PREVENÇÃO DE AMEAÇAS. 4.20.1 Para proteção do ambiente contra ataques, os dispositivos de proteção devem possuir módulo de IPS, Antivírus e Anti-Spyware integrados no próprio appliance de firewall; 4.20.2 Deve incluir assinaturas de prevenção de intrusão (IPS) e bloqueio de arquivos maliciosos (Antivírus e Anti-Spyware); 4.20.3 Deve sincronizar as assinaturas de IPS, Antivírus, Anti-Spyware quando implementado em alta disponibilidade; 4.20.4 Deve implementar os seguintes tipos de ações para ameaças detectadas pelo IPS: permitir, permitir e gerar log, bloquear e quarentenar IP do atacante por um intervalo de tempo; 4.20.5 As assinaturas devem poder ser ativadas ou desativadas, ou ainda habilitadas apenas em modo de monitoração; 4.20.6 Deve ser possível a criação de políticas por usuários, grupos de usuários, IPs, redes ou zonas de segurança; 4.20.7 Exceções por IP de origem ou de destino devem ser possíveis nas regras ou assinatura a assinatura; 4.20.8 Deve suportar granularidade nas políticas de IPS, Antivírus e Anti-Spyware, possibilitando a criação de diferentes politicas por zona de segurança, endereço de origem, endereço de destino, serviço e a combinação de todos esses itens; 4.20.9 Deve permitir o bloqueio de vulnerabilidades; 4.20.10 Deve permitir o bloqueio de exploits conhecidos; 4.20.11 Deve incluir proteção contra ataques de negação de serviços; 4.20.12 Ser imune e capaz de impedir ataques básicos como: Syn flood, ICMP flood, UDP flood, etc; 4.20.13 Detectar e bloquear a origem de portscans; 4.20.14 Bloquear ataques efetuados por worms conhecidos; 4.20.15 Possuir assinaturas específicas para a mitigação de ataques DoS e DDoS; 4.20.16 Possuir assinaturas para bloqueio de ataques de buffer overflow; 4.20.17 Deverá possibilitar a criação de assinaturas customizadas pela interface gráfica do produto; 4.20.18 Deve permitir usar operadores de negação na criação de assinaturas customizadas de IPS ou anti-spyware, permitindo a criação de exceções com granularidade nas configurações; 4.20.19 Permitir o bloqueio de vírus e spywares em, pelo menos, os seguintes protocolos: HTTP, FTP, SMB, SMTP e POP3; 4.20.20 Identificar e bloquear comunicação com botnets; 4.20.21 Registrar na console de monitoração as seguintes informações sobre ameaças identificadas: o nome da assinatura ou do ataque, aplicação, usuário, origem e o destino da comunicação, além da ação tomada pelo dispositivo; 4.20.22 Deve possuir a função de proteção a resolução de endereços via DNS, identificando requisições de resolução de nome para domínios maliciosos de botnets conhecidas; 4.20.23 Os eventos devem identificar o país de onde partiu a ameaça; 4.20.24 Deve incluir proteção contra vírus em conteúdo HTML e javascript, software espião (spyware) e worms; 4.20.25 Possuir proteção contra downloads involuntários usando HTTP de arquivos executáveis e maliciosos; 4.20.26 Deve ser possível a configuração de diferentes políticas de controle de ameaças e ataques baseado em políticas do firewall considerando usuários, grupos de usuários, origem, destino, zonas de segurança, etc, ou seja, cada política de firewall poderá ter uma configuração diferente de IPS, sendo essas 4.20.27 Políticas por Usuários, Grupos de usuário, origem, destino, zonas de segurança. 4.20.28 Deve ser capaz de mitigar ameaças avançadas persistentes (APT), através de análises dinâmicas para identificação de malwares desconhecidos; 4.20.29 A solução de sandbox deve ser capaz de criar assinaturas e ainda incluí-las na base de antivírus do firewall, prevenindo a reincidência do ataque; 4.20.30 A solução de sandbox deve ser capaz de incluir no firewall as URLs identificadas como origens de tais ameaças desconhecidas (black list), impedindo que esses endereços sejam acessados pelos usuários de rede novamente; 4.20.31 Dentre as análises efetuadas, a solução deve suportar antivírus, query na nuvem, emulação de código, sandboxing e verificação de call-back; 4.20.32 A solução deve analisar o comportamento de arquivos suspeitos em um ambiente controlado.
Appears in 2 contracts
PREVENÇÃO DE AMEAÇAS. 4.20.1 1.1. Para proteção do ambiente contra ataques, os dispositivos de proteção devem a solução deverá possuir módulo de IPS, Antivírus e Anti-Spyware integrados no próprio appliance de firewallFirewall;
4.20.2 Deve incluir 1.2. Deverá ser capaz de identificar e bloquear as seguintes ameaças: vírus, trojans, spywares, ransomwares e demais tipos de malwares;
1.3. Deverá permitir a inclusão de assinaturas de prevenção de intrusão (IPS) e bloqueio de arquivos maliciosos (Antivírus e Anti-Spyware);
4.20.3 Deve 1.4. As funcionalidades de IPS, Antivírus e Anti-Spyware deverão operar em caráter permanente, podendo ser utilizadas por tempo indeterminado, mesmo que não subsista o direito de receber atualizações ou que não haja contrato de garantia de software com o fabricante;
1.5. Deverá permitir sincronizar as assinaturas de IPS, Antivírus, Anti-Spyware quando implementado em alta disponibilidadedisponibilidade ativo/passivo;
4.20.4 Deve implementar 1.6. Deverá permitir os seguintes tipos de ações para ameaças detectadas pelo IPSIPS e Antispyware: permitir, permitir e gerar log, bloquear, bloquear e quarentenar IP do atacante por um intervalo de tempotempo e enviar tcp-reset;
4.20.5 As assinaturas devem poder ser ativadas 1.7. Deverá permitir detectar e prevenir ameaças em tráfegos HTTP/2;
1.8. Deverá permitir ativar ou desativadasdesativar as assinaturas, ou ainda habilitadas habilitá-las apenas em modo de monitoração;
4.20.6 Deve ser possível a criação de políticas por usuários, grupos de usuários, IPs, redes ou zonas de segurança;
4.20.7 Exceções 1.9. Deverá permitir exceções por IP de origem ou de destino devem deverão ser possíveis nas regras ou regras, de forma geral e assinatura a assinatura;
