Contratação de Segurança Cibernética - fase 2
Órgão: Ministério da Gestão e da Inovação
Setor: MGI - Secretaria de Serviços Compartilhados
Status: Encerrada
Publicação no DOU: 09/06/2025 Acessar publicação
Abertura: 10/06/2025
Encerramento: 24/06/2025
Processo: 12804.000282/2025-35
Contribuições recebidas: 48
Responsável pela consulta: Sebastião Figueiredo de Morais Filho
Contato: cpcti.dti@gestao.gov.br
Resumo
O Ministério da Gestão e da Inovação em Serviços Públicos, através da Diretoria de Tecnologia da Informação, da Secretaria de Serviços Compartilhados, coloca à disposição dos interessados CONSULTA PÚBLICA do escopo principal e especificações Técnicas para contratação do objeto em referência:
Contratação de segurança cibernética composta de serviços e fornecimento de soluções de Network Detection and Response (NDR), micro segmentação de rede, Correlação de Eventos de Segurança e Resposta a Incidentes (SIEM), Gestão de Ativos, Gerenciamento de Vulnerabilidades, Simulação de Ataques, Segurança de Identidades e Gerenciamento de Acessos Privilegiados (PAM) com serviços básicos e avançados; e transferência de conhecimento, em atendimento às necessidades do Ministério da Gestão e Inovação e demais órgãos solicitantes.
Cabe destacar que o objeto atenderá toda estrutura definida no Centro de Serviços Compartilhados do Ministério da Gestão e da Inovação em Serviços Públicos - ColaboraGov.
A participação será permitida de 10/06/2025 até 24/06/2024, através do encaminhamento de esclarecimentos, questionamentos, propostas e comentários a Plataforma Participa + Brasil, conforme link: https://www.gov.br/participamaisbrasil/contratacao-de-seguranca-cibernetica-fase-2.
Conteúdo
- Clique no balão ou no parágrafo que deseja contribuir -
1. Objeto
A necessidade consiste na contratação de segurança cibernética composta de serviços e fornecimento de soluções de Network Detection and Response (NDR), micro segmentação de rede, Correlação de Eventos de Segurança e Resposta a Incidentes (SIEM), Gestão de Ativos, Gerenciamento de Vulnerabilidades, Simulação de Ataques, Segurança de Identidades e Gerenciamento de Acessos Privilegiados (PAM) com serviços básicos e avançados; e transferência de conhecimento, em atendimento às necessidades do Ministério da Gestão e Inovação e demais órgãos solicitantes.
Cabe destacar que o objeto atenderá toda estrutura definida no Centro de Serviços Compartilhados do Ministério da Gestão e da Inovação em Serviços Públicos - ColaboraGov.
2. Vigência
A vigência pretendida é de 12 meses prorrogáveis até 10 anos, conforme a nova Lei de licitações.
3. Especificações Técnicas
3.1. Serviços e produtos
|
Grupo |
Item |
Especificação |
Catser |
Validade |
Unidade |
Qtd Total |
Valor Unitário |
Valor Total |
|
1 |
1 |
Solução de NDR (Network Detection and Response) |
27502 |
12 meses |
1GB |
--- |
|
|
|
2GB |
--- |
|
|
|||||
|
4GB |
--- |
|
|
|||||
|
Ativos |
--- |
|
|
|||||
|
2 |
Solução de micro segmentação de Ambiente corporativo |
27502 |
12 meses |
Servidores |
2.210 |
|
|
|
|
3 |
Serviço de instalação de Solução de Micro segmentação de Rede |
27502 |
--- |
--- |
--- |
|
|
|
|
4 |
Solução de Correlação de Eventos de Segurança e Resposta a Incidentes - SIEM |
27502 |
12 meses |
Eventos por segundo - EPS |
53.475 |
|
|
|
|
GB/dia |
--- |
|
|
|||||
|
5 |
Solução Gestão de Ativos |
27502 |
12 meses |
Ativos |
27.273 |
|
|
|
|
6 |
Serviços básicos e avançados da CONTRATADA e transferência de conhecimento referente aos itens do grupo 1. |
27014 |
12 meses |
--- |
--- |
|
|
|
|
2 |
7 |
Solução de Gerenciamento de Vulnerabilidades de Segurança |
27502 |
12 meses |
Ativos |
27.273 |
|
|
|
8 |
Solução de simulação de ataques em ambiente corporativo |
27502 |
12 meses |
Usuários |
25.063 |
|
|
|
|
9 |
Serviços básicos e avançados da CONTRATADA e transferência de conhecimento referente aos itens do grupo 2 |
27014 |
12 meses |
--- |
--- |
|
|
|
|
3 |
10 |
Solução de Segurança para Identidades - Colaboradores |
27502 |
12 meses |
Usuários |
25.063 |
|
|
|
Solução de Segurança para Identidades ? Servidores |
27502 |
12 meses |
Servidores |
1.799 |
|
|
||
|
Solução de Segurança para Identidades - Conteiners |
27502 |
12 meses |
Unidade |
411 |
|
|
||
|
Solução de Segurança para Identidades ? Estações de Trabalho |
27502 |
12 meses |
Estações |
25.063 |
|
|
||
|
11 |
Serviço de Instalação de Segurança para Identidades Aplicações |
26972 |
--- |
--- |
--- |
|
|
|
|
12 |
Solução de Gerenciamento de Acessos Privilegiados (Privileged Access Management ? PAM) ? Cofre de Senhas |
27502 |
12 meses |
Ativos |
27.273 |
|
|
|
|
13 |
Serviços básicos e avançados da CONTRATADA e transferência de conhecimento referente aos itens do grupo 3 |
27014 |
12 meses |
--- |
--- |
|
|
4. SOLUÇÃO DE NDR (NETWORK DETECTION AND RESPONSE)
4.1. Características Gerais da Solução de Inspeção de Rede Contra Ameaças Avançadas com Detecção e Resposta (NDR)
4.1.1. A solução deverá ser instalada de modo a detectar ameaças avançadas e persistentes (APT) no ambiente da CONTRATANTE, inspecionando o tráfego de rede, independente de agentes instalados.
4.1.2. A solução de análise de rede deve ser licenciada a fim de inspecionar o Throughput e as infraestruturas das redes da CONTRATANTE.
4.1.3. Deverá ser garantido ao CONTRATANTE o direito para atualização, inclusive dos ¿rmwares, durante o período de vigência contratual da solução, incluindo versões maiores, versões menores, versões de manutenção e atualizações (updates) que forem disponibilizadas.
4.1.4. Caso o equipamento apresente defeito ou não suporte uma nova versão de firmware ou atualizações lançada dentro do período de vigência contratual, deverá ser substituído por um novo equipamento equivalente que suporte a versão de firmware mais recente sem ônus para a Contratante;
4.1.5. A solução deve atuar em todas as redes da CONTRATANTE, estendendo visibilidade sob tráfego.
4.1.6. A solução deve aplicar técnicas de análise de tráfego avançadas baseadas, no mínimo, em aprendizagem de máquina, em inteligência artificial ou comportamental.
4.1.7. A solução deve atuar com técnicas de detecção e resposta específicos para modelos de detecção focados em rede, de forma a identificar comportamentos maliciosos.
4.1.8. A solução deve permitir que seja implantado em linha com o tráfego de rede e em modo de espelhamento.
4.1.9. Caso a solução seja implementada em linha, o sensor deve permitir a criação de regras de by-pass.
4.1.10.A solução deve suportar o uso de portas espelhadas nos ativos de rede (mirror port) para monitorar o tráfego e detectar potenciais riscos à Segurança.
4.1.11.A solução, durante a inspeção do tráfego de rede em tempo real, deverá ser capaz de identificar anomalias na rede e gerar alertas em casos de tráfego suspeito.
4.1.12.A solução deve ter a capacidade de analisar tráfego criptografado, sem necessidade de licenciamento adicional.
4.1.13.A solução deve analisar, preferencialmente de forma automática, as fases de um ataque direcionado, persistente e avançado, identificando, no mínimo, tentativas de coletas de informação, movimentação lateral, exfiltração de dados, descoberta de dispositivos e comunicações de comando e controle (C&C), e ainda ser capaz de apresentar em seus logs, visibilidade de acordo com a matriz ATT&CK MITRE, pontuando características de táticas e técnicas de acordo com a ameaça detectada pela solução.
4.1.14.A solução deve identificar e mapear possíveis pontos de entrada nas redes que possam ser exploradas por atacantes.
4.1.15.A solução deve ser capaz de detectar ameaças web derivadas de vulnerabilidades e downloads de conteúdo malicioso.
4.1.16.A solução deve analisados protocolos, portas e serviços, incluindo ainda os protocolos mascarados ou tunelados.
4.1.17.A solução deve permitir analisar arquivos e arquivos binários em sandbox, permitindo identificar, no mínimo, ataques avançados (APT), Zero Days, códigos de exploração (exploits) embutidos, tentativas de escaneamento, propagação de malwares, tentativas de ataques de força bruta, movimentação lateral, tentativas de roubo de informação, ameaças que se replicam, comportamentos maliciosos, vulnerabilidades conhecidas e arquivos maliciosos no tráfego de rede, de forma automática, quando aplicável, e com capacidade de operar vários ambientes simultâneos e integrados.
4.1.18.A solução deve analisar em tempo real o comportamento através de simulação de execução de arquivos provenientes do tráfego de rede incluindo arquivos executáveis e scripts.
4.1.19.Os módulos que compõem a solução devem atuar de forma integrada, inclusive com o XDR.
4.1.20.A solução deve possuir atualização automática de regras, políticas, patchs enginers, ou outros.
4.1.21.Não serão aceitos appliances de Unified Threat Management (UTM) e Next-Generation Firewall (NGFW) para monitoramento do tráfego, ainda que possua recurso e licenciamento específico para análise de ameaças em rede.
4.1.22.A solução deve possuir funcionalidades de rastrear malwares ou comportamentos maliciosos.
4.1.23.A solução deve suportar o monitoramento de múltiplas interfaces de rede conectadas a diferentes VLANs e Switches.
4.1.24.A solução deve possibilitar que modelos de detecção a nível de rede sejam customizados de acordo com as necessidades da CONTRATANTE.
4.1.25.A solução deve possuir regras que identifiquem comunicações dos ativos de informação com serviços não autorizados.
4.1.26.A solução deve permitir o upgrade e downgrade de versão de firmware.
4.1.27.A solução deve ser capaz de identificar, no tráfego de rede (Wifi) ameaças de dispositivos móveis.
4.1.28.A solução deve ser capaz de identificar ameaças evasivas em tempo real atuando com análise profunda e inteligência para identificar e prevenir ataques.
4.1.29.A solução dever ser capaz de correlacionar, inclusive com a solução de XDR, regras de detecção de conteúdo malicioso durante todas as fases de um ataque e possibilitar a visualização de toda a cadeia de ataque ou da tentativa de exploração de uma vulnerabilidade permitindo analisar, no mínimo: sua origem com data e hora, identificar as ameaças relacionadas, linha de tempo dos logs, os ativos de informação relacionados e comprometidos, os metadados relevantes à análise dos incidentes, e que gere informação para proteção efetiva do ambiente e para análise sólida das ações.
4.1.30.A solução deve mapear os métodos HTTP/HTTPS de requisições detectados ao longo de uma comunicação inspecionada.
4.1.31.A solução deve inspecionar os domínios e subdomínios trazendo informações sobre possíveis comprometimentos que possam subsidiar as ações de contenções.
4.1.32.A partir dos alertas gerados, a solução deve correlacionar, inclusive com a solução de XDR, os ativos de informação, contendo, no mínimo: IPs, hashs envolvidos, nome do ativo, data e hora, apontando possíveis indicadores de comprometimento (IOCs) nos ambientes.
4.1.33.O fornecimento da solução de NDR será por demanda e através de solicitação da CONTRATANTE como a seguir:
4.1.33.1. 1 Gbps: - O modelo de 1 Gbps atende ambientes com tráfego de rede moderado, processando até 1 Gigabit por segundo de dados da rede.
4.1.33.2. 2 Gbps: O modelo de 2 Gbps atende ambientes com tráfego de rede significativo, processando até 2 Gigabits por segundo de dados da rede.
4.1.33.3. 4 Gbps: O modelo de 4 Gbps atende ambientes com alto tráfego de rede e necessidade de alta capacidade de processamento, suportando até 4 Gigabits por segundo de dados da rede.
4.1.33.4. Todos os modelos devem seguir a especificação técnica da solução de NDR descritas acima.
4.1.33.5. Deverá ser possível realizar composição utilizando um ou mais itens dos modelos acima mencionados, de tal forma a suprir as necessidades de throughput da contratante;
4.1.33.6. Deverá ser possível alteração do volume de throughput solicitado durante a vigência do contrato.
4.2. Especificações Técnicas da Console de Gerenciamento - Solução de NDR
4.2.1. A solução de gerência deve ser fornecida em nuvem, quando aplicável, pela Contratada, configurada em alta disponibilidade.
4.2.2. A console deve possuir integração com o serviço de diretório Microsoft Active Directory e EntraID do O365, para importação da estrutura organizacional e autenticação dos Administradores com a funcionalidade de MFA (Multi Fator de Autenticação), bem como para aplicação de políticas.
4.2.3. A solução deve registrar os logs e esses devem ser acessíveis por canais criptografados ou por meio de APIs.
4.2.4. A solução deverá ser acessível através de tecnologia Web HTTPS e permitir configuração de TLS para autenticação, com recurso de múltiplo fator de autenticação (MFA).
4.2.5. A solução deve possuir gerenciamento para aplicação das políticas de segurança, administração e controle das funcionalidades dos serviços.
4.2.6. A solução deve ter a capacidade de implementar integração entre a gerência e plataformas de terceiros (ferramentas para BI, XDR, SIEM entre outros).
4.2.7. A solução deve gerenciar com perfis de acessos distintos para administração de funcionalidades, acesso, visualização de status de serviços, logs e emissão de relatórios.
4.2.8. A solução deve gerenciar com recurso de informações estatísticas incluindo fluxo de tráfego, consumo de recursos, quantidade de alertas, throughput e desempenho da solução.
4.2.9. A solução deve permitir auditar as alterações de configurações e acesso à ferramenta de administração, incluindo usuário, data e horário de acesso e ações realizadas.
4.2.10.A solução deve informar quaisquer atualizações a serem feitas nas soluções e deverá também aguardar validação de data e hora, permitindo agendamento dessa atualização juntamente com a Contratante.
4.2.11.A solução deve possibilitar a restauração das configurações em caso de falhas críticas na solução.
4.2.12.A solução deve possibilitar a criação de dashboards personalizados.
4.2.13.A solução deve possibilitar a monitoração e geração de relatórios a partir da console de administração, com a possibilidade de envio por e-mail e exportação.
4.2.14.A solução deverá fornecer acesso gráfico aos eventos e alertas detectados, com opção de salvaguardar os logs ou direcioná-los para um servidor de log, além de oferecer mecanismos de emissão de alarmes.
4.2.15.A solução deve possibilitar o envio de notificações de eventos.
4.2.16.A solução deverá fornecer atualizações e permitir o agendamento para realização dessas atualizações.
4.2.17.A solução deve notificar os administradores por e-mail caso a solução não receba atualizações por um determinado período.
4.2.18.A solução deve apresentar alertas caso os dados analisados tenham relação com algum tipo de campanha de ameaças globais.
4.2.19.A solução deve possuir logs com um alto nível de detalhes.
4.2.20.A solução deverá permitir a parametrização de horário, no padrão brasileiro, a fim de manter o sincronismo no horário dos logs.
4.2.21.As atualizações do produto (filtros e outros componentes) não devem causar interrupção do serviço.
4.2.22.A solução deve possibilitar o envio, via protocolo seguro, de arquivos da área de isolamento ou capturados em uma análise de incidente, para o fabricante da solução, sob responsabilidade e supervisão da Contratada, desde que não infrinja a Lei Geral de Proteção de Dados (LGPD).
4.2.23.A solução deve suportar a atribuição de papéis funcionais, para implantação de política de controle de acesso baseada em papéis (RBAC - Role-based access control).
4.2.24.Todos os eventos gerados pela solução devem ser armazenados por um período mínimo de 6 (seis) meses.
4.2.25.A solução deverá suportar integração com os principais sistemas de monitoramento, tais como: Zabbix, Nagios ou outros.
4.2.26.A solução deve possuir interface gráfica que apresente em tempo real estatísticas de ameaças detectadas.
4.2.27.A solução deve ter capacidade de agregação e correlação de logs de eventos de segurança de maneira evidente possibilitando coleta de fontes de monitoração para proporcionar informação e identificação de ameaças, correlacionando com a solução de XDR.
4.2.28.A solução deve permitir busca por informações de destino e origem de comunicações.
4.2.29.A solução deve ser capaz de salvar os dados e eventos maliciosos de uma análise, possibilitando restaurar a mesma para continuá-la, consultá-la ou encerrá-la.
4.2.30.A solução deve permitir a notificação de eventos e envio de alertas de forma proativa para os administradores.
4.2.31.O gerenciamento da solução deve estabelecer uma correlação de eventos com o módulo de XDR possibilitando uma análise inteligente dos eventos relacionados para uma análise sólida das ações.
4.2.32.A solução deve possuir detalhes técnicos dos incidentes detectados, das estatísticas do tráfego analisado e dos indicadores de risco do ambiente.
4.2.33.Todos os eventos e ações realizadas na console de gerenciamento precisam ser registrados para fins de auditoria.
4.2.34.A solução deve relacionar e organizar os ataques baseados na matriz do MITRE ATT&CK, identificando técnicas e táticas.
4.2.35.A solução deve prover pontuação de risco para o ambiente de redes da CONTRATANTE e deve ser possível analisar seu comportamento ao longo do tempo.
4.2.36.A solução deve apresentar as vulnerabilidades que estão sofrendo algum tipo de exploração, elencando quanto as CVEs relacionadas com seu grau de risco.
4.2.37.A solução deve ser baseada em inteligência artificial e aprendizagem de máquina, e possuir uma rede global de inteligência de ameaças a fim de potencializar os níveis de detecção de comportamentos anômalos.
4.2.38.A solução deve apresentar alertas caso os dados de telemetria gerados tenham relação com algum tipo de campanha de ameaças globais.
4.2.39.A solução deve mapear via rede os ativos de informação existentes e apontar aqueles que não são gerenciados pelos agentes da solução.
4.2.40.A solução deve informar o escopo, o impacto e os componentes afetados nos ativos de informação envolvidos em um incidente.
4.2.41.A solução deve ainda possibilitar, no mínimo:
4.2.42.Configurações que correlacione alertas em um incidente.
4.2.43.Que o administrador atribua o alerta a outro usuário/administrador.
4.2.44.Inserir informações adicionais.
4.2.45.Classificar status dos alertas.
4.2.46.Customizar indicadores de comprometimento (IOCs).
4.2.47.Incluir e remover: URLs, IPs, domínios e endereços de e-mail a lista de objetos suspeitos.
4.2.48.A solução deve possibilitar a monitoração e geração de relatórios a partir da console de administração, com a possibilidade de envio por e-mail e exportação.
4.3. Serviço Básico e Avançado (Software/Equipamento)
4.3.1. Os serviços de suporte técnico básico e especializado é fundamental para a continuidade e integridade dos sistemas e plataformas digitais, a fim de manter sua constante evolução e adequação aos cenários de ataques cibernéticos.
4.3.2. O Serviço Básico e Avançado escrito no presente item é relacionado à implantação, configuração, operação, monitoramento e sustentação das soluções instaladas no ambiente tecnológico do CONTRATANTE, bem como apoiar a prevenção, a análise e a resposta a incidentes cibernéticos.
4.3.3. A partir da ocorrência de um incidente de segurança, realizar as seguintes atividades de resposta aos incidentes, não se limitando a essas:
4.3.3.1. Detecção: identificar o evento, realizar abertura do chamado e comunicação do incidente;
4.3.3.2. Triagem: realizar a análise inicial do incidente (revisão de logs, confirmação de origem com data e hora, avaliação se falso positivo e identificação, complexidade;
4.3.3.3. Análise: realizar análise do evento ocorrido para mensurar o impacto real do incidente, a linha do tempo, as ações a serem tomadas.
4.3.3.4. Contenção: direcionar procedimentos de resposta a incidentes conforme categorização e criticidade do incidente para que as equipes técnicas possam executar as ações de respostas efetivas.
4.3.3.5. Recuperação: apoiar, quando for o caso, com o envio de procedimentos e recomendações de segurança que devem ser adotados para retornar os serviços e sistemas, bem como aplicar configurações e políticas nas soluções contratadas.
4.3.3.6. Documentação e Revisão: documentar o incidente e sugerir melhorias para aumento da resiliência em segurança da informação;
4.3.4. Deverá a CONTRATADA viabilizar suporte técnico básico e especializado nos termos a seguir:
4.3.4.1. Possuir portal de serviços para abertura de chamados e acesso à base de conhecimento, sendo possível o uso de ITSM (GSTI ? Gerenciamento dos Serviços de TI) indicado pela CONTRATANTE.
4.3.4.2. O suporte a usuários deverá seguir o horário oficial de funcionamento da Contratante, e atividades de monitoramento e simulações de ataques, operação, gestão, sustentação da solução e resposta a incidentes deverá atender em escala 24x7x365;
4.3.4.3. Deve ser possível extrair, através do portal de serviços, relatórios por período selecionado, sendo obrigatório a extração mensal para fins de fiscalização, sobre chamados e incidentes e outras informações relevantes ao MGI;
4.3.4.4. A CONTRATADA deverá prover documentação para acionamento do suporte técnico e operação da solução de abertura de chamado, caso necessário.
4.3.5. Outras ferramentas além das descritas na especificação técnica da presente contratação que sejam necessárias à execução desses serviços serão de responsabilidade da CONTRATADA, sem custos adicionais para a Contratante.
4.3.6. O suporte técnico a ser prestado pela CONTRATADA tem por objetivo a instalação, configuração, atualização, correção de falhas ou inconsistências detectadas sejam elas na gerência ou na solução dos ativos de informação, para garantir o pleno, correto e seguro funcionamento das soluções, além do esclarecimento de dúvidas dos servidores e prestadores de serviços da Contratada, para garantir a melhor utilização e maximização dos recursos contratados.
4.3.7. Os serviços compreendem, ainda, o apoio em itens de configuração da Contratada (Sistema Operacional, Serviços, Sistemas, Banco de Dados) a fim de indicar as melhores práticas de segurança a serem adotadas.
4.3.8. As solicitações de atendimento técnico deverão ser realizadas através de abertura de chamados.
4.3.9. Para cada solicitação de atendimento técnico, inclusive chamados de resposta a incidentes, deverá ser gerado um identificador único (chamado) para fins de controle e acompanhamento. A CONTRATADA deverá informar esse identificador a CONTRATADA, bem como manter o histórico de ações e atividades nos chamados realizados durante toda a vigência contratual.
4.3.10.A contratante poderá efetuar um número ilimitado de chamados de suporte durante a vigência contratual.
4.3.11.O serviço de suporte será prestado em idioma português do Brasil, os casos em que o suporte envolver analistas ou especialistas em que o suporte seja prestado em outro idioma, a Contratante deverá prover um tradutor para o idioma português do Brasil.
4.3.12.Os serviços de suporte técnico/manutenção da solução deverão ser fornecidos diretamente pela CONTRATADA devidamente reconhecida por autorização direta e oficial do fabricante para os serviços descritos nesse Termo de Referência, além de certificação que comprove a habilitação para execução do serviço;
4.3.13.Os serviços de suporte técnico/manutenção da solução deverão ser prestados por técnicos devidamente certificados pelo fabricante na solução ofertada e com experiência de, no mínimo, 24 (vinte e quatro) meses, em suporte/manutenção da solução e de 48 meses para o gerente técnico, devendo a experiência ser comprovada por meio de registros em carteira de trabalho, contratos de prestação de serviços ou outros meios considerados idôneos pelo CONTRATANTE, excluindo-se desse rol a simples informação em currículo e meras declarações.
4.3.14.A exigência de experiência mínima de 24 (vinte e quatro) meses para os técnicos e de 48 meses para os gerentes justifica-se pela especificidade e complexidade dos serviços a serem prestados, que envolvem a necessidade de sólidas e testadas competências em segurança cibernética e na própria solução. Esses períodos de experiência os colocam nas categorias pleno e sênior de experiência profissional.
4.3.15.Mesmo se a prestação do serviço envolver recursos técnicos do fabricante, caberá à CONTRATADA o cumprimento de todas as condicionantes contratuais, bem como a manutenção dos níveis contratados, e, em caso de descumprimentos, a responsabilidade recairá integralmente sobre a CONTRATADA;
4.3.16.O serviço deve analisar campanhas de malwares e incidentes gerados na gerência de administração da solução, com foco em vetores de ataque e exploração de vulnerabilidades no ambiente da Contratada;
4.3.17.Os serviços devem ser realizados através de análise humana e automatizada, contínua, 24x7x365, em busca de anomalias e potenciais atividades maliciosas no ambiente que fogem do escopo de detecção das ferramentas de segurança tradicionais.
4.3.18.Os serviços devem ser fornecidos utilizando as plataformas e soluções ofertadas. A CONTRATADA deverá apresentar e justificar a necessidade de qualquer integração externa para aprovação prévia do CONTRATANTE.
4.3.19.Os serviços de detecção e tratamento de ameaças deverá atuar de forma proativa a fim de descobrir a presença e prevenir possíveis atacantes, mesmo sem a existência de uma detecção ferramental, ou seja, a equipe não deverá restringir o início de suas atividades com base em detecções de alertas automatizados.
4.3.20.Os relatórios de incidentes deverão ser entregues de acordo com alinhamento junto a equipe de resposta a incidentes da Contratante, conforme a legislação vigente.
4.3.21.É de responsabilidade da Contratada, priorizar e fazer a triagem de alertas e possíveis incidentes de segurança.
4.3.22.Os serviços devem contemplar customizações nas soluções contratadas para o ambiente do CONTRATANTE, incluindo regras de detecção personalizadas, políticas de segurança, exceções e integrações com outras ferramentas de segurança, conforme a necessidade e aprovação prévia do CONTRATANTE;
4.3.23.Reportar os incidentes de segurança na rede do CONTRATANTE dentro da classificação do incidente e considerando o SLA estabelecido;
4.3.24.Apoiar as equipes técnicas do CONTRATANTE na resolução dos incidentes de segurança, incluindo ações de contenção, remediação e hardening nos ativos de informação, bem como recomendar configurações.
4.3.25.Acordar os canais de comunicação, visando rápida atuação entre as equipes para resolução de incidentes de segurança na rede;
4.3.26.Comunicação com as equipes do CONTRATANTE, disponibilizando o detalhamento dos eventos de segurança na rede identificados e ações de contenção recomendadas para o tratamento pelo CONTRATANTE;
4.3.27.A fim de manter o nível de segurança, e como forma de demonstrar regularmente a eficácia dos controles aplicados, a CONTRATADA realizará ou apoiará simulações controladas de intrusão na rede, com objetivo de identificar possíveis pontos fracos na implementação da solução e na postura de segurança da rede. As simulações devem ser executadas de forma automatizada e contínua, com a aprovação prévia do CONTRATANTE;
4.3.28.Analisar as tendências ao longo do tempo para identificar mudanças em padrões de tráfego, acessos e comportamento que possam indicar atividades suspeitas;
4.3.29.As atividades de suporte a usuários e as atividades do processo de resposta a incidentes de segurança deverão ser registradas pelos especialistas da CONTRATADA nas respectivas ferramentas. Para cada incidente de segurança, deverão ser documentadas as conclusões e lições aprendidas e melhorias.
4.3.30.A CONTRATADA apoiará na elaboração de operação e procedimentos no tratamento dos incidentes de segurança.
4.3.31.Mensalmente, deverão ser elaborados, no mínimo, os seguintes relatórios sobre o ambiente de rede do CONTRATANTE:
4.3.31.1. Visão baseada na matriz ATT&CK do instituto de pesquisa MITRE, com foco em táticas e técnicas de ataque e ações tomadas.
4.3.31.2. TOP 10 endereços IP de origem de atividades maliciosas e ações tomadas.
4.3.31.3. TOP 10 endereços IP de destino de atividades maliciosas e ações tomadas.
4.3.31.4. TOP 10 portas e protocolos utilizados em atividades maliciosas e ações tomadas.
4.3.31.5. TOP 10 vulnerabilidades exploradas em ataques à rede e ações tomadas.
4.3.31.6. TOP 10 ações dos atores de ameaça na rede e ações tomadas.
4.3.31.7. Demonstração crítica das análises de tráfego de rede realizadas, com suas respectivas correções ou blindagens (huntings de destaque).
4.3.31.8. Demonstração crítica do cruzamento de incidentes e ameaças na rede capturadas pela equipe de inteligência, com suas respectivas correções ou blindagens (ex: CVEs de campanhas de ransomware que exploram vulnerabilidades em redes).
4.3.31.9. Procedimentos e regras de segurança, sejam elas automatizadas ou manuais, criadas no período.
4.3.32.O catálogo de serviços pode sofrer alterações durante a vigência do contrato.
4.3.33.Apoiar o Contratante com materiais, recursos técnicos em campanhas de conscientização sobre o uso seguro dos ativos de informação.
4.3.34.Os Níveis Mínimos de Serviço seguirão o que está estabelecido no corpo do TR (Termo de Referência).
5. SOLUÇÃO DE MICROSEGMENTAÇÃO DE AMBIENTE CORPORATIVO
5.1. A solução de TIC consiste no fornecimento das seguintes plataformas, componentes e serviços conforme especificações técnicas detalhadas abaixo:
5.1.1. A solução ofertada deve fornecer uma console centralizada que possibilite a visualização e segmentação de ambientes on-premises, incluindo servidores físicos e virtuais, clusters Kubernetes (e suas principais variações), equipamentos de OT e IoT, estações de trabalho e notebooks. Além disso, a solução deve operar de forma ?agentless? para os provedores de nuvem pública AWS, Azure e OCI.
5.1.2. Deve suportar a microssegmentação tanto em dispositivos físicos quanto em dispositivos virtualizados (independente da tecnologia utilizada para virtualização).
5.1.3. Deverá também estar licenciado para todos os servidores e estações de trabalho que estão no objeto desta contratação.
5.1.4. Deve possibilitar a criação de ilhas no ambiente, onde os ativos tenham sua comunicação restrita apenas ao que for previamente identificado e liberado, principalmente no contexto de aplicações que devem ter sua comunicação liberada apenas no contexto estritamente necessário.
5.1.5. Deverá suportar, minimamente, a instalação de agentes nos seguintes sistemas operacionais:
· AmazonLinux;
· Alma Linux 8 ou superior;
· CentOS5ousuperior;
· Debian7ousuperior;
· OracleLinux5.8ousuperior;
· MacOS11 (Big Sur)ousuperior;
· Redhat5ousuperior;
· Solaris x86 (64 bit) 10 U8 ou superior
· Solaris SPARC (64 bit) 11.1 ou superior
· SUSE 11 SP3 ou superior
· Ubuntu14.04ousuperior;
· WindowsServer 2003 (OS Windows 5.2 SP1 and SP2)
· WindowsServer 2008 (OS Windows 6.0 SP1 and SP2)
· WindowsServer2008R2SP1ousuperior;
· Windows 7, 8, 10 e 11
5.1.6. No caso de dispositivos que não possam receber os agentes, a solução deve disponibilizar um mecanismo que permita cadastrar os mesmos e criar regras para ditar como estes recursos podem interagir com a rede protegida.
5.1.7. Deve suportar a instalação dos agentes em nuvens públicas ou privadas, independente do provedor, baseando-se apenas na compatibilidade de sistemas operacionais já citada.
5.1.8. Deverá suportar a segmentação de ambientes em contêineres, atendendo minimamente as seguintes plataformas e tecnologias relacionadas:
5.1.9. Plataformas de Orquestração:
· AWS Elastic Kubernetes Service (EKS)
· Azure Kubernetes Service (AKS)
· Azure Red Hat OpenShift (ARO)
· Google Kubernetes Engine (GKE)
· IBM Cloud Kubernetes Service (IKS)
· K3s
· Kubernetes
· OpenShift
· Rancher Kubernetes Engine (RKE)
5.1.10.Container Runtime:
· Containerd;
· Docker;
· CRI-O.
5.1.11.Plugins de rede:
· AWS VPN CNI;
· Kubenet;
· Azure CNI;
· Calico;
· Flannel;
· OpenShift SDN (OVS);
· OVN-Kubernetes (OVN);
· Canal.
5.1.12.A solução proposta deve permitir a segmentação das Plataformas de Orquestração mencionadas acima sem a necessidade de sidecars ou plugins CNI, como Calico e Flannel. Em vez disso, deve utilizar DaemonSets para configurar as regras de IPtables nos Pods e recorrer à API do Kubernetes para garantir visibilidade dos componentes do cluster, incluindo namespaces e serviços.
5.1.13.Deverá ser independente de hardware, ou seja, funcionar em qualquer infraestrutura de rede composta pela compatibilidade requerida já especificada.
5.2. Características de visibilidade
5.2.1. A solução deverá, a partir da instalação dos agentes, fornecer um mapa de dependência de aplicativos em tempo real de como a comunicação de rede está acontecendo, de forma a proporcionar o completo entendimento dos administradores para uma melhor tomada de decisão.
5.2.2. Além do mapa visual de comunicações, a solução ainda deverá fornecer meios para filtragem específica de comunicações em modo de log na console, contendo todos os detalhes de origem, destino, portas, protocolos e aplicações internas que realizaram a comunicação.
5.2.3. A visão detalhada dos logs deve permitir a criação de regras para fluxos detectados como bloqueados a partir de interação com os logs, apenas selecionando as comunicações desejadas.
5.2.4. A solução deve realizar sugestões inteligentes de como a regra deverá ser criada, de forma a facilitar a ação do administrador da ferramenta.
5.2.5. A visão detalhada do tráfego de rede deverá mostrar quais os processos do sistema operacional foram responsáveis por aquela comunicação, permitindo ainda que as regras possam controlar essa comunicação apenas quando esse mesmo processo iniciar a comunicação, garantindo que aquela comunicação de fato corresponde a aplicação de origem para a plataforma do sistema operacional.
5.2.6. Os agentes da solução deverão alimentar continuamente a console central, de forma que o administrador de rede sempre tenha contexto atualizado sobre as comunicações que estão ocorrendo.
5.2.7. A visibilidade gerada pela solução deverá suportar conceitos de RBAC, ou seja, segmentar a possibilidade de controle e visibilidade na console baseado no nível de permissão atribuído ao administrador autenticado na plataforma.
5.2.8. Os dados de visibilidade deverão estar disponíveis para consulta na console por pelo menos 90 dias.
5.3. Regras de segmentação e visibilidade
5.3.1. A solução deverá permitir a criação de rótulos a serem aplicados nas cargas de trabalho, de maneira que a identificação dos servidores e aplicações do ambiente sejam facilmente reconhecidos.
5.3.2. Os rótulos deverão suportar o conceito de escopo da rede, ou seja, produção, homologação e desenvolvimento, assim como a qual ambiente e localização o ativo está incluso.
5.3.3. As regras deverão ser criadas baseadas em dois critérios principais, sendo eles: Escopo interno, ou seja, apenas entre serviços pertencentes a mesma aplicação identificada ou também no contexto de escopo externo, no caso de aplicações diferentes que precisam de comunicação de rede entre si.
5.3.4. Todos os rótulos e atributos definidos nos tópicos anteriores deverão estar disponíveis amplamente para criação de políticas, seja pelo papel que o ativo executa, ou aplicação representada, ambiente ou localização.
5.3.5. As regras deverão possibilitar a criação granular, baseado nos rótulos e atributos solicitados, baseados em origem, destino, porta, protocolo, aplicação e processos do sistema operacional.
5.3.6. As regras também deverão conseguir utilizar listas de IPs, sub redes, FQDNs, range de portas e portas customizadas para controles específicos.
5.3.7. Deverá suportar a utilização de portas dinâmicas, ou seja, baseado no processo do sistema operacional e não em um range específico.
5.3.8. A solução deverá permitir a duplicação de políticas por parte do administrador, de forma a facilitar o processo de criação de regras.
