ou sucessivos, e que sejam exportados junto com os dados brutos selecionados;

3.1.1.29. Preservar a confidencialidade dos dados armazenados e manipulados, bem como sua disponibilidade e integridade no sistema;

3.1.2. Serviços Técnicos Especializados em Segurança da Informação por Demanda:

3.1.2.1. Serviços de testes de riscos e vulnerabilidades referentes a aplicações mantidas pelo MPPI (pen-testing);

3.1.2.2. Serviços de Relatório de Incidentes, com descrição de possíveis soluções;

3.1.2.3. Implantação de Segurança com foco e correção de vulnerabilidades de Segurança quando demanda.

3.1.3.1. Fornecimento para de Serviços de Instrutoria e Treinamento para Servidores da área de tecnologia e segurança do MPPI;

3.1.3.2. Serviços de Capacitação de Servidores com atualização tecnológica de práticas e soluções de previsão a vulnerabilidades de segurança no âmbito da internet.

4.1.Ampliação da consciência situacional: coleta de inteligência em múltiplas fontes, sob diferentes metodologias, visando a responder, de forma difusa, como se enxergam as redes do MPPI de fora para dentro. Ou seja, como os hackers veem as redes e quais métodos poderiam empregar para atacá-las.

Este nível de coletas deve abranger buscas sobre fenômenos que tenham relevância para a segurança cibernética do MPPI, realizadas com base em:

4.1.1. sites de notícias, blogs e serviços especializados na notificação de incidentes cibernéticos em geral;

4.1.2. serviços de compartilhamento de códigos (no mínimo, GitHub e GitHub Gist);

4.1.3. serviços de publicação de conteúdo (no mínimo, PasteBin e Ghostbin);

4.1.6. aplicativos de mensageria (no mínimo, grupos públicos de Telegram, Whatsapp, Rocketchat e Mattermost);

4.1.7. internet profunda – deep / dark web – com ênfase em mercados negros de vendas de dados e fóruns nos quais possa haver ameaças direcionadas ao MPPI;

4.1.8. fóruns reconhecidamente utilizados pela comunidade hacker, em servi os como IRC (internet relay chat) e Discordapp;

4.1.10. monitoramento ativo e ininterrupto de potenciais ações de desfiguração de sítio dentro do escopo, com funções de análise do código-fonte estático da página, identificação de palavras nas imagens do sítio e uso de mecanismos de OCR (Optical Character Recognition);

4.1.11. endereços “.onion” (deep web), que podem ser definidos pelo MPPI ou assinalados pela contratada devido à relevância para a segurança digital da instituição.

4.2. Juntamente com os resultados das coletas, a ferramenta contratada deverá fornecer condições à equipe de segurança cibernética do MPPI para completa investigação dos eventos relevantes assinalados, por meio da persistência, na base, ao menos dos seguintes dados:

4.2.4. código fonte da página assinalada, nos casos de Desfiguração de Sítios e de Exposição de Dados, de modo que, se a postagem original vier a ser removida pelo seu autor ou por terceiros, o conteúdo do registro se mantenha acessível;

4.2.5. domínios e URL mencionadas (incluídas credenciais de acesso com base em endereços de correio eletrônico) que estiverem associadas ao escopo de incidência da coleta;

4.2.6. imagens anexadas ao texto da postagem em qualquer um dos canais monitorados;

4.3.De forma dirigida, quais os eventuais problemas de segurança inerentes às aplicações web disponibilizadas pelo MPPI. Neste nível, espera-se que a solução seja capaz de alertar, em tempo real, de forma sistemática e automatizada, no mínimo sobre as vulnerabilidades inerentes as aplicações catalogadas pelo “Open Web Application Security Project (OWASP) Top Ten”, quais sejam:

4.3.5. controle de acesso / compartimentação de dados indevidas ou inexistentes;

4.3.6. falhas de configuração de aspectos de segurança (no mínimo: versões de protocolos, implantação de criptografia, mensagens de erro contendo informações sensíveis);

4.4.De forma estruturada, quais dados do MPPI podem ser encontrados em bases de dados mantidas por terceiros e/ou em serviços de segurança da informação capazes de detectar falhas de segurança. Neste cenário, buscam-se informações de qualidade que possam apontar para a existência de:

4.4.2. detecção, por ferramentas de varredura de malware fora do escopo, de ataques direcionados ao MPPI;

4.4.3. detecção de ataques, varreduras e distribuição de spam oriundos do escopo do MPPI (existência de botnets);

4.4.4. download e compartilhamento não-autorizado de conteúdo ilícito (pirataria e pornografia infantil, por exemplo);

4.4.5. divulgação de vulnerabilidades nas plataformas de bug bounty: Open Bug Bounty e BugHeist;

4.4.6. compartilhamento de desfigurações nos portais: Zone-H, Defacer ID e Mirror-H;

4.4.7. detecção de campanhas de phishing direcionadas a usuários das redes de informática do MPPI ou que empreguem elementos visuais com o objetivo de confundir tais usuários.

4.4.8. Os registros obtidos em sede de coleta estruturada devem manter a persistência dos seguintes dados:

4.4.8.2. finalidade do domínio no contexto coletado (distribuição, comando e controle, redirecionamento para atividade maliciosa ou outra classificação plausível);

4.4.8.4. entidade alvo da atividade maliciosa, no caso de phishing (a página ou serviço de quem se pretendia simular);

4.4.8.7. características da máquina atacada (sistema operacional, servidor web e a forma de ataque declarada);

4.4.8.8. evidência do ocorrido, no caso de incidentes de desfiguração, consubstanciada na forma de screenshot e de obtenção do código HTML da página afetada;

4.5.Por simulação das redes (honeypots), que tipos de ataques e varreduras são direcionados ao escopo do MPPI. Neste aspecto, é importante que os servidores (“pots”) apresentem considerável variação geográfica, de modo a detectar rapidamente atividades oriundas ou direcionadas a qualquer lugar do mundo, que tenham relevância para o MPPI. Assim, demanda-se que haja ao menos 6 servidores honeypot, distribuídos geograficamente da seguinte forma:

4.6.Ademais, esta categoria de coleta deve ter a capacidade de identificar e armazenar, sempre que disponíveis, informações sobre:

4.6.4. payload de resposta obtido por meio da requisição formulada como teste da vulnerabilidade notória ou ponto de exploração;

4.7.Por análise de vulnerabilidades, quais os potenciais caminhos de exploração das redes de informática e dos ativos informacionais do MPPI. Esta categoria deverá contemplar, no mínimo, as seguintes situações:

4.7.1. serviços dos protocolos RDP, FTP, VNC e Telnet cujo acesso possa ocorrer remotamente e permita ao atacante acesso à área administrativa do servidor alvo em função de acesso sem a autenticação do usuário ou com autenticação anônima;

4.7.2. servidores dos protocolos DNS e NTP suscetíveis a amplificação de ataques de negação de serviço, transferência de zona ou configurados de forma a resolver domínios maliciosamente, conduzindo o usuário a páginas falsas;

4.7.3. bancos de dados ou storages PostgreSQL, MySQL, SQLServer, Oracle, Elastic Search, MongoDB, Iomega cujo acesso possa ocorrer remotamente sem a presença de autenticação ou que permitam ataque de força bruta para o acesso indevido;

4.7.4. certificados SSL expirados ou inválidos e sistemas que n o utilizem HTTPS;

4.7.5. Sistemas suscetíveis, no mínimo, aos ataques Heartbleed, Freak, Poodle, Beast e Logjam;

4.7.6. serviços FTP, NETBIOS, SMB, SSH e VPN cuja configuração equivocada possa permitir o mapeamento de ativos em redes não públicas e identificação de serviços acessíveis remotamente;

4.7.7. equipamentos e artefatos classificados como Internet das Coisas (Internet of Things – IoT) acesséveis remotamente por meio da internet.

4.8.Esta categoria deverá ter a capacidade de identificar e armazenar, sempre que disponíveis, as seguintes informações:

4.8.1. vulnerabilidade conhecida, a respectiva CVE, CWE e exploit disponével para exploração;

4.8.3. endereço IP e porta associada à vulnerabilidade ou ponto de exploração;

4.8.5. geolocalização do endereço IP onde a URL da ocorrência está hospedada;

4.8.7. payload de resposta obtido por meio da requisição formulada como teste de vulnerabilidade notória ou ponto de exploração;

4.8.8. resposta dos protocolos de criptografia aceitos pelo servidor objeto do teste;

4.8.9. cálculo da severidade da vulnerabilidade, conforme taxonomia desenvolvida pelo “National Institute of Standards and Technology” (NIST/EUA), conhecida como “The Common Vulnerability Scoring System” (CVSS).