4.20.8 Deve suportar 1.10. Deverá permitir granularidade nas políticas de IPS, IPS Antivírus e Anti-SpywareSpyware , possibilitando a criação de diferentes politicas políticas por zona de segurança, endereço de origem, endereço de destino, serviço e a combinação de todos esses itens;
4.20.9 Deve 1.11. Deverá permitir o bloqueio de vulnerabilidades;
4.20.10 Deve 1.12. Deverá permitir o bloqueio de exploits conhecidos;
4.20.11 Deve 1.13. Deverá incluir proteção contra ataques de negação de serviçosserviços (DoS);
4.20.12 Ser 1.14. Deverá permitir a inspeção e criação de regras de proteção de DOS e QOS para o conteúdo de tráfego tunelado pelo protocolo GRE;
1.15. Deverá possuir os seguintes mecanismos de inspeção de IPS:
1.15.1. Análise de padrões de estado de conexões;
1.15.2. Análise de decodificação de protocolo;
1.15.3. Análise para detecção de anomalias de protocolo;
1.15.4. Análise heurística;
1.15.5. IP Defragmentation;
1.15.6. Remontagem de pacotes de TCP;
1.15.7. Bloqueio de pacotes malformados;
1.16. Deverá ser imune e capaz de impedir ataques básicos como: Syn floodSynflood, ICMP floodICMPflood, UDP floodUDPfloof, etc;
4.20.13 Detectar 1.17. Deverá detectar e bloquear a origem de portscansport scans com possibilidade de criar exceções para endereços IPs de ferramentas de monitoramento da organização;
4.20.14 Bloquear 1.18. Deverá bloquear ataques efetuados por worms conhecidos, permitindo ao administrador acrescentar novos padrões;
4.20.15 Possuir 1.19. Deverá suportar os seguintes mecanismos de inspeção contra ameaças de rede: análise de padrões de estado de conexões, análise de decodificação de protocolo, análise para detecção de anomalias de protocolo, análise heurística, IP Defragmentation, remontagem de pacotes de TCP e bloqueio de pacotes malformados;
1.20. Deverá possuir assinaturas específicas para a mitigação de ataques DoS e DDoS;
4.20.16 Possuir 1.21. Deverá possuir assinaturas para bloqueio de ataques de buffer overflow;
4.20.17 1.22. Deverá possibilitar a criação de assinaturas customizadas pela interface gráfica do produto;
4.20.18 Deve 1.23. Deverá permitir usar operadores de negação na criação de assinaturas customizadas de IPS ou e anti-spyware, permitindo a criação de exceções com granularidade nas configurações;
4.20.19 Permitir 1.24. Deverá permitir o bloqueio de vírus e spywares em, pelo menos, os seguintes protocolos: HTTP, FTP, SMB, SMTP e POP3;
4.20.20 Identificar 1.25. Deverá suportar bloqueio de arquivos por tipo;
1.26. Deverá identificar e bloquear comunicação com botnets;
4.20.21 Registrar 1.27. Deverá suportar várias técnicas de prevenção, incluindo Drop e tcp-rst (Cliente, Servidor e ambos);
1.28. Deverá suportar referência cruzada com CVE;
1.29. Deverá registrar na console de monitoração as seguintes informações sobre ameaças identificadas: o O nome da assinatura ou do ataque, aplicação, usuário, origem e o destino da comunicação, além da ação tomada pelo dispositivo;
4.20.22 Deve 1.30. Deverá suportar a captura de pacotes (PCAP), por assinatura de IPS e Antispyware;
1.31. Deverá permitir que na captura de pacotes por assinaturas de IPS e Antispyware seja definido o número de pacotes a serem capturados. Esta captura deverá permitir selecionar, no mínimo, 50 pacotes;
1.32. Deverá possuir a função de proteção a resolução de endereços via DNS, identificando requisições de resolução de nome para que conexões com destino a domínios maliciosos de botnets conhecidassejam resolvidas pelo Firewall com endereços (IPv4 e IPv6), previamente definidos;
4.20.23 Os eventos devem identificar 1.33. Deverá permitir o país bloqueio de onde partiu a ameaçavírus, pelo menos, nos seguintes protocolos: HTTP, FTP, SMB, SMTP e POP3;
4.20.24 Deve 1.34. Deverá incluir proteção contra vírus em conteúdo HTML e javascript, software espião (spyware) e worms;
4.20.25 Possuir 1.35. Deverá incluir proteção contra downloads involuntários usando HTTP de arquivos executáveis e maliciosos;
4.20.26 Deve 1.36. Deverá incluir rastreamento de vírus em PDF;
1.37. Deverá permitir a inspeção em arquivos comprimidos que utilizam o algoritmo deflate (zip, gzip, etc.);
1.38. Deverá ser possível a configuração de diferentes políticas de controle de ameaças e ataques baseado em políticas do firewall considerando usuáriosUsuários, grupos Grupos de usuários, origem, destino, zonas de segurança, etc, ou seja, cada política regra de firewall poderá ter uma configuração diferente diferentes de IPS, sendo essas
4.20.27 Políticas essas políticas por Usuários, Grupos de usuário, origem, destino, zonas de segurança.
4.20.28 Deve ser capaz 1.39. Deverá possuir a capacidade de mitigar ameaças avançadas persistentes (APT), detectar e bloquear tentativas de resolução de domínios gerados de forma automática através de análises dinâmicas para identificação de malwares desconhecidosalgoritmos (Domain generation algorithm - DGA);
4.20.29 A solução 1.40. Deverá mostrar nos logs as seguintes informações sobre domínios DGA:
1.40.1. Domínio suspeito identificado;
1.40.2. ID de sandbox deve ser capaz assinatura de criar assinaturas e ainda incluí-las detecção;
1.40.3. Usuário logado na base estação/servidor que originou o tráfego;
1.40.4. Aplicação;
1.40.5. Porta de antivírus destino;
1.40.6. IP de origem;
1.40.7. IP de destino;
1.40.8. Horário;
1.40.9. Ação do firewall, prevenindo a reincidência do ataque;
4.20.30 A solução de sandbox deve ser capaz de incluir no firewall as URLs identificadas como origens de tais ameaças desconhecidas (black list), impedindo que esses endereços sejam acessados pelos usuários de rede novamente1.40.10. Severidade;
4.20.31 Dentre 1.41. Deverá possuir sistema de análise automático para detectar e bloquear encapsulamento de DNS com fins de roubo de dados e comunicações de comando e controle
1.42. A análise automática deverá incluir, no mínimo, as análises efetuadas, a solução deve suportar antivírus, query na nuvem, emulação seguintes características:
1.42.1. Padrões de código, sandboxing e verificação de call-backconsulta;
4.20.32 A solução deve analisar o comportamento 1.42.2. Entropia;
1.42.3. Análise de arquivos suspeitos em um ambiente controladofrequência n-gram de domínios;
1.42.4. Taxa de consultas.
Appears in 1 contract
Samples: Termo De Referência
PREVENÇÃO DE AMEAÇAS. 4.20.1 1.5.1. Para proteção do ambiente contra contra-ataques, os dispositivos de proteção devem possuir módulo de IPS, Antivírus e Anti-Spyware integrados no próprio appliance de firewall;Firewall ou entregue através de composição com outro equipamento ou fabricante
4.20.2 1.5.2. Deve incluir assinaturas de prevenção de intrusão (IPS) e bloqueio de arquivos maliciosos (Antivírus e Anti-Spyware);
4.20.3 1.5.3. As funcionalidades de IPS, Antivírus e Anti-Spyware devem operar em caráter permanente, podendo ser utilizadas por tempo indeterminado, mesmo que não subsista o direito de receber atualizações ou que não haja contrato de garantia de software com o fabricante;
1.5.4. Deve sincronizar as assinaturas de IPS, Antivírus, Anti-Spyware quando implementado em alta disponibilidadedisponibilidade ativo/ativo e ativo/passivo;
4.20.4 1.5.5. Deve implementar os seguintes tipos de ações para ameaças detectadas pelo IPS, Antipyware e Antivirus: permitir, permitir e gerar log, bloquear, bloquear e quarentenar IP do atacante por um intervalo de tempotempo e enviar tcp-reset;
4.20.5 1.5.6. As assinaturas devem poder ser ativadas ou desativadas, ou ainda habilitadas apenas em modo de monitoração;
4.20.6 1.5.7. Deve ser possível a criação de políticas por usuários, grupos de usuários, IPs, redes ou zonas de segurança;
4.20.7 1.5.8. Exceções por IP de origem ou de destino devem ser possíveis nas regras ou e assinatura a assinatura;
4.20.8 1.5.9. Deve suportar granularidade nas políticas de IPS, Antivírus e Anti-Spyware, possibilitando a criação de diferentes politicas por zona de segurança, endereço de origem, endereço de destino, serviço e a combinação de todos esses itens;
4.20.9 1.5.10. Deve permitir o bloqueio de vulnerabilidades;
4.20.10 1.5.11. Deve permitir o bloqueio de exploits conhecidos;
4.20.11 1.5.12. Deve incluir proteção contra contra-ataques de negação de serviços
1.5.13. Deverá possuir o seguinte mecanismos de inspeção de IPS: Análise de padrões de estado de conexões;
4.20.12 1.5.14. Deverá possuir o seguinte mecanismos de inspeção de IPS: Análise de decodificação de protocolo;
1.5.15. Deverá possuir o seguinte mecanismos de inspeção de IPS: Análise para detecção de anomalias de protocolo;
1.5.16. Deverá possuir o seguinte mecanismos de inspeção de IPS: Análise heurística;
1.5.17. Deverá possuir o seguinte mecanismos de inspeção de IPS: IP Defragmentation;
1.5.18. Deverá possuir o seguinte mecanismos de inspeção de IPS: Remontagem de pacotes de TCP;
1.5.19. Deverá possuir o seguinte mecanismos de inspeção de IPS: Bloqueio de pacotes malformados
1.5.20. Ser imune e capaz de impedir ataques básicos como: Syn flood, ICMP flood, UDP flood, etc;
4.20.13 1.5.21. Detectar e bloquear a origem de portscans;
4.20.14 1.5.22. Bloquear ataques efetuados por worms conhecidos, permitindo ao administrador acrescentar novos padrões;
4.20.15 1.5.23. Possuir assinaturas específicas para a mitigação de ataques DoS e DDoS;
4.20.16 1.5.24. Possuir assinaturas para bloqueio de ataques de buffer overflow;
4.20.17 1.5.25. Deverá possibilitar a criação de assinaturas customizadas pela interface gráfica do produto;
4.20.18 1.5.26. Deve permitir usar operadores de negação na criação de assinaturas customizadas de IPS ou anti-e anti- spyware, permitindo a criação de exceções com granularidade nas configurações;
4.20.19 1.5.27. Permitir o bloqueio de vírus e spywares em, pelo menos, os seguintes protocolos: HTTP, FTP, SMB, SMTP e POP3;
4.20.20 1.5.28. Identificar e bloquear comunicação com botnets;
4.20.21 1.5.29. Registrar na console de monitoração as seguintes informações sobre ameaças identificadas: o O nome da assinatura ou do ataque, aplicação, usuário, origem e o destino da comunicação, além da ação tomada pelo dispositivo;
4.20.22 1.5.30. Deve suportar a captura de pacotes (PCAP), por assinatura de IPS e controle de aplicação;
1.5.31. Deve permitir que na captura de pacotes por assinaturas de IPS seja definido o número de pacotes a serem capturados ou permitir capturar o pacote que deu origem ao alerta assim como seu contexto, facilitando a análise forense e identificação de falsos positivos
1.5.32. Deve possuir a função de proteção a resolução de endereços via DNS, identificando requisições de resolução de nome para domínios maliciosos de botnets conhecidas;
4.20.23 1.5.33. Os eventos devem identificar o país de onde partiu a ameaça;
4.20.24 1.5.34. Deve incluir proteção contra vírus em conteúdo HTML e javascript, software espião (spyware) e worms;
4.20.25 Possuir proteção 1.5.35. Proteção contra downloads involuntários usando HTTP de arquivos executáveis e maliciosos;
4.20.26 1.5.36. Deve ser possível a configuração de diferentes políticas de controle de ameaças e ataques baseado em políticas do firewall considerando usuáriosUsuários, grupos Grupos de usuários, origem, destino, zonas de segurança, etc, ou seja, cada política de firewall poderá ter uma configuração diferente diferentes de IPS, sendo essas
4.20.27 Políticas essas políticas por Usuários, Grupos de usuário, origem, destino, zonas de segurança.
4.20.28 Deve ser capaz de mitigar ameaças avançadas persistentes (APT), através de análises dinâmicas para identificação de malwares desconhecidos;
4.20.29 A solução de sandbox deve ser capaz de criar assinaturas e ainda incluí-las na base de antivírus do firewall, prevenindo a reincidência do ataque;
4.20.30 A solução de sandbox deve ser capaz de incluir no firewall as URLs identificadas como origens de tais ameaças desconhecidas (black list), impedindo que esses endereços sejam acessados pelos usuários de rede novamente;
4.20.31 Dentre as análises efetuadas, a solução deve suportar antivírus, query na nuvem, emulação de código, sandboxing e verificação de call-back;
4.20.32 A solução deve analisar o comportamento de arquivos suspeitos em um ambiente controlado.
Appears in 1 contract
PREVENÇÃO DE AMEAÇAS. 4.20.1 5.6.1. Para proteção do ambiente de redes contra ataques, os dispositivos de proteção devem possuir módulo de IPS, Antivírus e Anti-Spyware integrados no próprio appliance de firewallFirewall;
4.20.2 5.6.2. Deve incluir assinaturas de prevenção de intrusão (IPS) e bloqueio de arquivos maliciosos (Antivírus e Anti-Spyware);
4.20.3 5.6.3. As funcionalidades de IPS, Antivírus e Anti-Spyware devem operar em caráter permanente, podendo ser utilizadas por tempo indeterminado, mesmo que não subsista o direito de receber atualizações ou que não haja contrato de garantia de software com o fabricante;
5.6.4. Deve sincronizar as assinaturas de IPS, Antivírus, Anti-Spyware quando implementado em alta disponibilidadedisponibilidade ativo/ativo e ativo/passivo;
4.20.4 5.6.5. Deve implementar os seguintes tipos de ações para ameaças detectadas pelo IPS, Anti- Spyware e Antivírus: permitir, permitir e gerar log, bloquear bloquear, e quarentenar IP do atacante por um intervalo de tempoenviar tcp-reset;
4.20.5 5.6.6. As assinaturas devem poder ser ativadas ou desativadas, ou ainda habilitadas apenas em modo de monitoração;
4.20.6 Deve ser possível a criação de políticas por usuários, grupos de usuários, IPs, redes ou zonas de segurança;
4.20.7 Exceções por IP de origem ou de destino devem ser possíveis nas regras ou assinatura a assinatura;
4.20.8 5.6.7. Deve suportar granularidade nas políticas de IPS, IPS Antivírus e Anti-Spyware, possibilitando a criação de diferentes politicas políticas por zona de segurança, endereço de origem, endereço de destino, serviço e a combinação de todos esses itens;
4.20.9 5.6.8. Deve permitir o bloqueio de vulnerabilidades;
4.20.10 5.6.9. Deve permitir o bloqueio de exploits conhecidos;
4.20.11 5.6.10. Deve incluir proteção contra ataques de negação de serviços;
4.20.12 5.6.11. Fornecem proteção contra ataques de dia zero;