5.3.9. A solução deverá possuir, de forma nativa, templates de política para serviços como Microsoft Active Directory, SQL Server, SharePoint, Exchange, Microsoft System Center, Sharepoint e Windows Server Update Service, já contendo todas as portas, protocolos e processos catalogados e com regras criadas, de forma a facilitar a implementação inicial sem impactos na rede corporativa.A solução deverá suportar a importação e exportação de políticas pela console administrativa.
5.3.10.A solução deverá permitir a atribuição de políticas em grupos específicos de hosts ou em hosts específicos.
5.3.11.No caso de remoção do agente da solução, todas as regras criadas deverão ser imediatamente removidas.
5.3.12.A solução deverá possuir integração nativa com scanners de vulnerabilidade para controle contextual de ativos com base nas vulnerabilidades que ele possui.
5.3.13.A solução deverá permitir integração com Active Directory para controle de regras de acesso baseado em grupos do Active Directory.
5.3.14.A solução deverá suportar meios para visualização de impacto das políticas antes de aplicação de modificações das mesmas.
5.3.15.A visibilidade da solução deverá permitir facilmente a identificação de quais tráfegos estão ocorrendo por qual política de definida e até mesmo se não existe uma política para o tráfego identificado.
5.3.16.A aplicação de políticas não deverá impor a criação de nenhuma camada de firewall nos hosts protegidos, ou seja, visando não gerar sobrecarga nos mesmos, o agente da solução deverá apenas orquestrar o firewall nativo dos sistemas operacionais para aplicação de todas as regras definidas na console.
5.3.17.No caso de dispositivos Windows, a aplicação das políticas (enforcement) deverá ser realizada por meio da orquestração do Microsoft Windows Filtering Platform nativo do sistema operacional, sem a necessidade sobrecarregar o mesmo com camadas de software adicionais.
5.3.18.No caso de dispositivos Linux, o enforcement das políticas deverá ser realizado através da orquestração do Linux IP Tables nativo do sistema operacional, sem a necessidade sobrecarregar o mesmo com camadas de software adicionais.
5.3.19.O enforcement de políticas e instalação do agente não deverá requerer nenhum tipo de modificação no kernel do sistema operacional.
5.3.20.A solução deverá suportar o controle de políticas para regras de inbound e outbound no firewall dos ativos protegidos.
5.3.21.Deverá ser possível a criação de regras para ?isolamento? de ativos na rede, de forma que a comunicação dos mesmos seja restrita apenas ao que tenha sido previamente definido, impedindo, por exemplo, que ativos contaminados por ameaças possam se comunicar na rede com os demais servidores do datacenter.
5.3.22.Deve possibilitar a integração com recursos IPSEC nativos do sistema operacional para criptografar o tráfico entre componentes protegidos pela solução.
5.3.23.As políticas da solução devem possibilitar a coexistência com políticas de firewall que já existam em determinados hosts protegidos.
5.3.24.Deve permitir a identificação e proteção do ambiente a partir de componentes que não tenham o agente instalado.
5.3.25.O agente da solução deve se automonitorar quanto a falhas de processo ou eventos de adulteração e reiniciar, se necessário, para garantir a funcionalidade contínua.
5.3.26.O agente da solução deve monitorar continuamente as regras aplicadas evitando assim que as mesmas sejam modificadas ou mesmo eliminadas (?anti tampering?).
5.3.27.O agente deve ser protegido por uma senha adicional prevenindo a remoção acidental ou proposital do mesmo.
5.3.28.Deverá reter ao menos as 1.000 versões da política para rollback em caso de necessidade e remoção automática das versões mais antigas para melhorar o desempenho.
5.4. Gestão de vulnerabilidades
5.4.1. A solução deverá possuir integração nativa com scanners de vulnerabilidade para realizar o controle contextual de ativos com base nas vulnerabilidades identificadas nos mesmos.
5.4.2. Deve possuir integração com os seguintes fabricantes de scanners de vulnerabilidade: Nessus Professional, Qualys, Tenable Security Center, Tenable.io e Rapid7.
5.4.3. A solução deverá gerar visões específicas, a partir da ingestão de dados de vulnerabilidades, sobre como as portas e aplicações vulneráveis estão se comunicando na rede corporativa.
5.4.4. A partir desta integração, deverá ser possível visualizar o nível de risco do ativo durante a análise de tráfego da rede corporativo.
5.4.5. O risco de exposição deverá ser calculado para cada carga de trabalho, fornecendo uma medição numérica com base no número e na gravidade das vulnerabilidades em uma carga de trabalho combinada com todos os caminhos que conectam uma porta vulnerável.
5.4.6. Quando não existir a possibilidade de correção da vulnerabilidade do ativo, a solução deverá fornecer sugestões de ajustes para regras de micros segmentação daquele ativo, de forma a mitigar o maior número possível de brechas do mesmo.
5.5. Arquitetura e implementação
5.5.1. A solução deverá ser compatível com o modelo SaaS ? Software as a Service, ou seja, não deve requerer nenhum tipo de instalação de componentes ou máquinas virtuais no ambiente para funcionamento de seus componentes administrativos.
5.5.2. A plataforma SaaS do fornecedor deve possuir certificação SOC 2 Tipo 2 emitido por auditor independente.
5.5.3. Os agentes devem se comunicar diretamente com a plataforma SaaS sem a necessidade de agregadores caracterizando- se assim uma aplicação de duas camadas.
5.5.4. O agente deverá suportar a utilização de servidores proxies caso o seguimento de rede não possua comunicação direta com a internet.
5.5.5. Os componentes administrativos da solução não deverão possuir dependência de nenhum outro componente de rede ou infraestrutura para o seu perfeito funcionamento.
5.5.6. A implementação do agente deverá ser compatível com ferramentas de deployment de software de uso geral como SCCM, Chef, Ansible, Puppet ou outra que seja passível de execução de um script shell ou PowerShell.
5.5.7. Deve proporcionar a instalação do agente de forma manual, através de msi e scripts já elaborados e disponibilizados pelo fabricante da solução.
5.5.8. O processo de remoção e atualização de versão dos agentes deverá seguir os mesmos modelos já definidos de instalação.
5.5.9. Deve ser possível a implementação dos agentes em modo apenas de monitoramento, fornecendo visibilidade do tráfego para que o administrador da solução criar regras e planejar a mudança para modo bloqueio com visibilidade e contexto de todo o tráfego de rede.
5.5.10.A solução deverá permitir a criação de políticas, fornecendo apenas a visibilidade e impacto das mesmas, para posterior provisionamento da mesma e enforcement das regras.
5.5.11.Deve permitir integração via SAML 2.0 com IDPs externos, como no mínimo o Microsoft Azure ADEntra, possibilitando autenticação na console administrativa a partir de um usuário gerenciado internamente pela CONTRATANTE.
5.5.12.Deve possuir auditoria para rastreamento de todas as modificações realizadas na console administrativa.
5.5.13.Deve possibilitar a capacidade de filtragem de tráfego com base em aplicações, rótulos, ambientes, período de tempo, status da política, etc. Permitindo ainda exportação dos logs para consumo externo a ferramenta.
5.5.14.Não deve haver limitação de número de regras e quantidade de tráfego a ser analisado pela ferramenta.
5.5.15.A comunicação entre o agente e a console central deve ser criptografada.
5.6. API e integrações
5.6.1. A solução deve possuir uma API forte e bem documentada.
5.6.2. Via API dever ser possível realizar operações em políticas e controlar os ativos da solução.
5.6.3. Deve ser baseada em HTTP e ser compatível com métodos GET, PUT, POST e DELETE.
5.6.4. Deve ser autenticada via chave a ser gerada no portal da solução.
5.6.5. Deve possibilitar integração com ferramentas DevOps como Chef, Puppet, Ansible, Terraform e SCCM.
5.6.6. Deve possuir integração com ferramentas de SIEM, sendo no mínimo suportado as soluções Sentinel, QRadar, Splunk ou Arcsight.
5.6.7. Deve possuir integração com as seguintes ferramentas de SOAR: IBM QRadar (SOAR), e Palo Alto Cortex (SOAR)
5.6.8. Deve possuir integração com Servicenow CMDB
6. SOLUÇÃO DE CORRELAÇÃO DE EVENTOS DE SEGURANÇA E RESPOSTA A INCIDENTES - SIEM
6.1. Arquitetura
6.1.1. Deve ser baseada em nuvem (Cloud), de forma a manter todos os eventos armazenados na nuvem do fabricante da solução.
6.1.2. Não serão aceitos serviços entregues por meio de software livre ou open-source.
6.1.3. A solução deve fornecer componentes já licenciados para coleta e envio de logs/tráfego até a plataforma central.
6.1.4. O componente para coleta de logs/tráfego deve fornecer a possibilidade de instalação em servidores Windows, Linux ou imagens prontas previamente fornecidas.
6.1.5. Deverá estar licenciada, em nome do Ministério de forma a manter o processamento em tempo real ou realizar o buffer dos eventos, mesmo que o tráfego de eventos ultrapasse o volume licenciado nas horas de pico.
6.1.6. Deve possuir capacidade de recebimento e armazenamento, mínimo, de todos os logs de ativos de segurança, alertas de segurança, tráfego de pacotes, dentre outras informações relacionadas, em formado bruto (raw) e/ou metadados, necessárias para fins de correlacionamento e forense, conforme especificação abaixo:
|
|
Tráfego de pacotes |
Logs, Eventos, Alertas, dentre outras informações |
|
Metadados |
Armazenar por no mínimo 365 dias |
Armazenar por no mínimo 365 dias |
|
Dados Brutos (Raw) |
Armazenar por no mínimo 365 dias |
Armazenar por no mínimo 365 dias |
6.1.7. Deve ter a capacidade de manter os itens coletados indexados para buscas rápidas por pelo menos 7 dias. Itens a serem buscados em datas superiores ao período de indexação devem respeitar o período de retenção do tópico anterior.
6.2. Requerimentos Gerais
6.2.1. Deverá ser capaz de gerenciar de forma eficiente incidentes de segurança. O software de gerenciamento de incidentes de segurança deve permitir a definição de um processo abrangente desde o registro e triagem inicial de um incidente até sua resolução e prevenção.
6.2.2. Deve permitir a automação de fluxos de forma gráfica, incluindo estágios, tarefas paralelas ou sequenciais, regras de decisão e aprovação, sem a necessidade de programação ou alteração de código fonte para as integrações já existentes.
6.2.3. Deve permitir automatização e orquestração de fluxos relacionados a resposta de incidentes de segurança, integrando e simplificando as operações.
6.2.4. Deve fornecer visibilidade, rastreabilidade e indexação dos eventos detectados, integrando as várias ferramentas de segurança que a entidade possui, aumentando a capacidade de detecção e maturidade da segurança cibernética.
6.2.5. Deve permitir acelerar a resposta às lacunas de segurança cibernética por meio de análise contextual, automação de processos e capacidade de articulação para investigação, utilizando fluxos de análise e inteligência associada às metodologias de ataque de grupos de cibercrime.
6.2.6. Deve identificar, registrar e indexar incidentes de segurança rapidamente, registrando os eventos relatados pelas soluções que a CONTRATADA atualmente possui.
6.2.7. Deve permitir integração e interoperabilidade com o ecossistema de segurança da entidade, independentemente da marca dos produtos de segurança utilizados.
6.2.8. Deve permitir a integração baseada em fluxos de trabalho através do cruzamento de dados das soluções de segurança como Firewalls, IPSs e sistemas de chamados.
6.2.9. Deve possuir controle granular de níveis de acesso a plataforma.
6.2.10.Deve funcionar, obrigatoriamente, com autenticação de dois fatores nativa, sendo no mínimo eles: OTP, SMS ou voz.
6.2.11.Deve permitir que se configure políticas restritas de senha como período de redefinição, bloqueio por tentativas sem sucesso, histórico de senha e desativação de usuários por tempo de inatividade.
6.2.12.Deve registrar e listar todos os alertas ativos, permitindo filtros e pesquisas sob demanda em uma linguagem de queries.
6.2.13.Deve permitir a criação de listas a serem utilizadas durantes as pesquisas, com objetivo de poder facilmente utilizá-las para inclusão ou remoção de recursos na busca, evitando a repetição de comandos, tornando as ações de caça a ameaças (hunting) mais ágeis.
6.2.14.Deve possuir alertas indicando a gravidade do incidente, permitindo a detecção, validação e investigação, a fim de reconstruir toda a cadeia do ataque.
6.2.15.Deve suportar uma linha do tempo visual em relação aos eventos registrados.
6.2.16.Deve oferecer suporte à integração com soluções de segurança de terceiros. A integração deve ser baseada em syslog, ingestão/absorção de alertas e/ou análise de tráfego de rede.
6.2.17.Deve permitir a criação de painéis e dashboards com gráficos de gestão, de forma ágil e intuitiva, sem a necessidade de programação e alteração do código-fonte.
6.2.18.Deve permitir aos atendentes e solucionadores de incidentes a possibilidade de criação de seus próprios painéis e gráficos dentro da solução, compartilhando sempre que necessário com grupos ou usuários específicos, permitindo gerenciamento das permissões de compartilhamento de acordo com os perfis de cada usuário.
6.2.19.Deve permitir a criação de gráficos, utilizando como origem de dados, as informações de diferentes soluções de segurança da organização.
6.2.20.Deve permitir configurar o envio automático e agendado de relatórios e gráficos gerenciais para grupos de usuários ou usuários específicos.
6.2.21.Deve incluir painéis unificados, buscas e relatórios, para facilitar a transição da detecção para a investigação e a resposta subsequente ao incidente relatado.
6.2.22.O coletor da solução deverá ser capaz de coletar, aplicar parsing, normalizar e categorizar os eventos dos dispositivos monitorados em tempo próximo ao real.
6.2.23.Deve possuir parsing, para interpretação automática de logs, para pelo menos as seguintes marcas/soluções:
· Aerohive;
· Akamai;
· AWS;
· Apache;
· Arbor;
· ArcSight;
· Aruba;
· Barracuda;
· BeyondTrust;
· BlueCoat;
· Broadcom;
· Brocade;
· Carbom Black;
· CheckPoint;
· Cisco;
· Citrix;
· Crowdstrike;
· CyberArk.
· Cylance;
· Docker;
· Eset;
· F5;
· FireEye;
· Forcepoint;
· Forescout;
· Fortinet;
· Graylog;
· Huawei
· HP;
· IBM;
· Imperva;
· Juniper;
· Mandiant;
· McAfee;
· Microsoft;
· Nagios;
· Nginx;
· Oracle;
· Palo Alto;
· Proofpoint;
· Pulse Secure;
· Riverbad;
· RSA;
· SonicWall;
· Sophos;
· Splunk;
· Symantec;
· Tenable;
· Trend Micro;
· Varonis;
· Digital Guardian;
· Veritas
· Vmware;
· WatchGuard;
· Zscaler.
6.2.24.Deve fornecer um módulo de UEBA ao qual possa ser utilizado para análise avançada do comportamento de entidades (computadores e usuários) aos quais podem estar envolvidos em atividades maliciosas. O módulo de UEBA deve utilizar técnicas avançadas para análise de comportamento sendo possível correlacionar eventos e extrair informações relevantes as quais devem ser utilizadas para definir o perfil de risco das entidades.
6.2.25.Deve analisar os tipos de log enviados e realizar sugestões de envio de importantes fontes de detecção de malware na qual ele não está recebendo logs. Exemplo: a organização não está enviando logs de firewall e DHCP, tais logs ampliam o poder de detecção da plataforma. Este recurso deve estar em execução automaticamente.
6.2.26.Deve possuir dashboards e relatórios que classifiquem os logs que foram devidamente classificados, permitindo também a rápida visualização dos que não foram, para que as ações de "parsing" possam ser planejadas.
6.2.27.Deve possuir dashboards prontos que são alimentados a partir da ingestão de logs para pelo menos, os seguintes fabricantes:
· AWS;
· Carbon Black;
· Checkpoint;
· Cisco;
· Crowdstrike;
· Druva;
· FireEye;
· Fortinet
· Google Cloud Plataform;
· Huawei
· Imperva;
· McAfee;
· Microsoft;
· Microsoft Azure;
· Okta;
· Palo Alto;
· Proofpoint;
· Sophos;
· Symantec;
· Veritas
· VMware
6.2.28.Deve possuir meios de monitoramento de saúde de todos os sensores que enviam logs para a console central.
6.2.29.Caso alguma fonte pare de enviar logs, a plataforma deve informar automaticamente os administradores para verificação.
6.2.30.Deve possuir nativamente integrações para serviços de nuvem, considerando minimamente:
· AWS CloudTrail;
· AWS CloudWatch;
· AWS GuardDuty;
· AWS S3;
· AWS Security Hub;
· AWS VPC Flow Logs;
· Azure;
· Azure Active Directory (Para UEBA);
· Bitglass;
· Box.com;
· Canary;
· CipherCloud CASB+;
· Cisco Umbrella;
· Cisco Umbrella S3;
· Corelight;
· Crowdstrike Falcon;
· CSC Global Domain Manager;
· Digital Guardian;
· Druva;
· Duo Auth;
· Entrust Intellitrust;
· FireEye Detection on Demand for AWS S3;
· FireEye Email Threat Prevention;
· FireEye Message Security for Slack;
· FireEye Messaging Security for Microsoft 365;
· FireEye Network Security;
· Google Cloud;
· Google Cloud Audit Events;
· Kentik;
· McAfee MVision Mobile;
· Microsoft CASB;
· Microsoft Graph;
· Microsoft Office 365;
· Mimecast;
· Netskope;
· Okta;
· Proofpoint CASB Integration;
· Proofpoint SIEM Integration;
· Qualys File Integrity Monitoring;
· Security Onion;
· Signal Sciences WAF;
· Sophos Antivirus SIEM Integration;
· Symantec Mobile Protection;
· Symantec Web Security Service;
· Windows Defender ATP;
· Zimperium.
6.3. Inteligência de Ameaças
6.3.1. Deve incluir regras de correlação e inteligência de ameaças.
6.3.2. Deve incluir um pacote de regras para detecção. Elas devem ser alimentadas automaticamente, sem gerar impacto ou solicitar intervenção de um analista. Por sua vez, ela deve permitir a criação de regras personalizadas pela CONTRATADA, incluído a entrada manual de novos indicadores de comprometimento.
6.3.3. Deve fornecer uma boa variedade de regras de inteligência já criadas e disponíveis para detecção de ameaças e permitir customização de novas para atender necessidades específicas.
6.3.4. Deve incluir inteligência de ameaças que revise, valide e compare as fontes que estão sendo utilizadas para detecção de ameaças.
6.3.5. Deve incluir a descrição das famílias de malware.
6.3.6. Deve fornecer atribuição automática de alertas a grupos de APTs.
6.3.7. O fabricante deve possuir especialistas em segurança que estejam monitorando as ameaças atuais ao redor do mundo, gerando a partir disso, novos pacotes de regras para aprimorar a solução em seu nível de detecção. Tal serviço não deve ocasionar custo adicional para a CONTRATANTE.
6.3.8. O fabricante deve rastrear grupos de crimes cibernéticos, a fim de aprimorar regras de detecção a partir de incidentes globais.
6.3.9. Deve utilizar uma rede de inteligência que processa diversas amostras de malware exclusivas por dia.
6.3.10.Deve injetar inteligência nos dados de log registrados.
6.3.11.Deve oferecer análises sobre "beaconing", permitindo no mínimo, a detecção de malwares que tentam estabelecer contato com ?Command and Control?.
6.3.12.Deve incluir como fonte de inteligência as ameaças, plataformas de segurança contratadas e permitir identificar a telemetria e o perfil de proliferação de um ataque, além de ter informações sobre vítimas e táticas, técnicas e procedimentos geralmente utilizados pelo invasor.
6.3.13.Deve possibilitar consultas de segurança específicas (Buscando referências a malwares ou ataques conhecidos), incluindo análise, para no mínimo:
· URLs;
· Domínios;
· Hashes MD5;
· Endereços IP.
6.3.14.Deve permitir a criação de listas a serem utilizadas com escopo de inteligência, facilitando assim o uso delas em regras ou mesmo para customizar detecções especificas do negócio.
6.3.15.Deve fornecer a possibilidade de análise de malwares, executando o mesmo de maneira controlada (sandbox), a fim de receber um relatório sobre os comportamentos encontrados com a execução.
6.3.16.Depois que uma ameaça for detectada, ela deve relacionar as informações registradas na plataforma central e as vincular fornecendo detalhes de inteligência.
6.3.17.Deve oferecer análises mínimas em:
· Beaconing;
· Beaconing Diferencial;
· Geo-feasibility;
· Uso indevido de credenciais;
· Detecção de conexão não reconhecida;
· Detecção de Fast-Flux DNS;
· Entropia DNS;
· Detecção de ataques via PowerShell;
· Detecção de Exfiltração de Dados;
· Detecção de conexões de entrada SSH, Telnet, SMB e RDP que sejam anômalas;
· Detecção de contas comprometidas com VPN;
· Detecção de movimento lateral.
6.3.18.Deve permitir que sejam realizadas pesquisas em seu ambiente para atividades de "caça" a malwares e atividades maliciosas.
6.3.19.Deve possuir capacidade analítica de eventos/tráfego, independente das regras, para detecção de no mínimo os seguintes comportamentos:
· Uso suspeito de chave da API Amazon Web Services (AWS);
· Login de autenticação multifator anormal do Duo com base no histórico de login anterior deste usuário;
· Atividade anormal do Google Cloud Platform (GCP) por um usuário;
· Logon anormal no Microsoft Office 365 com base no histórico de logon anterior deste usuário;
· Login anormal do Okta com base no histórico de login anterior deste usuário;
· Login anormal do protocolo RDP (Remote Desktop Protocol) com base no histórico de login anterior deste usuário;
· Download ou upload anormal de arquivo do SharePoint com base no histórico anterior deste usuário;
· Detecção de força bruta do Citrix NetScaler, realizando verificações de pulverização de senha e logons bem-sucedidos da mesma fonte.
· Detecção de força bruta no Druva, realizando verificações de pulverização de senha e logons bem-sucedidos da mesma fonte.
· Tráfego de rede para domínios semelhantes a (permutações) do domínio da organização descoberto. Isso pode indicar um ataque de phishing ou alguma outra atividade suspeita.
· Detecção de força bruta no Linux, realizando verificações de pulverização de senha e logons bem-sucedidos da mesma fonte.
· Detecção de força bruta do Office 365, realizando verificações de pulverização de senha e logons bem-sucedidos da mesma fonte.
· Okta detecção de força bruta. Isso realiza verificações de pulverização de senha e logons bem-sucedidos da mesma fonte.
· Vários logins de RDP pelo mesmo usuário.
· Vários logins de RDP no mesmo host.
· Login de VPN anormal com base no histórico de login de VPN anterior do usuário.
· Uma conta de usuário foi excluída dentro de 24 horas após sua criação.
· Detecção de força bruta do Windows NT LAN Manager (NTLM), realizando verificações de pulverização de senha e logons bem-sucedidos da mesma fonte.
· Vários erros de "usuários únicos não encontrados" de uma fonte. Isso pode indicar uma tentativa de enumeração do usuário.
· Vários processos exclusivos de um usuário ou host dentro de um curto período. Isso pode indicar atividade de reconhecimento.
6.4. Capacidades de Investigação
6.4.1. Deve incluir recursos de workflow para resposta a incidentes de segurança.
6.4.2. Deve ser capaz de coordenar os processos de segurança atuais no nível de alertas de rede e alertas de outras soluções de segurança.
6.4.3. Deve fornecer recursos de busca e pesquisa nas estações de trabalho, de acordo com os seguintes exemplos:
· Ampla pesquisa por comportamentos maliciosos conhecidos;
· Caça proativa de atividades suspeitas;
· Investigação completa nos endpoints comprometidos;
· Procurar evidências de intrusões avançadas como ameaças sem arquivo (fileless).
6.4.4. Deve fornecer recursos de resposta em tempo real, para no mínimo:
· Investigar todos as atividades em terminais suspeitos;
· Reproduzir a linha do tempo completa de um ataque avançado;
· Capturar detalhes da atividade que ocorreu durante intrusões;
· Executar uma análise aprofundada no nível de: Acesso ao disco, análise de memória e detecção de rootkit.
6.4.5. Depois que a solução detectar um alerta, a mesma deve fornecer pelo menos as seguintes informações:
· A inteligência em torno do alerta detectado;
· Métodos de detecção da ameaça em questão;
6.5. Mostrar graficamente uma linha do tempo de eventos relacionados ao alerta detectado;
· Dicas de pesquisa para orientar os analistas em todo o processo de resposta a incidentes. Essas dicas devem estar associadas à experiência que o fabricante tem em responder a incidentes críticos de segurança em empresas em todo o mundo;
· Mostrar os eventos brutos (raw data) que geraram o alerta;
· Histórico de eventos associados.
6.5.1. A visualização de um caso deve permitir pelo menos, as seguintes ações:
· Controle do Nome, Status, Prioridade, Classificação e Descrição do caso;
· Permitir que o caso seja assinado para algum usuário;
· Permitir que qualquer log/evento relacionado possa ser adicionado e visualizado no mesmo;
· Permitir a visualização de todos os alertas/incidentes envolvidos no caso;
· Permitir que o caso seja exportado em formatos CSV e JSON;
· Permitir a adição e visualização de comentários no caso.
6.5.2. Deve incluir dicas intuitivas de investigação, trazendo automaticamente no mínimo, os seguintes dados para consulta no alerta:
· Existem outras regras alertadas para esse IP de origem?
· Existem regras acionadas que foram baseadas em sensores de inteligência, relacionadas a algum desses índices de comprometimento?
· Quais logs estão disponíveis para este dispositivo?
· Quais logs estão disponíveis para este IP?
· Em quais outros hosts esse malware foi encontrado?
· Existem outros logs com esse hash?
· Existem alertas relacionados usando o IP do agente?
· Existem alertas relacionados usando o este dispositivo?
· Existem alertas relacionados usando o hash envolvido no incidente?
6.5.3. No nível analista/operador, Deve fornecer:
· Um painel de pesquisa, onde são registrados alertas e casos atribuídos aos analistas;
· Detalhe de alertas como: nível de risco, nome do alerta, tipo de alerta, origem, data da primeira ocorrência, data da última ocorrência, número de eventos, resumo, fontes e destino, status do alerta e opções de: exportação do alerta nos formatos CSV e JSON para excluir eou fechá-lo;
· Cada alerta deve poder ser atribuído a um analista específico, para iniciar o processo de investigação, contenção, caça, etc.;
· Deve haver um painel de casos, que permita a criação, gerenciamento e alocação de casos, a fim de rastrear as atividades e o tempo de resposta de cada analista;
· Cada caso pode conter vários alertas, várias anotações, para validar o estado evolutivo na resposta a um incidente;
· A ferramenta deve poder atribuir a cada caso níveis de: prioridade, gravidade e, como opção, outro tipo de classificação;
· Cada caso deve ter: Descrição, Eventos, Alertas, Revisões e Notas, bem como o registro do qual o analista foi designado ou modificou o caso.
6.5.4. Deve ter a capacidade de realizar pesquisas para o processo de busca proativa e reativa nos eventos e metadados coletados de maneira automática.
6.5.5. Deve ter um módulo de pesquisa avançada ou indexação de pesquisa que contenha:
· Um módulo de ajuda de sintaxe;
· Um módulo de histórico de pesquisas;
· Um módulo de pesquisa salva como favorita;
· Capacidade de salvar a pesquisa.
6.5.6. As pesquisas devem ter uma sintaxe completa baseada em Query Language contemplando documentação completa e atualizada.
6.5.7. Deve incluir opções de pesquisa, com base em cada um dos campos de metadados, como:
· Domínio;
· porta de destino;
· método HTTP;
· metaclasses;
· porta de origem;
· useragent;
· IP de Origem;
· IP de destino, etc.
6.5.8. Deve possuir um módulo de UEBA ao qual poderá ser utilizado para melhor compreensão dos eventos, identificando possíveis entidades (equipamentos ou usuários) envolvidos anteriormente em outros eventos maliciosos ou suspeitos.
6.5.9. A visualização de um alerta/incidente deve permitir pelo menos, as seguintes ações:
· Assinar o incidente para um analista;
· Marcar como falso positivo;
· Adicionar o alerta em um caso para um trabalho aprofundado envolvendo mais pessoas e artefatos de investigação;
· Fechar ou suprimir o alerta;
· Exportar o alerta para CSV ou JSON;
· Fazer pesquisas de Índices de comprometimento diretamente em bases externas como VirusTotal e DomainTools;
· Adicionar através de um clique, artefatos em listas para facilitar o trabalho de investigação e melhorar a assertividade das regras de detecção;
· Visualizar a correlação de índices de comprometimento em outros incidentes abertos ou fechados;
· Consultar análises realizadas automaticamente em bases de inteligência cibernética;
· Analisar o histórico de modificações no incidente;
· Adicionar comentários no incidente;
· Quando realiza análise em sandbox para artefatos envolvidos em incidentes, permitir a visualização das modificações que o binário realizou.
6.5.10.Ao visualizar um tipo de evento, a plataforma deve permitir, a partir de cliques com o mouse (Sem necessidade de escrita de query), incrementar as buscas, para pelo menos as seguintes ações:
· Realizar uma busca por qualquer campo daquela classe. Exemplo: Ip de origem/destino, hash md5, destinatário/remetente, ações aplicadas, etc;
· No caso de uma busca já estar sendo realizada, deve ser possível adicionar qualquer campo listado na busca atual para seguimento das atividades de hunting;
· Deve ser possível também realizar exclusões na busca a partir do valor de qualquer campo listado;
· Dever ser possível realizar um agrupamento de qualquer valor listado, formando automaticamente um dashboard, estabelecendo as contagens e classificações de acordo com os valores dos campos;
· Quando visualizado algum índice de comprometimento, deve ser possível realizar pesquisas em bases externas como VirusTotal e DomainTools;
· Deve ser possível adicionar índices de comprometimento em listas para facilitar as buscas e criação de regras.
6.5.11.Deve permitir que as buscas mais realizadas sejam salvas para execução rápida sempre que necessário.
6.5.12.Toda busca realizada deve ter a possibilidade de ser transformada em uma regra para detecção de comportamentos desejados.
6.6. Orquestração e Automatização
6.6.1. A arquitetura da plataforma de orquestração deve ser moderna e granular ao ponto de ao menos possuir as seguintes segmentações de seus serviços:
· Serviço para orquestração;
· Serviço Web para acesso a interface de gerência;
· Ambiente virtual para execução de playbooks;
· Ambiente isolado para interpretações do OS;
· Serviço de banco de dados para gestão e armazenamento de dados o orquestrador;
· Serviço de filas;
· Database para armazenamento de informações do serviço de filas;
· Serviço para tratativas de I/O do sistema web;
· Serviço para tratativas de execução do serviço de fila;
· Serviço de agendamento de comandos.
6.6.2. Deve possuir uma interface gráfica que contemple ao menos os itens abaixo para melhor organização, gerência e ação durante possíveis investigações ou automatizações de atividades internas.
· Dashboard;
· Guia de chamados;
· Playbooks;
· Dispositivos;
· Adaptadores;
· Tabelas;
· Tags;
· Formulários;
· Scripts;
· Tipos;
· Biblioteca.
6.6.3. Deve possuir plugins predefinidos e compatíveis com as diferentes tecnologias que a entidade possui no nível de segurança cibernética.
6.6.4. Deve fornecer uma biblioteca de plug-ins que permita integrar fluxos de trabalho e automação com vários tipos de tecnologias, para no mínimo:
· TIPs - plataformas de inteligência;
· Ferramentas de análise de malware;
· EDR - Detecção e resposta do terminal;
· SIEM;
· Armazenamento - baseado em nuvem;
· Sistemas de chamados;
· Soluções de endpoint;
· Firewalls;
· Switches;
· Ferramentas de sandbox;
· Servidores de email;
· Ferramentas de chat;
· Dispositivos móveis etc.
6.6.5. A solução deve ter um ambiente gráfico que permita a criação dos fluxos para interação com as diferentes tecnologias.
6.6.6. A solução deve permitir a automação das atividades de resposta a incidentes com base nas necessidades e processos da entidade.
6.6.7. A solução deve poder registrar as métricas de desempenho e tempo economizado nas tarefas usando a orquestração.
6.6.8. Deve permitir etapas para escalação e aprovação em fluxos de trabalho.
6.6.9. Deve suportar a definição de tarefas ou ações assíncronas.
6.6.10.A solução deve suportar SMTP para envio de e-mails.
6.6.11.Deve permitir nível de acesso a console e componentes de forma granular.
6.6.12.No nível de gerenciamento de caso/ticket a solução deve ser capaz de alterar dinamicamente a prioridade dos casos, alterar a atribuição e o status de acordo com o fluxo definido.
6.6.13.Deve permitir a criação de novos plugins, além de fornecer a habilidade de customização de playbooks através de linguagens de programaçãopara criação de templates.
6.6.14.Deve fornecer um serviço HTTP server para receber informações através de um método POST e então converter o conteúdo recebido para JSON a fim de obter melhores integrações e expandir as capacidades com integrações web.
6.6.15.Deve suportar operações básicas no processamento de fluxo, como:
· Realizar operações matemáticas básicas (+, -, *, /,%, **), suportando retornar o resultado com decimais ou números exatos (arredondados);
· Suporte à pesquisa de arquivos, tipo de documento de conteúdo que corresponda a uma expressão regular. Deve suportar documentos do tipo: csv, doc, docx, eml, epub, gif, jpg, json, html, msg, odt, ogg, pdf, png, pptx, ps, rtf, tiff, txt, wav, xlsx, zip;
· Programar a ocorrência de eventos no futuro semelhante para Windows ou Unix;
· Conectar-se a um servidor IMAP eou POP3;
· Executar localmente os seguintes comandos: Ping, Telnet para uma porta, traceroute, whois eou aguardar alguns segundos;
· Exibir hora local;
· Operar arquivos locais através das seguintes operações: criar arquivos, adicionar a um arquivo (anexar), excluir arquivos, mover arquivos, ler arquivos, listar diretórios etc.;
· Ler um feed RSS;
· Realizar uma captura de tela de uma página do site. Deve suportar o uso de proxy e permitir armazenar a imagem em um arquivo;
· Enviar dados através de uma porta TCP;
· Oferecer suporte ao SFTP, através das seguintes operações: Listar diretório, ver se existe um arquivo, ver se existe um diretório, buscar um arquivo, buscar um diretório e seu conteúdo recursivamente, fazer upload de um arquivo;
· Enviar uma mensagem via SMTP;
· Executar comandos remotamente via SSH e coletar a saída de execução assim como seus erros de execução;
· Criar um elemento STIX a partir de um indicador de consolidação do índice de comprometimento (Hash, IP, URL, HostName, Domínio);
· Gerar uma solicitação HTTP para uma API Web;
· Oferecer suporte ao uso de cabeçalhos HTTP personalizados;
· Importar arquivos a serem utilizados em ações do playbook;
· Adicionar tags para fácil identificação de ativos envolvidos em um playbook;
· Possuir a capacidade de executar sequências condicionais que mudem a direção ou fluxo de um playbook em execução.
6.6.16.Deve suportar a interpretação de dados como:
· Extrair o domínio de uma URL;
· Extrair o domínio de um email;
· Extrair um ou mais URLs de um texto;
· Codifique um texto em base64;
· Decodifique base64 em texto;
· Decodifique um texto JSON usando uma expressão jsonpath;
· Extrair um subtexto do XML usando um filtro xpath;
· Codifique uma string usando urlEncode;
· Decodifique um URL usando urlDecode;
· Resolver do IP para o domínio;
· Resolver do domínio para o IP;
· Converter de texto em campo Hash MD5;
· Filtrar de uma lista de textos aqueles que contêm um determinado subtexto;
· Aplicar uma substituição em expressão regular;
· Verificar se um texto corresponde a uma determinada expressão regular;
· Contar os itens em uma lista.