4.9.Antecipação de ataques: prevenção, detecção, obstrução e neutralização de ataques por meio da produção periódica de relatórios de inteligência, sob perspectivas tática e estratégica, que forneçam equipe de tecnologia da informação do MPPI subsídios necessários para evitar vazamentos de dados ou a indisponibilização de serviços. No nível tático, espera-se que a plataforma seja capaz de monitorar e produzir inteligência sobre atores maliciosos que tenham realizado ataques contra o MPPI no passado ou que mencionem, no âmbito da coleta difusa de informações, o MPPI. Os dados devem objetivar produzir inteligência sobre as táticas, técnicas e procedimentos empregados por tais indivíduos. Ademais, a ferramenta deverá fornecer informações consultáveis sobre os principais atores maliciosos já identificados em atuação contra o escopo do MPPI ou de outros órgãos públicos brasileiros. Entre outros aspectos, espera-se que se permitam consultas sobre:

4.9.1. perfis de atores maliciosos em redes sociais, fóruns e canais dos quais participem;

4.9.2. dados referentes às táticas, técnicas e procedimentos adotados por tais indivíduos;

4.9.3. relação permanentemente atualizada de ataques promovidos por esses atores; linhas temporais que permitam o estudo da cronologia dos ataques;

4.10. No nível estratégico, a ferramenta deve ser capaz de contemplar os ativos informacionais da instituição de forma integral, correlacionar eventos, permitir buscas e dashboards personalizados, para facilitar a interpretação dos dados.

4.11. Prover Segurança da Informação: prover segurança a nível das aplicações web, análise de vulnerabilidades, detecção de vazamentos de dados, de varreduras e de ataques.

4.12. Prover Capacidade de Resposta e Investigação de Incidentes: viabilizar a detecção antecipada ou, alternativamente, a mitigação de incidentes cibernéticos por meio de atuação em múltiplos níveis, especialmente colaborando com as ações investigativas que visem a determinar autoria e metodologia empregada em ataques cibernéticos.

4.13. Proteger Dados Pessoais: muitos vazamentos de dados de servidores do MPPI ou de cidadãos que utilizam serviços do Ministério Público do Estado do Piauí ocorrem fora do escopo da MPPI, por meio de ataques direcionados, por exemplo, a terminais de uso pessoal. Por isso, é preciso buscar de forma ativa e identificar eventuais vazamentos de dados, sobretudo de credenciais de acesso aos serviços do MPPI, em fontes indexadas ou não indexadas (incluindo deep / dark web), com o fim de evitar a exploração de tais credenciais por atacantes que simulam o comportamento de usuários legítimos.

Documento assinado eletronicamente por ITALO GARCIA ARAUJO NOGUEIRA, Coordenador de Tecnologia da Informação, em 12/12/2022, às 13:15, conforme art. 1º, III, "b", da Lei 11.419/2006.

Documento assinado eletronicamente por Marcos Maciel Martins Brito, Chefe de Divisão, em 12/12/2022, às 13:59, conforme art. 1º, III, "b", da Lei 11.419/2006.

Documento assinado eletronicamente por AFRANIO OLIVEIRA DA SILVA, Coordenador de Licitações e Contratos, em 13/12/2022, às 09:56, conforme art. 1º, III, "b", da Lei 11.419/2006.

A autenticidade do documento pode ser conferida no site https://sei.mppi.mp.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0 informando o código verificador 0375216 e o código CRC 8CFF2225.

Equipe de Planejamento da Contratação
Integrante Técnico	Integrante Requisitante	Integrante Administrativo
____________________ Marcos Maciel Martins Brito Matrícula: 104	_____________________ Ítalo Garcia Nogueira Araújo Matrícula: 15807	___________________ Afrânio Oliveira da Silva Matrícula: 176
Teresina, 12 de dezembro de 2022.