5.6.12. Deverá possuir os seguintes mecanismos de inspeção de IPS:
5.6.12.1. Análise de padrões de estado de conexões;
5.6.12.2. Análise de decodificação de protocolo;
5.6.12.3. Análise para detecção de anomalias de protocolo;
5.6.12.4. Análise heurística;
5.6.12.5. IP Defragmentation;
5.6.12.6. Remontagem de pacotes de TCP.
5.6.12.7. Bloqueio de pacotes malformados.
5.6.12.8. Ser imune e capaz de impedir ataques básicos como: Syn floodSynflood, ICMP floodICMPflood, UDP floodUDPflood, etc;
4.20.13 5.6.12.9. Detectar e bloquear a origem de portscans;
4.20.14 5.6.12.10. Bloquear ataques efetuados por worms conhecidos, permitindo ao administrador acrescentar novos padrões;
4.20.15 5.6.12.11. Suportar os seguintes mecanismos de inspeção contra ameaças de rede: análise de padrões de estado de conexões, análise de decodificação de protocolo, análise para detecção de anomalias de protocolo, análise heurística, IP Defragmentation, remontagem de pacotes de TCP e bloqueio de pacotes malformados;
5.6.12.12. Possuir assinaturas específicas para a mitigação de ataques DoS e DDoS;
4.20.16 5.6.12.13. Possuir assinaturas para bloqueio de ataques de buffer overflow;
4.20.17 5.6.12.14. Deverá possibilitar a criação de assinaturas customizadas pela interface gráfica do produto;
4.20.18 ; 5.6.12.15. Deve permitir usar operadores de negação na criação de assinaturas customizadas de IPS ou antie Anti-spywareSpyware, permitindo a criação de exceções com granularidade nas configurações;
4.20.19 Permitir o bloqueio de vírus e spywares em, pelo menos, os seguintes protocolos: HTTP, FTP, SMB, SMTP e POP3;
4.20.20 Identificar e bloquear comunicação com botnets;
4.20.21 Registrar na console de monitoração as seguintes informações sobre ameaças identificadas: o nome da assinatura ou do ataque, aplicação, usuário, origem e o destino da comunicação, além da ação tomada pelo dispositivo;
4.20.22 Deve possuir a função de proteção a resolução de endereços via DNS, identificando requisições de resolução de nome para domínios maliciosos de botnets conhecidas;
4.20.23 Os eventos devem identificar o país de onde partiu a ameaça;
4.20.24 Deve incluir proteção contra vírus em conteúdo HTML e javascript, software espião (spyware) e worms;
4.20.25 Possuir proteção contra downloads involuntários usando HTTP de arquivos executáveis e maliciosos;
4.20.26 Deve ser possível a configuração de diferentes políticas de controle de ameaças e ataques baseado em políticas do firewall considerando usuários, grupos de usuários, origem, destino, zonas de segurança, etc, ou seja, cada política de firewall poderá ter uma configuração diferente de IPS, sendo essas
4.20.27 Políticas por Usuários, Grupos de usuário, origem, destino, zonas de segurança.
4.20.28 Deve ser capaz de mitigar ameaças avançadas persistentes (APT), através de análises dinâmicas para identificação de malwares desconhecidos;
4.20.29 A solução de sandbox deve ser capaz de criar assinaturas e ainda incluí-las na base de antivírus do firewall, prevenindo a reincidência do ataque;
4.20.30 A solução de sandbox deve ser capaz de incluir no firewall as URLs identificadas como origens de tais ameaças desconhecidas (black list), impedindo que esses endereços sejam acessados pelos usuários de rede novamente;
4.20.31 Dentre as análises efetuadas, a solução deve suportar antivírus, query na nuvem, emulação de código, sandboxing e verificação de call-back;
4.20.32 A solução deve analisar o comportamento de arquivos suspeitos em um ambiente controlado.
Appears in 1 contract
Samples: Contratação De Solução De Gerenciamento Unificado De Ameaças E De Rede Wan Definida Por Software
PREVENÇÃO DE AMEAÇAS. 4.20.1 9.7.1. Para proteção do ambiente contra contra-ataques, os dispositivos de proteção devem possuir módulo de IPS, Antivírus e Anti-Spyware integrados no próprio appliance de firewall;
4.20.2 9.7.2. Deve incluir assinaturas de prevenção de intrusão (IPS) e bloqueio de arquivos maliciosos (Antivírus e Anti-Spyware);
4.20.3 9.7.3. Deve sincronizar as assinaturas de IPS, Antivírus, Anti-Spyware quando implementado em alta disponibilidade;
4.20.4 9.7.4. Deve implementar os seguintes tipos de ações para ameaças detectadas pelo IPS: permitir, permitir e gerar log, bloquear e quarentenar IP do atacante por um intervalo de tempo;
4.20.5 9.7.5. As assinaturas devem poder ser ativadas ou desativadas, ou ainda habilitadas apenas em modo de monitoração;
4.20.6 9.7.6. Deve ser possível a criação de políticas por usuários, grupos de usuários, IPs, redes ou zonas de segurança;
4.20.7 9.7.7. Exceções por IP de origem ou de destino devem ser possíveis nas regras ou assinatura a assinatura;
4.20.8 9.7.8. Deve suportar granularidade nas políticas de IPS, Antivírus e Anti-Spyware, possibilitando a criação de diferentes politicas políticas por zona de segurança, endereço de origem, endereço de destino, serviço e a combinação de todos esses itens;
4.20.9 9.7.9. Deve permitir o bloqueio de vulnerabilidades;
4.20.10 9.7.10. Deve permitir o bloqueio de exploits conhecidos;
4.20.11 9.7.11. Deve incluir proteção contra contra-ataques de negação de serviços;
4.20.12 9.7.12. Ser imune e capaz de impedir ataques básicos como: Syn flood, ICMP flood, UDP flood, etc;
4.20.13 9.7.13. Detectar e bloquear a origem de portscans;
4.20.14 9.7.14. Bloquear ataques efetuados por worms conhecidos;
4.20.15 9.7.15. Possuir assinaturas específicas para a mitigação de ataques DoS e DDoS;
4.20.16 9.7.16. Possuir assinaturas para bloqueio de ataques de buffer overflow;
4.20.17 9.7.17. Deverá possibilitar a criação de assinaturas customizadas pela interface gráfica do produto;
4.20.18 9.7.18. Deve permitir usar operadores de negação na criação de assinaturas customizadas de IPS ou anti-spyware, permitindo a criação de exceções com granularidade nas configurações;
4.20.19 9.7.19. Permitir o bloqueio de vírus e spywares em, pelo menos, os seguintes protocolos: HTTP, FTP, SMB, SMTP e POP3;
4.20.20 9.7.20. Identificar e bloquear comunicação com botnets;
4.20.21 9.7.21. Registrar na console de monitoração as seguintes informações sobre ameaças identificadas: o nome da assinatura ou do ataque, aplicação, usuário, origem e o destino da comunicação, além da ação tomada pelo dispositivo;
4.20.22 9.7.22. Deve possuir a função de proteção a resolução de endereços via DNS, identificando requisições de resolução de nome para domínios maliciosos de botnets conhecidas;
4.20.23 9.7.23. Os eventos devem identificar o país de onde partiu a ameaça;
4.20.24 9.7.24. Deve incluir proteção contra vírus em conteúdo HTML e javascript, software espião (spyware) e worms;
4.20.25 9.7.25. Possuir proteção contra downloads involuntários usando HTTP de arquivos executáveis e maliciosos;
4.20.26 9.7.26. Deve ser possível a configuração de diferentes políticas de controle de ameaças e ataques baseado em políticas do firewall considerando usuários, grupos de usuários, origem, destino, zonas de segurança, etc, ou seja, cada política de firewall poderá ter uma configuração diferente de IPS, sendo essas