6.6.17.Deve possuir conectores nativos para ao menos os seguintes serviços, visando ampliar a capacidade de resposta automatizada:
· AbuseIPDB;
· AlienVault OTX;
· AlienVault ThreatCrowd;
· Amazon Alexa;
· Amazon Athena;
· Amazon CloudTrail;
· Amazon EC2;
· Amazon IAM;
· Amazon S3;
· Amazon SNS;
· Amazon VPC;
· Amazon WAF;
· Anomali ThreatStream;
· AOL Moloch;
· Apache Kafka;
· Apility.io;
· Atlassian Jira;
· Best Practical Request Tracker;
· BlacklistMaster;
· Censys;
· Cherwell;
· Cisco AMP;
· Cisco Firepower;
· Cisco IOS;
· Cisco Threat Grid;
· Cisco Umbrella;
· Citrix;
· Claroty CTD;
· Cofence PhishMe;
· Cofense Intelligence;
· Cuckoo Sandbox;
· Cylance Protect;
· DomainTools;
· Elasticsearch;
· Farsight DNSDB;
· Forcepoint Web Security;
· GitHub;
· Google Chrome;
· Google Geolocation;
· Google Safe Browsing;
· HackerTarget;
· Have I Been Pwned?;
· IBM Domino;
· IBM Qradar;
· IBM X-Force;
· IDA Pro;
· IFTTT;
· Infoblox;
· Internet Archive Wayback Machine;
· IntSights;
· IPHub;
· Juniper Cyphort;
· Vendors Lookup;
· MailboxLayer;
· Malshare;
· Malwares;
· ManageEngine ServiceDesk;
· McAfee ePolicy Orchestrator (ePO);
· Micro Focus ArcSight CEF;
· Micro Focus ArcSight ESM;
· MicroFocus ArcSight Logger;
· Microsoft Active Directory;
· Microsoft Exchange;
· Microsoft NetBIOS;
· Microsoft SCCM;
· Microsoft SharePoint;
· Microsoft SMB;
· Microsoft Windows;
· MISP;
· Mozilla Firefox;
· MxToolbox;
· My IP Address;
· Neutrino API;
· Nmap;
· Palo Alto Networks Panorama;
· Pastebin;
· PhishTank;
· Proofpoint URL Defense;
· ProxyCheck;
· Recorded Future;
· RestPack.io;
· ReversingLabs TitaniumCloud;
· RiskIQ PassiveTotal;
· RSA NetWitness;
· ServiceNow;
· Shodan;
· Slack;
· Solarwinds Log Manager;
· Splunk;
· SSH;
· Symantec Blue Coat ProxySG;
· Symantec Endpoint Protection;
· Syslog-ng;
· 2Telegram;
· 2Tenable Nessus;
· 2Tenable SecurityCenter;
· 2TheHive;
· 2ThreatConnect;
· 2Twitter (X);
· Unshorten.me;
· URLScan.io;
· URLVoid APIVoid;
· Vade Secure IsItPhishing;
· VirusTotal;
· Vulners;
· WhoAPI;
· Whois XML API;
· Wireshark.
6.6.18.Deve possuir um guia de API bem documentado com diversas possibilidades de consumo não limitando-se há:
· Listar requisições dos usuários;
· Criar novas requisições;
· Atualizar informações sobre requisições e chamados;
· Enviar solicitação de troca de senha para usuário;
· Deletar requisição;
· Gerenciar e executar playbooks.
7. SOLUÇÃO GESTÃO DE ATIVOS
7.1. Características Gerais
7.1.1. A Solução de gerenciamento de conformidade de endpoints deve permitir o acompanhamento de todo o ciclo de vida do ativo, incluindo licenciamento, serviços de instalação, configuração e suporte técnico, conforme especificações a seguir:
7.1.1.1. Criação de políticas e tarefas de conformidade;
7.1.1.2. Descoberta e inventário completo de estações de trabalho e servidores;
7.1.1.3. Gerenciamento de softwares e aplicações;
7.1.1.4. Monitoramento de utilização de softwares e aplicações;
7.1.1.5. Gerenciamento de atualizações de segurança;
7.1.1.6. Medição e bloqueio de software;
7.1.1.7. Gerenciamento de imagens de sistemas operacionais.
7.2. Arquitetura
7.2.1. A solução deve ser instalada na infraestrutura local, em servidores Windows ou Linux, utilizando a virtualização do ambiente.
7.2.2. Deve ser compatível com Vmware ou Hyper-V;
7.2.3. Deverá possuir base dados local ou em banco de dados externo;
7.2.4. Caso seja compatível com SQL Server, poderá utilizar as licenças da CONTRADA, caso utilize outro SGBD, a licença deverá ser previamente fornecida;
7.2.5. Os agentes deverão se comunicar com a console apenas de forma criptografada, utilizando HTTPS e certificados da própria CONTRATADA.
7.3. Características específicas
7.3.1. Criação de tarefas e políticas de conformidade.
7.3.2. Deve permitir a criação de tarefas ou scripts em máquinas com os agentes instalados, permitindo interação com qualquer característica da estação ou servidor de forma remota.
7.3.3. A tarefa deve representar uma execução pontual ou programada, permitindo controle granular sobre a escolha do período de sua execução.
7.3.4. Os agendamentos de execução de tarefas devem poder ser programados minimamente, por:
7.3.4.1.Horário agendado;
7.3.4.2.Janela de execução, permitindo repetição diariamente, semanalmente, anualmente, ou até mesmo através de escolha de quais dias exatos da semana deve ser executada;
7.3.4.3.Durante o login do usuário;
7.3.4.4.Durante a inicialização do equipamento.
7.3.5. Deve ser possível escolher qual usuário será utilizado para execução da tarefa nas máquinas alvo;
7.3.6. Deve ser possível salvar a saída da execução de comandos para análise do administrador do sistema;
7.3.7. A Solução deve possibilitar a implementação de políticas de conformidade de softwares ou configurações, atendendo minimamente, os critérios abaixo:
7.3.7.1.Instalar um software em um endpoint, sempre que este não for encontrado;
7.3.7.2.Impor configurações em um endpoint, corrigindo sempre que ela for alterada ou não encontrada;
7.3.8. Deve permitir execução de scripts em pelo menos, as seguintes linguagens:
7.3.8.1.Command script;
7.3.8.2.Javascript;
7.3.8.3.Perl;
7.3.8.4.Powershell;
7.3.8.5.Python;
7.3.8.6.VBScript.
7.3.9. A solução deve permitir que muitas tarefas sejam concatenadas em uma apenas, possibilitando a execução em sequência de muitas atividades a partir de uma única instância de execução.
7.4. Descoberta e inventário completo de estações de trabalho e servidores
7.4.1. A solução deve ser capaz de descobrir qualquer dispositivo que possua um endereço IP atribuído (computador, servidor, impressora, roteador, switch, hub e outros) independente de fabricante ou fornecedor;
7.4.2. Deve ser capaz de descobrir dispositivos por meio do protocolo SNMP (Simple Network Management Protocol);
7.4.3. A solução deve permitir a descoberta de ativos pelos seguintes meios:
7.4.3.1.Análise de redes ou ranges de IP;
7.4.3.2.Integração com domínio Active Directory;
7.4.4. Deve permitir a execução do inventário através de políticas definidas na console central para dispositivos com agente;
7.4.5. Deve permitir verificações incrementais, apenas em características novas e alteradas;
7.4.6. Permitir a realização de inventário e descoberta de forma esporádica pelo administrador e/ou automática por meio de agendamentos flexíveis, possibilitando definir frequência e horário para pelo menos, os seguintes filtros:
7.4.6.1.IP e range de IP;
7.4.6.2.Comunidade SNMP;
7.4.7. Deve realizar a captura de inventário básico, executado com periodicidade inferior aos inventários completos, contendo informações gerais dos clientes, como:
7.4.7.1.Hostname e domínio;
7.4.7.2.Sistema operacional, idioma, diretório de instalação e sistema de arquivos;
7.4.7.3.Versão do sistema operacional e Service Pack;
7.4.7.4.Tipo do dispositivo (computador, móvel, dispositivo de rede);
7.4.7.5.Endereço Mac;
7.4.7.6.Configurações TCP/IP de todas as placas de rede incluindo virtuais;
7.4.7.7.Indicação de endereçamento: IP fixo ou dinâmico
7.4.7.8.Captura de eventos de logon e logoff identificando usuário, domínio, data de logon e logoff e tempo total logado, independe se o computador estiver no domínio e se o logon for em domínio ou local, permitindo ao administrador identificar os usuários que estavam conectados no computador em determinado horário;
7.4.8. Executar o inventário mesmo em computadores desligados, desde que estejam com alimentação de energia na fonte (cabo ligado na tomada) e conectados à rede, no mínimo das seguintes formas:
7.4.8.1.Ligar o computador, inicializar o sistema operacional e executar o inventário em computadores cuja placa de rede e BIOS suportem a tecnologia wake-on-lan;
7.4.8.2.Ligar o computador, inicializar o sistema operacional e executar o inventário em computadores que suportem a tecnologia vPro, desde que o seu processador seja compatível com a tecnologia vPro;
7.4.9. Deve suportar à definição de limite de tempo máximo para execução do inventário, provocando a interrupção do processo caso leve mais tempo que o limite definido;
7.4.10.Deve executar o inventário de forma silenciosa sem exibição de janela e sem requerer nenhuma ação para o usuário;
7.4.11.Deve possuir inventário de pelo menos os seguintes tipos de informação de computadores Windows:
7.4.11.1. Processador, quantidade, velocidade e tipo/marca;
7.4.11.2. Tipo de computador: desktop, laptop, servidor ou outra classificação do fabricante;
7.4.11.3. Fabricante do hardware, modelo, número de série;
7.4.11.4. Código de patrimônio se estiver cadastrado no BIOS;
7.4.11.5. Fabricante, versão e data da BIOS e informações da SMBIOS;
7.4.11.6. Slots de memória disponíveis;
7.4.11.7. Sistema operacional, pasta de instalação, service pack, versão, idioma, fuso horário;
7.4.11.8. Patches e hotfixes do sistema operacional e softwares;
7.4.11.9. Dispositivos configurados e respectivas configurações;
7.4.11.10. Drivers;
7.4.11.11. Endereço Mac;
7.4.11.12. Configurações TCP/IP de todas as placas de rede incluindo virtuais;
7.4.11.13. Indicação de endereço IP: fixo ou dinâmico;
7.4.11.14. Discos e pastas da rede mapeados;
7.4.11.15. Impressoras instaladas, compartilhadas e mapeadas pela rede;
7.4.11.16. Discos físicos e lógicos incluindo letras atribuídas, tamanho e propriedades;
7.4.11.17. Tamanho total em disco, total livre, na lixeira, em pastas temporárias e cache;
7.4.11.18. Particionamento dos discos e formato FAT ou NTFS;
7.4.11.19. Discos e pastas compartilhadas e respectivo acessos;
7.4.11.20. Status de compartilhamento administrativo;
7.4.11.21. Membros do grupo administração local;
7.4.11.22. Perfis de usuários existentes no computador;
7.4.11.23. Verificar grupos locais no computador;
7.4.11.24. Tarefas agendadas no sistema operacional;
7.4.11.25. Histórico de conexões à porta USB a qualquer horário;
7.4.11.26. Softwares registrados no Painel de Controle, incluindo ocultos;
7.4.11.27. Softwares residentes no computador independentemente de estarem instalados ou presentes no Painel de Controle;
7.4.11.28. Conexões ODBC de sistema;
7.4.12.Inventário de pelo menos os seguintes tipos de informação de computadores Mac:
7.4.12.1. Processador, quantidade, velocidade, tipo e marca;
7.4.12.2. Fabricante do hardware, modelo, número de série;
7.4.12.3. Código de patrimônio se estiver cadastrado no equivalente à BIOS;
7.4.12.4. Impressoras instaladas, compartilhadas e mapeadas pela rede;
7.4.12.5. Discos físicos e lógicos, tamanho e propriedades;
7.4.12.6. Tamanho total em disco, total livre, na lixeira, em pastas temporárias e cache;
7.4.12.7. Discos e pastas compartilhadas e respectivo acessos;
7.4.12.8. Status de compartilhamento administrativo;
7.4.12.9. Membros do grupo administração local;
7.4.12.10. Perfis de usuários existentes no computador;
7.4.12.11. Verificar grupos locais no computador;
7.4.12.12. Tarefas agendadas no sistema operacional;
7.4.12.13. Histórico de conexões à porta USB a qualquer horário;
7.4.12.14. Softwares instalados no computador, incluindo ocultos;
7.4.12.15. Softwares residentes no computador.
7.4.13.O inventário deve fornecer informações sobre as mudanças que ocorrem em todas as estações de trabalho e servidores;
7.4.14.O inventário deve manter histórico sobre quaisquer instalações e desinstalações de software, bem como sobre adições e remoções de hardware que ocorreram nas estações de trabalho e servidores.
7.5. Gerenciamento de softwares e aplicações
7.5.1. Deve possibilitar a distribuição e instalação de softwares, automatizar procedimentos de configuração ou manutenções rotineiras;
7.5.2. A distribuição de softwares deve ocorrer de forma remota e desassistida, ou seja, o usuário final não deve perceber ou interagir nesta instalação;
7.5.3. A solução deve possuir um ponto central de instalação, atualização e desinstalação de software;
7.5.4. Deve possibilitar o acompanhamento em tempo real do status da distribuição do software;
7.5.5. Deve possuir suporte a computadores Windows, MacOS e Linux;
7.5.6. Deve instalar automaticamente as aplicações ou componentes requeridos de uma aplicação principal que for instalada pela solução;
7.5.7. Deve possuir controle centralizado do status de distribuição do pacote;
7.5.8. Através do módulo de criação de políticas, deve possibilitar a criação de políticas de distribuição de software com definição de data de início e término da validade da política, utilizando o horário do servidor de gerenciamento;
7.5.9. Deve possuir flexibilidade no agendamento da política com possibilidade de combinação de qualquer uma das regras a seguir isoladas ou simultaneamente:
7.5.9.1.Assim que o computador se comunicar com servidor;
7.5.9.2.Somente em um determinado dia e horário;
7.5.9.3.Assim que possível após o horário agendado
7.5.10.A solução deve ter a capacidade de verificar previamente a necessidade de instalação das dependências, sejam elas, patches de segurança, patches de atualização, instalação de outros softwares entre outros e dentro da mesma tarefa sanar todas as dependências, para só então executar a instalação de fato do software desejado;
7.5.11.A solução deve ter a capacidade de emitir relatórios de distribuição de software, incluindo entrega, instalação e funcionalidades bem-sucedidas, identificação de máquinas off-line e instalações com falha;
7.5.12.A solução deve ter a capacidade de agrupar pacotes de aplicativos de software ou alterações e estabelecer pré-requisitos para pacotes, de modo que as alterações que exijam modificações no sistema, antes de sua implantação, sejam empacotadas, contabilizadas e com garantia de execução em uma ordem estabelecida;
7.5.13.A funcionalidade de catálogo de software deve ser organizada conforme descrição na metodologia ITIL, possibilitando o cadastro de:
7.5.13.1. Pacotes de softwares instalados;
7.5.13.2. Pacotes passíveis de distribuição pela ferramenta;
7.5.13.3. Dependência e substituição de pacotes;
7.5.13.4. Mecanismo de detecção da instalação do software;
7.5.13.5. Tarefas de instalação e remoção.
7.5.14.Deve permitir a implantação de um portal de software, criando uma espécie de self-service de softwares, para que os usuários possam realizar a instalação sem a necessidade de privilégios administrativos ou chamados à equipes de service desk.
7.6. Gerenciamento de atualizações de segurança
7.6.1. Deve possuir suporte a computadores Windows, MacOS e Linux;
7.6.2. Deve realizar o download de atualizações de repositórios oficiais na internet, para que a distribuição interna seja planejada e tenha o controle de banda otimizado;
7.6.3. Deve executar verificação remota de vulnerabilidades e necessidades de updates, correlacionando os updates baixados com aqueles são necessários pelos agentes instalados;
7.6.4. Deve possuir relatórios gerenciais sobre vulnerabilidades e status dos patches;
7.6.5. Após a instalação de uma atualização, deve ser possível emitir notificações para usuários finais, permitindo que eles posterguem a reinicialização por um período definido na política central;
7.6.6. A solução deve ter a capacidade de importar a partir da console de gerenciamento, os resultados das varreduras contra vulnerabilidade e distribuir automaticamente os patches de correção;
7.6.7. A solução deve implementar a capacidade de multicast para distribuição de atualizações de segurança, permitindo que apenas um agente faça o download do servidor central e faça a entrega para as máquinas mais próximas ou conectadas no mesmo switch;
7.6.8. Deve permitir a realização de gerenciamento de atualizações para soluções de pelo menos, os seguintes fabricantes:
7.6.8.1.7-Zip;
7.6.8.2.Adobe;
7.6.8.3.Apache Software Foundation;
7.6.8.4.Apple;
7.6.8.5.Cisco;
7.6.8.6.Citrix;
7.6.8.7.Dropbox;
7.6.8.8.EMC;
7.6.8.9.Gimp.org;
7.6.8.10. Google;
7.6.8.11. Hewlett-Packard;
7.6.8.12. LibreOffice;
7.6.8.13. Microsoft;
7.6.8.14. Mozilla Foundation;
7.6.8.15. Notepad++;
7.6.8.16. Opera Software ASA;
7.6.8.17. Oracle;
7.6.8.18. RealVNC;
7.6.8.19. Sourceforge.Net;
7.6.8.20. Sun Microsystems;
7.6.8.21. TortoiseSVN;
7.6.8.22. UltraVNC;
7.6.8.23. VMware;
7.6.8.24. WinZip;
7.6.8.25. Wireshark Foundation;
7.6.8.26. Zoom Video Communications.
7.7. Medição e bloqueio de software
7.7.1. A solução deve permitir a medição e remoção de software não permitido;
7.7.2. A solução deve permitir a medição do uso de aplicações em computadores, sendo aplicativos compostos de vários arquivos ou executáveis simples;
7.7.3. Deve coletar e armazenar informações gerais sobre a utilização de aplicações, como: nome do arquivo, usuário, computador onde foi executado, data e hora;
7.7.4. Deve implementar políticas diferenciadas de medição do uso e remoção de software para grupos de computadores, permitindo que um mesmo software seja executado em um computador, mas negado em outro;
7.7.5. Deve possibilitar o envio de alertas ao administrador quando um aplicativo é bloqueado;
7.7.6. Deve identificar softwares executados mesmo que não instalados;
7.7.7. A definição de lista de softwares não autorizados, deve ser baseada em nome de arquivo ou informações do cabeçalho do programa, permitindo que o bloqueio seja efetivo mesmo que o usuário modifique o nome do arquivo;
7.7.8. O bloqueio de utilização de software deve ocorrer de acordo com os seguintes critérios: Indefinidamente (sempre), somente em determinados horários ou somente em determinados dias e horários;
7.8. Gerenciamento de imagens de sistemas operacionais
7.8.1. Deve permitir a captura e distribuição de sistema operacional;
7.8.2. Deve provisionar dinamicamente uma imagem, contendo suas configurações e software para os computadores que se conectarem à rede usando regras por MAC Address, tipo de hardware, rede local, e outros dados;
7.8.3. Deve possuir a capacidade de transmitir pacotes via multicast, o cliente deve receber a imagem e depois enviar via multicast para o resto dos clientes que irão receber a imagem;
7.8.4. A solução deve permitir a utilização de PXE;
7.8.5. Deve possuir meios para realização das tarefas de imagem, mesmo quando PXE não estiver disponível;
7.8.6. O processo de disponibilização da imagem em uma estação de trabalho deve seguir o fluxo completo, entregando não apenas o sistema no destino, mas também todas as configurações, drivers e softwares desejáveis para funcionamento mínimo do equipamento.
7.8.7. Para entregar drivers, não deve ser necessário a customização de imagens para sua inserção. A solução deve possuir um banco de drivers a ser consultado durante o processo para instalação apenas aqueles designados para o equipamento destino.
8. SOLUÇÃO DE GERENCIAMENTO DE VULNERABILIDADES DE SEGURANÇA
8.1. Características gerais
8.1.1. A solução deve realizar varreduras (scans) de vulnerabilidades, avaliação de configuração e conformidade (baseline e compliance);
8.1.2. Deve estar licenciada para no mínimo 30.000 ativos.
8.1.3. A solução deve possuir recurso de varredura ativa, onde o scanner comunica-se com os alvos (ativos) através da rede;
8.1.4. A solução de gestão de vulnerabilidades deve suportar varreduras de dispositivos de IoT;
8.1.5. A solução deve ser licenciada pelo número de endereços IP ou dispositivos (assets);
8.1.6. A solução deve fornecer um modelo de armazenamento integrado que não dependa de um banco de dados externos ou de terceiros;
8.1.7. Caso a solução dependa de banco de dados de terceiros, todas as licenças deverão ser fornecidas pela CONTRATADA.
8.1.8. A solução deverá suportar API (Application Programming Interface) baseada em REST (Representatonal State Transfer) para automação de processos e integração com aplicações terceiras.
8.1.9. A solução deve possuir integração via API no mínimo as seguintes linguagens: Python, Powershell, Ruby, javascript, Java, Swift e PHP;
8.1.10.A solução deve possuir métodos de consulta via api e envio, tais como: HTTP METHOD (POST, GET, PUT AND DELETE);
8.1.11.A solução deve incluir a opção para agentes instalados e licenciados em estações de trabalho e servidores, para varredura diretamente no sistema operacional;
8.1.11.1. Tais agentes devem ser gerenciados pela mesma interface/console da plataforma de gestão de vulnerabilidades;
8.1.12.A solução deve permitir o agrupamento de scanners para facilitar o gerenciamento e aplicação de políticas;
8.1.13.A solução deve realizar a varredura tanto de dispositivos na rede interna, dispositivos expostos a demais redes externas, tanto quanto dispositivos em nuvens públicas como Azure, AWS, GCP e outras;
8.1.13.1. O escaneamento para os dispositivos expostos deve ser realizado através de SCANS (ENGINE) do próprio fabricante, alocados no Brasil;
8.1.14.Os scanners e sensores agentes deverão ser gerenciados por uma única plataforma, de maneira centralizada;
8.1.15.O acesso a console de gerenciamento deve ser fornecida para pelo menos 10 usuários simultâneos;
8.1.16.A solução deve ser capaz de se integrar e disponibilizar insumos para soluções de correlação de eventos externa (SIEM);
8.1.17.A solução deve apresentar, para cada vulnerabilidade encontrada, a descrição e passos que devem ser tomados para correção;
8.1.18.A solução deve apresentar, para cada vulnerabilidade encontrada, evidências da vulnerabilidade através de saídas das verificações (outputs);
8.1.19.A solução deve fornecer controle de acesso baseado em função (RBAC- Role Based Access Control) para controlar o acesso do usuário a conjuntos de dados e funcionalidades;
8.1.20.A solução deve ser capaz de definir e gerenciar grupos de usuários, incluindo limitação de funções de varreduras e acesso a relatórios e dashboards;
8.1.21.A solução deve ter a capacidade de excluir determinados endereços IP do escopo de qualquer varredura ou scan;
8.1.22.A solução deve criptografar todos resultados de varreduras obtidos e informações inseridas tanto em descanso quanto em trânsito;
8.1.23.A solução deve suportar métodos de autenticação usando bases de autenticação local, como Active Directory, e SAML (Security Assertion Markup Language) para uso de SSO (Single Sign-On);
8.1.24.A solução deve ser capaz de orquestrar scanners ilimitados dentro da infraestrutura;
8.1.25.A solução não deve impor nenhum limite de quantidade de scanners implementados dentro da infraestrutura;
8.1.26.A solução deverá possuir sistema de alertas para informar a disponibilidade de resultados dos escaneamentos através de email;
8.1.27.A solução deve oferecer capacidade de configuração dinâmica de grupos de ativos através de no mínimo as seguintes características:
8.1.27.1. Sistema Operacional, Endereço IP, DNS, NetBIOS Host, MAC, AWS Instance
8.1.27.2. Type, AWS EC2 Name, Software instalado, Azure VM ID, AWS Region, Google Cloud
8.1.27.3. Instance ID, Azure Resource ID, Ativos avaliados;
8.2. Dos requisitos e relatórios e painéis gerenciais
8.2.1. A solução deverá possuir painéis gerenciais (dashboards) pré-definidos para rápida visualização dos resultados, permitindo ainda a criação de painéis personalizados;
8.2.2. Os painéis gerenciais deverão ser apresentados em diversos formatos, incluindo gráficos e tabelas, possibilitando a exibição de informações em diferentes níveis de detalhamento;
8.2.3. Os relatórios devem ser disponibilizados sob demanda no console de gerência da solução;
8.2.4. Os relatórios devem conter informações da vulnerabilidade, severidade, se existe um exploit disponível e informações do ativo;
8.2.5. A solução deve permitir a customização de dashboards/relatórios;
8.2.6. A solução deve concentrar todos os relatórios na plataforma central de gerenciamento, não sendo aceitas soluções fragmentadas;
8.2.7. A solução deve ser capaz de produzir relatórios, pelo menos, nos seguintes formatos:
8.2.7.1. HTML, PDF e CSV;
8.2.7.2. A solução deve possibilitar a criação de relatórios baseado nos seguintes alvos: Todos os ativos e Alvos específicos;
8.2.8. Deve suportar a criação de relatórios criptografados (protegidos por senha configurável);
8.2.9. A solução deve suportar o envio automático de relatórios para destinatários específicos;
8.2.10.Deve ser possível definir a frequência na geração dos relatórios para no mínimo: Diário, Mensal, Semanal e Anual;
8.2.11.Permitir especificar níveis de permissão nos relatórios para usuários e grupos específicos;
8.3. Das varreduras
8.3.1. A solução deve realizar varreduras em uma variedade de sistemas operacionais, incluindo no mínimo Windows, Linux e Mac OS, bem como appliances virtuais;
8.3.2. A solução deve suportar varredura com e sem agente, de maneira ativa e passiva, distribuídas em diferentes localidades e regiões e gerenciar todos por uma console central;
8.3.3. A solução deve fornecer agentes instaláveis em sistemas operacionais distintos para monitoramento contínuo de vulnerabilidades;
8.3.4. Tais agentes devem realizar conexões para o sistema gerenciamento através de protocolo seguro;
8.3.5. A solução deve ser configurável para permitir a otimização das configurações de varredura;
8.3.6. A solução deve permitir a entrada e o armazenamento seguro de credenciais do usuário, incluindo contas locais, de domínio (LDAP e Active Directory) e root para sistemas Linux;
8.3.7. A solução deve fornecer a capacidade de escalar privilégios nos destinos, do acesso de usuário padrão até acesso de sistema ou administrativo;
8.3.8. A solução deve se integrar com solução de gerenciamento de acessos privilegiados para autenticação nos dispositivos, no mínimo, os seguintes:
8.3.8.1.CyberArk;
8.3.8.2.BeyondTrust;
8.3.8.3.Thicotic
8.3.8.4.Centrify;
8.3.9. A solução deve suportar o agendamento de scans personalizados, incluindo a capacidade de executar varreduras em tempos designados, com frequência prédeterminada;
8.3.10.A solução deve ser capaz de identificar novos hosts no ambiente sem a necessidade de scan;
8.3.11.A solução deve possuir recurso de monitoria passiva do tráfego de rede para identificação de anomalias, novos dispositivos e desvios de padrões observados;
8.3.12.A solução deve ser capaz de realizar em tempo real a descoberta de vulnerabilidades nas seguintes tecnologias:
8.3.12.1. Cloud Services;
8.3.12.2. Data Leakage;
8.3.12.3. Database;
8.3.12.4. IoT;
8.3.12.5. Mobile Devices;
8.3.12.6. Operating System;
8.3.12.7. Peer-To-Peer;
8.3.12.8. SCADA;
8.3.12.9. Web Servers;
8.3.12.10. Web Clients;
8.3.13.A solução deve ser capaz de identificar a comunicação de malwares na rede de forma passiva;
8.3.14.A solução deve em tempo real, detectar logins e downloads de arquivos em um compartilhamento de rede;
8.4. Da análise e priorização de vulnerabilidades
8.4.1. A solução deve ser capaz de exibir ambos severidade e pontuação, com base em CVSS (Common Vulnerability Scoring System) e inteligência de ameaças;
8.4.2. A solução deve utilizar sistema de pontuação e priorização das vulnerabilidades que utilize no mínimo:
8.4.3. CVSS Impact Score.
8.4.3.1.Idade da Vulnerabilidade
8.4.3.2.Maturidade de códigos de exploração da vulnerabilidade encontrada;
8.4.3.3.Frequência de uso da vulnerabilidade em ataques e campanhas atuais;
8.4.3.4.Disponibilidade do código de exploração da vulnerabilidade;
8.4.3.5.Presença de módulos de exploração de vulnerabilidade em frameworks automatizados de exploração de vulnerabilidades como CANVAS, Metasploit e Core Impact;
8.4.3.6.Popularidade da vulnerabilidade em fóruns e comunicações na Darkweb;
8.4.3.7.O mecanismo de priorização deve ser sujeito a modificações e atualizações diárias com base em inteligência de ameaças e observação de tendências na Internet;
8.5. Da Análise de Risco do Ambiente
8.5.1. A solução deve gerar um score que combine dados de vulnerabilidades com a criticidade dos ativos do ambiente computacional;
8.5.2. O score deve ser gerado automaticamente por meio de algoritmos de inteligência artificial (Machine Learning) e deve calcular a probabilidade de exploração de uma determinada vulnerabilidade;
8.5.3. Deve ser capaz de calcular a criticidade dos ativos da organização;
8.5.4. A solução deve ser capaz de realizar um benchmark no ambiente da CONTRATANTE comparando sua maturidade com outras organizações do mesmo setor;
8.5.5. A solução deve prover visão sobre quais ações de remediação reduzem o maior nível de risco do ambiente;
8.5.6. A solução deve também permitir a visualização de ações de remediação agregadas para visão consolidada de redução de risco;
8.5.7. Deve permitir modificar a qualquer momento o tipo de indústria para comparação. Ex: Mudar de Setor Público para Mercado Financeiro;
8.5.8. Deve fornecer uma lista com as principais recomendações para o ambiente com foco na redução da exposição cibernética da organização;
8.5.9. A solução deve gerar uma pontuação para cada um dos ativos onde é levado em conta as vulnerabilidades presentes naquele ativo assim como a classificação do ativo na rede (peso do ativo);
8.5.10.A solução deve gerar uma pontuação global referente a exposição cibernética da organização baseado nas pontuações de cada um dos ativos;
8.5.11.A solução deve oferecer uma capacidade de comparação (benchmarking) da pontuação referente a exposição cibernética com outros players da mesma indústria assim como outras empresas do mercado;
8.5.12.A solução deve permitir um acompanhamento histórico do nível de exposição da organização;
8.5.13.Permitir realizar alterações na classificação dos ativos (atribuição de pesos diferentes) podendo sobrescrever a classificação atribuída automaticamente pela solução;
8.5.14.A solução deverá apresentar indicadores específicos referentes a remediação, possuindo no mínimo informações referentes ao tempo entre remediação e o tempo o qual a vulnerabilidade foi descoberta no ambiente, tempo entre a remediação e a data de publicação da vulnerabilidade, quantidade média de vulnerabilidades críticas por ativo e a comparação da quantidade de vulnerabilidades corrigidas por criticidade;
8.5.15.A solução deve permitir a segregação lógica entre áreas distintas da empresa afim de obter a pontuação referente exposição cibernética por área.
8.6. Da descoberta de ativos
8.6.1. A solução deve ser capaz de realizar escaneamento de descoberta de rede utilizando os seguintes critérios como alvo:
8.6.1.1.IP;
8.6.1.2.CIRD; e
8.6.1.3.Range.
8.6.2. A solução deve disponibilizar modelos de escaneamento de descoberta, ajustável, com os seguintes tipos de scan:
8.6.2.1.Enumeração de Hosts;
8.6.2.2.Identificação de Sistema Operacional (SO);
8.6.2.3.Port Scan (Portas comuns);
8.6.2.4.Port Scan (Todas as portas);
8.6.2.5.Customizado;
8.6.3. A solução deve permitir realizar escaneamento de descoberta customizado podendo ser parametrizado de acordo com a necessidade;
8.6.4. A parametrização do escaneamento de descoberta deve, no mínimo, conter os seguintes requisitos:
8.6.4.1.Descoberta de Host;
8.6.4.2.Ping o host remoto;
8.6.4.3.Usar descoberta rápida;
8.6.4.4.Métodos de ping;
8.6.4.5.ARP;
8.6.4.6.TCP;
8.6.4.7.ICMP;
8.6.4.8.UDP;
8.6.4.9.Escaneamento de descoberta de dispositivos de OT/SCADA;
8.6.4.10. Escaneamento de descoberta em redes de impressora;
8.6.5. Port Scanning:
8.6.5.1.Portas;
· Considerar portas não escaneadas como fechadas;
· Range de portas a serem escaneadas.
8.6.5.2.Enumerar Portas locais:
· SSH;
· WMI;
· SNMP;
8.6.6. Descoberta de Serviços:
8.6.6.1.Sondar todas as portas para encontrar serviços;
8.6.6.2.Procurar por serviços baseado em SSL/TLS;
8.6.6.3.Enumerar todas as cifras SSL/TLS;
8.7. A solução deve realizar descoberta de ativo de forma passiva e adicionado automaticamente na console de gerenciamento;
8.8. A solução deve descobrir passivamente quando um host é adicionado na rede;
8.9. Da avaliação de vulnerabilidade
8.9.1. A solução deve ser capaz de realizar testes sem a necessidade de agentes instalados no dispositivo destino para detecção de vulnerabilidades;
8.9.2. A solução deve detectar e classificar através de severidades, riscos e vulnerabilidades;
8.9.3. A solução deve também fornecer informações detalhadas sobre a natureza da vulnerabilidade, evidências da existência da vulnerabilidade e recomendações para mitigá-los;
8.9.4. A solução deve incluir uma saída detalhada das vulnerabilidades descobertas como versões de DLL esperadas e encontradas;
8.9.5. A solução deve ser compatível com CVE e fornecer pelo menos 10 anos de cobertura CVE;
8.9.6. A solução deve identificar vulnerabilidades especificas para o Active Directory com os seguintes padrões de verificação;
8.9.6.1.Contas administrativas vulneráveis a Kerberoasting attack;
8.9.6.2.Utilização de criptografia vulnerável com autenticação Kerberos;
8.9.6.3.Contas com pré-autenticação do Kerberos desabilitada;
8.9.6.4.Verificação de usuários com a opção de nunca expirar a senha com a opção habilitada;
8.9.6.5.Verificar validação de fragilidades do tipo ?Unconstrained Delegation?;
8.9.6.6.Verificação de ?Pre-Windows 2000 Compatible Access?;
8.9.6.7.Verificação de validade de chaves mestras "Kerberos KRBTGT?;
8.9.6.8.Verificação de ?SID History Injection?;
8.9.6.9.Verificação de ?Printer Bug Exploit?;
8.9.6.10. Verificação de ?Primary Group ID?;
8.9.6.11. Verificação de usuários com Passwords em branco;
8.9.7. A solução deve suportar o uso de SMB e WMI para verificação de sistemas Microsoft Windows;
8.9.8. A solução deve ser capaz de iniciar automaticamente serviços de registro remoto em sistemas Windows ao executar uma varredura credenciada;
8.9.9. A solução deve ser capaz de parar automaticamente o serviço de registro remoto em sistemas Windows novamente assim que a varredura estiver completa;
8.9.10.O scanner deve oferecer suporte a shell seguro (SSH) com a capacidade de escalar privilégios para varredura de vulnerabilidades e auditorias de configuração em sistemas Unix;
8.9.11.A solução deve fornecer auditoria de patch (MS Bulletins) para as principais versões de Windows;
8.9.12.A solução deve fornecer varredura para aplicativos comerciais diversos e proprietários, incluindo, mas não limitando-se a: Java, Adobe, Oracle, Apple, Microsoft, Check Point, Palo Alto Networks, Cisco, Fortinet, Fireeye, McAfee, etc;
8.9.13.A solução deve incluir classificação de severidades de acordo com o padrão Sistema Comum de Pontuação de Vulnerabilidade Versão (CVSS2 e CSVSS 3);
8.9.14.A solução deve fornecer informações acerca da disponibilidade de códigos de exploração das vulnerabilidades encontradas em frameworks de exploração para as plataformas mais populares: Core, Metasploit e Canvas;
8.9.15.A solução deve informar se a vulnerabilidade pode e está sendo ativamente explorada por código malicioso (malware);
8.9.16.A solução deve possuir importação de arquivos YARA;
8.9.17.Deve ser capaz de identificar e classificar vulnerabilidades de máquinas virtuais em nuvem pública em infraestruturas como serviço nas plataformas AWS, Microsoft Azure e Google Cloud;
8.10. Da auditoria de Configuração
8.10.1.A solução deve ser capaz de realizar auditoria de conformidade sem a necessidade de agente instalado no dispositivo de destino;
8.10.2.A solução deve fornecer benchmarks de auditoria de segurança e configuração para conformidade regulatória e outros padrões de práticas recomendadas pela área ou fabricantes;
8.10.3.A solução deve realizar verificações de auditoria contendo as de segurança, com indicação de sucesso ou falha, baseado nos principais frameworks reconhecidos pela indústria, pelo menos os seguintes:
8.10.3.1. Center for Internet Security Benchmarks (CIS);
8.10.3.2. Defense Information Systems Agency (DISA) STIGs;
8.10.3.3. Health Insurance Portability and Accountability Act (HIPAA);
8.10.3.4. Payment Card Industry Data Security Standards (PCI DSS);
8.10.4.A solução deve fornecer auditoria de programas antivírus para determinação de presença e status de inicialização;
8.10.5.A solução deve fornecer auditorias de configuração com base benchmarks em CIS (Center for Internet Security) L1 e L2, para ambos os sistemas operacionais Microsoft Windows e Linux;
8.10.6.A solução deve permitir auditoria de conformidade em servidores Windows, Linux, Bancos de Dados SQL Server, a fim de determinar se estão configurados de acordo com os principais Framework de segurança como, por exemplo, CIS e DISA;
8.10.7.A solução deve oferecer validação e suporte a SCAP (Security Content Automation Protocol);
8.11. Análise dinâmica de vulnerabilidades para aplicações Web
8.11.1.A solução deve ser capaz de analisar, testar e reportar falhas de segurança em aplicações Web como parte dos ativos a serem inspecionados;
8.11.2.A solução deve ser capaz de executar varreduras em sistemas web através de seus endereços IP ou FQDN (DNS);
8.11.3.Deve estar licenciado para no mínimo 5 FQDNs simultâneos;
8.11.4.A solução deve avaliar no mínimo os padrões de segurança OWASP Top 10;
8.11.5.A solução deve possuir templates prontos de varreduras entre simples e extensos;
8.11.6.Para varreduras extensas e detalhadas, deve varrer e auditar no mínimo os seguintes elementos:
8.11.6.1. Cookies, Headers, Formulários e Links;
8.11.6.2. Nomes e valores de parâmetros da aplicação;
8.11.6.3. Elementos JSON e XML;
8.11.6.4. Elementos DOM;
8.11.7.A solução deve permitir somente a execução da função crawler, que consiste na navegação para descoberta das URLs existentes na aplicação;
8.11.8.A solução deve ser capaz de utilizar scripts customizados de crawl com parâmetros definidos pelo usuário;
8.11.9.A solução deve excluir determinadas URLs da varredura através de expressões regulares;
8.11.10. A solução deve excluir determinados tipos de arquivos através de suas extensões;
8.11.11. A solução deve instituir no mínimo os seguintes limites:
8.11.11.1. Número máximo de URLs para crawl e navegação;
8.11.11.2. Número máximo de diretórios para varreduras;
8.11.11.3. Número máximo de elementos DOM;
8.11.11.4. Tamanho máximo de respostas;
8.11.11.5. Limite de requisições de redirecionamentos;
8.11.11.6. Tempo máximo para a varredura;
8.11.11.7. Número máximo de conexões HTTP ao servidor hospedando a aplicação Web;
8.11.11.8. Número máximo de requisições HTTP por segundo;
8.11.12. A solução deve detectar congestionamento de rede e limitar os seguintes aspectos da varredura:
8.11.13. Limite em segundos para timeout de requisições de rede;
8.11.14. Número máximo de timeouts antes que a varredura seja abortada;
8.11.15. A solução deve agendar a varredura e determinar sua frequência entre uma única vez, diária, semanal, mensal e anual;
8.11.16. A solução deve enviar notificações através de no mínimo E-mail;
8.11.17. A solução deve possuir a flexibilidade de selecionar quais testes serão realizados de forma granular, através da seleção de testes, plug-ins ou ataques;
8.11.18. A solução deve avaliar sistemas web utilizando protocolos HTTP e HTTPs;
8.11.19. A solução deve possibilitar a definição de atributos no cabeçalho (HEADER) da requisição HTTP de forma personalizado a ser enviada durante os testes;
8.11.20. A solução deve ser compatível com avaliação de web services REST e SOAP;
8.11.21. Deverá suportar no mínimo os seguintes esquemas de autenticação:
8.11.21.1. Autenticação básica (digest);
8.11.21.2. NTLM;
8.11.21.3. Form de login;
8.11.21.4. Autentiçação de Cookies;
8.11.21.5. Autenticação através de Selenium;
8.11.21.6. Autenticação através de Bearer;
8.11.22. A solução deve importar scripts de autenticação selenium previamente configurados pelo usuário;
8.11.23. A solução deve customizar parâmetros Selenium como delay de exibição da página, delay de execução de comandos e delay de comandos para recepção de novos comandos;
8.11.24. A solução deve exibir os resultados das varreduras em tendência temporal para acompanhamento de correções e introdução de novas vulnerabilidades;
8.11.25. A solução deve exibir os resultados agregados de acordo com as categorias do OWASP Top 10 (https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project);
8.11.26. Os resultados devem ser apresentados agregados por vulnerabilidades ou por aplicações;
8.11.27. Para cada vulnerabilidade encontrada, devem ser exibidas as evidências dela em seus detalhes;
8.11.28. Para vulnerabilidades de injeção de código (SQL, XSS, XSRF, etc), deve evidenciar nos detalhes do evento encontrado:
8.11.28.1. Payload injetado;
8.11.28.2. Evidência em forma de resposta da aplicação;
8.11.28.3. Detalhes da requisição HTTP;
8.11.28.4. Detalhes da resposta HTTP;
8.11.29. Os detalhes das vulnerabilidades devem conter descrição da falha e referências didáticas para a revisão dos analistas;
8.11.30. Cada vulnerabilidade encontrada deve conter também soluções propostas para mitigação ou remediação das mesmas;
8.11.31. A solução deve possuir suporte a varreduras de componentes como as linguagens de programação, os frameworks (AngularJS), servidores Web (Nginx e Apache Tomcat) e os CMS (Wordpress, Joomla, Drupal, Magento.
8.12. Análise em ambiente Microsoft Active Directory
8.12.1.A solução deve ser capaz de identificar vulnerabilidades ocultas em configurações dedicadas ao Active Directory;
8.12.2.A solução deve oferecer medidas preventivas de hardening para o Active Directory;
8.12.3.A solução deve ter a capacidade de identificar ataques específicos direcionados à estrutura do Active Directory (AD);
8.12.4.A solução deve fornecer análises detalhadas de cada configuração incorreta que represente riscos de segurança, apresentando informações de forma acessível e contextualizada para as equipes envolvidas;
8.12.5.A solução deve incluir recomendações de correção para cada configuração incorreta identificada no Active Directory;
8.12.6.A solução deve ter a capacidade de avaliar relações de confiança perigosas entre florestas e domínios;
8.12.7.A solução deve capturar as mudanças que ocorrem no AD e demostrar na console de administração;
8.12.8.A solução deve possuir dashboard com os principais ataques e vulnerabilidades por domínio;
8.12.9.A solução deve permitir a correlação de mudanças no Active Directory e desvios de segurança;
8.12.10. A solução deve analisar em detalhes um ataque explorando as descrições através do framework MITRE ATT&CK;
8.12.11. A solução deve prover interface web para gerenciamento de todas as funcionalidades;
8.12.12. A solução deve possuir capacidade nativa de criação de dashboards customizados;
8.12.13. A solução deve suportar um modelo de controle de acesso baseado em funções (RBAC) flexível;
8.12.14. A solução deve ter a capacidade de realizar alterações no Active Directory, seus objetos e atributos;
8.12.15. A solução não deve armazenar ou sincronizar nenhuma credencial de objetos do Active Directory;
8.12.16. A solução deve suportar ambientes com múltiplas florestas e domínios;
8.12.17. A solução deve suportar monitoramento contínuo de ambientes com Active Directory com o nível funcional de floresta e domínio a partir do 2003;
8.12.18. A solução deve suportar reter os eventos coletados por no mínimo um ano;
8.12.19. A solução deve descobrir e mapear a superfície de ataque do Active Directory e seus domínios monitorados com os seguintes padrões:
8.12.19.1. Não depender de agentes ou sensores para coleta de informações do AD;
8.12.19.2. A solução deve seguir as boas práticas de menor privilégio, a conta de serviço utilizada para conexão com o Active Directory, sendo o menor nível de acesso esperado para a conta de serviço como parte do grupo Domain User;
8.12.19.3. Interface web que consolida e apresenta de maneira unificada os domínios monitorados e as possíveis relações de confiança estabelecidas entre eles;
8.12.20. A solução deve analisar continuamente a postura de segurança do AD, minimamente avaliando:
8.12.20.1. Validação de GPOs desvinculadas, desabilitadas ou órfãs;
8.12.20.2. Validação de contas desativadas em grupos privilegiados;
8.12.20.3. Domínio usando uma configuração perigosa de compatibilidade com versões anteriores por meio de alterações no atributo dSHeuristics;
8.12.20.4. Validação de atributos relacionados a roaming de credenciais vulneráveis (ms-PKI-DPAPIMasterKeys) gerenciados por um usuário sem privilégios;
8.12.20.5. Validação de domínio sem GPOs de proteção de computador, desativando protocolos vulneráveis antigos, como NTLMv1;
8.12.20.6. Validação de contas com senhas que nunca expiram;
8.12.20.7. Validação de senhas reversíveis em GPOs;
8.12.20.8. Validação de uso de senhas reversíveis em contas de usuário;
8.12.20.9. Validação de utilização de protocolo criptográfico fraco (Ex. DES) em contas de usuário;
8.12.20.10. Validação de uso do LAPS (Solução de senha de administrador local) para gerenciar senhas de contas locais com privilégios;
8.12.20.11. Validação se o domínio possui um nível funcional desatualizado;
8.12.20.12. Validação de contas de usuário utilizando senha antiga;
8.12.20.13. Validação se o atributo AdminCount está definido em usuários padrão;
8.12.20.14. Validação do uso recente da conta de administrador padrão;
8.12.20.15. Validação de usuários com permissão para ingressar computadores no domínio;
8.12.20.16. Validação de contas dormentes;
8.12.20.17. Validação de computadores executando um sistema operacional obsoleto;
8.12.20.18. Validação de restrições de logon para usuários privilegiados em ambiente com múltiplos tiers (1, 2 e 3) de segregação de ativos;
8.12.20.19. Validação de direitos perigosos configurados no Schema do AD;
8.12.20.20. Validação de relação de confiança perigosa com outras Florestas e Domínios;
8.12.20.21. Validação de contas que possuem um atributo perigoso de histórico SID (SID History);
8.12.20.22. Validação de contas utilizando controle de acesso compatível com versões anteriores ao Windows 2000;
8.12.20.23. Validação da última alteração de senha do KDC;
8.12.20.24. Validação da última alteração da senha da conta SSO do Azure AD;
8.12.20.25. Validação de contas que podem ter senha em branco/vazia;
8.12.20.26. Validação de utilização do grupo nativo Protected Users;
8.12.20.27. Validação de privilégios sensíveis (Ex. Debug a program, Replace a process level token, etc.) perigosos atribuídos aos usuários;
8.12.20.28. Validação de possível senha em clear-text;
8.12.20.29. Validação de sanidade das GPOs e componentes CSEs (Client-Side Extension);
8.12.20.30. Validação de uso de algoritmos de criptografia fracos na PKI do Active Directory;
8.12.20.31. Validação de contas de serviço com SPN (Service Principal Name) que fazem parte de grupos privilegiados;
8.12.20.32. Validação de contas anormais nos grupos administrativos padrão do AD;
8.12.20.33. Validação de consistência no container adminSDHolder;
8.12.20.34. Validação de delegação Kerberos perigosa;
8.12.20.35. Validação em permissões de objetos raiz que permitem ataques do tipo DCSync;
8.12.20.36. Validação de políticas de senha fracas aplicadas aos usuários;
8.12.20.37. Validação das permissões relacionadas às contas do Azure AD Connect;
8.12.20.38. Validação do ID do grupo primário do usuário (Primary Group ID);
8.12.20.39. Validação de permissões em GPOs sensíveis associadas aos Containers Configuration, Sites, Root Partition e OUs sensíveis como Domain Controllers;
8.12.20.40. Controladores de domínio gerenciados por usuários ilegítimos;
8.12.20.41. Validação de certificado mapeado através de atributo altSecurityIdentities em contas privilegiadas;
8.12.20.42. 1.10.20.42. Validação de uso de protocolo Netlogon inseguro (Zerologon/CVE - 2020-1472);
8.12.21. A solução deve identificar vulnerabilidades e configurações incorretas do AD à medida que são introduzidas sendo:
8.12.22. Identificar todas as vulnerabilidades e configurações incorretas no AD;
8.12.23. Monitorar relações de confiança perigosas em toda a estrutura AD;
8.12.24. Apresentar ameaças e alterações sem a necessidade de scans estáticos e programados no Active Directory e sua infraestrutura;
8.12.25. Apresentar as ameaças e alterações em tempo real ou em menos de cinco minutos;
8.13. Detecção e resposta a ataques:
8.13.1.Monitorar continuamente os indicadores de possíveis ataque como DCSync, DCShadow, Password Spraying, Password Guessing/Brute Force, Lsaas Injecton nos controladores de domínio, Golden Ticket, NTLM Relay, entre outros;
8.13.1.1. Detecção de ataques ao AD em tempo real ou em menos de um minuto;
8.13.1.2. Análise detalhada do ataque, apresentando ativo de origem, vetor de ataque, controlador de domínio afetado, técnica aplicada;
8.13.1.3. Apresentação de ataques em uma linha do tempo;
8.13.1.4. Investigar ameaças, reproduzir ataques e procurar por backdoors;
8.13.1.5. Permitir busca ágil de eventos específicos na base da solução através de queries customizadas;
8.13.2.A solução deve ser capaz de enviar alertas por e-mail;
8.13.3.A solução nativamente deve ser capaz de se integrar com SIEM através de protocolo SYSLOG;
8.13.4.A solução deve ser capaz de filtrar e enriquecer os eventos que serão enviados para o SIEM;
8.13.5.A solução deve produzir regras YARA na detecção de ataques (Ex. DCSync, Golden Ticket) identificados pela ferramenta;
8.13.6.A solução deve possuir conjunto de APIs REST, todas as chamadas disponíveis devem estar contidas na documentação;
8.13.7.A solução deve permitir a criação de listas de exclusões, suportando minimamente Exclusão por domínios do AD monitorados e por itens analisados;
8.14. Correção automatizada de vulnerabilidades de segurança
8.14.1.A plataforma deverá ser ofertada em modelo SaaS (Software as a Service), ou seja, não deve requerer recursos computacionais on-premises para ser implementada.
8.14.2.A plataforma deve prover visibilidade e cobertura em tempo real para os sistemas operacionais e aplicações utilizadas nos ativos da organização, ou seja, qualquer alteração no inventário (instalação / desinstalação / alteração de aplicativos deve ser refletida instantaneamente na solução).
8.14.3.A plataforma deve fornecer uma solução integrada para gerenciamento de vulnerabilidade, priorização de risco e remediação em uma única plataforma.
8.14.4.A plataforma deve prover pelo menos dois métodos de autenticação (Ex: usuário e senha, e-mail de verificação, SAML2).
8.14.5.A plataforma deve ter a possibilidade de instalar um componente na rede interna para fazer o caching de patches, atendendo requisitos de ativos que não podem realizar download das atualizações diretamente da internet, bem como este componente não deve ocasionar custo adicional. Tal componente deve ser executado em pelo menos um dos seguintes sistemas operacionais: Ubuntu ou Red Hat Linux.
8.14.6.Deve prover atualização de patches para servidores sem interrupção do serviço principal, sem forçar a reinicialização do mesmo.
8.14.7.A plataforma deve atualizar não apenas o Sistema operacional, mas também as aplicações instaladas nos ativos.
8.14.8.Deve trabalhar com reconhecimento automático de aplicações instaladas nos hosts, mantendo também o fluxo de atualizações disponível.
8.14.9.Deve fornecer gerenciamento de patches fim a fim para o sistema operacional Windows;
8.14.10. Deve fornecer gerenciamento de patches para aplicações de terceiros no Windows;
8.14.11. Deve fornecer gerenciamento de patch para o sistema operacional Linux;
8.14.12. Deve fornecer gerenciamento de patches para aplicativos de terceiros no Linux e não apenas na camada de SO.
8.14.13. Deve fornecer gerenciamento de patches para o sistema operacional Mac.
8.14.14. Para o sistema operacional Windows, minimamente, as seguintes aplicações devem poder ser atualizadas:
8.14.14.1. 7-zip;
8.14.14.2. Adobe Reader;
8.14.14.3. Adobe Acrobat Reader;
8.14.14.4. Adobe Photoshop;
8.14.14.5. Adobe Creative Cloud;
8.14.14.6. Adobe Flash Player;
8.14.14.7. Autocad;
8.14.14.8. Bizagi Modeler Free
8.14.14.9. Keepass;
8.14.14.10. Openssl;
8.14.14.11. Opera;
8.14.14.12. Python;
8.14.14.13. Google Chrome;
8.14.14.14. Google Earth;
8.14.14.15. Google Drive;
8.14.14.16. Mozilla Firefox;
8.14.14.17. Mozilla Thunderbird;
8.14.14.18. Sun Java;
8.14.14.19. Microsoft Office;
8.14.14.20. Microsoft Visual Studio;
8.14.14.21. Microsoft System Center;
8.14.14.22. Microsoft SQL Server;
8.14.14.23. Microsoft Exchange;
8.14.14.24. Microsoft Edge;
8.14.14.25. Microsoft Teams;
8.14.14.26. Microsoft OneDrive;
8.14.14.27. Microsoft Internet Explorer;
8.14.14.28. Microsoft Outlook;
8.14.14.29. Microsoft Visio;
8.14.14.30. Microsoft Windows Defender;
8.14.14.31. Notepad++;
8.14.14.32. PowerBI;
8.14.14.33. Microsoft IIS;
8.14.14.34. Tomcat;
8.14.14.35. PDF Reader;
8.14.14.36. Zoom;
8.14.14.37. Vmware Workstation;
8.14.14.38. Webex;
8.14.14.39. Whatsapp;
8.14.14.40. VLC
8.14.15. Para os sistemas operacionais Linux, minimamente, as seguintes aplicações devem poder ser atualizadas:
8.14.15.1. Abrt;
8.14.15.2. Adduser;
8.14.15.3. Alsa-Lib
8.14.15.4. Alsa-Tools-Firmware;
8.14.15.5. Apparmor;
8.14.15.6. Apport;
8.14.15.7. Apt;
8.14.15.8. Apt-Utils;
8.14.15.9. Base-Files;
8.14.15.10. Bash;
8.14.15.11. Binutils;
8.14.15.12. BZIP2;
8.14.15.13. Chrony;
8.14.15.14. Coreutils;
8.14.15.15. Crontabs;
8.14.15.16. Curl;
8.14.15.17. Dash;
8.14.15.18. Debianutils;
8.14.15.19. Device-Mapper;
8.14.15.20. Diffstat;
8.14.15.21. Diffutils;
8.14.15.22. Dirmngr;
8.14.15.23. Distro-Info;
8.14.15.24. Dnsutils;
8.14.15.25. Dpkg;
8.14.15.26. Elfutils;
8.14.15.27. Fdisk;
8.14.15.28. Findutils;
8.14.15.29. Firewalld;
8.14.15.30. FTP;
8.14.15.31. Gdisk;
8.14.15.32. Git;
8.14.15.33. GLIB2;
8.14.15.34. Glibc;
8.14.15.35. Glibc-Common;
8.14.15.36. GNUPG2;
8.14.15.37. Gnupg-Utils;
8.14.15.38. Grep;
8.14.15.39. Grub2-Tools;
8.14.15.40. Grub-Common;
8.14.15.41. Gzip;
8.14.15.42. Iproute;
8.14.15.43. Iprutils;
8.14.15.44. Iptables;
8.14.15.45. Iputils;
8.14.15.46. Kernel-Tools;
8.14.15.47. Kmod;
8.14.15.48. Libcap;
8.14.15.49. Mount;
8.14.15.50. Net-Tools;
8.14.15.51. Openssh;
8.14.15.52. Openssl;
8.14.15.53. Open-Vm-Tools;
8.14.15.54. PAM;
8.14.15.55. Passwd;
8.14.15.56. Patchutils;
8.14.15.57. Perl;
8.14.15.58. Postfix;
8.14.15.59. Python;
8.14.15.60. RPM;
8.14.15.61. Rsyslog;
8.14.15.62. Shadow-Utils;
8.14.15.63. Sqlite;
8.14.15.64. Sudo;
8.14.15.65. Tar;
8.14.15.66. Tcpdump;
8.14.15.67. Telnet;
8.14.15.68. Time;
8.14.15.69. Unzip;
8.14.15.70. Vim;
8.14.15.71. Wget;
8.14.15.72. Yum;
8.14.15.73. Zerofree;
8.14.15.74. Zip.
8.14.16. Para os sistemas operacionais MAC, minimamente, as seguintes aplicações devem poder ser atualizadas:
8.14.16.1. Microsoft Office;
8.14.16.2. Zoom;
8.14.16.3. Adobe Acrobat Reader;
8.14.16.4. Mongodb;
8.14.16.5. Google Chrome;
8.14.16.6. Whatsapp
8.14.16.7. Safari;
8.14.16.8. Microsoft Teams;
8.14.16.9. Microsoft OneDrive;
8.14.16.10. Mozilla Firefox.
8.14.17. Deve prover avaliação contínua de vulnerabilidades para identificação de quais atualizações devem ser instaladas em cada host.
8.14.18. Deve fornecer painel com priorização de ameaças com base nos ativos, aplicações ou sistemas operacionais.
8.14.19. A priorização de vulnerabilidade e correções a serem realizadas deve ser combinada com um motor inteligência interna a própria solução.
8.14.20. O processo de priorização e remediação de vulnerabilidades deve acompanhar todo o seu ciclo de vida, ou seja, descoberta/identificação, correção manual ou automatizada e contabilização nas visões para acompanhamento das ações que foram tomadas.
8.14.21. A própria ferramenta deve conter um processo de classificação de risco para priorizar a correção de vulnerabilidades descobertas, trazendo contexto de risco daquilo que precisa de atenção imediata.
8.14.22. Deve prover uma visão de classificação de risco baseada em ativos.
8.14.23. Deve prover classificação de risco por aplicação.
8.14.24. Deve apresentar a classificação de risco e priorizar as vulnerabilidades a serem corrigidas em ordem de criticidade não só do CVE, mas também em relação à um contexto de performance, situação do ambiente e tipos de ativo.
8.14.25. Deve fornecer detecção de vulnerabilidades a serem corrigidas em tempo real.
8.14.26. Deve prover meios para conter a exploração de softwares em tempo real;
8.14.27. Deve ter a funcionalidade de proteção contra exploração de vulnerabilidades, sem necessariamente instalar um patch de correção ("patch virtual"), utilizando o mesmo agente de patch management.
8.14.28. Deve possuir informações de CVE tanto recentes quanto legados, tal capacidade deve ser comprovada por documentações oficiais.
8.14.29. Deve manter a base de dados atualizada constantemente, no tocante a novas vulnerabilidades e patches de correção a serem instalados nos ativos.
8.14.30. Deve permitir a execução de comandos de forma remota em todos os dispositivos que possuem os agentes instalados.
8.14.31. Deve permitir o agendamento de instalação das atualizações (Patches) ou execução de script de forma remota.
8.14.32. Deve possibilitar a execução de ações automáticas pré-configuradas e personalizadas (Ações Automáticas).
8.14.33. As ações automáticas devem possibilitar a instalação automática de patches baseado em critérios personalizáveis, como:
8.14.34. Atualizações de sistema operacional;
8.14.35. Atualizações de aplicações específicas;
8.14.36. Por severidade/criticidade do patch de correção;
8.14.37. Toda instalação de patch deve permitir a opção de reinicialização automática da estação/servidor, dando também a opção para que o usuário cancele o restart, se necessário.
8.15. Deve ser possível enviar ?pop-ups? para os usuários, quando os mesmos estiverem pendentes de reinicialização.
8.16. Deve possibilitar a geração de scripts para Windows, Linux e Mac.
8.17. Deve possuir proteção contra vulnerabilidades de dia 0 (zero day).
8.18. Deve possuir mecanismos de "Ações recomendadas", de forma a guiar as correções a serem realizadas.
8.19. Deve suportar segregação de função por usuário, ou seja, permitir que usuários da mesma empresa tenham permissões diferentes dentro da plataforma.
8.20. Deve ser capaz de segregar diferentes ativos entre diferentes grupos de usuários com diferentes níveis de permissão.
8.21. A segregação de ativos por grupos, deve respeitar características dinâmicas, de forma a movimentar os ativos entre os grupos de forma automática. Tal característica deve suportar a configuração, minimamente, dos seguintes atributos (Para movimentação automática dos ativos):
8.21.1.Nome do ativo;
8.21.2.Tipo do ativo;
8.21.3.Nível de risco do ativo;
8.21.4.Status do ativo;
8.21.5.CVE''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''s específicos detectados no mesmo;
8.21.6.Aplicações específicas instaladas nos ativos, assim como a versão detectada do mesmo;
8.21.7.Sistema operacional e versão do mesmo.
8.21.8.Deve permitir a instalação do agente por linha de comando (Powershell, cmd, bash, etc).
8.21.9.Permitir a instalação de agente por meio de GPO ou qualquer outra plataforma de software deployment utilizada.
8.21.10. Os agentes devem ser capazes de scanear as plataformas Windows, Linux e Mac.
8.21.11. Para o sistema operacional Windows, as seguintes versões, minimamente, devem ser suportadas:
8.21.11.1. Windows 7, 8, 8.1, 10 e 11.
8.21.11.2. Windows server 2008, 2012, 2016, 2019 e 2022.
8.21.12. Para o sistema operacional Linux, as seguintes distribuições, minimamente, devem ser suportadas:
8.21.12.1. Centos;
8.21.12.2. Redhat;
8.21.12.3. Fedora;
8.21.12.4. Ubuntu;
8.21.12.5. Debian
8.21.12.6. Kali Linux;
8.21.12.7. Amazon Linux;
8.21.12.8. Oracle Linux.
8.21.13. Para o sistema operacional Mac, as seguintes distribuições, minimamente, devem ser suportadas:
8.21.13.1. MAC OS;
8.21.13.2. MAC OS X.
8.21.13.3. O agente não deve depender de nenhum componente externo, não fornecido, para seu pleno funcionamento.
8.21.13.4. O agente pode fornecer proteção de virtual Patching para aplicações terceiras.
8.21.13.5. O agente deve funcionar de forma oculta no sistema operacional, não apresentando interface para o usuário final.
9. SOLUÇÃO DE SIMULAÇÃO DE ATAQUES EM AMBIENTE CORPORATIVO
9.1. Requerimentos Gerais
9.1.1. A solução deve proporcionar a simulação, avaliação e gestão estendida da postura de segurança da organização, possibilitando a medição da efetividade através de testes e avaliações do nível de proteção tanto do perímetro quanto em ambientes internos. Isso deve proporcionar uma compreensão completa da eficácia dos controles de segurança.
9.1.2. A solução deve permitir que os profissionais de segurança possam identificar, diagnosticar, gerenciar, controlar e validar sua postura de segurança cibernética de ponta a ponta.
9.1.3. A plataforma deve fornecer capacidades diferentes que permitam escalabilidade sem troca futura, atendendo minimamente conceitos como validação de brechas e simulações de ataques (BAS), automatização de Red e Purple Teaming (CART), gerenciamento da superfície de ataques (ASM) e priorização e contextualização de vulnerabilidade.
9.1.4. A plataforma deve se alinhar ao programa de gerenciamento contínuo de ameaças - CTEM do Gartner, atendendo minimamente 4 das etapas deste programa: escopo, descoberta, priorização, validação e mobilização.
9.1.5. A solução deve permitir recriar cenários reais de ataques à infraestrutura de segurança da organização sem gerar impactos ao ambiente.
9.1.6. A solução deve fornecer a possibilidade de executar os ataques baseados em táticas, técnicas e procedimentos que os atacantes e grupos de criminosos cibernéticos utilizam, sendo eles utilizados em pelo menos os seguintes cenários:
9.1.6.1.Reconhecimento externo (EASM) ? Validação de domínios e subdomínios a fim de identificar fraquezas e vulnerabilidades expostas na internet referente a organização. Nesta fase, a solução deverá utilizar de fontes de inteligência aberta (OSINT) para descoberta de credencias e outras informações as quais possam beneficiar um atacante.
9.1.6.2.Reconhecimento interno (IASM) ? A solução deve fornecer um caminho para correlação dos dados de reconhecimento externo e apresentar um mapa de ataque contendo o caminho de ataque interno ao qual um atacante poderia percorrer, levando em consideração cenários de avaliação do serviço de diretórios (AD) local ou nuvem assim como provedores de nuvem sendo minimamente suportado AWS, Azure e GCP.
9.1.6.3.Base Inicial ? Ataques relacionados a fase de acesso inicial, execução, persistência e escalação de privilégio.
9.1.6.4.Execução & C2C ? Técnicas de evasão de defesa, acesso de credenciais e descoberta do ambiente.
9.1.6.5.Propagação na rede ? Movimentação lateral, coleção e comunicação externa C2C, permitindo que o atacante mova para seus objetivos finais.
9.1.6.6.Ações com objetivos ? Comunicação externa para exfiltração de dados e geração de impacto.
9.1.7. A solução deve permitir simulações automáticas, orientadas a avaliar os ajustes e configurações de distintos controles de segurança.
9.1.8. A solução deve permitir a simulação de táticas, técnicas e procedimentos maliciosos de forma individual, assim como permitir a simulação de forma secundária respeitando o ciclo de vida de um ataque.
9.1.9. A solução deve identificar quais testes foram executados com êxito e quais falharam durante o processo de prevenção. Para os resultados, deve haver a possibilidade de criação de evidência da detecção e/ou bloqueio através de uma integração com um SIEM, e/ou no próprio dispositivo que detectou e/ou bloqueou a simulação.
9.1.10.As simulações serão executadas a partir de componentes da solução ou equipamento reservado exclusivamente para ela.
9.1.11.A solução deve ser implementada em modelo de nuvem SaaS, podendo ela permitir a implementação em regiões de nuvem disponíveis para o território brasileiro quando necessário.
9.1.12.A solução deve possuir suporte e licenciamento realização de avaliações em diferentes vetores de ataque tais como, endpoint, rede, web e cloud.
9.1.13.A solução deve possuir um módulo capaz de fornecer através de sua rede de inteligência ameaças emergentes e relevantes para a plataforma, fornecendo
9.1.14.informações detalhadas sobre tais ameaças e quais medidas de remediação recomendadas.
9.1.15.A solução deve permitir integração com soluções de gestão de vulnerabilidades, fornecendo apoio para priorização de riscos encontrados na organização, através do consumo dos relatórios fornecidos pela ferramenta de gestão de vulnerabilidades, deve ser possível apresentar de forma clara quais CVEs estão disponíveis na plataforma de ataques para simulação.
9.2. Requerimentos funcionais e arquitetura
9.2.1. A solução deve permitir integração com diferentes serviços de SSO, tais como: ADFS, Azure ADEntra, OKTA, JumpCloud entre outros.
9.2.2. A solução deve permitir a integração com diferentes plataformas de segurança via API.
9.2.3. Todos os componentes da solução devem poder ser gerenciados por uma console central, permitindo a configuração, monitoração e atualização dos agentes de forma automática.
9.2.4. Toda a comunicação entre os componentes deve ser feita através de protocolos seguros como HTTPS com TLS 1.2 ou superior.
9.2.5. A solução deve suportar a comunicação dos componentes instalados por meio de um proxy web.
9.2.6. O processo de instalação dos agentes deve ser feito de forma manual, automatizada ou em lote.
9.2.7. A solução não deve possuir limitações em seus agentes, simuladores ou atores de ataque.
9.2.8. A solução deve fornecer em cada um de seus vetores o nível de risco encontrado após cada simulação, devendo a plataforma comparar o resultado atual com o anterior para fornecer uma visão de avanço ou regresso dos testes, estes dados poderão ser utilizados para definição de baseline do ambiente.
9.2.9. A solução deve suportar regras SIGMA e fornecer para alguns cenários a opção de convertê-las em buscas (queries) as quais poderão ser utilizadas para buscas em plataformas de SIEM ou até mesmo criação de regras de correlação.
9.2.10.A solução deve ser capaz de poder trocar informações com outras tecnologias de segurança do ambiente para fornecer, melhor visibilidade na detecção, gestão de vulnerabilidades, automação de playbooks e validação de processos internos. Permitindo no mínimo as seguintes integrações:
9.2.10.1. Azure Sentinel;
9.2.10.2. BlackBerry Cylance OPTICS;
9.2.10.3. BlackBerry Cylance PROTECT;
9.2.10.4. Carbon Black;
9.2.10.5. Checkpoint Harmony Endpoint Protection
9.2.10.6. CrowdStrike Falcon;
9.2.10.7. CrowdStrike Falcon LogScale;
9.2.10.8. Cynet;
9.2.10.9. Fortinet FortiGate Firewall
9.2.10.10. Fortinet FortiAnalyzer
9.2.10.11. IBM Qradar;
9.2.10.12. InsightVM;
9.2.10.13. LogRhythm;
9.2.10.14. McAfee ESM SIEM;
9.2.10.15. MicroFocus ArcSight;
9.2.10.16. Microsoft Defender ATP;
9.2.10.17. Microsoft Defender TVM;
9.2.10.18. 4.2.10.18. Palo Alto Cortex XDR;
9.2.10.19. Palo Alto Cortex XSOAR;
9.2.10.20. Palo Alto Firewall;
9.2.10.21. Qualys VM;
9.2.10.22. RSA Archer;
9.2.10.23. RSA Netwitness;
9.2.10.24. SentinelOne;
9.2.10.25. Service Now;
9.2.10.26. Securonix;
9.2.10.27. Splunk;
9.2.10.28. Sumo logic SIEM;
9.2.10.29. Tenable IO;
9.2.10.30. Tenable SC;
9.2.10.31. Trellix EDR;
9.2.10.32. Trellix HX;
9.2.10.33. Trend Micro Vision One;
9.2.11.Todos os produtos de segurança que não possuírem integração direta, devem poder ser integrados por meio soluções de correlacionamento de eventos (SIEM), permitindo a integração com produtos não homologados.
9.2.12.A solução deve fornecer suporte a regras SIGMA e suportar através de uma interface amigável capacidade de conversão das regras para padrões que possam ser utilizados em diferentes plataformas através da geração de scripts ou queries, suportando conversão para minimamente as seguintes tecnologias:
9.2.12.1. Arcsight;
9.2.12.2. Azure Sentinel;
9.2.12.3. ElastAlert;
9.2.12.4. Elastic Search;
9.2.12.5. Humio;
9.2.12.6. IBM Qradar;
9.2.12.7. Kibana;
9.2.12.8. Logpoint;
9.2.12.9. Splunk;
9.2.12.10. Sumologic.
9.2.13.A solução deve permitir a visualização do status de conexão e versão de software dos agentes, permitindo através da console realizar operações como reinicialização, deleção ou mesmo desinstalação do componente.
9.2.14.A solução deve permitir avaliar as capacidades de defesa da organização contra táticas, técnicas e procedimentos utilizados por grupos criminosos conhecidos.
9.2.15.A solução deve possuir uma biblioteca de ataques associada a criminosos cibernéticos e deve atualizá-la de forma automática quando novas ameaças emergentes surgirem.
9.2.16.O portfólio de ataques da solução deve ser baseado em frameworks e padrões de segurança cibernética, tais como MITRE ATTACK, OWASP, CVSS e NIST.
9.2.17.As simulações de ataque devem corresponder, sempre que possível, a uma técnica descrita pelo MITRE e apresentar detalhes sobre os respectivos TTPs.
9.2.18.A solução deve incluir diversas simulações de ataque predefinidas, que incluem minimamente os seguintes tipos de ataques:
9.2.18.1. Para validação do vetor de endpoint a plataforma deve oferecer simulações de ataque para:
· Ransomware: Validação da efetividade de recursos para detecção de anomalias (comportamento) durante a execução segura de ransomwares, devendo estes buscar arquivos sensíveis no host e utilizar chaves geradas de forma segura e controlada para criptografia de arquivos.