4.20.27 Políticas essas políticas por Usuários, Grupos de usuário, origem, destino, zonas de segurança.
4.20.28 9.7.27. Deve ser capaz de mitigar ameaças avançadas persistentes (APT), através de análises dinâmicas para identificação de malwares desconhecidos;
4.20.29 A solução de sandbox deve ser capaz de criar assinaturas e ainda incluí-las na base de antivírus do firewall, prevenindo a reincidência do ataque;
4.20.30 A solução de sandbox deve ser capaz de incluir no firewall as URLs identificadas como origens de tais ameaças desconhecidas (black list), impedindo que esses endereços sejam acessados pelos usuários de rede novamente;
4.20.31 9.7.28. Dentre as análises efetuadas, a solução deve suportar antivírus, query na nuvem, emulação de código, sandboxing e verificação de call-call- back;
4.20.32 9.7.29. A solução deve analisar o comportamento de arquivos suspeitos em um ambiente controlado.;
9.7.30. Para o firewall concentrador, aplica-se apenas os recursos de IPS descritos nesse grupo de itens. Para o firewall das pontas remotas, aplica- se todos os requisitos descritos nesse grupo de itens;
Appears in 1 contract
PREVENÇÃO DE AMEAÇAS. 4.20.1 5.1. Para proteção do ambiente contra ataques, os dispositivos de proteção devem possuir módulo de IPS, Antivírus e Anti-Spyware integrados no próprio appliance de firewall;
4.20.2 5.2. Deve incluir assinaturas de prevenção de intrusão (IPS) e bloqueio de arquivos maliciosos (Antivírus e Anti-Spyware);
4.20.3 5.3. As funcionalidades de IPS, Antivírus e Anti-Spyware devem operar em carąter permanente, podendo ser utilizadas por tempo indeterminado, mesmo que não subsista o direito de receber atualizações ou que não haja contrato de garantia de software com o fabricante;
5.4. Deve sincronizar as assinaturas de IPS, Antivírus, Anti-Spyware quando implementado em alta disponibilidade;
4.20.4 Deve implementar os seguintes tipos de ações para ameaças detectadas pelo IPS: permitir, permitir e gerar log, bloquear e quarentenar IP do atacante por um intervalo de tempo;
4.20.5 As assinaturas devem poder ser ativadas ou desativadas, ou ainda habilitadas apenas em modo de monitoração;
4.20.6 Deve ser possível a criação de políticas por usuários, grupos de usuários, IPs, redes ou zonas de segurança;
4.20.7 Exceções por IP de origem ou de destino devem ser possíveis nas regras ou assinatura a assinatura;
4.20.8 5.5. Deve suportar granularidade nas políticas de IPS, Antivírus e Anti-Spyware, possibilitando a criação de diferentes politicas por zona de segurança, endereço de origem, endereço de destino, serviço e a combinação de todos esses itens;
4.20.9 5.6. Deve permitir o bloqueio de vulnerabilidades;
4.20.10 Deve permitir o bloqueio de exploits conhecidos;
4.20.11 5.7. Deve incluir proteção contra ataques de negação de serviços;
4.20.12 5.8. Deverą possuir o seguinte mecanismos de inspeção de IPS: Anąlise de decodificação de protocolo;
5.9. Deverą possuir o seguinte mecanismos de inspeção de IPS: Anąlise para detecção de anomalias de protocolo;
5.10. Deverą possuir o seguinte mecanismos de inspeção de IPS: IP Defragmentation;
5.11. Deverą possuir o seguinte mecanismos de inspeção de IPS: Remontagem de pacotes de TCP;
5.12. Deverą possuir o seguinte mecanismos de inspeção de IPS: Bloqueio de pacotes malformados;
5.13. Ser imune e capaz de impedir ataques básicos bąsicos como: Syn flood, ICMP flood, UDP flood, etc;
4.20.13 5.14. Detectar e bloquear a origem de portscans;
4.20.14 5.15. Bloquear ataques efetuados por worms conhecidos;
4.20.15 5.16. Possuir assinaturas específicas para a mitigação de ataques DoS e DDoS;
4.20.16 5.17. Possuir assinaturas para bloqueio de ataques de buffer overflow;
4.20.17 Deverá 5.18. Deverą possibilitar a criação de assinaturas customizadas pela interface gráfica grąfica do produto;
4.20.18 Deve permitir usar operadores de negação na criação de assinaturas customizadas de IPS ou anti-spyware, permitindo a criação de exceções com granularidade nas configurações;
4.20.19 Permitir o bloqueio de vírus e spywares em, pelo menos, os seguintes protocolos: HTTP, FTP, SMB, SMTP e POP3;
4.20.20 5.19. Identificar e bloquear comunicação com botnets;
4.20.21 5.20. Registrar na console de monitoração as seguintes informações sobre ameaças identificadas: o O nome da assinatura ou do ataque, aplicação, usuáriousuąrio, origem e o destino da comunicação, além da ação tomada pelo dispositivo;
4.20.22 5.21. Deve suportar a captura de pacotes (PCAP), por assinatura de IPS ou controle de aplicação;
5.22. Deve possuir a função de proteção a resolução de endereços via DNS, identificando requisições de resolução de nome para domínios maliciosos de botnets conhecidas;
4.20.23 5.23. Os eventos devem identificar o país de onde partiu a ameaça;
4.20.24 5.24. Deve incluir proteção contra vírus em conteúdo HTML e javascript, software espião (spyware) e worms;
4.20.25 5.25. Possuir proteção contra downloads involuntários involuntąrios usando HTTP de arquivos executáveis executąveis e maliciosos;
4.20.26 5.26. Deve ser possível a configuração de diferentes políticas de controle de ameaças e ataques baseado em políticas do firewall considerando usuáriosUsuąrios, grupos Grupos de usuáriosusuąrios, origem, destino, zonas de segurança, etc, ou seja, cada política de firewall poderá poderą ter uma configuração diferente diferentes de IPS, sendo essas