· Worm: Validação da efetividade de recursos para detecção de anomalias (comportamento) durante a execução segura de worms, devendo estes realizar a descoberta de hosts vulneráveis e simular a proliferação para eles através de técnicas utilizando protocolos tais como SMB ou NFS.
· Trojan: Validação da efetividade de recursos para detecção de anomalias (comportamento) durante a execução segura de trojans, estes deverão coletar informações gerais do host como nome de usuário, e-mail e outras. Podendo também estabelecer comunicação utilizando diferentes métodos de reverse shell.
· Antivírus: Validação da efetividade de inspeção e proteção de ameaças contra arquivos maliciosos, os malwares escritos em disco devem ser atualizados diariamente através de diversos feeds de segurança.
· MITRE ATT&CK: Validação da efetividade dos recursos de anti-malware através da execução de comandos customizados que devem simular o comportamento de adversários mapeados no framework ATT&CK.
9.2.18.2. Para validação do vetor de web gateway a plataforma deve oferecer simulações de ataque para:
9.2.18.3. Phishing: Validação da efetividade dos recursos de filtragem dinâmica de URL e proteção de ataques de phishing, acessando IPs e URLs reais associados a ataques de phishing identificados recentemente.
9.2.18.4. Ransomware: Validação da efetividade dos recursos de filtragem dinâmica de URL e proteção contra ransomware, acessando IPs e URLs reais associados ao Ransomware, como servidores Botnet, C&C, sites de distribuição e pagamento.
9.2.18.5. C&C: Validação da efetividade dos recursos de filtragem dinâmica de URL e proteção contra malwares, acessando IPs e URLs reais associados a atividades de C&C como Botnet.
9.2.18.6. Política: Validação da efetividade da proteção de filtro de categorias do gateway da web. A validação é feita através do acesso a diferentes sites divididos por categorias, como pornografia, jogos de azar etc.
9.2.18.7. Arquivos: Validação da efetividade dos recursos de inspeção de tráfego de entrada e eficácia da proteção contra arquivos maliciosos. A validação é realizada através da tentativa de baixar por HTTPS uma variedade de malwares simulados que imitam o comportamento de worms, trojans e ransomware.
9.2.18.8. Exploits: Validação da efetividade dos recursos de inspeção de tráfego de entrada e eficácia da proteção contra arquivos maliciosos. A validação é realizada através da tentativa de baixar por HTTPS uma variedade de malwares que simulam o comportamento de worms, trojans e ransomware.
9.2.18.9. Para validação do vetor de email gateway a plataforma deve oferecer simulações de ataque para:
· Ransomware: Validação da efetividade dos recursos de proteção de email através de técnicas de execução de códigos utilizadas por ransomwares, toda execução deve ser realizada de forma segura sem gerar impactos ao ambiente.
· Worm: Validação da efetividade dos recursos de proteção de e-mail através de técnicas de execução de códigos utilizadas por worms, toda execução deve ser realizada de forma segura sem gerar impactos ao ambiente.
· Malware: Validação da efetividade dos recursos de proteção de e-mail através de técnicas de execução de códigos utilizadas por diferentes códigos maliciosos (malwares), estas validações devem poder simular cenários interativos envolvendo técnicas de exploração de controles como UAC, roubo de credenciais e C&C. Toda execução deve ser realizada de forma segura sem gerar impactos ao ambiente
· Payload: Validação da efetividade dos recursos de proteção de e-mail através de técnicas de execução de códigos em payloads, toda execução deve ser realizada de forma segura sem gerar impactos ao ambiente.
· Exploits: Validação da efetividade dos recursos de proteção de e-mail através da execução de diversos arquivos que exploram diferentes vulnerabilidades em programas, toda execução deve ser realizada de forma segura sem gerar impactos ao ambiente.
· Dummy: Validação da efetividade dos recursos de proteção de e-mail através da execução de diferentes técnicas de execução de códigos, isto deve incluir uso de recursos conhecidos como payloads do metasploit como exemplo MessageBox. Toda execução deve ser realizada de forma segura sem gerar impactos ao ambiente.
· True File Type Detection: Validação da efetividade dos recursos de proteção de e-mail através do envio de arquivos com diferentes extensões não pertencentes ao seu formato de arquivo original, este teste deve apoiar na identificação de possíveis brechas que podem ser utilizadas para comprometer o ambiente através da falsificação de formatos originais de arquivos.
9.2.18.10. Para validação do vetor de web application firewall (WAF) a plataforma deve oferecer simulações de ataque para minimamente:
· SQL injection;
· Cross-site scripting (XSS);
· NoSQL Injection;
· XML Injection;
· Path Traversal;
· File inclusion for remote code execution;
· Command injection;
· WAF Bypass.
9.2.18.11. Para validação de movimentação lateral a plataforma deve oferecer simulações de ataque que permitam validação dos seguintes métodos:
· Pass-the-Password;
· Pass-the-Ticket;
· Pass-the-Hash;
· Brute Force;
· LLMNR/NBT-NS Poisoning and Relay;
· Kerberoast;
· Password Spraying;
· Steal LAPS passwords.
9.2.18.12. A solução deve fornecer a possibilidade de criar modelos customizados nos vetores de ataque sem causar impactos ao ambiente.
9.2.18.13. Para o cenário de movimentação lateral, o agente da solução deve poder atuar exatamente como um atacante no ambiente, não devendo este depender da implementação de outros agentes para validação dos diferentes métodos. A plataforma deve possuir capacidade de realizar um ?pivoting? na rede e fornecer um mapa de toda trilha percorrida e alvos alcançados, podendo os alvos serem considerados ou não joias da coroa (Crown Jewels).
9.2.18.14. A solução deve fornecer um caminho para validação completa da cadeia de ataque (Full Kill-chain), permitindo assim que seja avaliadas fases tais como pré-exploração, exploração e pós-exploração.
9.2.18.15. A solução deve permitir a criação de campanhas de phishing customizadas para avaliação da conscientização dos colaboradores em cenários reais, as campanhas devem minimamente permitir que sejam criados conteúdos através da plataforma em português.
9.2.18.16. Cada um dos testes ou ações hospedadas na base de conhecimento da solução, deve ter uma descrição e o código da técnica ou das táticas de acordo com a nomenclatura do MITRE.
9.2.18.17. A solução deve ter a capacidade de repetir periodicamente os testes que o usuário deseja e comparar os resultados de cada execução com um resultado esperado, permitindo definir se o ataque foi detectado, bloqueado e que tipo de registro foi detectado no SIEM ou nas tecnologias de segurança testadas.
9.2.18.18. Os componentes de ataque devem poder ser instalados, minimamente, nos seguintes ambientes:
· Windows 11 build 22000+, 10 build 1067, 8.1, 7 SP1;
· Server 2012 ou superior;
· Linux Alpine 3.12, Ubuntu 16.04, Debian 10, CentOS 7, RHEL 7, Fedora 33, openSUSE 15 e SUSE Enterprise 12 SP2 ou versões superiores
· MacOS 10.15x ou superior.
9.2.18.19. A solução deve realizar as simulações de ataque através de um agente único ao qual deverá ser capaz de executar ataques em diferentes vetores de forma individual ou simultânea.
9.2.18.20. A solução deve permitir através de um framework aberto a customização de diferentes cenários e cadeias de execução que sejam compatíveis minimamente com as seguintes plataformas:
· Powershell;
· Python;
· Bash;
· Sh;
· CMD.
9.3. Requerimentos de gestão e relatório
9.3.1. A solução deve possuir uma console em nuvem a qual deverá ser utilizada para orquestração e envio dos ataques.
9.3.2. O painel principal (dashboard) deve apresentar de forma clara os vetores licenciados assim também como informações sobre controles de segurança, ameaças emergentes, integrações e outros detalhes importantes que possam ser utilizados para melhor compreensão dos testes realizados.
9.3.3. A console de gerenciamento deve permitir a criação de painéis dinâmicos aos quais permitam a customização e manipulação de dados a serem apresentados no novo painel (dashboard).
9.3.4. A console de gerenciamento deve possuir um dashboard que exiba todas as informações de vulnerabilidades baseadas em ataques, incluindo proteção geral de controles de segurança, principais vulnerabilidades encontradas em ativos de rede, principais ativos vulneráveis, principais CVEs e muito mais.
9.3.5. A console deve possuir em seu painel principal a opção de rastreabilidade em tempo de execução dos testes.
9.3.6. A console deve fornecer uma visão global dos itens que foram identificados.
9.3.7. A console deve fornecer uma visão detalhada após integração com plataformas de gestão
9.3.8. A solução deve possuir uma interface amigável em seu agente para facilitar o gerenciamento de ataques em andamento, visualização de logs e configurações pertinentes aos recursos envolvidos no ataque, proxy, e-mail etc.
9.3.9. Após conclusão dos ataques envolvendo de forma individual ou conjunta os vetores de ataque deverá ser fornecido um score de risco, este score deve prover uma clara visão sobre a maturidade atual e histórica do ambiente.
9.3.10.A solução deve permitir a geração de relatórios técnicos ou gerenciais aos quais devem conter minimamente:
9.3.11.Informações sobre o score de risco atual;
9.3.12.Descrição e recomendação para correção dos problemas encontrados;
9.3.13.A solução deve permitir em sua guia de relatórios a extração de dados completos contendo informações gerais de todos os ataques realizados em um determinado vetor, assim também como oferecer opções para download de relatórios em formato PDF, CSV ou TXT.
9.3.14.A solução deve permitir a geração de relatórios e download dos mesmos através de sua interface assim como permitir o envio dos mesmos através de e-mail.
9.3.15.A solução deve permitir a geração de relatórios e visão detalhada por ambientes.
9.3.16.A solução deverá prover uma visão clara do desempenho individual de cada vetor de ataque assim como também possuir um gráfico de comparação para benchmark.
9.3.17.A solução deve fornecer um caminho simples para minimamente:
9.3.18.Realizar a abertura de chamados;
9.3.19.Gerenciar usuários da plataforma;
9.3.20.Acessar documentações do produto;
9.3.21.Gerenciar logs e atividades em execução.
9.3.22.A console deve fornecer uma guia para download e gestão dos agentes implementados.
10. SOLUÇÃO DE SEGURANÇA PARA IDENTIDADES
10.1. Solução de segurança para identidades e acessos - Logon único adaptativo para identidades dos funcionários
10.1.1.A solução deve prover um catálogo de aplicações Web com modelos de configuração de Single Sign-On (SSO) abrangendo as aplicações mais conhecidas de mercado, com a finalidade de facilitar a configuração destas integrações.
10.1.2.A solução deve permitir a configuração do SSO para aplicações Web minimamente através dos seguintes protocolos e métodos:
10.1.2.1. SAML 2.0
10.1.2.2. Oauth 2.0 modo client
10.1.2.3. WS-Federation
10.1.2.4. OpenID connect
10.1.2.5. NTLM
10.1.2.6. Oauth 2.0 modo server
10.1.2.7. HTTP Basic
10.1.2.8. Extensão no Browser para capturar aplicações Web que utilizam formulário com usuário e senha e realizar o autopreenchimento do login e senha de forma automatizada. Estas informações devem ser guardadas de forma segura na solução para autopreenchimento nos futuros logins nestas aplicações.
10.1.3.A solução deve prover uma extensão de browser avançada somente para administradores da solução, com a finalidade de realizar o mapeamento dos campos dos formulários (em geral login e senha) para que depois de mapeados os administrados possam incluir como uma aplicação Web para SSO no catálogo geral, permitindo o SSO de aplicações que não suportam protocolos mais modernos como SAML e Oauth.
10.1.4.Suportar SSO via IWA (Integrated Windows Authentication) o qual reutiliza o login de rede para autenticação nas aplicações web, sem a necessidade de digitar usuário e senha novamente.
10.1.5.Oferecer suporte para a personalização das repostas SAML, como por exemplo, mapear atributos dos diretórios para atributos SAML, ter a capacidade de incluir lógicas complexas para manipulação das repostas SAML e possibilitar a visualização da reposta SAML configurada antes de sua implantação.
10.1.6.A solução deve prover um portal WEB para o usuário final com as seguintes características:
10.1.6.1. Depois de efetuado o login apresentar as aplicações WEB disponíveis para realizar o SSO, através de um conjunto de ícones onde cada um representa uma aplicação que o usuário tem o direito de efetuar o SSO.
10.1.6.2. Realizar mudanças em atributos da identidade, tais como, telefone celular, email e foto.
10.1.6.3. Verificar as atividades de sua identidade através de dashboard com as seguintes informações:
· O Total de logons.
· O Total de falhas de logon.
· O Geolocalização dos seus logons.
· O Verificar a Geolocalização atual de seus dispositivos registrados.
· O Utilização das aplicações.
· O Histórico de eventos importantes, tais como, nova aplicação adicionada em seu portal de SSO, falhas de logon, dentre outros.
10.1.7.Deve possuir serviço de diretório para armazenar identidades na solução, sem a dependência da sincronização com outros serviços de diretório on-premisses ou na nuvem de terceiros.
10.1.8.O serviço de diretório da solução deve ter a capacidade de realizar a extensão de seu esquema através da configuração de atributos personalizados para atender requisitos de negócios complexos
10.1.9.O serviço de diretório da solução deve ser auto escalável para suportar milhões de identidades e milhares de autenticações simultâneas.
10.1.10. Deve ter a capacidade de forçar a complexidade das senhas, minimamente para os seguintes requisitos:
10.1.10.1. Tamanho mínimo.
10.1.10.2. Tamanho máximo.
10.1.10.3. Requerer mínimo de digitos.
10.1.10.4. Requerer letras maiúsculas e minúsculas.
10.1.10.5. Requerer caracter especial (símbolo).
10.1.10.6. Limitar caracteres consecutivos.
10.1.10.7. Forçar expiração de senhas baseadas na idade delas.
10.1.10.8. Guardar histórico de senhas para evitar reutilização
10.1.11. Prover notificação para expiração das senhas por email.
10.1.12. Capturar falhas de logon repetidas para bloqueio do usuário
10.1.13. A solução deve suportar adicionalmente a integração com serviços de diretório On-premisses e em nuvem, suportando minimamente:
10.1.13.1. Microsoft Active Directory.
10.1.13.2. Microsoft Azure AD
10.1.13.3. Google Directory
10.1.13.4. Diretórios LDAP
10.1.14. As integrações realizadas com diretório de terceiros não devem realizar sincronismo com estas bases, ou seja, carregar todo o diretório configurado para a nuvem, a solução deve atuar como um intermediário (?broker?) entre os serviços de diretório de terceiros e a solução.
10.1.15. A solução deve possuir integração com provedores de identidades sociais com a finalidade de delegar a autenticação para tais provedores e atender possíveis requisitos de negócio, suportando minimamente os seguintes provedores:
10.1.15.1. Google.
10.1.15.2. Facebook.
10.1.15.3. LinkedIn.
10.1.15.4. Microsoft.
10.1.16. A solução deve ter a capacidade de configurar IDPs (Identity Providers) de parceiros de negócio da CONTRATANTE para dar acesso às identidades federadas em aplicações de negócio da CONTRATANTE sem a necessidade de criação de uma nova identidade na infraestrutura, por meio de federação realizada através do protocolo SAML.
10.1.17. A solução deve ter a capacidade de configurar um timeout por sessão e quantidade de sessões simultâneas, desta forma quando a sessão atingir tal tempo configurado de inatividade ou sessões simultâneas realizar o logout automático destes usuários nas aplicações conectadas.
10.1.18. "O conector on premisses da solução que faz a comunicação do datacenter do cliente com a nuvem da solução SaaS deve ser único e sem a necessidade de instalação de componentes individuais para cada papel que ele desempenhará, adicionalmente não deve depender de componentes de terceiros para ter alta disponibilidade e balanceamento de carga (exemplo, balanceadores de carga de terceiros). Em um único serviço ou agente on premisses deve englobar minimamente os seguintes componentes:
10.1.18.1. Servidor RADIUS
10.1.18.2. Cliente Radius4.1.18.3. - Proxy reverso
10.1.18.3. Integração com LDAP e Microsoft AD
10.1.18.4. IWA, Integrated Windows Authentication"
10.1.19. A solução dever ser baseada em algoritmos de aprendizado de máquina (Machine Learning) não supervisionados, ou seja, os modelos estatísticos com os casos de uso já prontos e calibrados.
10.1.20. A solução deve medir o risco da autenticação verificando o comportamento histórico da identidade através do conjunto dos seguintes atributos:
10.1.21. Geovelocidade, medindo velocidade de deslocamento do login, comparando a localização do último login com a atual, evitando ?viagens impossíveis?, e traçando o comportamento do usuário neste quesito, por exemplo, pessoas que viajam muito podem ter uma pontuação de risco baixa mesmo que sua Geovelocidade seja maior que pessoas que não viajam.
10.1.22. Geolocalização: medindo o risco da autenticação verificando sua localização geográfica do acesso atual em comparação com o seu comportamento usual.
10.1.23. Dia da Semana: medindo o risco da autenticação verificando o dia da semana do acesso atual em comparação com seu comportamento usual.
10.1.24. Horário do Acesso: mede o risco da autenticação verificando o horário do acesso atual em comparação com seu comportamento usual.
10.1.25. Sistema Operacional: mede o risco da autenticação verificando o Sistema Operacional do acesso atual em comparação com seu comportamento usual.
10.1.26. Falhas de login consecutivas, mede o risco da autenticação verificando as falhas de login consecutivas do acesso atual em comparação com seu comportamento usual.
10.1.27. Deve prover a personalização das faixas de pontuação (0 a 100) para os administradores da solução para, no mínimo, as categorias:
10.1.27.1. Sem risco
10.1.27.2. Risco Baixo
10.1.27.3. Risco Médio
10.1.27.4. Risco Alto
10.1.28. Deve prover para os administradores da solução a personalização da influência na medição do risco para cada atributo citado neste item. Por exemplo, para a CONTRATANTE a geovelocidade pode ser um fator que não possui relevância, desta forma deve ser possível configurar a influência deste risco como baixa na modelagem de risco da plataforma;
10.1.29. O risco calculado durante a autenticação pelo motor de análise do comportamento dos usuários deve ser compartilhado com funções de Múltiplo Fator de autenticação e Single Sign-On que realizam o login para os casos de uso citados neste documento e utilizar como contexto para:
10.1.29.1. Requisitar múltiplos fatores de autenticação de forma dinâmica.
10.1.29.2. Permitir o login sem o uso de múltiplos fatores.
10.1.29.3. Negar a autenticação.
10.1.30. Deve prover para os administradores da solução a capacidade de explorar os dados históricos através de dasboards, filtros e gráficos configuráveis sendo possível verificar os alertas e os fatores que os influenciaram, além da exploração dos eventos capturados e seus atributos.
10.1.31. Deve prover gráficos de linha do tempo, donuts, mapas com geolocalização dos eventos, gráfico de barras, tabelas analíticas, e mapas de relacionamento, sendo suas dimensões e categorias personalizáveis.
10.1.32. Deve ser capaz de exportar os dados dos alertas, riscos calculados, eventos para, no mínimo, CSV, adicionalmente gravar as visualizações na solução para consultas posteriores.
10.1.33. Deve possuir integração com fontes de inteligência cibernética de terceiros reconhecidas no mercado, como, por exemplo, Palo Alto Cloud.
10.1.34. Deve possuir interface para envio de alertas de forma automatizada, suportando, no mínimo:
10.1.34.1. E-mail com conteúdo do alerta.
10.1.34.2. Webhooks (ex: envio de mensagem para um canal do Microsoft Teams ou Slack.
10.1.35. Possuir dashboards pré-configurados com informações e gráficos com as seguintes características:
10.1.35.1. Utilização do Motor de Análise do Comportamento dos Usuários.
10.1.35.2. Comportamento dos usuários na utilização das aplicações.
10.1.35.3. Visão sobre a segurança das aplicações.
10.1.35.4. Mapa com a geolocalização das autenticações.
10.1.35.5. Visão sobre o comportamento dos Endpoints (Mobile e Computadores).
10.1.35.6. Visão sobre o comportamento das Identidades.
10.1.36. A solução deve permitir a configuração de dashboards personalizados.
10.1.37. Deve permitir o compartilhamento dos dashboards com outros usuários.
10.1.38. A solução deve permitir que as aplicações acessadas através do portal Single Sign-on sejam monitoradas e indexadas em uma linha do tempo, registrando a navegação do usuário na página web.
10.1.39. Deve registrar cliques de janela e textos utilizados durante a navegação do usuário final na aplicação monitorada.4.1.40. Deve permitir ao administrador acessos a screen shots da navegação do usuário final na página web da aplicação, que identificam visualmente o campo modificado em destaque e o momento exato da ação durante a navegação.
10.1.40. Deve permitir ao administrador pesquisar por meio da seleção de aplicações gerenciadas no portal e campos indexados, como textos e campos acessados durante a navegação.
10.1.41. A solução não deve depender do uso de agentes para a gravação e monitoramento das sessões web, mas se utilizar estritamente de extensão instalada no browser, sem a necessidade de proxy ou utilização de jump servers. Tudo feita de maneira local no browser da estação de trabalho do usuário final.
10.1.42. Deve permitir o isolamento da sessão do browser para aplicações web monitoradas, não permitindo a função copiar e colar e qualquer tipo de download da sessão isolada, dessa forma evitando o vazamento de informações desta sessão web protegida.
10.1.43. Deve permitir gravação das sessões em nuvem, a fim de não onerar espaço de armazenamento on premisses do órgão.
10.1.44. Deve permitir iniciar gravação, monitoramento contínuo e isolamento de sessão web por aplicação e perfil de acesso.
10.1.45. Deve alertar o usuário final de maneira visual, antes de iniciar o processo de monitoramento e gravação da sessão.
10.2. Solução de segurança para identidades e acessos - Autenticação multi-fator adaptativa para identidades dos funcionários
10.2.1.A solução deverá ser capaz de atender minimamente os seguintes casos de uso para requisitar um e mais fatores de autenticação:
10.2.1.1. Aplicações Web integradas nas funções de Logon único adaptativo para usuários - Single sign-on.
10.2.1.2. Multi Fator de autenticação para soluções de VPN via RADIUS ou SAML.
10.2.1.3. Qualquer dispositivo ou sistema operacional que suporte RADIUS.
10.2.1.4. Plugin para ADFS (IDP, Identity Provider), Active Directory Federation Services.
10.2.1.5. Sob demanda utilizando o protocolo Oauth e REST APIs.
10.2.1.6. Para realizar o autosserviço de reset de senha ou desbloqueio de usuário.
10.2.2.A solução deverá ser capaz de oferecer minimamente os seguintes métodos para múltiplo fator de autenticação:
10.2.3.Usuário e senha dos diretórios suportados na solução.
10.2.3.1. Através de aplicativo para dispositivos móveis do tipo IOS e Android, oferecendo suporte para:
10.2.3.2. Biometria do tipo FaceID.
10.2.3.3. Biometria através do leitor de digital.
10.2.3.4. Smartphone push (Notificação para aprovar ou recusar uma autenticação).
10.2.3.5. Geolocalização abanco de dados de IPs.
10.2.3.6. Suporte a tokens OATH OTP.
10.2.3.7. Autenticação na tela de login via QRcode sem a necessidade de digitar usuário e senha, com opção de forçar a biometria no dispositivo móvel.
10.2.3.8. Ligação telefônica requisitando um PIN previamente configurado.
10.2.3.9. Mensagem de texto via SMS oferecendo o código para entrada manual e também uma URL única presente na mensagem de texto que ofereça a opção de aprovar ou recusar a autenticação sem a necessidade de digitar o código manualmente.
10.2.3.10. Confirmação de código via email.
10.2.3.11. Clientes do tipo OATH OTP (exemplo, Google Authenticator).
10.2.4.Autenticadores que suportem FIDO2 / U2F, minimamente suportando:
10.2.4.1. Windows Hello.
10.2.4.2. Yubikey.
10.2.4.3. Google Titan Key
10.2.4.4. MacOS TouchID.
10.2.5.Perguntas e respostas previamente configuradas.
10.2.6.Para cada caso de uso ou conjunto de casos de uso de múltiplo fator de autenticação citados, a solução de ser capaz de identificar os atributos de contexto de cada autenticação para disponibilizar os melhores métodos definidos para a autenticação, suportando minimamente:
10.2.6.1. Endereçamento IP.
10.2.6.2. Dia da Semana.
10.2.6.3. Datas específicas.
10.2.6.4. Janelas de tempo entre duas datas.
10.2.6.5. Janelas de tempo entre horários (exemplo, horário comercial).
10.2.6.6. Tipo do Sistema Operacional.
10.2.6.7. Tipo do Browser.
10.2.6.8. Perfis configurados na solução.
10.2.6.9. País que está sendo realizado o acesso.
10.2.6.10. Se é um dispositivo gerenciado.
10.2.6.11. Autenticação via certificado.
10.2.6.12. Nível de Risco da autenticação medido por um motor de análise de comportamento dos usuários.
10.2.7.A solução deve ter capacidade de detectar casos de uso e perfis de autenticação já validados pelos usuários e não requisitar mais os mesmos durante um período de tempo configurado pelo administrador da solução, evitando desta forma repetidas validações em um curto espaço de tempo.
10.2.8.O conjunto de fatores de autenticação disponibilizados devem ser baseados durante o acesso através de regras especificadas no item anterior e segregados por:
10.2.8.1. Conjunto de aplicações.
10.2.8.2. Uma única aplicação.
10.2.8.3. Regras para o autosserviço de reset de senha e desbloqueio de usuário.
10.2.8.4. Portal do Administrador.
10.2.8.5. Portal do Usuário.
10.2.9.A solução deve prover um portal WEB para o usuário final com as seguintes características:
10.2.9.1. Permitir o usuário realizar o auto registro de seus fatores de autenticação, tais como, perguntas e respostas, FIDO2 tokens, OATH OTP, definir PIN para chamada telefônica, TouchID, FaceID, Windows Hello, dentre outros.
10.2.9.2. Permitir o usuário redirecionar autenticação multi fator para outros usuários (desde que permitido).
10.2.9.3. Permitir os usuários gerenciarem seus dispositivos registrados, minimamente:
10.2.9.4. Smartphones Android e IOS.
10.2.9.5. Para cada dispositivo registrado, os usuários devem ter as seguintes capacidades de gestão:
10.2.9.6. Realizar o auto registro de novos dispositivos móveis.
10.2.9.7. A solução deve prover um aplicativo móvel para Android e IOS com as seguintes características:
10.2.9.8. Depois de efetuado o login apresentar as aplicações WEB disponíveis para realizar o SSO, através de um conjunto de ícones onde cada um representa uma aplicação que o usuário tem o direito de efetuar o SSO já integrado com os navegadores instalados nos dispositivos móveis.
10.2.9.9. Prover login através do scan de QRcode no portal web permitindo SSO sem identificação de usuário e senha.
10.2.9.10. Configurar OATH OTP adicionais provenientes de outras soluções.
10.2.9.11. Verificar dispositivos registrados (dispositivos móveis e sistemas operacionais).
10.2.9.12. Integração nativa com FaceID, TouchID, leitor biométrico dos dispositivos móveis alavancando os mesmos para autenticação biométrica durante login nas aplicações.
10.2.9.13. Reportar coordenadas GPS para os sistemas que utilizam geolocalização.
10.2.9.14. Detectar ROOT em dispositivos Android e Jailbreak em dispositivos IOS com a finalidade de detectar atividades maliciosas e como consequência o aplicativo é desabilitado para uso.
10.2.9.15. O aplicativo deve suportar autenticação do tipo push, onde o usuário tem a escolha de aceitar ou recusar o desafio, esta notificação de conter minimamente:
10.2.9.16. Data e Hora.
10.2.9.17. Cidade / Geolocalização do acesso
10.2.9.18. Aplicação sendo acessada.
10.2.10. A solução deve possuir a capacidade de realizar o login sem a utilização da senha (passwordless) realizando o scan de QR code gerado na tela de login do portal de aplicação através do aplicativo móvel do fabricante, sem a necessidade inclusive de digitar o usuário a ser logado na aplicação. Deve adicionalmente ter a opção de forçar a utilização de biometria oferecida pelo smartphone / telefone celular.
10.2.11. A solução deve possuir um aplicativo para Windows e MacOs com suporte a multifator de autenticação do tipo OTP (one time password) do próprio fabricante da solução de multi fator. Este aplicativo dará suporte para casos onde não será possível o uso de um telefone celular / smartphone.
10.2.12. A solução dever ser baseada em algoritmos de aprendizado de máquina (Machine Learning) não supervisionados, ou seja, os modelos estatísticos com os casos de uso já prontos e calibrados.
10.2.13. A solução dever ser baseada em algoritmos de aprendizado de máquina (Machine Learning) não supervisionados, ou seja, os modelos estatísticos com os casos de uso já prontos e calibrados.
10.2.14. Geovelocidade, medindo velocidade de deslocamento do login, comparando a localização do último login com a atual, evitando ?viagens impossíveis?, e traçando o comportamento do usuário neste quesito, por exemplo, pessoas que viajam muito podem ter uma pontuação de risco baixa mesmo que sua Geovelocidade seja maior que pessoas que não viajam.
10.2.15. Geolocalização: medindo o risco da autenticação verificando sua localização geográfica do acesso atual em comparação com o seu comportamento usual.
10.2.16. Dia da Semana: medindo o risco da autenticação verificando o dia da semana do acesso atual em comparação com seu comportamento usual.
10.2.17. Horário do Acesso: mede o risco da autenticação verificando o horário do acesso atual em comparação com seu comportamento usual.
10.2.18. Sistema Operacional: mede o risco da autenticação verificando o Sistema Operacional do acesso atual em comparação com seu comportamento usual
10.2.19. Falhas de login consecutivas, mede o risco da autenticação verificando as falhas de login consecutivas do acesso atual em comparação com seu comportamento usual
10.2.20. Deve prover a personalização das faixas de pontuação (0 a 100) para os administradores da solução para, no mínimo, as categorias:
10.2.20.1. Sem risco
10.2.20.2. Risco Baixo
10.2.20.3. Risco Médio
10.2.20.4. Risco Alto
10.2.21. Deve prover para os administradores da solução a personalização da influência na medição do risco para cada atributo citado neste item. Por exemplo, para a CONTRATANTE a geovelocidade pode ser um fator que não possui relevância, desta forma deve ser possível configurar a influência deste risco como baixa na modelagem de risco da plataforma;
10.2.22. O risco calculado durante a autenticação pelo motor de análise do comportamento dos usuários deve ser compartilhado com funções de Múltiplo Fator de autenticação e Single Sign-On que realizam o login para os casos de uso citados neste documento e utilizar como contexto para:
10.2.22.1. Requisitar múltiplos fatores de autenticação de forma dinâmica.
10.2.22.2. Permitir o login sem o uso de múltiplos fatores.
10.2.22.3. Negar a autenticação.
10.2.23. Deve prover para os administradores da solução a capacidade de explorar os dados históricos através de dashboards, filtros e gráficos configuráveis sendo possível verificar os alertas e os fatores que os influenciaram, além da exploração dos eventos capturados e seus atributos.
10.2.24. Deve prover gráficos de linha do tempo, donuts, mapas com geolocalização dos eventos, gráfico de barras, tabelas analíticas, e mapas de relacionamento, sendo suas dimensões e categorias personalizáveis
10.2.25. Deve ser capaz de exportar os dados dos alertas, riscos calculados, eventos para, no mínimo, CSV, adicionalmente gravar as visualizações na solução para consultas posteriores.
10.2.26. Deve possuir integração com fontes de inteligência cibernética de terceiros reconhecidas no mercado, como, por exemplo, Palo Alto Cloud.
10.2.27. Deve possuir interface para envio de alertas de forma automatizada, suportando, no mínimo:
10.2.28. E-mail com conteúdo do alerta.
10.2.29. Webhooks (ex: envio de mensagem para um canal do Microsoft Teams ou Slack.
10.2.30. Possuir dashboards pré-configurados com informações e gráficos com as seguintes características:
10.2.30.1. Utilização do Motor de Análise do Comportamento dos Usuários.
10.2.30.2. Comportamento dos usuários na utilização das aplicações.
10.2.30.3. Visão sobre a segurança das aplicações.
10.2.30.4. Mapa com a geolocalização das autenticações.
10.2.30.5. Visão sobre o comportamento dos Endpoints (Mobile e Computadores).
10.2.30.6. Visão sobre o comportamento das Identidades.
10.3. Solução de segurança para identidades e acessos - Monitoramento comportamental e mitigação de riscos das identidades privilegiadas
10.3.1.Características Gerais da solução:
10.3.1.1. A solução deve apoiar, no mínimo, os requisitos (artigos 6, 42, 43, 46, 48 e 50) da Lei Geral de Proteção de Dados - LGPD, como: Determinar como os dados deverão ser tratados, mantidos e protegidos e a quem responsabilizar em caso de descumprimento; Proteger o acesso a dados pessoais sensíveis; Responsabilizar pessoal e responder a incidentes; Aplicar boas práticas de governança, através de regras que deverão respeitar os preceitos da lei, de maneira a mitigar os riscos inerentes ao tratamento de dados e implementar e demonstrar a efetividade das políticas de segurança relacionadas ao tratamento de dados.
10.3.1.2. Apoiando os requisitos da LGPD a solução deverá proteger e monitorar acessos a dados pessoais sensíveis por meio da segurança de credenciais e acessos de alto privilégio em serviços críticos, detectando e respondendo rapidamente a incidentes de segurança, identificando e mitigando ações privilegiadas com comportamentos de alto risco, avaliando riscos e testando a efetividade dos processos de proteção de dados por meio de relatórios da solução com identificação e classificação do status de risco do ambiente privilegiado, demonstrando conformidade e prova de que os controles de segurança necessários estão nos lugares certos, provendo análise comportamental, auditoria e segurança dos acessos a sistemas por meio de todas credenciais administrativas de alto privilégio em dispositivos e sistemas-alvo diversos do ambiente.
10.3.1.3. Um sistema-alvo da solução é definido como um servidor, uma estação de trabalho, um ativo de rede e de segurança, dentre outros mencionados a seguir, cujas credenciais de acesso passem a ser protegidas e gerenciadas pela solução;
10.3.1.4. Um usuário da solução é definido como qualquer pessoa que acesse um sistema-alvo mediante logon na solução e uso de credenciais por ela gerenciadas.
10.3.1.5. Deve monitorar sessões, gravar, detectar, correlacionar e mitigar todos os comportamentos anormais de, pelo menos, 50 usuários simultâneos acessando todos sistemas-alvo do ambiente tecnológico, dentre eles servidores Linux/Unix, Windows, controladores de domínio Microsoft Active Directory, estações de trabalho Windows e demais ativos de rede e sistemas computacionais diversos.
10.3.1.6. A solução deverá ser entregue com acesso remoto seguro (externo a rede corporativa) para os usuários simultâneos mencionados, sem a necessidade de instalação e uso de clientes e VPN nos dispositivos dos usuários remotos por todo período de assinatura contratado.
10.3.1.7. A solução deverá ser entregue com acesso Single-sign-on e múltiplo fator de autenticação adaptativo para, no mínimo, os usuários internos e/ou remotos (externos a rede corporativa) mencionados, por todo período contratado, suportando, no mínimo:
10.3.1.8. Usuário e senha dos diretórios suportados, aplicativo para dispositivos móveis do tipo IOS e Android, oferecendo suporte para Biometria do tipo FaceID e através do leitor de digital, Smartphone push (Notificação para aprovar ou recusar uma autenticação), Geolocalização através de coordenadas GPS e banco de dados de IP, Suporte a tokens OATH OTP, autenticação na tela de login via QRcode sem a necessidade de digitar usuário e senha, com opção de forçar a biometria no dispositivo móvel, Entrega de código via SMS e chamada de voz, perguntas de segurança, notificações por e-mail e telefone celular, tokens OTP (on-line, off-line, por e-mail, hardware).
10.3.1.9. Autenticação auto-ajustada baseada no contexto de risco e segurança aprendidos pela solução, permitindo a criação de um perfil para cada usuário, aproveitando atributos históricos e situacionais específicos do mesmo, como localização, dispositivo, rede, horário e índice de risco de comportamento.
10.3.1.10. Análise de solicitações de autenticação em relação a padrões históricos, atribuição de índice de risco a cada tentativa de logon, geração de alertas e criação de políticas de bloqueio a serem acionadas quando um comportamento anômalo é detectado e de acesso simplificado quando o usuário é entendido como legítimo.
10.3.1.11. Permitir que os usuários adicionem e modifiquem fatores de autenticação diretamente em um portal com definição de período de desvio do múltiplo fator de autenticação.
10.3.1.12. Prover relatórios e dashboards customizáveis com detalhamento de informações em tempo real sobre as atividades de autenticação, como falhas na autenticação secundária, tentativas bem-sucedidas de login e os fatores de autenticação mais usados.
10.3.1.13. Entenda-se como sistemas-alvo os baseados, em no mínimo, as seguintes tecnologias: S.O.: Linux/Unix e Microsoft Windows; Hypervisors: VMWare e Microsoft Hyper-V; Contas de usuários de sistemas e de serviço; Credenciais do Microsoft COM+, IIS, Apache TomCat, RedHat Jboss; Objetos (usuários, grupos e computadores) do Microsoft Active Directory e LDAP; Contas de usuários e administradores de bancos de dados Microsoft SQL Server, Oracle, PostgreSQL; Contas de equipamentos ativos de conectividade de redes LAN (Local Area Network) e WAN (Wide Area Network) ? switches, roteadores, controladores/APs WiFi, SAN (Storage Area Network) e NAS (Network Attached Storage); Contas de usuários e administradores de consoles de gerenciamento de servidores e estações de trabalho; Contas de equipamentos dedicados à segurança, tais como Firewall, IPS, AntiSpam e filtros de conteúdo; Contas de equipamentos dedicados à segurança física, tais como câmeras de vigilância, catracas, etc; Credenciais de nuvem em VMWare ESXi, Azure, AWS, GCP, Office 365.
10.3.1.14. Gestão de dados do ciclo de vida e compartilhamento das contas privilegiadas, monitoramento e gravação de sessões privilegiadas:
10.3.1.15. A solução deve conceder acesso aos sistemas utilizando ?Remote Desktop? e ?SSH?, disponibilizados pelos sistemas alvo do ambiente, sem que os usuários vejam qualquer senha e chave (vigentes no momento e providas para as aplicações e conexões remotas, devendo ser recuperadas de forma automática e transparente do repositório seguro de credenciais da solução), garantindo que não haja necessidade de instalação de aplicações e/ou agentes nas estações dos usuários para realizar o acesso a sistemas e aplicações parametrizáveis, onde a aplicação deverá ser executada, por meio de página web, devidamente autenticada com usuário e senha pré-determinados ou recuperados da base de dados da solução, sem que haja login interativo por parte do usuário no S.O. do servidor de destino, possibilitando habilitar gravação da sessão, caso seja necessário. Exemplo: Executar o SQL Management Studio com credencial de SA (System Administrator) sem que o usuário conheça a senha e sem necessidade de login interativo prévio do usuário no sistema operacional do host de destino;
10.3.1.16. A solução deve permitir Integração para gestão de acessos privilegiados em serviços de nuvem padrões de mercado, como Amazon Web Services (AWS), Google Cloud, IBM Cloud e Microsoft Azure, disponibilizando no mínimo as seguintes funcionalidades: Integração e gestão de acessos privilegiados em contas de serviços em nuvem; Integração com sessões de serviços de nuvem, incluindo início e finalização de sessão e Gravação e auditoria de acesso de sessões iniciadas em serviços de nuvem.
10.3.1.17. Deve possuir as sessões administrativas acessadas e monitoradas ao vivo, com compartilhamento de tela e controle de periféricos, como teclado e mouse (assistência remota), e por meio de gravação de comandos e vídeos das mesmas, em formato padrão de execução não proprietário da solução, possibilitando que os comandos e vídeos gerados possam ser indexados para pesquisa futura, permitindo o filtro de comandos e ações executadas ao longo da sessão gravada, possibilitando pesquisar ações específicas na sessão gravada;
10.3.1.18. Proteger contra a perda, roubo e gestão inadequada de credenciais através de regras de complexidade da senha que incluem comprimento da senha (quantidade de caracteres), frequência de troca automatizada das senhas e chaves SSH, especificação de caracteres permitidos ou proibidos na composição da senha e outras medidas e mitigar problemas de segurança relacionados ao compartilhamento indevido de credenciais privilegiadas que são armazenadas localmente em dispositivos e também de contas que não são gerenciadas de forma centralizada por serviços de diretórios;
10.3.1.19. Descobrir credenciais privilegiadas referenciadas por serviços e processos automatizados e propagar as senhas geradas de forma aleatória onde quer que estas estejam referenciadas e descobrir e alterar credenciais em ambiente Windows, incluindo contas nomeadas, administradores ?built-in? e convidados, para determinar movimentações laterais (pass-the-hash), exibidas em mapa de rede gráfico e interativo ou através de relatórios e interface de gerenciamento;
10.3.1.20. Gerenciar, de forma segura, senhas utilizadas por contas de serviço, evitando a utilização de senhas em texto claro por scripts ou rotinas dos equipamentos e garantir a implementação dos privilégios mínimos necessários, provendo acesso às senhas das contas privilegiadas somente ao pessoal autorizado;
10.3.1.21. Deve proteger as senhas de credenciais administrativas locais de todas as estações de trabalho Windows no repositório central seguro de credenciais, permitindo a aplicação de políticas granulares de rotações e trocas automáticas das senhas, trilha de auditoria dos acessos às mesmas, mitigando situações de roubo, perda e exploração de credenciais.
10.3.1.22. Quando as estações de trabalho não puderem estar conectadas de forma permanente ao repositório central de credenciais, deve aplicar, de forma autônoma, políticas de rotação de credenciais locais até a sincronização delas no repositório central da solução.
10.3.1.23. Possuir funcionalidade de ?AD Bridge? para integração de servidores Linux/Unix no Active Directory, acompanhando a mesma nomenclatura e grupos do diretório LDAP ou AD;
10.3.1.24. Provisionar na plataforma Unix-like as contas e grupos do Active Directory que possuam permissão de acesso, de maneira automatizada e transparente;
10.3.1.25. Permitir a definição de Fluxos de Aprovação (Workflows) para obtenção de acesso às Contas Privilegiadas, com as seguintes características: Personalização de fluxos: permitir a configuração de fluxos para aprovação, de acordo com a criticidade e características da conta, e aprovação de, pelo menos, um responsável; Permitir a aprovação perante um agendamento de ações administrativas; ou seja; a aprovação do acesso ocorrerá em um dia, mas a liberação da senha ocorrerá de forma automática somente na data e horário previstos; Ser capaz de encontrar contas de usuários privilegiados que possam ser gerenciadas pela solução, permitindo ou não que a conta descoberta seja gerenciada pela solução; Ser capaz de substituir as senhas de identidades privilegiadas que estejam sendo utilizadas por determinado serviço em todos os locais onde estejam sendo utilizadas; A descoberta automática deve ser realizada por buscas no Active Directory (AD) e por intervalos de endereços IP;
10.3.1.26. Oferecer em sua aplicação web diferentes visões e opções de acordo com as permissões dos usuários, mostrando, por exemplo, apenas as funcionalidades delegadas àquele usuário; Suportar métodos para registrar e relatar qualquer ação realizada e detectada pela solução, incluindo registros de aplicações baseadas em texto, auditoria de banco de dados, aplicações syslog, notificações de e-mail;
10.3.1.27. Registrar cada acesso, incluindo os acessos via aplicação web, para solicitações de senha, aprovações, checkout?s, mudanças de delegação, relatórios e outras atividades. Devem ser registrados os acessos à console de gerenciamento da solução, tanto para configuração quanto para relatórios, bem como todas as atividades de alterações de senhas; logoff dos usuários; Alterações nas funções de delegação; Adições, deleções e alterações de senhas gerenciadas pela solução; Operações das senhas dos usuários, incluindo check-in e checkout, solicitações negadas e permitidas; Os relatórios devem ser filtrados por período de tempo, tipo de operação, sistema, gerente e outros critérios;
10.3.1.28. Deve fornecer relatórios de conformidade detalhados das operações realizadas pela solução, tais como: Lista de sistemas gerenciados; Senhas armazenadas; Eventos de alteração de senha; Permissões de acesso web; Auditoria de contas, sistemas e usuários; Alerta em tempo real;
10.3.1.29. Análise comportamental e mitigações de risco no ambiente crítico para Identidades Privilegiadas:
10.3.1.30. A solução deverá realizar a identificação e o correlacionamento de todas as ações citadas abaixo, montando perfis de comportamento gerais (usuários, acessos, credenciais, máquinas, outros) do ambiente privilegiado e acessos aos sistemas-alvo por meio da solução.
10.3.1.31. Deve combinar ações que caracterizam abusos, comportamentos anormais e fora dos padrões aprendidos/mapeados, aplicando ações mitigatórias automáticas como novas autenticações, suspensão e encerramento de sessões e troca das credenciais privilegiadas, em caso de atividades suspeitas de alto risco, detectando, no mínimo:
· Acessos a solução:
o Durante horários irregulares (quando um usuário recupera uma senha de conta privilegiada em uma hora irregular de acordo com seu perfil comportamental);
o Durante dias irregulares (quando um usuário recupera uma senha de conta privilegiada em um dia irregular de acordo com seu perfil comportamental);
o Através de IP irregular e desconhecido (quando um usuário acessa contas privilegiadas de um endereço IP ou subrede incomum, de acordo com seu perfil comportamental); não gerenciados (quando uma conexão com uma máquina é feita com uma conta privilegiada que não é gerenciada na solução).
· Acessos gerais:
o Excessivos a contas privilegiadas (quando um usuário acessa contas privilegiadas com mais frequência do que o normal, de acordo com seu perfil comportamental);
o Anômalos a várias máquinas (quando uma conta efetuou login em um grande número de máquinas inesperadas durante um tempo relativamente curto);
o Realizados fora da solução (diretamente no sistema-alvo);
o Excessivos a uma máquina;
o Usuários incomuns logando de uma máquina de origem conhecida;
o Quando ocorrem indicações de atividade de um usuário inativo da solução;
o Atividades definidas como suspeitas detectadas em sessões privilegiadas (comandos e anomalias na solução).
· Máquinas:
o Acessadas a partir de endereços IP incomuns;
o Acessadas durante horários irregulares, de acordo com seu padrão de utilização;
o Incomuns originando acessos.
· Credenciais e Contas:
o Suspeita de roubo de credenciais, quando um usuário se conecta a uma máquina sem primeiro recuperar as credenciais necessárias da solução;
o Alteração de senha suspeita, quando é identificada uma solicitação para alterar ou redefinir uma senha ignorando a solução;
o Credenciais expostas de contas de serviço que se conectam ao LDAP em texto não criptografado;
o Contas privilegiadas com configuração SPN (nome principal de serviço) vulneráveis a ataques de força bruta e de dicionário off-line, permitindo que um usuário interno malicioso recupere a senha de texto sem criptografia da contas;
o Contas de serviço conectadas por meio de logon interativo.
o Deve permitir a classificação de eventos por níveis de risco e respostas automáticas (suspensão e terminação de sessões) baseadas nos mesmos, com a possibilidade de colocar sessões em quarentena, pendentes de liberação e terminação pelo administrador,
o Deve permitir a configuração de eventos críticos a serem reportados automaticamente, baseados em comandos Linux, comandos, janelas e aplicações Windows, expressões regulares para comandos em geral e eventos configurados manualmente, permitindo a atribuição de nível de risco customizado;
10.3.2.Arquitetura e Segurança da Solução
10.3.2.1. Incorporar medidas de segurança como Certificação Common Criteria (CC) ? ISO/IEC 15408 ? como garantia de segurança do método utilizado no desenvolvimento do sistema de repositório seguro de credenciais e Criptografia dos módulos da solução, a fim de proteger a informação em trânsito entre módulos da solução e aplicações web dos usuários finais e possibilitar a utilização de criptografia do banco de dados utilizado pela solução para armazenar as credenciais gerenciadas pela mesma, sendo compatível com: AES com chaves de 256 bits, FIPS 140-2 e Encriptação PKCS#11 ou superior;
10.3.2.2. Deve utilizar banco de dados em alta disponibilidade, para armazenamento de credenciais, com as melhores práticas de segurança: mecanismo de blindagem do sistema operacional através da desativação ou desinstalação de serviços e portas de acesso não essenciais ao funcionamento da solução. Caso o banco de dados utilizado para armazenamento de credenciais seja de terceiros, a solução deverá ser entregue com licenças de software, garantia e suporte que o compatibilize com a solução;
10.3.2.3. Suportar a implementação em parque computacional Windows Server 2012 R2, Windows Server 2016 e/ou Linux em ambiente físico ou virtualizado com infraestrutura (servidores/software em ambiente virtualizado, S.O., camada de balanceamento/redirecionamento de tráfego, etc) provida pela CONTRATANTE para implantação e uso da solução em alta disponibilidade;
10.3.2.4. A solução deverá possibilitar a sua instalação nos seguintes cenários: em diferentes provedores de nuvem, em diferentes regiões de um mesmo provedor de nuvem, entre provedores de nuvem e ambiente nas dependências da CONTRATANTE e em qualquer combinação entre os itens anteriormente descritos.
10.3.2.5. A solução deverá fazer uso dos serviços nativos de gestão de chaves dos provedores de nuvem para garantir o máximo nível de proteção de suas chaves criptográficas, suportando ao menos os provedores AWS e Azure.
10.3.2.6. A solução deverá possibilitar sua implantação de maneira automática, através da utilização de imagens ou pacotes de instalação disponibilizados pelos provedores de nuvem, suportando ao menos os provedores AWS e Azure.
10.3.2.7. Os elementos críticos da solução, como Repositório Seguro de credenciais, Gateways de Gravação e Monitoração Comportamental deverão ser instalados em alta disponibilidade ativo-ativo em cada uma das localidades (site principal, site redundante adicional e nuvem), com chaveamento entre localidades (sites), garantindo que o processo seja transparente aos usuários conectados e a normalização das funcionalidades ocorra em até 5 (cinco) minutos, caso exista perda de comunicação e mecanismos para a recuperação de desastres compatível com soluções de backup e arquivamento disponíveis no mercado;
10.3.2.8. Prover, no mínimo, dois ambientes adicionais apartados da solução em produção para testes e homologação, replicando as mesmas licenças e funcionalidades do ambiente de produção.
10.3.3.Proteção contra tomada de controle do Active Directory
10.3.3.1. A solução deve monitorar todos os Controladores de Domínio Microsoft Active Directory e mitigar automaticamente situações como roubo de identidade, acesso não autorizado e ataques que visam a tomada de controle da rede via estrutura de diretórios, de acordo com as funções de monitoramento de atividades internas nos mesmos e tráfego de segmentos de rede que estes estejam instalados, para confirmação de integridade das solicitações e tickets Kerberos utilizados nos equipamentos e contas de usuário detectando, no mínimo:
10.3.3.2. Atividades anômalas em tempo real, típicas de ataques ao protocolo de autenticação Kerberos, como roubo de credenciais, movimentação lateral e escalonamento de privilégios;
10.3.3.3. A extração e uso de um Kerberos TGT (ticket de concessão de tickets) da memória LSASS (Subsistema de autoridade de segurança local) em um host para obter acesso a outros recursos da rede (Pass-the-ticket);
10.3.3.4. A recuperação e exploração de hashes de senha armazenados no banco de dados do SAM (Security Accounts Manager) ou do Active Directory para representar um usuário legítimo (Pass-the-Hash);
10.3.3.5. O uso do hash de uma conta de usuário para obter um tícket do Kerberos, que é usado para acessar outras contas e recursos de rede (Overpass-the-Hash);
10.3.3.6. A modificação das configurações de permissão de ticket do Kerberos para obtenção de acesso não autorizado aos recursos da rede - PAC Forjado (Manipulação de Certificado de Atributo de Privilégio);
10.3.3.7. Ataque ao Golden Ticket, quando se busca a obtenção de acesso ao KDC (Kerberos Key Distribution Center) para geração de token principal de segurança que fornece acesso completo a um domínio inteiro;
10.3.3.8. A recuperação maliciosa de credenciais do controlador de domínio (DCSync);
10.3.3.9. Delegação não restrita, através da análise das contas de domínio, que recebem privilégios de delegação permissivos e, portanto, expõem o domínio a um alto risco;
10.3.3.10. Manipulação de Certificado de Atributo de Privilégio - PAC Forjado, quando há a modificação das configurações de permissão de ticket do Kerberos para obtenção de acesso não autorizado aos recursos da rede;
10.4. Solução de segurança para identidades e acessos - Proteção Local para Servidores Windows
10.4.1.As funcionalidades devem ser providas por meio de agentes instalados no sistema operacional dos servidores e permitir a proteção e controle dos privilégios.
10.4.2.Garantir o controle e bloqueio de comandos, mesmo que o acesso seja realizado diretamente no servidor de destino (sem ser através dos monitores/gravadores de acessos).
10.4.3.Oferecer opções de execução sem aviso: de aplicações com privilégios em modo explícito e transparente, monitorada de aplicações em modo explícito e transparente, com restrições de aplicações em modo explícito e transparente;
10.4.4.Exibir a reputação do arquivo executado advinda de, pelo menos, 1 (uma) fonte externa e disponibilizar a opção de encaminhamento de arquivo suspeito para análise de malware em soluções de mercado;
10.4.5.Suportar, no mínimo, as versões Windows Server 2003 SP2 x32 & x64, Windows Server 2008 x32 & x64, Windows Server 2008 R2 x64, Windows Server 2012/2012 R2, Windows Server 2016 e Windows Server 2019;
10.4.6.Implementar regras de controle de aplicações permitidas e bloqueadas para execução fazendo uso das funcionalidades instaladas no sistema operacional alvo, independentemente do acesso ao ativo ser realizado via monitores/gravadores de acessos ou diretamente no ativo.
10.4.7.Implementar regras de controle do nível de privilégio utilizado na execução das aplicações permitidas fazendo uso das funcionalidades instaladas no sistema operacional alvo, independentemente de o acesso ao ativo ser realizado via monitores/gravadores de acessos ou diretamente no ativo.
10.4.8.Implementar controle de nível de privilégio independentemente da permissão que o usuário possua localmente no ativo ou no domínio, permitindo que usuários restritos executem atividades com nível administrativo.
10.4.9.Permitir atribuição granular para execução de aplicações com nível de privilégio administrativo, sem que esse privilégio seja global na máquina.
10.4.10. Fazendo uso das funcionalidades instaladas no sistema operacional alvo, deve permitir a criação de políticas reutilizáveis, contendo, no mínimo, os seguintes tipos de aplicações ou tipos de arquivos: executáveis, scripts, aplicações nativas Windows, bibliotecas dinâmicas (DLL), instaladores, controles ActiveX, objetos COM.
10.4.11. Implementar a verificação de checksum do arquivo, dos parâmetros permitidos e da assinatura de fabricante, para objetos reutilizáveis da solução.
10.4.12. Implementar o suporte ao nome exato da aplicação/arquivo/script e expressões regulares em qualquer formato, para objetos reutilizáveis da solução.
10.4.13. Utilizar eventos reportados na interface da ferramenta para criação de novas políticas ou incluí-los em políticas existentes.
10.4.14. Permitir agrupar aplicações com base em suas características, para facilitar a inserção de novas aplicações aos grupos ou políticas de segurança de aplicações já criadas.
10.4.15. Impedir a desativação das funcionalidades instaladas no sistema operacional alvo sem autorização e/ou registro da atividade por meio da interface de gerência.
10.4.16. Disponibilizar o registro das execuções e atividades dos usuários, facilitando a criação de políticas baseadas em comportamento conhecido.
10.4.17. Monitorar e exibir acessos e atividades realizadas na própria solução.
10.4.18. Deve permitir autorização de acesso às aplicações e arquivos, quando incluídos em regras, individualmente ou em grupos.
10.4.19. Deve realizar varreduras fazendo uso das funcionalidades instaladas no sistema operacional alvo para catalogar arquivos existentes nas máquinas e uni-los ao inventário populado mediante detecção durante a execução.
10.4.20. Deve verificar a reputação dos arquivos executados e detectados pelas funcionalidades instaladas no sistema operacional alvo ou órgãos de controle de ameaças, como por exemplo o VirusTotal.com ou similares.
10.4.21. Deve permitir a execução automática de tipos desconhecidos de arquivo, de acordo com sua origem, mesmo possuindo restrições.
10.4.22. Possibilitar o monitoramento e a criação de evidência em vídeo de certas execuções de arquivo e de execuções sob certas condições definidas em política.
10.4.23. Possibilitar ao usuário final a solicitação de liberação de atividades específicas fazendo uso das funcionalidades instaladas no sistema operacional alvo.
10.4.24. Possibilitar a liberação emergencial da execução de comandos e elevação de privilégios sem desativar a solução, caso o usuário esteja off-line.
10.4.25. Implementar as regras de controle de acordo com características do usuário final, incluindo nome de usuário, grupos a que o usuário pertence e endereço IP.
10.4.26. Oferecer monitoramento de atividade maliciosa dos processos em execução, visando detectar tentativas de roubo de credenciais.
10.4.27. Fazendo uso das funcionalidades instaladas no sistema operacional alvo, a solução deve alertar, reportar e bloquear atividade anômala de arquivos e usuários durante a interação com bases de senhas no formato hash, como por exemplo, SAM local e LSASS.
10.4.28. Caso o dispositivo não possa estar conectado de forma permanente aos monitores/gravadores de acessos da solução e repositório seguro de credenciais, deve, de forma autônoma e off-line, gerenciar as senhas das credenciais locais, aplicando políticas de randomização e sincronização das senhas definidas na central da solução.
10.4.29. Permitir o envio de arquivos suspeitos, executados sob sua supervisão, para soluções de análise de ameaça do tipo Sandbox.
10.4.30. Possibilitar a execução de aplicativos que precisam de privilégio de execução a usuários não-privilegiados;
10.4.31. Permitir criar uma whitelist, onde é configurado todos os aplicativos que podem ser executados e qualquer outra aplicação fora desta lista automaticamente seja bloqueada.
10.4.32. Possuir uma integração com Windows UAC, e conter relatórios do uso de prompts aos usuários feitos pelo UAC.
10.4.33. Suportar a guarda de políticas de hosts que não façam parte do Active Directory.
10.4.34. Manter todas as políticas em cache e serem aplicadas ao endpoint, ainda que o mesmo não esteja conectado à rede corporativa
10.4.35. Deve permitir que mensagens customizadas sejam mostradas antes que uma aplicação seja executada ou bloqueada
10.4.36. Deve suportar adição múltiplas mensagens, estas mensagens devem possibilitar edição e suportar múltiplas linguagens
10.4.37. Deve possuir capacidade de relatórios de aplicações e eventos de usuários inclusos na solução
10.4.38. Realizar varredura e inventário de aplicações instaladas no sistema operacional.4.4.39. Deve permitir a configuração de ?iscas?, como senhas e credenciais falsas de administrador local para detecção de ataques em andamento e bloqueio proativo.
10.4.39. Deve permitir a configuração de ?iscas?, como senhas e credenciais falsas de administrador local para detecção de ataques em andamento e bloqueio proativo.
10.5. Solução de segurança para identidades e acessos - Proteção Local para Servidores Linux/Unix
10.5.1.As funcionalidades devem ser providas por meio de agentes instalados no sistema operacional dos servidores e permitir a proteção e controle dos privilégios em contas de usuário em equipamentos Unix, Linux, Solaris e AIX e associar os privilégios e comandos controlados às contas cadastradas no repositório seguro de credenciais, realizando o controle no próprio sistema operacional.
10.5.2.Garantir o controle e bloqueio de comandos, mesmo que o acesso seja realizado diretamente no servidor de destino (sem passar pelos monitores/gravadores de acessos) fazendo uso das funcionalidades instaladas no sistema operacional alvo.
10.5.3.Disponibilizar, como conjunto mínimo de atividades controladas no ativo de destino, as seguintes operações: criação e exclusão de arquivos e diretórios, mudança de nome de arquivos e diretórios, abertura de arquivos para escrita, comandos chown e chmod e ligações entre arquivos.
10.5.4.Implementar restrições, em uma plataforma, de maneira global ou em uma conta de usuário ou grupo de maneira granular.
10.5.5.Realizar o controle mediante interceptação do comando antes que ele seja executado, permitir a liberação de comandos privilegiados a usuários comuns, permitir que os comandos executados em sistemas monitorados sejam gravados em modo texto no repositório seguro de credenciais, permitir o agrupamento de comandos, bem como a utilização de coringas como (*), para uma definição ampla de parâmetros.
10.5.6.Permitir que sejam atribuídas permissões para usuários e grupos, inclusive do Active Directory e oferecer a capacidade de verificação da identidade da pessoa que executa comandos localmente no dispositivo alvo através de autenticação via usuário da ferramenta, LDAP ou RADIUS.
10.5.7.A solução deverá possuir funcionalidade que permita definir variáveis de ambiente no momento da execução de um comando, independente da definição realizada pelo usuário ou seu perfil. Sendo exigido no mínimo as seguintes variáveis: PATH, ENV, BASH_ENV, GLOBIGNORE, SHELLOPTS.
10.5.8.Possibilitar o uso da máscara de usuário na execução dos comandos (valores entre 0000 e 0777).
10.5.9.Impedir a utilização da técnica de ShellEscape, em que um programa autorizado e executado com privilégios permita a execução de outros programas e consequentemente escape dos controles definidos.
10.5.10. Disponibilizar a funcionalidade de restrição de Shell, que impossibilite que scripts e shells de sistema executem comandos não permitidos pelas regras definidas na solução.
10.5.11. Monitorar e exibir acessos e atividades realizadas no próprio sistema
10.5.12. Possibilitar mapear e coletar atividades regulares de usuários através do modo observação, agregando e exportando os resultados para um perfil.
10.5.13. Prover um controle de comandos completo, com a possibilidade de criar uma lista de comandos permitidos e bloqueados (whitelisting/blacklisting), a serem alterados (criação de alias) ou prevenir que comandos sejam executados ou permitir trabalhar em Shell modificado/controlado;
10.5.14. Prover meios de permitir que os usuários executem comandos específicos e conduzam sessões remotamente baseado em regras sem autenticar-se diretamente utilizando credenciais privilegiadas;
10.6. Solução de segurança para identidades e acessos - Proteção Local para Estações de Trabalho
10.6.1.As funcionalidades devem ser providas por meio de agentes instalados no sistema operacional das estações de trabalho e permitir a proteção e controle dos privilégios.
10.6.2.Garantir o controle e bloqueio de comandos, mesmo que o acesso seja realizado diretamente no servidor de destino (sem ser através dos monitores/gravadores de acessos).
10.6.3.Oferecer opções de execução sem aviso: de aplicações com privilégios em modo explícito e transparente, monitorada de aplicações em modo explícito e transparente, com restrições de aplicações em modo explícito e transparente;
10.6.4.Exibir a reputação do arquivo executado advinda de, pelo menos, 1 (uma) fonte externa e disponibilizar a opção de encaminhamento de arquivo suspeito para análise de malware em soluções de mercado;
10.6.5.Suportar, no mínimo, as versões de estações de trabalho: Windows XP SP3, Windows Vista SP1, Windows 7 x32 & x64, Windows 8/8.1 x32 & x64, Windows 10 x32 & x64;
10.6.6.Implementar regras de controle de aplicações permitidas e bloqueadas para execução fazendo uso das funcionalidades instaladas no sistema operacional alvo, independentemente do acesso ao ativo ser realizado via monitores/gravadores de acessos ou diretamente no ativo.
10.6.7.Implementar regras de controle do nível de privilégio utilizado na execução das aplicações permitidas fazendo uso das funcionalidades instaladas no sistema operacional alvo, independentemente do acesso ao ativo ser realizado via monitores/gravadores de acessos ou diretamente no ativo.
10.6.8.Implementar controle de nível de privilégio independentemente da permissão que o usuário possua localmente no ativo ou no domínio, permitindo que usuários restritos executem atividades com nível administrativo.
10.6.9.Permitir atribuição granular para execução de aplicações com nível de privilégio admnistrativo, sem que esse privilégio seja global na máquina.
10.6.10. Fazendo uso das funcionalidades instaladas no sistema operacional alvo, deve permitir a criação de políticas reutilizáveis, contendo, no mínimo, os seguintes tipos de aplicações ou tipos de arquivos: executáveis, scripts, aplicações nativas Windows,bibliotecas dinâmicas (DLL), instaladores, controles ActiveX, objetos COM.
10.6.11. Implementar a verificação de checksum do arquivo, dos parâmetros permitidos e da assinatura de fabricante, para objetos reutilizáveis da solução.
10.6.12. Implementar o suporte ao nome exato da aplicação/arquivo/script e expressões regulares em qualquer formato, para objetos reutilizáveis da solução.
10.6.13. Utilizar eventos reportados na interface da ferramenta para criação de novas políticas ou incluí-los em políticas existentes.
10.6.14. Permitir agrupar aplicações com base em suas características, para facilitar a inserção de novas aplicações aos grupos ou políticas de segurança de aplicações já criadas.
10.6.15. Impedir a desativação das funcionalidades instaladas no sistema operacional alvo sem autorização e/ou registro da atividade por meio da interface de gerência.
10.6.16. Disponibilizar o registro das execuções e atividades dos usuários, facilitando a criação de políticas baseadas em comportamento conhecido.
10.6.17. Monitorar e exibir acessos e atividades realizadas na própria solução.
10.6.18. Deve permitir autorização de acesso às aplicações e arquivos, quando incluídos em regras, individualmente ou em grupos.
10.6.19. Deve realizar varreduras fazendo uso das funcionalidades instaladas no sistema operacional alvo para catalogar arquivos existentes nas máquinas e uni-los ao inventário populado mediante detecção durante a execução.
10.6.20. Deve verificar a reputação dos arquivos executados e detectados pelas funcionalidades instaladas no sistema operacional alvo ou órgãos de controle de ameaças, como por exemplo o VirusTotal.com ou similares.
10.6.21. Deve permitir a execução automática de tipos desconhecidos de arquivo, de acordo com sua origem, mesmo possuindo restrições.
10.6.22. Possibilitar o monitoramento e a criação de evidência em vídeo de certas execuções de arquivo e de execuções sob certas condições definidas em política.
10.6.23. Possibilitar ao usuário final a solicitação de liberação de atividades específicas fazendo uso das funcionalidades instaladas no sistema operacional alvo.
10.6.24. Possibilitar a liberação emergencial da execução de comandos e elevação de privilégios sem desativar a solução, caso o usuário esteja off-line.
10.6.25. Implementar as regras de controle de acordo com características do usuário final, incluindo nome de usuário, grupos a que o usuário pertence e endereço IP.
10.6.26. Oferecer monitoramento de atividade maliciosa dos processos em execução, visando detectar tentativas de roubo de credenciais.
10.6.27. Fazendo uso das funcionalidades instaladas no sistema operacional alvo, a solução deve alertar, reportar e bloquear atividade anômala de arquivos e usuários durante a interação com bases de senhas no formato hash, como por exemplo, SAM local e LSASS.
10.6.28. Caso o dispositivo não possa estar conectado de forma permanente aos monitores/gravadores de acessos da solução e repositório seguro de credenciais, deve, de forma autônoma e off-line, gerenciar as senhas das credenciais locais, aplicando políticas de randomização e sincronização das senhas definidas na central da solução.
10.6.29. Permitir o envio de arquivos suspeitos, executados sob sua supervisão, para soluções de análise de ameaça do tipo Sandbox.
10.6.30. Possibilitar a execução de aplicativos que precisam de privilégio de execução a usuários não-privilegiados;
10.6.31. Permitir criar uma whitelist, onde é configurado todos os aplicativos que podem ser executados e qualquer outra aplicação fora desta lista automaticamente seja bloqueada.
10.6.32. Possuir uma integração com Windows UAC, e conter relatórios do uso de prompts aos usuários feitos pelo UAC
10.6.33. Suportar a guarda de políticas de hosts que não façam parte do Active Directory
10.6.34. Manter todas as políticas em cache e serem aplicadas ao endpoint, ainda que o mesmo não esteja conectado à rede corporativa
10.6.35. Deve permitir que mensagens customizadas sejam mostradas antes que uma aplicação seja executada ou bloqueada
10.6.36. Deve suportar adição múltiplas mensagens, estas mensagens devem possibilitar edição e suportar múltiplas linguagens
10.6.37. Deve possuir capacidade de relatórios de aplicações e eventos de usuários inclusos na solução
10.6.38. Realizar varredura e inventário de aplicações instaladas no sistema operacional.
10.6.39. Deve permitir a configuração de ?iscas?, como senhas e credenciais falsas de administrador local para detecção de ataques em andamento e bloqueio proativo.
10.7. Solução de segurança para identidades e acessos - Proteção para Aplicações Conteinerizadas
10.7.1.A solução deve prover proteção e gerenciamento de secrets que atenda as demandas de segurança de credenciais e suas subcategorias, onde entende-se como secret uma estrutura de dados que possa conter senhas, chaves privadas, tokens e chaves de APIs e ser entregue de maneira segura e criptografada para aplicações, contêineres e serviços.
10.7.2.Deve suportar, no mínimo, 1 cluster de orquestradores de contêineres com hosts distribuídos e aplicações rodando e deve ser totalmente compatível para funcionamento em ambiente Docker, instalado em modo contêiner, sendo esse executado em diversasplataformas, incluindo, mas não se limitando a Windows e Linux, permitir integração nativa com as seguintes plataformas: Openshift versão 3.11 ou superior (com Docker registry instalado) e oferecer integração com ferramentas de gerenciamento de configuração, suportando minimamente: Chef, Puppet, Ansible e Terraform.
10.7.3.Deve rodar dentro de containers intermediando as chamadas e o acesso seguro dos pods às secrets guardadas na solução possuir interface Web com dashboard ou interface gráfica que exiba o estado operacional (system health) relativo aos componentes da solução, incluindo réplicas e componentes de balanceamento de carga e demonstrar graficamente o relacionamento entre diferentes entidades (secrets, usuários e grupos usuários e grupos sistêmicos).
10.7.4.Deve criptografar todas as chaves privadas SSL utilizadas por quaisquer serviços da solução, ou utilizadas na criptografia da base de dados evitando que sejam armazenadas em texto claro no sistema de arquivos. A criptografia deve ocorrer antes da escrita em armazenamento persistente, evitando que informações sejam comprometidas em caso de acesso aos dados. Deve permitir que a chave master de criptografia seja armazenada e provida por soluções de HSM.
10.7.5.A solução deverá atuar como gerador e intermediário (broker) de secrets para diversos clientes, como aplicações, contêineres e clientes de criptografia e possibilitar o armazenamento de múltiplas versões de um mesmo secret. O fornecimento de secrets deve oferecer meios de controle de solicitante com múltiplos fatores, incluindo minimamente Tempo de vida (TTL) e restrições de IP/range.
10.7.6.Os secrets devem ser modificáveis, com base em critérios de tempo de uso (Lease time) ou expiração, sendo que após expiração, a rotação ocorre de acordo com políticas definidas no sistema. Todo secret deve conter por padrão, pelo menos duas listas de acesso: Papéis/grupos que podem ler o secret e que podem alterar o secret.
10.7.7.Além do controle de concessão dos secrets, deve haver meios de revogar totalmente o acesso a um secret sob demanda ou via política. Para evitar acessos excessivos ou não autorizados a um secret, a solução deverá disponibilizar meios de abstrair a gerência e acesso aos secrets, minimizando o acesso direto e as chamadas de APIs.
10.7.8.Todos os registros de eventos de segurança como autenticação de clientes, solicitação de secrets, revogação de secrets, acesso de usuários, aplicações ou clientes a secrets, mudanças de permissão, deverão ser armazenados de maneira que impossibilite a sua alteração e se mantenha a correta integridade das evidências.
10.7.9.As operações com secrets devem gerar trilha de auditoria contendo, no mínimo: Identificação do cliente (usuário ou usuário sistêmico), Identificação do secret, Horário (Timestamp completo), Ação (leitura ou alteração) e se a ação foi permitida ou não.
10.7.10. Deve obedecer a uma configuração inicial estrita de ?negação padrão? para acesso aos secrets, onde cada requisitante deve ser previamente autorizado via política de segurança, que identifique a aplicação ou usuário solicitante como membro de um grupo com autorização de acesso ou solicitação do secret em questão.