4.20.27 Políticas essas políticas por UsuáriosXxxxxxxx, Grupos de usuáriousuąrio, origem, destino, zonas de segurança.
4.20.28 Deve ser capaz de mitigar ameaças avançadas persistentes (APT), através de análises dinâmicas para identificação de malwares desconhecidos;
4.20.29 A 5.27. Suportar e estar licenciado com proteção contra ataques de dia zero por meio de integração com solução de sandbox deve ser capaz de criar assinaturas e ainda incluí-las na base de antivírus do firewall, prevenindo a reincidência do ataque;
4.20.30 A solução de sandbox deve ser capaz de incluir no firewall as URLs identificadas como origens de tais ameaças desconhecidas (black list), impedindo que esses endereços sejam acessados pelos usuários de rede novamente;
4.20.31 Dentre as análises efetuadas, a solução deve suportar antivírus, query na Sandbox em nuvem, emulação de código, sandboxing e verificação de call-backdo mesmo fabricante;
4.20.32 A solução deve analisar o comportamento de arquivos suspeitos em um ambiente controlado.
Appears in 1 contract
Samples: Pregão Eletrônico
PREVENÇÃO DE AMEAÇAS. 4.20.1 5.1 Para proteção do ambiente contra ataques, os dispositivos de proteção devem possuir módulo de IPS, Antivírus e Anti-Spyware integrados no próprio appliance de firewallFirewall ou entregue através de composição com outro equipamento ou fabricante;
4.20.2 5.2 Deve incluir assinaturas de prevenção de intrusão (IPS) e bloqueio de arquivos maliciosos (Antivírus e Anti-Spyware);
4.20.3 5.3 As funcionalidades de IPS, Antivírus e Anti-Spyware devem operar em caráter permanente, podendo ser utilizadas por tempo indeterminado, mesmo que não subsista o direito de receber atualizações ou que não haja contrato de garantia de software com o fabricante;
5.4 Deve sincronizar as assinaturas de IPS, Antivírus, Anti-Spyware quando implementado em alta disponibilidadedisponibilidade ativo/ativo e ativo/passivo;
4.20.4 5.5 Deve implementar os seguintes tipos de ações para ameaças detectadas pelo IPS, Antipyware e Antivirus: permitir, permitir e gerar log, bloquear, bloquear e quarentenar IP do atacante por um intervalo de tempotempo e enviar tcp-reset;
4.20.5 5.6 As assinaturas devem poder ser ativadas ou desativadas, ou ainda habilitadas apenas em modo de monitoração;
4.20.6 Deve ser possível a criação de políticas por usuários, grupos de usuários, IPs, redes ou zonas de segurança;
4.20.7 5.7 Exceções por IP de origem ou de destino devem ser possíveis nas regras ou regras, de forma geral e assinatura a assinatura;
4.20.8 5.8 Deve suportar granularidade nas políticas politicas de IPS, IPS Antivírus e Anti-Spyware, possibilitando a criação de diferentes politicas por zona de segurança, endereço de origem, endereço de destino, serviço e a combinação de todos esses itens;
4.20.9 5.9 Deve permitir o bloqueio de vulnerabilidades;
4.20.10 5.10 Deve permitir o bloqueio de exploits conhecidos;
4.20.11 5.11 Deve incluir proteção contra contra-ataques de negação de serviços;
4.20.12 Ser imune e capaz 5.12 Deverá possuir os seguintes mecanismos de impedir ataques básicos como: Syn flood, ICMP flood, UDP flood, etcinspeção de IPS:
5.12.1 Análise de padrões de estado de conexões;
4.20.13 Detectar e bloquear a origem 5.12.2 Análise de portscansdecodificação de protocolo;
4.20.14 Bloquear ataques efetuados por worms conhecidos5.12.3 Análise para detecção de anomalias de protocolo;
4.20.15 Possuir assinaturas específicas para a mitigação de ataques DoS e DDoS5.12.4 Análise heurística;
4.20.16 Possuir assinaturas para bloqueio de ataques de buffer overflow;
4.20.17 Deverá possibilitar a criação de assinaturas customizadas pela interface gráfica do produto;
4.20.18 Deve permitir usar operadores de negação na criação de assinaturas customizadas de IPS ou anti-spyware, permitindo a criação de exceções com granularidade nas configurações;
4.20.19 Permitir o bloqueio de vírus e spywares em, pelo menos, os seguintes protocolos: HTTP, FTP, SMB, SMTP e POP3;
4.20.20 Identificar e bloquear comunicação com botnets;
4.20.21 Registrar na console de monitoração as seguintes informações sobre ameaças identificadas: o nome da assinatura ou do ataque, aplicação, usuário, origem e o destino da comunicação, além da ação tomada pelo dispositivo;
4.20.22 Deve possuir a função de proteção a resolução de endereços via DNS, identificando requisições de resolução de nome para domínios maliciosos de botnets conhecidas;
4.20.23 Os eventos devem identificar o país de onde partiu a ameaça;
4.20.24 Deve incluir proteção contra vírus em conteúdo HTML e javascript, software espião (spyware) e worms;
4.20.25 Possuir proteção contra downloads involuntários usando HTTP de arquivos executáveis e maliciosos;
4.20.26 Deve ser possível a configuração de diferentes políticas de controle de ameaças e ataques baseado em políticas do firewall considerando usuários, grupos de usuários, origem, destino, zonas de segurança, etc, ou seja, cada política de firewall poderá ter uma configuração diferente de IPS, sendo essas
4.20.27 Políticas por Usuários, Grupos de usuário, origem, destino, zonas de segurança.
4.20.28 Deve ser capaz de mitigar ameaças avançadas persistentes (APT), através de análises dinâmicas para identificação de malwares desconhecidos;
4.20.29 A solução de sandbox deve ser capaz de criar assinaturas e ainda incluí-las na base de antivírus do firewall, prevenindo a reincidência do ataque;
4.20.30 A solução de sandbox deve ser capaz de incluir no firewall as URLs identificadas como origens de tais ameaças desconhecidas (black list), impedindo que esses endereços sejam acessados pelos usuários de rede novamente;
4.20.31 Dentre as análises efetuadas, a solução deve suportar antivírus, query na nuvem, emulação de código, sandboxing e verificação de call-back;