10.7.11. Deve utilizar definição de papéis (RBAC) para autorização de identidades de usuários e de aplicações onde possam ser definidos e relacionados entre si quando possível: Usuários, Grupos de usuários, Usuários sistêmicos (máquinas, serviços e processos) e Grupos de usuários sistêmicos.
10.7.12. A definição de usuários sistêmicos deve suportar máquinas estáticas e máquinas distribuídas por ferramentas de orquestração (Host Factory), provendo assim suporte à ambientes elásticos.
10.7.13. O relacionamento com os secrets entre usuários sistêmicos ou não, deve ser realizado por meio de políticas de uso e acesso, que definirão Usuários que poderão acessar a ferramenta via interface gráfica, Linha de comando (CLI) ou APIs, e seus privilégios; Máquinas (usuários sistêmicos) que poderão acessar a ferramenta de maneira programática e obter dados, e suas permissões em dados protegidos, inclusive secrets; Variáveis que representam secrets armazenados e quem terá acesso a eles; Webservices que possam prover serviços a solução e seus acessos.
10.7.14. Quando a solução operar em integração com Kubernetes e Openshift, deve permitir que os seguintes recursos sejam definidos como usuários sistêmicos: Namespace, Deployment, Deployment Config (apenas Openshift), Stateful Set, Service Account e Pod e suportar integração e uso do Kubernetes Authenticator Client (K8S), em modo Init ou Sidecar.
10.7.15. Todas as operações envolvendo usuários e grupos sistêmicos e não-sistêmicos, políticas e secrets, incluindo a criação, leitura e alteração, devem ser feitas via linguagem aberta de serialização YAML.
10.7.16. A obtenção de secrets deve ser permitida por diversos meios, incluindo, pelo menos, linha de comando (CLI) e RestAPI. Os secrets deverão ser disponibilizados unicamente para as aplicações ou serviços que os consomem, sendo que em hipótese alguma, devem ser disponibilizados no nível do sistema operacional ou ?namespaces? acessíveis por outras aplicações.
10.7.17. Visando a facilidade de integração com aplicações existentes ou com práticas de desenvolvimento vigentes, a solução deve fornecer bibliotecas de integração em linguagens variadas, incluindo minimamente .NET, Java, Ruby e Go.
10.7.18. Para que a disponibilização de secrets seja operacionalizada em diversos ambientes, deve fornecer ferramenta que leia os arquivos YAML e realize a injeção do conteúdo dos secrets em variáveis de ambiente do processo selecionado, que serão automaticamente eliminadas quando o processo for finalizado. A ferramenta de leitura e solicitação de secrets via YAML deve ser compatível com outros provedores de secret, pelo menos, AWS S3, AWS Secrets Manager, Chef Data Bags, GoPass, keyrings e Keepass kdbx database files.
10.7.19. A solução deverá guardar e rotacionar os secrets no repositório central de credenciais da solução (item 1 desta especificação técnica), sem necessidade de criação de novo ambiente de administração de credenciais, mantendo os mesmos requisitos de segurança já definidos para aquela solução.
10.7.20. Deve oferecer recursos de redundância, alta disponibilidade e suporte a balanceamento de carga se utilizando da infraestrutura disponibilizada pela CONTRATANTE. A alta disponibilidade deve conter funcionalidade de replicação automática entre as bases da solução, oferecendo pelo menos 2 réplicas. O conjunto de réplicas deve oferecer funcionalidade de Failover automático, onde uma das réplicas assumirá a operação em caso de problemas. Deve haver funcionalidade de backup seguro do conteúdo armazenado e configurações do produto, possibilitando a prática de Disaster Recovery.
10.7.21. Para que não haja sobrecarga nem exposição do repositório central da solução e suas redundâncias, a solução deve oferecer componentes que absorvam a carga de requisições. Esses componentes devem agregar capacidade de requisições por segundo de maneira quantitativa ao total da solução.
10.7.22. Prover, no mínimo, dois ambientes adicionais externos da solução em produção para testes e homologação, replicando as mesmas licenças e funcionalidades do ambiente de produção.
10.7.23. A solução deverá ser entregue com licença equivalente ao padrão enterprise sem restrição a volume de dados trafegados ou gerados, que não impossibilite a replicação e redundância (alta disponibilidade); ou que possua quaisquer outras limitações características de soluções não corporativas ou incompatíveis com o parque tecnológico da CONTRATANTE.
10.8. Solução de segurança para identidades e acessos - Proteção para Aplicações
10.8.1.A solução deve ser disponibilizada com um SDK (Software Development Kit) que pode ser configurado para permitir que aplicações possam:
10.8.2.Solicitar as credenciais sob demanda ao invés de utilizar credenciais estáticas;
10.8.3.Atualizar informações de contas automaticamente no banco de dados de senhas;
10.8.4.Inscrever automaticamente em sistemas alvo sem aguardar por atualizações dinâmicas;
10.8.5.Alterar senhas em texto-claro incorporados em aplicações de uma forma segura no banco de dados de senhas;
10.8.6.Solicitar as credenciais sob demanda via REST ou SOAP ao invés de utilizar credenciais estáticas;
10.8.7.Atualizar informações de contas automaticamente no banco de dados de senhas;
10.8.8.Deverá integrar-se nativamente ao cofre digital da solução, utilizando sua mesma interface web
10.8.9.A solução deverá possuir mecanismo de segurança que mantenha a entrega de credenciais em caso de queda da rede ou parada total do cofre digital, evitando assim a parada de aplicações críticas.
10.8.10. A solução deverá fornecer as senhas pelo menos via consulta de rede ou Webservice.
10.8.11. O uso de agente deve permitir instalação em múltiplos servidores web, sem necessidade de aquisição de licenças, visando fornecer a melhor adaptação à arquitetura do contratante.
10.8.12. Deverá manter um cache atualizado das credenciais utilizadas localmente no servidor da aplicação, a fim de prevenir falhas na comunicação com o cofre digital e trazer velocidade às consultas
10.8.13. O cache deverá ser atualizado periodicamente com possibilidade de configuração da frequência de atualização.
10.8.14. Deverá suportar a utilização de executável para scripts e aplicações nativas em plataforma Windows
10.8.15. Deverá suportar a utilização de integração com servidores WebSphere, WebLogic, JBoss e Tomcat, para fornecimento de credenciais via datasources, ou de funcionalidade semelhante.
10.8.16. Deverá suportar a autenticação de aplicações que consultam credenciais, permitindo definir o caminho da aplicação, usuário da solução operacional, endereço do servidor e hash MD5 do código ou de .funcionalidade semelhante
10.8.17. Deverá suportar redundância de credenciais, oferecendo mais de um usuário e senha à aplicação em questão de maneira transparente, de forma que se evite qualquer possível indisponibilidade mínima durante o processo de troca de senhas.
11. SOLUÇÃO DE GERENCIAMENTO DE ACESSOS PRIVILEGIADOS (PRIVILEGED ACCESS MANAGEMENT-PAM) ? COFRE DE SENHAS
11.1. Hardware (Físico):
11.1.1.Solução deve ser do tipo appliance padrão 19?, permitindo sua fixação em rack;
11.1.2.Deve ocupar espaço máximo em rack de 2Us;
11.1.3.Deve possuir as seguintes características de desempenho:
11.1.3.1. 2 processadores;
11.1.3.2. 64 GB de memória RAM;
11.1.3.3. 36 TB de discos rígidos (HD);
11.1.3.4. Permitir redundância de disco, no mínimo, RAID 5;
11.1.3.5. Discos rígidos devem ser Hot Swap;
11.1.3.6. Possuir fonte redundante.
11.1.4.Suportar, no mínimo, 1.500 sessões simultâneas;
11.1.5.Suportar, no mínimo, 650.000 horas de armazenamento de gravação de sessões.
11.1.6.Os usuários geridos pela solução poderão estar conectados simultaneamente;
11.1.7.Solução para armazenamento seguro e controle de credenciais não pessoais e privilegiadas em Servidores Linux/Unix, Windows (Incluindo contas de serviço como COM+e IIS), Sistemas, Aplicações Web, Bancos de Dados, Estações de Trabalho e Dispositivos deRede, totalizando 100 usuários ou 7.550 dispositivos;
11.1.8.Prover autenticação transparente no sistema-alvo ou dispositivo de rede. A solução deve iniciar uma sessão injetando diretamente as credenciais na tela de login e servindo como um proxy para a sessão entre o usuário e o sistema-alvo, de forma que a senha não seja exposta ao solicitante do acesso;
11.1.9.Eliminar credenciais inseridas em códigos-fonte, scripts e arquivos de configuração, fazendo com que as senhas passem a ser gerenciadas pela solução e invisíveis aos desenvolvedores e equipe de suporte de TI;
11.1.10. Gerar vídeos ou logs de textos das sessões realizadas através da solução, armazenados em repositório seguro, criptografado e protegido contra qualquer alteração que comprometa a integridade dessas evidências;
11.1.11. Instalação e configuração do ambiente tecnológico e operacional considerando também os Appliances virtuais e físicos que compõe a solução ofertada pela CONTRATADA, em local a ser definido pela CONTRATANTE;
11.1.12. 1 (um) dos nós ofertados pela CONTRATADA para a solução deverá ser físico, obrigatoriamente;
11.1.13. O equipamento físico ofertado pela CONTRATADA deve ser instalado em rack padrão da DPU com dimensão máxima de 3U, acompanhado de trilhos e demais componentes necessários para sua ativação.
11.1.14. Caso a solução utilize sistema operacional de terceiros, este deverá vir licenciado para a proteção interna do appliance e aplicação.
11.1.15. Todos os componentes da solução, incluindo Sistema Operacional e Banco de Dados, deverão ser manutenidos pela CONTRATADA, sendo esta responsável pela manutenção, atualização e correção destes, durante a vigência contratual;
11.1.16. Deve prover alta disponibilidade para todas as funcionalidades com opção ativo/passivo ou ativo/ativo, com failover automático para todas as arquiteturas de implantação, com todas as licenças válidas e com garantia igual ao do objeto desta contratação e sem custos adicionais para o CONTRATANTE;
11.1.17. Não deve haver cobranças à parte no licenciamento de software para opção de ambiente de suporte ativo/passivo ou ativo/ativo ou arranjos de arquitetura; físico-físico e físico-virtual.
11.1.18. Deverá possuir a capacidade de operação nativa de todas as funcionalidades a partir de nós (servidores) físicos e virtuais, permitindo arranjos do tipo: físico-físico e físico-virtual.
11.2. Arquitetura do sistema e sistema de backup:
11.2.1.Gerenciar todo o ambiente sem a necessidade de instalação de agentes ou qualquer software nos sistemas-alvos ou dispositivos de rede;
11.2.2.Gerar vídeos ou logs de textos das sessões realizadas através da solução, armazenados em repositório seguro, criptografado e protegido contra qualquer alteração que comprometa a integridade dessas evidências;
11.2.3.Geração automática de senhas de alta complexidade de acordo com as regras de cada tecnologia e Política de Segurança da empresa;
11.2.4.Tanto appliances quanto sistemas operacionais que compõe a solução devem seguir padrões de ?hardening? atualizados constantemente pelo fabricante da solução de cofre de senhas e protegidos com firewall interno e detecção de intrusão;
11.2.5.O Banco de Dados deverá ser fornecido como parte integrante da solução;
11.2.6.Utilizar um banco de dados com as melhores práticas de segurança, deve estar em ambiente ?hardenizado?, com mecanismo de blindagem e criptografia do sistema operacional e documentação que comprove a contemplação destes requisitos;
11.2.7.Não permitir a abertura do cofre com chaves criptográficas geradas por seus respectivos fornecedores e/ou fabricantes em hipótese alguma;
11.2.8.Possibilitar a utilização de criptografia do banco de dados utilizado pela solução, para armazenar as senhas das credenciais gerenciadas por ela, devendo ainda ser compatível com pelo menos um dos seguintes métodos e padrões de criptografia:
11.2.8.1. AES com chaves de 256 bits;
11.2.8.2. FIPS 140-2;
11.2.8.3. Encriptação PKCS#11 ou superior por hardware utilizando dispositivos de HSM devidamente homologados pelo fabricante para a solução ofertada.
11.2.9.Para geração de hash, deve permitir a utilização do algoritmo SHA-256 ou variações superiores da família SHA-2;
11.2.10. A solução deverá prover mecanismos de criptografia de usuário e senha para conexão com base de dados;
11.2.11. A solução não deverá trafegar dados sensíveis em texto claro;
11.2.12. A solução deverá prover mecanismos de criptografia para informações sensíveis armazenadas em banco de dados compatível com o padrão AES com chaves de 256 bits;
11.2.13. A interface da solução, no acesso via navegador web, deverá utilizar o protocolo HTTPS;
11.2.14. O backup/restore de todos os dados e configurações da solução deve estar incluso e deve permitir ao administrador agendar backups para determinada data e hora e exportá-los para um servidor remoto;
11.2.15. A solução deverá manter a persistência de todos os relatórios e arquivos históricos, incluindo gravações de sessão, sem necessidade de restauração de backup, por pelo menos 90 (noventa) dias;
11.2.16. A solução deverá permitir retenção em backup de relatórios e logs da aplicação por pelo menos 2 (dois) anos;
11.2.17. A solução deve permitir retenção em backup das gravações de sessão por pelo menos 1 (um) ano;
11.2.18. O arquivo de backup não deverá conter nenhuma informação de conta e senha em texto claro;
11.2.19. No backup da chave mestra, ela deve poder ser dividida pelo sistema por uma quantidade parametrizada de partes, de modo que não permita a visualização do todo por uma única pessoa, mas apenas a parte devida a cada uma delas;
11.2.20. A solução deverá possibilitar a replicação em outros Data Centers;
11.2.21. No caso de falha de um dos servidores do cluster de cofre de senhas de alta disponibilidade local, cada um dos servidores deve tratar todas as requisições de acesso, sem nenhum prejuízo no desempenho ou nas funcionalidades;
11.2.22. Alterações realizadas no cluster de cofre de senhas de alta disponibilidade local deve ser automaticamente replicada para os outros servidores de redundância, de forma síncrona e com delay máximo de 50ms;
11.2.23. Utilizar tecnologia de restrição e autenticação que inclua Assinatura Digital (Hash), e endereço IP do host ou conjunto de hosts a serem acessados pela solução;
11.2.24. A solução deve permitir compatibilidade com pelo menos os seguintes padrões: ISSO 27001, SOC2 Type2 (no caso de SaaS), MITRE CNA, LGPD e SSDLC para a implementação de controles de acesso às credenciais privilegiadas.
11.3. Administração:
11.3.1.A solução deverá possuir todas as funções fornecidas pelo mesmo fabricante, sem dependência de ferramentas de terceiros ou adaptações;
11.3.2.Possibilidade de comunicação com os serviços de diretório via protocolo LDAPS;
11.3.3.Suportar sincronização do relógio interno via protocolo NTP;
11.3.4.A solução deve possuir interface única, na mesma solução, para o gerenciamento de senhas e sessões;
11.3.5.A solução deve oferecer o provisionamento e gerenciamento de todas as contas privilegiadas, incluindo contas para a administração de aplicações de negócio, bancos de dados e dispositivos de redes, não se limitando apenas às contas de sistemas operacionais de servidores;
11.3.6.A solução deverá realizar sincronismo de data e relógio via protocolo NTP (Network Time Protocol) ou por meio do serviço de data e hora do sistema operacional;
11.3.7.A solução deverá prover mecanismos de atualização de segurança;
11.3.8.Ter uma console de configuração unificada para gerenciamento de contas e ativos agregados ao cofre de senhas;
11.3.9.Permitir o backup e o recovery de seu banco de dados, bem como das configurações de software estabelecidas, com as seguintes capacidades:
11.3.9.1. Permitir a execução de tarefas de backup e criptografia sem a necessidade de agentes de terceiro, provendo assim o maior nível possível de segurança e integridades dos dados a serem copiados;
11.3.9.2. Permitir a execução de backups automatizados através da programação/agendamento.
11.3.10. Permitir, através de interface gráfica, que administradores possam configurar as integrações com dispositivos e/ou plataformas que não são disponibilizadas nativamente, sem a necessidade de serviços profissionais de terceiros;
11.3.11. Extrair backups do sistema, logs e vídeos além das credenciais para um servidor localizado em Data Centers remotos caso seja necessário para restaurar todas as configurações e os dados da solução de cofre de senhas;
11.3.12. A solução deve permitir que você finalize todas as sessões em andamento, bloqueie o acesso a dispositivos predefinidos ou bloqueie todo o acesso a ele por um período definido.
11.4. Gerenciamento de senhas:
11.4.1.A solução deve permitir parametrização de políticas de segurança e força de senha pelo administrador do sistema, dentre as quais: conjunto de caracteres alfanuméricos, numéricos e caracteres especiais, podendo ser escolhidos também quais caracteres especiais serão permitidos, com possibilidade de não possibilitar caracteres repetidos, gerando senhas aleatórias;
11.4.2.Gerenciar chaves SSH e fazer Scan de servidores Linux e identificação e publicação de chaves SSH;
11.4.3.Realizar a troca automática das senhas, em horário programado, após terem sido liberadas para uso ou por vencimento de prazo;
11.4.4.Consolidação periódica de senhas para identificar senhas que foram alterados em sistema gerenciados;
11.4.5.Possibilidade de gerenciar senhas privilegiadas em aplicações e integração com sistemas legado;
11.4.6.Oferecer interface com visão personalizada exclusiva para Auditorias e Órgãos Reguladores, contendo os dispositivos e credenciais gerenciadas pela solução;
11.4.7.Fornecer uma área de transferência segura, para que o solicitante possa visualizar ou copiar a senha na tela de login do sistema de destino;
11.4.8.Prover área de transferência segura, de forma que o solicitante possa visualizar a senha ou copiá-la para a tela de login do sistema-alvo;
11.4.9.Liberação ou revogação de todos os acessos de uma determinada credencial de maneira automatizada e imediata;
11.4.10. Notificar, via e-mail ou SMS, novas solicitações de aprovação de acesso aos respectivos responsáveis pelas credenciais;
11.4.11. Permitir o monitoramento on-line do uso das contas e desligamento da sessão;
11.4.12. Apresentar o recurso "break glass" para acesso de emergência às contas, ou seja, permitirá acesso a ativos protegidos de forma emergencial, sem a necessidade de aprovação prévia em contas no qual o usuário não teria acesso, sem perda de rastreabilidade;
11.4.13. Oferecer a funcionalidade de "Discovery" para realizar busca de novos servidores, elementos de rede e bancos de dados, sendo capaz de levantar automaticamente as contas criadas nesses novos dispositivos incluindo a possibilidade de descobrir certificados SSL utilizado nos dispositivos gerenciados;
11.4.14. Possibilidade de bloqueio de comandos específicos, com opção de interromper a sessão caso o usuário execute um comando indevido;
11.4.15. Buscar por comandos específicos executados pelo usuário através de linha de comando em logs ou sessões gravadas;
11.4.16. Configuração de alertas imediatos quando realizados determinados comandos por usuários privilegiado;
11.4.17. Possibilidade de geração de relatórios baseados nos logs e exportá-los para arquivos em formato ".csv";
11.4.18. A funcionalidade deve permitir que o administrador configure a comunicação com aplicações de terceiros utilizando scripts, macros, chamadas executáveis, linguagens de programação diversas e aceite protocolos variados incluindo, no mínimo, RPC, WinRM, SSH, API REST HTTP/HTTPS;
11.4.19. As senhas geradas automaticamente pela solução de cofre de senhas devem seguir os seguintes requisitos:
11.4.19.1. Poder determinar a quantidade de caracteres;
11.4.19.2. Ser composta por números, letras maiúsculas, letras minúsculas e por caracteres especiais;
11.4.19.3. Poder ser pré-definidas quais caracteres especiais poderão ser utilizados;
11.4.19.4. Aleatórias de modo que dentro do histórico de uma conta seja improvável encontrar duas senhas iguais;
11.4.19.5. Não seja baseada em palavra de dicionário.
11.4.20. A solução deve permitir a criação de políticas de senhas de forma hierárquica ou em níveis de segurança, possibilitando a criação de senhas diferenciadas para grupos de ativos de diferentes plataformas ou criticidades;
11.4.21. Possuir mecanismo para exportar arquivo com as últimas senhas para repositório remoto, de forma criptografada e protegida por senha de dupla custódia para recuperações de senhas no caso de falha total da solução;
11.4.22. A solução deve possibilitar políticas de senha que impeça visualização simultânea de credenciais, sessões, bem como também configurar o tempo de expiração das senhas baseadas por visualização e data de expiração. Também deve ser possível escolher dias específicos da semana e horários que as credenciais poderão expirar;
11.4.23. A solução deve gerenciar senhas privilegiadas de aplicações, de modo a evitar situação de senhas embutidas em códigos-fonte;
11.4.24. A solução deve ter a capacidade de gerenciar credenciais que estejam em sistemas localizados em múltiplas localidades geográficas ou domínios distintos;
11.4.25. A solução deve ser capaz de gerenciar senhas privilegiadas de aplicações, de modo a evitar senhas embutidas em códigos-fonte;
11.4.26. A solução não deverá depender da instalação de agentes para realizar a troca de senhas;
11.4.27. Checkout/CheckIn de credencial: A solução deve redefinir a credencial (senha) no ambiente para os casos de visualização da senha pelo solicitante nos processos de checkout de credencial;
11.4.28. A solução deve ter a capacidade de realizar a reconciliação de credenciais automaticamente.
11.5. Rotação de senhas:
11.5.1.Troca automática de senhas para Servidores (Unix, Linux, Windows), Bancos de Dados (MS SQL, ORACLE, MYSQL, PostgreSQL), Aplicações Web, Dispositivos de Rede, Mainframe;
11.5.2.A solução deverá realizar a troca automática da senha da ligação entre servidores MS SQL server com Linked Servers;
11.5.3.Geração automática de senhas de força/complexidade de acordo com as regras de cada tecnologia e Política de Segurança da empresa;
11.5.4.Flexibilidade para configuração de força de senha gerada;
11.5.5.Realizar a troca automática das senhas, em horário programado, após terem sido liberadas para uso ou por vencimento de prazo;
11.5.6.Possibilidade de gerenciar senhas privilegiadas em aplicações e integração com sistemas legado;
11.5.7.Possibilidade de executar trocas de senhas por meio de automações que interagem com páginas web, tanto para sistemas externos e conhecidos, como para sistemas internos desenvolvidos por equipes internas;
11.5.8.Armazenamento de histórico de senhas por equipamento;
11.5.9.Registro de troca executadas;
11.5.10. Relatório de acompanhamento de trocas;
11.5.11. Relatório de erros de trocas;
11.5.12. Alertas de falha ou sucesso de trocas;
11.5.13. Possibilidade de reconfiguração/customização de scripts ou plugin de troca de senhas para configuração de casos que exijam parâmetros específicos para rotação de senhas;
11.5.14. Configuração de políticas de trocas de senhas com agendamento programado ou por ocorrências de eventos com especificação de parâmetros de prazo para a troca;
11.5.15. Disponibilizar os Templates de troca de senha de forma que possam ser abertos, editáveis e auditáveis;
11.5.16. Templates com linguagem acessível e fácil interpretação;
11.5.17. Rastreabilidade de Alteração de Template;
11.5.18. Troca de senhas em aplicações HTTP/HTTPS com templates.
11.6. Controle de Acesso:
11.6.1.A solução deve ser capaz de limitar a execução de comandos críticos pelos usuários cadastrados;
11.6.2.A solução deve ser capaz de prover acesso externo sem a necessidade de instalação de Agent ou utilização de VPN;
11.6.3.A solução deve permitir o controle de execução de comandos críticos por, pelo menos, ?whitelist? e ?blacklist?;
11.6.4.A solução deve permitir o início e a condução de sessões dentro do próprio navegador, dispensando o uso de clientes externos como o mstsc.exe e o putty.exe;
11.6.5.A solução deve possuir tempo de expiração de sessão configurável pelo administrador do sistema;
11.6.6.A solução deve suportar a desconexão da sessão por atividade/uso indevido de comandos pré-cadastrados no sistema;
11.6.7.A solução deve permitir a criação de grupos de usuários;
11.6.8.Bloqueio ou alerta de comandos com alertas, interrupção de sessão ou apenas o registro de execução - Baseado em blacklist;
11.6.9.Bloqueio ou alerta de comandos com alertas, interrupção de sessão ou apenas o registro de execução - Baseado em whitelist;
11.6.10. Possibilidade de bloqueio e auditoria de comandos específicos;
11.6.11. Buscar por comandos específicos executados pelo usuário através de linha de comando em logs ou sessões gravadas;
11.6.12. Configuração de alertas imediatos quando realizados determinados comandos por usuários privilegiados;
11.6.13. Marcação de pontuação de comandos de acordo com nível de risco de cada comando;
11.6.14. A solução deve permitir a atribuição de privilégios a grupos de usuários, associados a um ou mais alvos gerenciados;
11.6.15. A Solução deve permitir integração com ferramentas de gestão de incidentes (ITSM) para validar tickets abertos durante processo de aprovação de acesso;
11.6.16. A solução deve permitir acesso simultâneo ao cofre de senhas e as contas privilegiadas por dois ou mais usuários;
11.6.17. A solução deve viabilizar a segregação de funções entre usuários de uma mesma aplicação gerenciada;
11.6.18. A solução deve fornecer funcionalidade para revogar imediatamente todas as sessões remotas para um usuário conectado;
11.6.19. A solução deve permitir acesso simultâneo às credenciais privilegiadas por dois ou mais usuários;
11.6.20. Acessos simultâneos a credenciais, senhas e dispositivos não devem possuir comprometimento da rastreabilidade.
11.7. Integração e compatibilidade:
11.7.1.Possibilitar via script, a criação de novos conectores baseado em acessos SSH e RDP, para que seja possível suportar novas interfaces de autenticação de ativos;
11.7.2.A solução deve suportar acesso via dispositivos móveis como tablets e smartphones;
11.7.3.A solução deverá permitir o gerenciamento e monitoramento de sessões do Microsoft Azure;
11.7.4.Ser compatível com sistemas operacionais: Windows Server 2008 ou superior, Red Hat Enterprise, Debian, CentOS, Solaris;
11.7.5.Ser compatível com aplicações Windows: contas de serviço e pools de aplicações do IIS;
11.7.6.Ser compatível com sistemas gerenciadores de bancos de dados: Oracle, Oracle RAC, MSSQL, MySQL, Sybase ASE e IQ, MongoDB, PostgreSQL;
11.7.7.Ser compatível com dispositivos de rede: Cisco, D-Link, HP, 3com, Dell, Foundry, Brocade, ARUBA, Huawei;
11.7.8.Ser compatível com aplicações: WebLogic, JBOSS, Tomcat, Peoplesoft, Oracle Application Server, Apache e IIS;
11.7.9.Ser compatível com serviços de Diretórios: AD, LDAP;
11.7.10. Ser compatível com ambientes virtuais: VMware e Openstack;
11.7.11. Ser compatível com storages: Hitachi, EMC, Huawei, Netapp, Pure Storage e IBM;
11.7.12. Ser disponibilizada um SDK (Software Development Kit) ou API (Application Programming Interface) que pode ser configurado para permitir que aplicações clientes possam:
11.7.12.1. Solicitar credenciais e dispositivos;
11.7.12.2. Cadastro e alteração credenciais e dispositivos;
11.7.12.3. Solicitar chaves SSH;
11.7.12.4. Cadastro e alteração de chaves SSH.
11.7.13. Ser compatível com aplicações em nuvem como Rackspace, IBM SmartCloud, Microsoft Azure, Hyper-V, Google Cloud Platform, GoGrid, Vmware vCenter Server, Amazon AWS.
11.8. Cadastro de Ativos:
11.8.1.Cadastro de equipamentos parametrizado manualmente;
11.8.2.Atributos como Marca, Modelo, Fabricante, Localidade, Grupo abertos para configuração do administrador da ferramenta independente do fabricante.
11.9. Cofre de Informações privilegiadas:
11.9.1.A solução deve armazenar senhas para aplicações e serviços online;
11.9.2.A solução deve armazenar documentos e arquivos;
11.9.3.A solução deve armazenar notas;
11.9.4.A solução deve possuir registro de acesso a informações privilegiadas;
11.9.5.A solução deve ter a possibilidade de compartilhar informações com outros usuários;
11.9.6.A solução deve possuir APIs para gerenciar itens do cofre;
11.9.7.A solução deve guardar diferentes versões de um segredo que possam ser restauradas;
11.9.8.A solução deve oferecer importação em lote de senhas, notas, documentos e arquivos;
11.9.9.A solução deve oferecer migração das informações do LastPass;
11.9.10. A solução deve possuir um dashboard administrativo com opções de ambiente;
11.9.11. A solução deve possuir uma extensão de navegador para Google Chrome;
11.9.12. Utilizando a extensão deve ser possível salvar senhas diretamente do website acessado.
11.10. Fluxos de Aprovação:
11.10.1. A solução deverá ser flexível no processo de aprovação para o acesso a contas privilegiadas (acessos pré-aprovados, acessos com aprovação única e acessos com aprovações multiníveis);
11.10.2. A solução deverá permitir a configuração de fluxos de aprovação diferenciados por criticidade e características da conta, como contras privilegiadas e contas de uso por terceiros;
11.10.3. A solução deverá permitir a alteração, por parte do aprovador, do período de acesso solicitado por um usuário;
11.10.4. Caso uma solicitação de acesso seja aprovada, a sessão e o privilégio concedido deverão expirar automaticamente ao final do período autorizado;
11.10.5. O acesso ao fluxo de solicitação e aprovação deve ser possível de ser realizado de forma remota e segura;
11.10.6. A solução deve possuir função para revogar todos os acessos de uma pessoa de maneira imediata;
11.10.7. A solução deve oferecer um campo para que seja inserido um número identificador de demanda ou mudança ao qual o acesso estará associado;
11.10.8. A solução deve oferecer interface para usuários e auditores, provendo mecanismos de controle de acesso flexíveis para criar visões/grupos personalizados de dispositivos gerenciados e contas privilegiadas;
11.10.9. A solução deverá prover mecanismo de acesso emergencial a saque de senhas cadastradas na solução;
11.10.10. O acionamento do acesso emergencial deve notificar os aprovadores via e-mail ou pela interface da ferramenta.
11.11. Notificações e Alertas:
11.11.1. As notificações ou alertas emitidos pela solução devem ser customizáveis;
11.11.2. Envio de alerta por SIEM de senhas que não estejam iguais ao cofre;
11.11.3. A solução deve ser configurável para enviar alertas disparados pelo sistema, no mínimo, por e-mail e SNMP, para eventos que contemplem pelo menos um dos seguintes serviços:
11.11.3.1. Caso serviços essenciais estejam parados;
11.11.3.2. Caso atinja o limite de processamento da CPU;
11.11.3.3. Caso atinja o limite de processamento da memória;
11.11.3.4. Caso atinja o limite de capacidade do armazenamento de dados.
11.11.4. A solução deve ser capaz de notificar, via e-mail, novas solicitações de acesso para as pessoas responsáveis pela aprovação;
11.11.5. A solução deve ser capaz de notificar ao solicitante de um acesso, via e-mail, acessos que foram ou não aprovados;
11.11.6. As notificações devem ser parametrizáveis, de modo que o administrador da solução possa habilitar/desabilitar individualmente as notificações.
11.12. Relatórios e Dashboards:
11.12.1. A solução deve permitir que os módulos de visualização de sessões e geração de relatórios apresentem o número de registros localizados e paginação de resultados para cada pesquisa realizada;
11.12.2. A solução deve permitir a geração de relatórios de todos os usuários cadastrados na aplicação, e seus respectivos papéis;
11.12.3. A solução deve permitir a geração de relatórios de contas de usuários privilegiados monitoradas pela ferramenta;
11.12.4. A solução deve possuir mecanismos para geração de relatórios a respeito das contas privilegiadas, tais como listas de ativos e suas contas gerenciadas, requisições de acesso a contas privilegiadas submetidas a aprovação, aprovadas ou rejeitadas e histórico de utilização das contas privilegiadas;
11.12.5. Os relatórios devem ser exportados, no mínimo, para um dos seguintes formatos:
11.12.6. PDF, XLSX e CSV;
11.12.7. A solução deve registrar atividades administrativas, como modificações de políticas e contas;
11.12.8. A solução deve relatar a data do último logout de cada conta privilegiada, a fim de identificar contas possivelmente não mais usadas;
11.12.9. Fornecer uma lista de contas de usuário habilitadas as quais senha não foi alterada em mais de 30 dias;
11.12.10. Conter um histórico detalhado de todas as alterações de segurança de senha feitas nos dispositivos por qualquer usuário;
11.12.11. Listar todas as contas gerenciadas pela solução juntamente com os detalhes da idade da senha;
11.12.12. Listar detalhes de conta de usuário de ativos, filtrados por localização, status, associação de grupo e mais;
11.12.13. Fornecer uma visualização transacional detalhada de atividades de sessão da solução;
11.12.14. Fornecer lista com detalhes da atividade de liberação de senha da solução;
11.12.15. Fornecer os detalhes da atividade de atualização de senha da solução;
11.12.16. Fornecer os detalhes das próximas atualizações de senha programadas;
11.12.17. Fornecer uma lista detalhada de quais sistemas estão usando uma conta de serviço da solução para iniciar um ou mais serviços;
11.12.18. Histórico de utilização da credencial: A solução deve armazenar o histórico de utilização das credenciais, assim como qualquer outro tipo de ação associada a seu uso como gerenciamento remoto, finalização da sessão por administrador, etc. O histórico pode se visualizado na própria solução ou através da geração de relatórios de auditoria;
11.12.19. Relatórios de operação com lista de usuários, equipamentos e credenciais cadastradas;
11.12.20. Relatórios PCI;
11.12.21. Relatórios de Gestão de Eventos;
11.12.22. Relatórios de Auditoria;
11.12.23. Relatórios de Alertas;
11.12.24. Exportação para formato CSV;
11.12.25. A solução deve prover Dashboards de utilização geral da ferramenta, contendo gráficos que apresentem informações relacionadas a pelo menos usuários cadastrados, credenciais gerenciadas, sessões remotas realizadas e ameaças detectadas;
11.12.26. A solução deve controlar o acesso aos relatórios se baseando nas permissões configuradas na solução;
11.12.27. Registrar cada acesso, incluindo os acessos via aplicação web para solicitações de senha, aprovações, checkouts, mudanças de delegação, e outras atividades. Devem ser registrados os acessos à console de gerenciamento, bem como todas as atividades de alterações de senhas;
11.12.28. A solução deve fornecer dados ad-hoc agendados, relatórios em tempo real dos usuários, contas, configuração da solução e informações sobre os processos da solução;
11.12.29. A solução deve apresentar relatórios com visibilidade hierárquica, contendo listas e filtros de ordenação de tal forma que os usuários possam detalhar as informações e os recursos que desejam acessar.
11.13. Análise de Comportamento:
11.13.1. Análise de sessão de usuário baseado em histórico de comportamento. Análise mínima das variáveis de estações origem, estações destino, credenciais, horários, duração de sessão;
11.13.2. Identificação de comportamento diferenciados com alertas de anormalidade em relatórios em tela;
11.13.3. Análise de sessão de usuários com pontuação de comando críticos com alertas de anormalidade em relatórios em tela;
11.13.4. Dashboards gráficos com informações sobre riscos e ameaças;
11.14. Logs e Auditoria:
11.14.1. A solução deverá permitir integração com ferramenta de SIEM de acordo com os padrões de mercado, por meio de provisionamento de informações ou envio automático de logs para servidores SYSLOG, aderente aos princípios da RFC 5424.
11.14.2. A solução deve possibilitar o rastreamento de todas as ações realizadas nos sistemas gerenciados por meio das contas privilegiadas.
11.14.3. O sistema deve registrar todas as atividades executadas e disponibilizar os dados de auditoria a usuários com perfil adequado, como por exemplo perfil de Auditor.
11.14.4. A solução deve alertar ao usuário que a sessão está sendo gravada, podendo ter o banner de alerta customizado pelo administrador da solução.
11.14.5. A solução deve prover mecanismo de busca de gravações registradas dos acessos nos ativos.
11.14.6. A solução deve permitir a busca por comandos específicos executados pelo usuário como em sessões SSH e Windows.
11.14.7. O mecanismo de gravação deve ser fornecido e desenvolvido como parte integrante da solução, não sendo aceitos programas de outros fabricantes que não o desenvolvedor da solução proposta.
11.14.8. A solução deve ser capaz de armazenar os vídeos das sessões em repositório seguro, criptografado e protegido contra qualquer alteração que comprometa a integridade dessas evidências.
11.14.9. A solução deve compactar os vídeos gravados. Além disso, são utilizadas técnicas de compressão dos períodos de inatividade da sessão.
11.14.10. A solução deve ser capaz de registrar em vídeo a sessão do usuário, independentemente da forma de acesso.
11.14.11. A solução deve controlar o acesso as sessões gravadas, tanto como permissão, como registrando quem teve acesso.
11.14.12. A solução deve suportar a pesquisa dos comandos executados e vincula esses comandos aos quadros das sessões gravadas e armazenadas.
11.14.13. Expiração e expurgo das gravações de forma automática ou manual.
11.14.14. Possibilidade de armazenamento e exportação das gravações para locais fora do PAM (rede local ou nuvem).
11.15. Análise de Query e Comandos para Banco de Dados:
11.15.1. A solução deverá gerenciar de forma segura e auditada as sessões privilegiadas para os bancos de dados, SQL server, Oracle e PostgreSQL, com no mínimo os seguintes requisitos técnicos:
11.15.1.1. Deverá prover a sessão ao dispositivo final de forma transparente, segura, gravada e auditada sem a necessidade de instalar agentes do fabricante ou de terceiros;
11.15.1.2. Deverá realizar a verificação em tempo real dos comandos e query, tendo a inteligência e funcionalidade de realizar minimamente as seguintes ações: bloqueio de execução quando não permitido pela solução, encerramento da sessão e envio de notificação/alerta de riscos aos DBAs, quando configurados e identificados pela solução;
11.15.1.3. Deverá possuir tecnologia que registre e armazene todas as atividades realizadas através da solução para fins de auditoria e consulta posterior;
11.15.1.4. Deverá possuir a customização do privilégio do acesso por usuário, grupo de usuário e dispositivo, via interface centralizada de administração da solução.
11.16. Autenticação:
11.16.1. A solução deverá possibilitar autenticação transparente no sistema-alvo, com início de sessão por meio da injeção direta de credenciais;
11.16.2. A solução deverá permitir autenticação multifator de usuário (MFA);
11.16.3. Em função de vulnerabilidades de segurança e da necessidade de integração com serviços de telefonia, a autenticação multifator não deverá fazer uso de SMS;
11.16.4. A solução deve integrar-se com soluções de autenticação de duplo fator, incluindo tokens de tempo e certificados digitais dos tipos A1 e A3;
11.16.5. A solução deverá ser integrada a base de usuários com privilégios administrativos do Microsoft Active Directory, TACACS e RADIUS para concessão de acesso a plataforma e, também a atribuição de perfis de acesso às funcionalidades do sistema;
11.16.6. Autenticação centralizada integrada com protocolo SAML;
11.16.7. Autenticação centralizada integrada com protocolo OpenID;
11.16.8. Autenticação centralizada integrada com autenticação por certificado digital pessoal para usuários e administradores;
11.16.9. Duplo fator de autenticação nativo para acesso web ou através de client;
11.16.10. A solução deverá ser capaz de bloquear usuários e sessões que estejam dentro das seguintes características de acesso:
11.16.10.1. Acesso incomum a um dispositivo;
11.16.10.2. Acesso de origem incomum;
11.16.10.3. Acesso incomum a uma credencial;
11.16.10.4. Acesso de duração incomum;
11.16.10.5. Acesso de horário incomum.
11.16.11. Autenticação local através de usuários e senha;
11.16.12. Autenticação centralizada integrada com LDAP, LDAPS para MS AD com múltiplos DCS;
11.16.13. A solução deve permitir autenticação de usuário multifator (MFA) de forma adaptativa com base em intervalos de IP definidos nela.
11.17. Gestão de Usuários e Perfis:
11.17.1. Cadastro de usuários com informações de nome, e-mail e departamento no mínimo:
11.17.1.1. Cadastro de perfis de usuários;
11.17.1.2. Segregação de funções por perfis de acesso;
11.17.1.3. Flexibilidade para criação de quaisquer perfis novos, com diversa combinações de telas e funcionalidades de acordo com a necessidade do negócio sem intervenção do fornecedor;
11.17.1.4. Criação de TAGs personalizadas para definir dispositivos e credenciais;
11.17.1.5. Importação automática de contas de usuários do AD;
11.17.1.6. Importação automática de contas de usuários do LDAP;
11.17.1.7. Gerenciamento de Grupos e Perfis de acesso integrados aos grupos de AD/LDAP.
11.18. Gerenciamento e gravação de sessões:
11.18.1. A solução deve permitir o gerenciamento e monitoramento de sessões estabelecidas via protocolos: HTTP, HTTPS, SSH e RDP, seja via Proxy ou Jump Server;
11.18.2. A solução deve permitir monitoramento em tempo real das sessões ou atividades dos usuários privilegiados, disponibilizada em interface centralizada (Dashboard);
11.18.3. A solução deve garantir a monitoração das atividades realizadas com contas de acesso privilegiado obtidas de forma emergencial (?break-glass?);
11.18.4. A solução deve possuir funcionalidade de gravação das sessões dos usuários privilegiados;
11.18.5. A gravação de sessão de usuário deve suportar a gravação contínua de toda a sessão em vídeo;
11.18.6. A gravação de sessão deve possibilitar o registro da iteração do mouse e teclado durante a sessão;
11.18.7. A solução deve suportar a gravação da sessão de usuários simultâneos. A quantidade máxima de sessões deve ser baseada no hardware utilizado para a solução, não tenho uma limitação de software;
11.18.8. As gravações de sessão devem ser armazenadas em formato criptografado. É desejável que as gravações sejam armazenadas em formato compactado;
11.18.9. A solução deve possibilitar o gerenciamento e monitoramento de sessões das redes sociais da CONTRATANTE, acessadas via browser, como Facebook, Twitter, Instagram e LinkedIn;
11.18.10. A solução não deverá depender da instalação de agentes para realizar a gravação de sessão;
11.18.11. Gravação de Vídeo das sessões realizadas através de webproxy ou proxy transparente em formato otimizado;
11.18.12. Gravação de comandos digitados em ambientes RDP e SSH;
11.18.13. Oferecer opção de assistir o vídeo de uma sessão realizada diretamente na solução, sem necessidade de converter em formato de vídeo ou realizar download;
11.18.14. Exportação de sessão em formato vídeo;
11.18.15. Busca de registro de sessão por usuário, sistema alvo, ip alvo, data e hora;
11.18.16. Busca por comandos e entradas de teclado digitados em plataforma Linux;
11.18.17. Busca de comandos e entradas de teclado em plataforma Windows;
11.18.18. Gravação de Logs de Input e Output de comandos;
11.18.19. Sem necessidade de agentes locais para gravação de sessão;
11.18.20. Armazenamento e consulta de logs que forneçam ao menos, as seguintes informações:
11.18.20.1. Identificação do usuário que realizou determinado acesso a um dispositivo;
11.18.20.2. Identificação de quem aprovou o acesso do usuário;
11.18.20.3. Data e hora do acesso realizado e das ações que o usuário realizou no dispositivo remoto.
11.18.21. Prover, ao menos, os seguintes filtros para a recuperação de logs: Usuário; Sistemaalvo acessado, Tipo de atividade, Intervalo de tempo (data/hora/minuto inicial e final);
11.18.22. Permitir o acompanhamento on-line de sessões remotas pelo administrador e desligamento da sessão remotamente.
11.19. Gerenciamento de certificados digitais:
11.19.1. A ferramenta deverá cuidar do ciclo de vida completo de um certificado, possuindo as seguintes funcionalidades: Criação de uma requisição, assinatura, renovação e revogação de certificados;
11.19.2. A solução deverá possuir fluxos de aprovação, incluindo aprovação multinível para as seguintes funcionalidades: Assinatura de um .csr, renovação e instalação;
11.19.3. A solução deverá realizar o deploy de certificados no mínimo nos seguintes ambientes: Apache, IBM Websphere, F5 BigIP, IIS, Nginx, Tomcat;
11.19.4. A solução deve possibilitar a revogação de um certificado, não permitindo nenhuma interação com o certificado quando estiver revogado, apenas a renovação;
11.19.5. A solução deverá possuir relatórios e dashboards gerenciais que mostrem toda a base de certificados, centralizando as informações mais críticas de um certificado, como por exemplo certificados que estão próximos a vencer;
11.19.6. A solução deverá possibilitar a configuração de notificações multi-níveis como por exemplo, um certificado a 90 dias para vencer irá notificar o analista, 60 dias para vencer irá notificar o gestor, e 30 irá notificar o gerente;
11.19.7. A solução deverá possibilitar a criação e importação de requisições de certificados (.csr);
11.19.8. A solução deverá se integrar com no mínimo as seguintes autoridades certificadoras: Godaddy, Microsoft CA, GlobalSign e Let''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''s Encrypt;
11.19.9. A solução deve possibilitar o saque de senha de um certificado baseado nas permissões que foram atribuídas para cada usuário. Todos os saques deverão ser auditados e, também deve ser possível passar por um processo de fluxo de aprovação com break the glass e aprovação multiníveis.
11.19.10. A solução deverá possibilitar a criação de organizações gerenciais de certificados dentro do sistema;
11.19.11. A solução deverá permitir a importação manual de no mínimo os seguintes tipos de certificados PFX e CRT;
11.19.12. Deve ser possível o envio de certificados por e-mail nos principais formatos, sendo no mínimo: der, pem, pfx, p7b;
11.19.13. Deve ser possível o download de certificados nos principais formatos, sendo no mínimo: der, pem, pfx, p7b;
11.19.14. A solução deve permitir o gerenciamento de certificados independentemente de qual formato ele é. Essa informação deverá ser transparente ao administrador;
11.19.15. A solução deverá ter uma funcionalidade para delegar um responsável, que será notificado em relação a qualquer acontecimento relacionado a aquele certificado;
11.19.16. A solução deve possuir dashboards gerenciáveis que mostre todos os certificados ativos gerenciados, separando por diversos tipos de regras de negócio, como vencimento, nível de segurança e a localização dos certificados;
11.19.17. A solução deve possibilitar a renovação de certificados, podendo também alterar informações de um certificado e gerar um histórico para que seja um possível regaste de informações;
11.19.18. A solução deve permitir a instalação programada de um certificado, podendo ser selecionado dia, hora e data que será instalada, também em quais dispositivos aquele certificado será instalado;
11.19.19. A solução deve possuir uma funcionalidade para renovar automaticamente certificados quando o certificado estiver: 5 dias antes do vencimento, na data do vencimento, e 1 dias após o vencimento;
11.19.20. A solução deve possuir uma inteligência para fazer a avaliação de segurança de um certificado, levando em consideração pelo menos 5 critérios de segurança;
11.19.21. A solução deve gerenciar os certificados de uma maneira que não considere o formato dos certificados, ou seja, na requisição, assinatura, renovação e instalação dos certificados, o administrador não deve saber quais são os formatos necessários, isso deve estar embutido na inteligência da aplicação;
11.19.22. Caso a solução não possua o gerenciamento de certificado, será aceito sua composição desde que ofertas compostas por software livre (opensource) deverão contemplar o suporte do fabricante e integre totalmente com a solução ofertada com a unificação de uma única interface de administração sem ônus a DPU.
11.20. Automação de tarefas privilegiadas:
11.20.1. A solução deverá realizar a execução de tarefas com scripts pré-cadastrados, podendo ser possível escolher múltiplos dispositivos para um mesmo script;
11.20.2. Deve ser possível cadastrar uma variável para substituir credenciais no script de execução, a fim de não expor credenciais que serão utilizadas nas execuções;
11.20.3. A solução deverá possuir workflow de aprovação para a execução de tarefas, incluindo aprovação multinível com pelo menos 3 níveis;
11.20.4. A solução deve possibilitar a criação de variáveis para execução, sendo definidos os nomes das variáveis e o valor da mesma, como por exemplo ao cadastrar o script: Echo ?VARIÁVEL'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' a execução será Echo ?valor da variável'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''';
11.20.5. A solução deverá possuir relatórios com o histórico de execuções, indicando qual script executado, em quais dispositivos, se houve erro e quem foi o solicitante;
11.20.6. A solução deve ter a capacidade de agendar a execução de tarefas em um horário específico.
11.21. Elevação de privilégios:
11.21.1. A aplicação deverá permitir o saque de senha de credenciais no client, baseadas nas permissões cadastradas no servidor;
11.21.2. A aplicação deverá permitir a elevação de uma aplicação;
11.21.3. A solução deverá ter whitelist para aplicações;
11.21.4. A aplicação deve fazer o discovery de aplicações instaladas na máquina como também permitir que o usuário cadastre novas aplicações para realizar uma elevação;
11.21.5. A aplicação deverá permitir a elevação de funções do painel de controle, como por exemplo fazer alterações na data e hora e região;
11.21.6. A aplicação deverá permitir a segregação de funcionalidades do painel de controle, permitindo diferentes usuários a executar diferentes funcionalidades do painel de controle;
11.21.7. A aplicação deverá listar todos os adaptadores de rede do computador, mas também permitir a elevação de um adaptador, permitindo alterações nas configurações;
11.21.8. A aplicação deverá listar todos os programas instalados no computador, também permitir a desinstalação de uma aplicação;
11.21.9. A aplicação deverá possuir modo offline, podendo armazenar um cache de credenciais para a execução em caso de indisponibilidade do servidor;
11.21.10. A aplicação deverá permitir o cadastro de novas versões, para que sejam atualizadas automaticamente nas workstations dos usuários;
11.21.11. A aplicação deverá restringir a movimentação lateral e qualquer saída de conexão, seja RDP ou SSH;
11.21.12. A aplicação deverá bloquear a elevação de processos filhos caso o processo filho esteja em whitelist, como por exemplo, abrir o CMD e a partir do CMD abrir o PowerShell;
11.21.13. A aplicação deverá permitir a automação de logins e tarefas, como por exemplo identificar uma página web facebook, e inserir as credenciais sem que o usuário tenha ciência da senha utilizada;
11.21.14. Na aprovação de um usuário, deverá ser possível adicionar uma data de vencimento ou data limite para a utilização da ferramenta, para facilitar o gerenciamento de acessos a terceiros;
11.21.15. Um usuário poderá ser utilizar a aplicação em mais de um dispositivo, e um dispositivo poderá ter mais de um usuário cadastrado. As permissões devem ser baseadas por dispositivo e usuário, ou seja, um usuário poderá executar o Painel de controle na máquina A porém não poderá executar na máquina B;
11.21.16. A aplicação deve permitir, de maneira granular, decidir quais aplicações serão gravadas no processo de elevação de privilégio;
11.21.17. Faz a gravação de logs no cofre;
11.21.18. Verificar o risco de execução de um arquivo baseado em integração com plataformas de validação;
11.21.19. Permite simular ações de usuários, criando ações de macro, para automatizar login em aplicações instaladas;
11.21.20. Todas as execuções da aplicação deverão ser logadas, apresentadas em um relatório centralizado, sendo possível filtrar por tipo de execução ou evento;
11.21.21. A solução deverá controlar as permissões de cada funcionalidade, permitindo segregar funções da ferramenta para diversos grupos de usuários diferentes, sem a necessidade de uma instalação adicional;
11.21.22. Controlar a elevação de privilégio em estações de trabalho (endpoints), a fim de executar aplicações autorizadas que necessitem deste privilégio (?Run As?);
11.21.23. Possibilidade de mapear compartilhamentos de rede com um usuário administrador, diferente do usuário logado na máquina (?Mapear como?).
11.22. Descoberta de credenciais:
11.22.1. A solução deve ser capaz de encontrar dispositivos de rede e credenciais, de no mínimo os seguintes ambientes:
11.22.1.1. Servidores Linux/Unix, Windows e VMWare;
11.22.1.2. Base de dados Oracle, SQL e MySQL;
11.22.1.3. Dispositivos de rede como firewalls, roteadores, switches e balanceadores;
11.22.1.4. Workstations.
11.22.2. A solução deve ser capaz de fazer a descoberta em domínios, encontrando dispositivos e credenciais em Active Directory;
11.22.3. A solução deve realizar a descoberta de certificados no mínimo nos seguintes ambientes: Apache, Nginx, Tomcat, IIS, Diretórios (Linux e Windows), Workstations Windows (certstore), IBM websphere, Certificados HTTPS, F5 BigIP e Certificados emitidos por CA Microsoft;
11.22.4. A solução deve fazer a descoberta de plataformas DevOps, de no mínimo:
11.22.4.1. Dockers - Containers;
11.22.4.2. Ansible - Playbooks e roles;
11.22.4.3. Jenkins - Jobs, nodes e usuários;
11.22.4.4. Kubernetes - Secrets.
11.22.5. A solução deve realizar a descoberta de contas de serviço windows, além de identificar quais dispositivos que estão utilizando a conta;
11.22.6. A solução deve possuir um dashboard ou relatório que liste o andamento da execução dos discovery, incluindo sua barra de progresso;
11.22.7. A solução deve ser capaz de realizar um escaneamento contínuo nos dispositivos, trazendo informações de acessos suspeitos ou indevidos, como por exemplo, acesso ao dispositivo com credenciais que não estejam cadastradas no cofre, ou o acesso que foi por fora da solução PAM;
11.22.8. A solução deve possibilitar a descoberta de contas privilegiadas usadas em serviços web de forma automática ou através de adaptações via script integrados ao SDK ou API da solução. Ex: aplicações baseadas em Microsoft IIS;
11.22.9. A solução deve ser capaz de realizar a descoberta, armazenamento e gestão automática de chaves SSH em sistemas Linux;
11.22.10. A solução deve possibilitar uma descoberta contínua, ou seja, deve ser possível cadastrar dias e horários para a reexecução de uma descoberta, incluindo a seleção de períodos e dias que serão executados.
11.23. Análise de comportamento:
11.23.1. A solução deverá possuir uma avaliação baseada em score (pontuação) para avaliar acessos suspeitos, críticos e incomuns ao sistema;
11.23.2. A solução deverá ter critérios de avaliação de no mínimo das seguintes características de acesso:
11.23.2.1. Acesso incomum a um dispositivo;
11.23.2.2. Acesso de origem incomum;
11.23.2.3. Acesso incomum a uma credencial;
11.23.2.4. Acesso de duração incomum;
11.23.2.5. Acesso de horário incomum.
11.23.3. A solução deverá ser capaz de bloquear usuários e sessões que estejam dentro das seguintes características de acesso:
11.23.3.1. Acesso incomum a um dispositivo;
11.23.3.2. Acesso de origem incomum;
11.23.3.3. Acesso incomum a uma credencial;
11.23.3.4. Acesso de duração incomum;
11.23.3.5. Acesso de horário incomum.
11.23.4. A solução deverá possuir um relatório que centralize todas as informações de comandos bloqueados que houve tentativa de execução.
11.24. Secret Management:
11.24.1. A Solução deve ser totalmente compatível com sistemas, serviços e aplicações executando sobre Docker Containers, devendo realizar o gerenciamento de secrets em ambientes DevOps e containers, armazenando de forma segura secrets, senhas, chaves criptográficas, tokens ou outro valor necessário, considerando os seguintes aspectos:
11.24.1.1. Suporte a, no mínimo, 60 aplicações em funcionamento, dentro de cada container distribuído, entre os clusters mencionados no item anterior;
11.24.1.2. A solução deve funcionar dentro de contêineres, mediando chamadas e protegendo o acesso a pods e segredos armazenados na solução;
11.24.1.3. A solução deverá permitir que os pods/containers se autentiquem e em seguida obtenham autorização por meio de namespace/project e service account dos orquestradores de containers ou Oauth e obtenham acesso seguro somente as secrets
11.24.1.4. que lhes pertençam;
11.24.1.5. A solução deverá criptografar chaves privadas SSL que sejam utilizadas por quaisquer serviços da solução, ou utilizadas na criptografia da base de dados de forma evitar que sejam armazenadas em texto claro no sistema de arquivos;
11.24.1.6. A solução deverá permitir que as aplicações que são executadas dentro dos containers tenham acesso seguro às secrets para efetivo uso;
11.24.1.7. A solução deverá realizar a rotatividade de secrets, quando cabível, tanto em sua complexidade quanto em tempo de expiração, conforme as políticas a serem definidas na própria ferramenta;
11.24.1.8. A solução deve fornecer um meio de revogar completamente o acesso a um segredo sob demanda ou por meio de definição de política;
11.24.1.9. A solução deve garantir alta disponibilidade por meio da replicação de secrets em, no mínimo, 2 nós diferentes da solução de forma a garantir que, no evento de parada de um desse, outro assuma suas funções de forma automática;
11.24.1.10. A solução deve disponibilizar uma interface web de administração para gerenciamento e relatórios do cluster e dos diversos componentes da solução;
11.24.1.11. A solução deve permitir, no mínimo, os seguintes métodos de autenticação: Usuário e senha, LDAP e Radius.
11.25. Ambiente de instalação:
11.25.1. A solução deve ser baseada físico, atendendo as seguintes especificações:
11.25.1.1. Caso o banco de dados e/ou Sistema Operacional utilizado seja de terceiros (exemplo: ORACLE/SQL ou Windows), a solução deverá ser entregue com licenças de software e garantia que a compatibilize com a solução;
11.25.1.2. Para o caso acima, a empresa contratada deverá prestar suporte também dos componentes adicionais a serem entregues, diretamente ou por subcontratação, sem custos adicionais para a CONTRATANTE;
11.25.1.3. Não haver necessidade de utilização de ferramentas de terceiros para completar a solução, ou seja, um fabricante único que atenda todas as necessidades de um Cofre de Senhas.
11.26. Arquitetura de Implantação da Solução:
11.26.1. A solução deve ser licenciada e implantada de modo a atender, no mínimo, aos seguintes requisitos de arquitetura: Ser instalada em 02 (duas) localidades;
11.26.2. Para que a solução continue funcionando localmente mesmo com a falha de um nó de cada elemento, em cada uma das 02 (duas) localidades, no mínimo os seguintes elementos devem ser instalados em regime de alta disponibilidade:
11.26.2.1. Cofre de senhas (entendido como o elemento da solução que controla as credenciais de acesso, incluindo a interface de acesso dos usuários à solução); Gateway/Proxy de Sessão (elemento que provê e controla o acesso privilegiado monitorado aos ativos de TI);
11.26.2.2. A solução deve replicar as configurações nas 02 (duas) localidades, de modo que, no evento de falha total de seus elementos instalados em uma localidade, a solução continue disponível via uso dos elementos da outra localidade;
11.26.2.3. O modelo mínimo de funcionamento e tolerância a falhas a ser implantado é:
· Site principal: Ativo;
· Site secundário: Ativo.
11.26.2.4. O acesso primário (em situação normal) dos usuários à solução deve ser sempre via os elementos instalados em sua rede local;
11.26.2.5. Caso a solução fornecida do tipo appliance (hardware), devem ser fornecidos pela CONTRATADA, no quantitativo necessário para atender aos requisitos de arquitetura e alta disponibilidade apresentados, com todas as licenças válidas, com garantia igual ao do objeto desta contratação e sem custos adicionais para a CONTRATANTE;
11.26.2.6. Embora esteja previsto no projeto inicial da solução, a composição do objeto deverá suportar, arquitetura redundante de alta disponibilidade em nuvem, conectada por meio de interface Ethernet, em modo Warm Standby.
11.27. Treinamento Hans on:
11.27.1. O FORNECEDOR deverá ministrar treinamento do tipo Hands On sobre a solução de PAM adquirida, incluindo instalação, configuração básica e avançada, troubleshoot, monitoramento e gerenciamento;
11.27.2. A carga horária mínima será de 20 horas divididas em expedientes a ser definido;
11.27.3. O treinamento será ministrado para um total de até 20 (vinte) participantes do quadro de pessoal da Defensoria Pública da União;
11.27.4. O repasse deverá ter caráter prático e se baseará nas soluções de PAM a serem efetivamente instalado na DPU;
11.27.5. A FORNECEDOR irá ceder uma sala, um projetor (se for o caso) e computadores, com acesso à internet, para sua realização.
11.27.6. É de responsabilidade da FORNECEDOR designar um profissional certificado pelo Fabricante, fornecer todo material audiovisual, didático e, caso necessário, outros equipamentos eletrônicos para a realização dos treinamentos, além de impressos.
11.27.7. O treinamento deve ser do tipo remoto ou presencial e a sua realização deverá ser na cidade de Brasília ? DF.
11.27.8. Todos os demais custos, ônus, obrigações e encargos para o treinamento devem ser arcados pela FORNECEDORA.
12. SERVIÇOS BÁSICOS E AVANÇADOS DA CONTRATADA E TRANSFERÊNCIA DE CONHECIMENTO
12.1. As especificações existentes abaixo, no presente item, referem-se aos Serviços Básicos e Avançados da Contratada do Grupo 1, Grupo 2 e Grupo3.
12.2. Os serviços de suporte básico e avançado são fundamentais para a continuidade e integridade dos sistemas e plataformas digitais, a fim de manter a prevenção e resposta aos cenários de ataques cibernéticos.
12.3. O serviço básico e avançado escrito no presente item é relacionado à implantação, configuração, operação, monitoramento e sustentação das soluções instaladas no ambiente tecnológico do CONTRATANTE, bem como apoiar a prevenção, a análise e a resposta a incidentes cibernéticos.
12.4. Os serviços básicos e avançados deverão ser fornecidos diretamente pela CONTRATADA, com expressa autorização do fabricante da solução, ou pelo próprio fabricante, quando for o caso.
12.5. A CONTRATADA deverá indicar um gerente técnico para gerenciar as atividades técnicas do contrato descritas nesse Termo de Referência e participar de reuniões remotas e presenciais.
12.6. Os serviços deverão ser fornecidos diretamente pela CONTRATADA devidamente reconhecida por autorização direta e oficial do fabricante para os serviços descritos nesse Termo de Referência, além de certificação que comprove a habilitação para execução do serviço.
12.7. Os serviços deverão ser prestados por equipes técnicas devidamente certificados pelo fabricante na solução ofertada e com experiência de, no mínimo, 24 (vinte e quatro) meses, em implantação/suporte/manutenção da solução e de 48 (quarenta e oito) meses para o gerente técnico, devendo a experiência ser comprovada por meio de registros em carteira de trabalho, contratos de prestação de serviços ou outros meios considerados idôneos pelo CONTRATANTE, excluindo-se desse rol a simples informação em currículo e meras declarações.
12.8. A exigência de experiência mínima de 24 (vinte e quatro) meses para equipe técnica e de 48 (quarenta e oito) meses para o gerente justifica-se pela especificidade e complexidade dos serviços a serem prestados, que envolvem a necessidade de sólidas e testadas competências em segurança cibernética e na própria solução. Esses períodos de experiência os colocam nas categorias pleno e sênior de experiência profissional.
12.9. Mesmo se a prestação do serviço envolver recursos técnicos do fabricante, caberá à CONTRATADA o cumprimento de todas as condicionantes contratuais, bem como a manutenção dos níveis contratados, e, em caso de descumprimentos, a responsabilidade recairá integralmente sobre a CONTRATADA.
12.10. O serviço de análise, prevenção, contenção, mitigação, operação e gestão, será realizado 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana, durante todo o ano.
12.11. Os serviços devem ser realizados através de análise humana e automatizada, contínua, 24x7x365, em busca de anomalias e potenciais atividades maliciosas no ambiente que fogem do escopo de detecção das ferramentas de segurança tradicionais.
12.12. Reportar e mitigar os incidentes de movimentação suspeita no ambiente do CONTRATANTE dentro da classificação do incidente.
12.13. A partir da ocorrência de um incidente de segurança, realizar as seguintes atividades de resposta aos incidentes, não se limitando a essas:
12.13.1. Detecção: identificar o evento, realizar abertura do chamado e comunicação do incidente;
12.13.2. Triagem: realizar a análise inicial do incidente (revisão de logs, confirmação de origem com data e hora, avaliação se falso positivo e identificação, complexidade;
12.13.3. Análise: realizar análise do evento ocorridopara mensurar o impacto real do incidente, a linha do tempo, as ações a serem tomadas.
12.13.4. Contenção: direcionar procedimentos de resposta a incidentes conforme categorização e criticidade do incidente para que as equipes técnicas possam executar as ações de respostas efetivas.
12.13.5. Recuperação: apoiar, quando for o caso, com o envio de procedimentos e recomendações de segurança que devem ser adotados para retornar os serviços e sistemas, bem como aplicar configurações e políticas nas soluções contratadas.
12.13.6. Documentação e Revisão: documentar o incidente e sugerir melhorias para aumento da resiliência em segurança da informação.
12.14.
As solicitações de atendimento técnico deverão
ser realizadas através de abertura de chamados.
12.15. A contratante poderá efetuar um número ilimitado de chamados de suporte durante a vigência contratual.
12.16. O serviço de suporte será prestado em idioma português do Brasil, os casos em que o suporte envolver analistas ou especialistas em que o suporte seja prestado em outro idioma, a Contratante deverá prover um tradutor para o idioma português do Brasil.
12.17. Possuir portal de serviços para abertura de chamados e acesso à base de conhecimento, sendo possível o uso de ITSM (GSTI ? Gerenciamento dos Serviços de TI) indicado pela CONTRATANTE.
12.18.
A CONTRATADA deverá prover documentação para
acionamento do suporte técnico e operação da solução de abertura de chamado,
caso necessário.
12.19. Acordar os canais de comunicação, visando rápida atuação entre as equipes para resolução de incidentes de segurança.
12.20. A comunicação com as equipes do CONTRATANTE, inclui o detalhamento dos eventos de segurança identificados e ações de contenção recomendadas para o tratamento.
12.21. O catálogo de serviços pode sofrer alterações durante a vigência do contrato.
12.22. Apoiar o Contratante com materiais, recursos técnicos em campanhas de conscientização sobre o uso seguro dos ativos de informação.
12.23. Os Níveis Mínimos de Serviço seguirão o que está estabelecido no corpo do TR (Termo de Referência).
12.24. O suporte a usuários deverá seguir o horário oficial de funcionamento da Contratante, e atividades de monitoramento e simulações de ataques, operação, gestão, sustentação da solução e resposta a incidentes deverá atender em escala 24x7x365.
12.25. O monitoramento, que se refere ao processo de acompanhar e analisar constantemente as atividades e eventos no ambiente do órgão, com o objetivo de identificar, prevenir e responder a possíveis ameaças, vulnerabilidades e incidentes cibernéticos deverá ocorrer de forma contínua, no formato 24x7x365. Essa prática envolve a coleta de dados em tempo real, a detecção de padrões suspeitos e a tomada de medidas preventivas para proteger os ativos.
12.26. Fornecer ao CONTRATANTE recomendações para a resolução e prevenção dos incidentes de segurança no ambiente do órgão.
12.27. Acompanhar e apoiar a equipe técnica do CONTRATANTE na aplicação das recomendações no ambiente tecnológico do órgão.
12.28. A CONTRATADA deve entregar relatórios mensais acerca dos serviços prestados, contendo, no mínimo, consumo de licenças do mês, apresentação de sugestões de: melhorias, configurações e prevenção; atualizações aplicadas e um resumo das alterações; aplicação de técnicas de defesa e riscos identificados no ambiente.
12.29. Outras ferramentas além das descritas na especificação técnica da presente contratação que sejam necessárias à execução desses serviços serão de responsabilidade da CONTRATADA, sem custos adicionais para a Contratante.
12.30. O suporte técnico a ser prestado pela CONTRATADA tem por objetivo a instalação, configuração, atualização, correção de falhas ou inconsistências detectadas sejam elas na gerência ou na solução dos ativos de informação, para garantir o pleno, correto e seguro funcionamento das soluções, além do atendimento de chamados e esclarecimento de dúvidas dos colaboradores da Contratada, para garantir a melhor utilização e maximização dos recursos contratados.
12.31. Os serviços compreendem, ainda, o apoio em itens de configuração da Contratada (Sistema Operacional, Serviços, Sistemas, Banco de Dados) a fim de indicar as melhores práticas de segurança a serem adotadas.
12.32. Para cada solicitação de atendimento técnico, inclusive chamados de resposta a incidentes, deverá ser gerado um identificador único (chamado) para fins de controle e acompanhamento. A CONTRATADA deverá informar esse identificador a CONTRATADA, bem como manter o histórico de ações e atividades nos chamados realizados durante toda a vigência contratual.
12.33. Mesmo se a prestação do serviço envolver recursos técnicos do fabricante, caberá à CONTRATADA o cumprimento de todas as condicionantes contratuais, bem como a manutenção dos níveis contratados, e, em caso de descumprimentos, a responsabilidade recairá integralmente sobre a CONTRATADA.
12.34. O serviço deve analisar campanhas de malwares e incidentes gerados na gerência de administração da solução, com foco em vetores de ataque e exploração de vulnerabilidades no ambiente da Contratada.
12.35. Os serviços devem ser fornecidos utilizando as plataformas e soluções ofertadas. A CONTRATADA deverá apresentar e justificar a necessidade de qualquer integração externa para aprovação prévia do CONTRATANTE.
12.36. Os serviços de detecção e tratamento de ameaças deverá atuar de forma proativa a fim de descobrir a presença e prevenir possíveis atacantes, mesmo sem a existência de uma detecção ferramental, ou seja, a equipe não deverá restringir o início de suas atividades com base em detecções de alertas automatizados.
12.37. Os relatórios de incidentes deverão ser entregues de acordo com alinhamento junto a equipe de resposta a incidentes da Contratante, conforme a legislação vigente.
12.38.
É de responsabilidade da Contratada, priorizar e
fazer a triagem de alertas e possíveis incidentes de segurança.
12.39. Os serviços devem contemplar customizações nas soluções contratadas para o ambiente do CONTRATANTE, incluindo regras de detecção personalizadas, políticas de segurança, exceções e integrações com outras ferramentas de segurança, conforme a necessidade e aprovação prévia do CONTRATANTE.
12.40.
Apoiar as equipes técnicas do CONTRATANTE na
resolução dos incidentes de segurança, incluindo ações de contenção, remediação
e hardening nos ativos de informação, bem como recomendar configurações.
12.41. A fim de manter o nível de segurança, e como forma de demonstrar regularmente a eficácia dos controles aplicados, a CONTRATADA realizará ou apoiará simulações controladas de intrusão, com objetivo de identificar possíveis pontos fracos na implementação da solução e na postura de segurança. As simulações devem ser executadas de forma automatizada e contínua, com a aprovação prévia do CONTRATANTE.
12.42. Analisar as tendências ao longo do tempo para identificar mudanças comportamentais, de acessos, aumento no índice de risco, falhas na aplicação de atualizações que possam indicar atividades suspeitas ou não conformidade.
12.43. Acompanhamento das atualizações na plataforma, permitindo manter todos os componentes atualizados em sua última versão de software e, quando aplicável, atualização de firmware.
12.44. Para cada incidente de segurança aberto e registrado, deverá ser gerado um relatório de incidente de acordo com o modelo padronizado pelo órgão.
12.45. A CONTRATADA apoiará na elaboração de operação e procedimentos no tratamento dos incidentes de segurança.
12.46. Mensalmente, deverão ser elaborados, no mínimo, os seguintes relatórios sobre o ambiente de rede do CONTRATANTE:
12.46.1. Visão baseada na matriz ATT&CK do instituto de pesquisa MITRE, com foco em táticas e técnicas de ataque e ações tomadas.
12.46.2. TOP 10 endereços IP de origem de atividades maliciosas e ações tomadas.
12.46.3. TOP 10 endereços IP de destino de atividades maliciosas e ações tomadas.
12.46.4. TOP 10 portas e protocolos utilizados em atividades maliciosas e ações tomadas.
12.46.5. TOP 10 vulnerabilidades exploradas em ataques à rede e ações tomadas.
12.46.6. TOP 10 ações dos atores de ameaça na rede e ações tomadas.
12.46.7. Demonstração crítica do cruzamento de incidentes e ameaças capturadas pela equipe, com suas respectivas correções ou blindagens (ex: CVEs de campanhas de ransomware que exploram vulnerabilidades em redes).
12.46.8. Procedimentos e regras de segurança, sejam elas automatizadas ou manuais, criadas no período.
12.47. A CONTRATADA deve atuar no aprimoramento das regras de detecção, mitigação, correção, correlação de eventos, fornecimento de logs e customização dashboards e relatórios.
Contribuições Recebidas
48 contribuições recebidas
Para ver o teor das contribuições deve estar logado no portal