4.20.32 A solução deve analisar o comportamento de arquivos suspeitos em um ambiente controlado.
Appears in 1 contract
Samples: Contract for Security Solution
PREVENÇÃO DE AMEAÇAS. 4.20.1 4.1. Para proteção do ambiente contra ataques, os dispositivos de proteção devem a solução deverá possuir módulo de IPS, Antivírus e Anti-Spyware integrados no próprio appliance de firewallFirewall;
4.20.2 Deve incluir 4.2. Deverá ser capaz de identificar e bloquear as seguintes ameaças: vírus, trojans, spywares, ransomwares e demais tipos de malwares;
4.3. Deverá permitir a inclusão de assinaturas de prevenção de intrusão (IPS) e bloqueio de arquivos maliciosos (Antivírus e Anti-Spyware);
4.20.3 Deve 4.4. As funcionalidades de IPS, Antivírus e Anti-Spyware deverão operar em caráter permanente, podendo ser utilizadas por tempo indeterminado, mesmo que não subsista o direito de receber atualizações ou que não haja contrato de garantia de software com o fabricante;
4.5. Deverá permitir sincronizar as assinaturas de IPS, Antivírus, Anti-Spyware quando implementado em alta disponibilidadedisponibilidade ativo/passivo;
4.20.4 Deve implementar 4.6. Deverá permitir os seguintes tipos de ações para ameaças detectadas pelo IPSIPS e Antispyware: permitir, permitir e gerar log, bloquear, bloquear e quarentenar IP do atacante por um intervalo de tempotempo e enviar tcp-reset;
4.20.5 As assinaturas devem poder ser ativadas 4.7. Deverá permitir detectar e prevenir ameaças em tráfegos HTTP/2;
4.8. Deverá permitir ativar ou desativadasdesativar as assinaturas, ou ainda habilitadas habilitá-las apenas em modo de monitoração;
4.20.6 Deve ser possível a criação de políticas por usuários, grupos de usuários, IPs, redes ou zonas de segurança;
4.20.7 Exceções 4.9. Deverá permitir exceções por IP de origem ou de destino devem deverão ser possíveis nas regras ou regras, de forma geral e assinatura a assinatura;
4.20.8 Deve suportar 4.10. Deverá permitir granularidade nas políticas de IPS, IPS Antivírus e Anti-SpywareSpyware , possibilitando a criação de diferentes politicas políticas por zona de segurança, endereço de origem, endereço de destino, serviço e a combinação de todos esses itens;
4.20.9 Deve 4.11. Deverá permitir o bloqueio de vulnerabilidades;
4.20.10 Deve 4.12. Deverá permitir o bloqueio de exploits conhecidos;
4.20.11 Deve 4.13. Deverá incluir proteção contra ataques de negação de serviçosserviços (DoS);
4.20.12 Ser 4.14. Deverá permitir a inspeção e criação de regras de proteção de DOS e QOS para o conteúdo de tráfego tunelado pelo protocolo GRE;
4.15. Deverá possuir os seguintes mecanismos de inspeção de IPS:
4.15.1. Análise de padrões de estado de conexões;
4.15.2. Análise de decodificação de protocolo;
4.15.3. Análise para detecção de anomalias de protocolo;
4.15.4. Análise heurística;
4.15.5. IP Defragmentation;
4.15.6. Remontagem de pacotes de TCP;
4.15.7. Bloqueio de pacotes malformados;
4.16. Deverá ser imune e capaz de impedir ataques básicos como: Syn floodSynflood, ICMP floodICMPflood, UDP floodUDPfloof, etc;
4.20.13 Detectar 4.17. Deverá detectar e bloquear a origem de portscansport scans com possibilidade de criar exceções para endereços IPs de ferramentas de monitoramento da organização;
4.20.14 Bloquear 4.18. Deverá bloquear ataques efetuados por worms conhecidos, permitindo ao administrador acrescentar novos padrões;
4.20.15 Possuir 4.19. Deverá suportar os seguintes mecanismos de inspeção contra ameaças de rede: análise de padrões de estado de conexões, análise de decodificação de protocolo, análise para detecção de anomalias de protocolo, análise heurística, IP Defragmentation, remontagem de pacotes de TCP e bloqueio de pacotes malformados;
4.20. Deverá possuir assinaturas específicas para a mitigação de ataques DoS e DDoS;
4.20.16 Possuir 4.21. Deverá possuir assinaturas para bloqueio de ataques de buffer overflow;
4.20.17 4.22. Deverá possibilitar a criação de assinaturas customizadas pela interface gráfica do produto;
4.20.18 Deve 4.23. Deverá permitir usar operadores de negação na criação de assinaturas customizadas de IPS ou e anti-spyware, permitindo a criação de exceções com granularidade nas configurações;
4.20.19 Permitir 4.24. Deverá permitir o bloqueio de vírus e spywares em, pelo menos, os seguintes protocolos: HTTP, FTP, SMB, SMTP e POP3;
4.20.20 Identificar 4.25. Deverá suportar bloqueio de arquivos por tipo;
4.26. Deverá identificar e bloquear comunicação com botnets;
4.20.21 Registrar 4.27. Deverá suportar várias técnicas de prevenção, incluindo Drop e tcp-rst (Cliente, Servidor e ambos);
4.28. Deverá suportar referência cruzada com CVE;
4.29. Deverá registrar na console de monitoração as seguintes informações sobre ameaças identificadas: o O nome da assinatura ou do ataque, aplicação, usuário, origem e o destino da comunicação, além da ação tomada pelo dispositivo;
4.20.22 Deve 4.30. Deverá suportar a captura de pacotes (PCAP), por assinatura de IPS e Antispyware;
4.31. Deverá permitir que na captura de pacotes por assinaturas de IPS e Antispyware seja definido o número de pacotes a serem capturados. Esta captura deverá permitir selecionar, no mínimo, 50 pacotes;
4.32. Deverá possuir a função de proteção a resolução de endereços via DNS, identificando requisições de resolução de nome para que conexões com destino a domínios maliciosos de botnets conhecidassejam resolvidas pelo Firewall com endereços (IPv4 e IPv6), previamente definidos;
4.20.23 Os eventos devem identificar 4.33. Deverá permitir o país bloqueio de onde partiu a ameaçavírus, pelo menos, nos seguintes protocolos: HTTP, FTP, SMB, SMTP e POP3;
4.20.24 Deve 4.34. Deverá incluir proteção contra vírus em conteúdo HTML e javascript, software espião (spyware) e worms;
4.20.25 Possuir 4.35. Deverá incluir proteção contra downloads involuntários usando HTTP de arquivos executáveis e maliciosos;
4.20.26 Deve 4.36. Deverá incluir rastreamento de vírus em PDF;
4.37. Deverá permitir a inspeção em arquivos comprimidos que utilizam o algoritmo deflate (zip, gzip, etc.);
4.38. Deverá ser possível a configuração de diferentes políticas de controle de ameaças e ataques baseado em políticas do firewall considerando usuáriosUsuários, grupos Grupos de usuários, origem, destino, zonas de segurança, etc, ou seja, cada política regra de firewall poderá ter uma configuração diferente diferentes de IPS, sendo essas
4.20.27 Políticas essas políticas por Usuários, Grupos de usuário, origem, destino, zonas de segurança.
4.20.28 Deve ser capaz 4.39. Deverá possuir a capacidade de mitigar ameaças avançadas persistentes (APT), detectar e bloquear tentativas de resolução de domínios gerados de forma automática através de análises dinâmicas para identificação de malwares desconhecidosalgoritmos (Domain generation algorithm - DGA);
4.20.29 A solução 4.40. Deverá mostrar nos logs as seguintes informações sobre domínios DGA:
4.40.1. Domínio suspeito identificado;
4.40.2. ID de sandbox deve ser capaz assinatura de criar assinaturas e ainda incluí-las detecção;
4.40.3. Usuário logado na base estação/servidor que originou o tráfego;
4.40.4. Aplicação;
4.40.5. Porta de antivírus destino;
4.40.6. IP de origem;
4.40.7. IP de destino;
4.40.8. Horário;
4.40.9. Ação do firewall, prevenindo a reincidência do ataque;
4.20.30 A solução de sandbox deve ser capaz de incluir no firewall as URLs identificadas como origens de tais ameaças desconhecidas (black list), impedindo que esses endereços sejam acessados pelos usuários de rede novamente4.40.10. Severidade;
4.20.31 Dentre 4.41. Deverá possuir sistema de análise automático para detectar e bloquear encapsulamento de DNS com fins de roubo de dados e comunicações de comando e controle
4.42. A análise automática deverá incluir, no mínimo, as análises efetuadas, a solução deve suportar antivírus, query na nuvem, emulação seguintes características:
4.42.1. Padrões de código, sandboxing e verificação de call-backconsulta;
4.20.32 A solução deve analisar o comportamento 4.42.2. Entropia;
4.42.3. Análise de arquivos suspeitos em um ambiente controladofrequência n-gram de domínios;
4.42.4. Taxa de consultas.
Appears in 1 contract
Samples: Termo De Referência
PREVENÇÃO DE AMEAÇAS. 4.20.1 a) Para proteção do ambiente contra ataques, os dispositivos de proteção devem possuir módulo de IPS, Antivírus e Anti-Spyware integrados no próprio appliance de firewall;.
4.20.2 b) Deve incluir assinaturas de prevenção de intrusão (IPS) e bloqueio de arquivos maliciosos (Antivírus e Anti-Spyware);.
4.20.3 Deve sincronizar c) As funcionalidades de IPS, Antivírus e Anti-Spyware devem operar em caráter permanente, podendo ser utilizadas por tempo indeterminado, mesmo que não subsista o direito de receber atualizações ou que não haja contrato de garantia de software com o fabricante.
d) Xxxx xxxxxxxxxxx as assinaturas de IPS, Antivírus, Anti-Spyware quando implementado em alta disponibilidade;.
4.20.4 e) Deve implementar os seguintes tipos de ações para ameaças detectadas pelo IPS: permitir, permitir e gerar log, bloquear, bloquear e quarentenar IP do atacante por um intervalo de tempo;tempo e enviar tcp-reset.
4.20.5 f) As assinaturas devem poder ser ativadas ou desativadas, ou ainda habilitadas apenas em modo de monitoração;.
4.20.6 g) Deve ser possível a criação de políticas por usuários, grupos de usuários, IPs, redes ou zonas de segurança;.
4.20.7 h) Exceções por IP de origem ou de destino devem ser possíveis nas regras ou assinatura a assinatura;.
4.20.8 i) Deve suportar granularidade nas políticas de IPS, Antivírus e Anti-Spyware, possibilitando a criação de diferentes politicas políticas por zona de segurança, endereço de origem, endereço de destino, serviço e a combinação de todos esses itens;.
4.20.9 j) Deve permitir o bloqueio de vulnerabilidades;.
4.20.10 k) Deve permitir o bloqueio de exploits conhecidos;.
4.20.11 l) Deve incluir proteção contra ataques de negação de serviços;.
4.20.12 m) Deverá possuir o seguinte mecanismo de inspeção de IPS: Análise de padrões de estado de conexões.
n) Deverá possuir o seguinte mecanismo de inspeção de IPS: Análise de decodificação de protocolo.
o) Deverá possuir o seguinte mecanismo de inspeção de IPS: Análise para detecção de anomalias de protocolo.
p) Deverá possuir o seguinte mecanismo de inspeção de IPS: Análise heurística.
q) Deverá possuir o seguinte mecanismo de inspeção de IPS: IP Defragmentation.
r) Deverá possuir o seguinte mecanismo de inspeção de IPS: Remontagem de pacotes de TCP.
s) Deverá possuir o seguinte mecanismo de inspeção de IPS: Bloqueio de pacotes malformados.
t) Ser imune e capaz de impedir ataques básicos como: Syn flood, ICMP flood, UDP flood, etc;.
4.20.13 u) Detectar e bloquear a origem de portscans;.
4.20.14 v) Bloquear ataques efetuados por worms conhecidos;.
4.20.15 w) Possuir assinaturas específicas para a mitigação de ataques DoS e DDoS;DDoS.
4.20.16 x) Possuir assinaturas para bloqueio de ataques de buffer overflow;.
4.20.17 y) Deverá possibilitar a criação de assinaturas customizadas pela interface gráfica do produto;.
4.20.18 z) Deve permitir usar operadores de negação na criação de assinaturas customizadas de IPS ou anti-spyware, permitindo a criação de exceções com granularidade nas configurações;.
4.20.19 aa) Permitir o bloqueio de vírus e spywares em, pelo menos, os seguintes protocolos: HTTP, FTP, SMB, SMTP e POP3;.
4.20.20 bb) Identificar e bloquear comunicação com botnets;.
4.20.21 cc) Registrar na console de monitoração as seguintes informações sobre ameaças identificadas: o O nome da assinatura ou do ataque, aplicação, usuário, origem e o destino da comunicação, além da ação tomada pelo dispositivo;.
4.20.22 dd) Deve suportar a captura de pacotes (PCAP), por assinatura de IPS ou controle de aplicação.
ee) Xxxx permitir que na captura de pacotes por assinaturas de IPS seja definido o número de pacotes a serem capturados ou permitir capturar o pacote que deu origem ao alerta assim como seu contexto, facilitando a análise forense e identificação de falsos positivos.
ff) Deve possuir a função de proteção a resolução de endereços via DNS, identificando requisições de resolução de nome para domínios maliciosos de botnets conhecidas;
4.20.23 . gg) Os eventos devem identificar o país de onde partiu a ameaça;
4.20.24 Deve incluir proteção contra vírus em conteúdo HTML e javascript, software espião (spyware) e worms;
4.20.25 Possuir proteção contra downloads involuntários usando HTTP de arquivos executáveis e maliciosos;
4.20.26 Deve ser possível a configuração de diferentes políticas de controle de ameaças e ataques baseado em políticas do firewall considerando usuários, grupos de usuários, origem, destino, zonas de segurança, etc, ou seja, cada política de firewall poderá ter uma configuração diferente de IPS, sendo essas
4.20.27 Políticas por Usuários, Grupos de usuário, origem, destino, zonas de segurança.
4.20.28 Deve ser capaz de mitigar ameaças avançadas persistentes (APT), através de análises dinâmicas para identificação de malwares desconhecidos;
4.20.29 A solução de sandbox deve ser capaz de criar assinaturas e ainda incluí-las na base de antivírus do firewall, prevenindo a reincidência do ataque;
4.20.30 A solução de sandbox deve ser capaz de incluir no firewall as URLs identificadas como origens de tais ameaças desconhecidas (black list), impedindo que esses endereços sejam acessados pelos usuários de rede novamente;
4.20.31 Dentre as análises efetuadas, a solução deve suportar antivírus, query na nuvem, emulação de código, sandboxing e verificação de call-back;
4.20.32 A solução deve analisar o comportamento de arquivos suspeitos em um ambiente controlado.
Appears in 1 contract
Samples: Contratação De Serviços De Internet