Common use of PREVENÇÃO DE AMEAÇAS Clause in Contracts

PREVENÇÃO DE AMEAÇAS. 7.1.1 Para proteção do ambiente contra-ataques, os dispositivos de proteção devem possuir módulo de IPS, Antivírus e Anti-Spyware integrados no próprio appliance de firewall. 7.1.2 Deve incluir assinaturas de prevenção de intrusão (IPS) e bloqueio de arquivos maliciosos (Antivírus e Anti-Spyware). 7.1.3 As funcionalidades de IPS, Antivírus e Anti-Spyware devem operar em caráter permanente, podendo ser utilizadas por tempo indeterminado, mesmo que não subsista o direito de receber atualizações ou que não haja contrato de garantia de software com o fabricante. 7.1.4 Deve sincronizar as assinaturas de IPS, Antivírus, Anti-Spyware quando implementado em alta disponibilidade. 7.1.5 Deve implementar os seguintes tipos de ações para ameaças detectadas pelo IPS: permitir, permitir e gerar log, bloquear, bloquear IP do atacante por um intervalo de tempo e enviar tcp-reset. 7.1.6 As assinaturas devem poder ser ativadas ou desativadas, ou ainda habilitadas apenas em modo de monitoração. 7.1.7 Deve ser possível a criação de políticas por usuários, grupos de usuários, IPs, redes ou zonas de segurança. 7.1.8 Exceções por IP de origem ou de destino devem ser possíveis nas regras ou assinatura a assinatura. 7.1.9 Deve suportar granularidade nas políticas de IPS, Antivírus e Anti-Spyware, possibilitando a criação de diferentes políticas por zona de segurança, endereço de origem, endereço de destino, serviço e a combinação de todos esses itens. 7.1.10 Deve permitir o bloqueio de vulnerabilidades. 7.1.11 Deve permitir o bloqueio de exploits conhecidos. 7.1.12 Deve incluir proteção contra-ataques de negação de serviços. 7.1.13 Deverá possuir o seguinte mecanismo de inspeção de IPS: Análise de padrões de estado de conexões. 7.1.14 Deverá possuir o seguinte mecanismo de inspeção de IPS: Análise de decodificação de protocolo. 7.1.15 Deverá possuir o seguinte mecanismo de inspeção de IPS: Análise para detecção de anomalias de protocolo. 7.1.16 Deverá possuir o seguinte mecanismo de inspeção de IPS: Análise heurística. 7.1.17 Deverá possuir o seguinte mecanismo de inspeção de IPS: IP Defragmentation. 7.1.18 Deverá possuir o seguinte mecanismo de inspeção de IPS: Remontagem de pacotes de TCP. 7.1.19 Deverá possuir o seguinte mecanismo de inspeção de IPS: Bloqueio de pacotes malformados. 7.1.20 Ser imune e capaz de impedir ataques básicos como: Syn flood, ICMP flood, UDP flood, etc. 7.1.21 Detectar e bloquear a origem de portscans. 7.1.22 Bloquear ataques efetuados por worms conhecidos. 7.1.23 Possuir assinaturas específicas para a mitigação de ataques DoS e DDoS. 7.1.24 Possuir assinaturas para bloqueio de ataques de buffer overflow. 7.1.25 Deverá possibilitar a criação de assinaturas customizadas pela interface gráfica do produto. 7.1.26 Deve permitir usar operadores de negação na criação de assinaturas customizadas de IPS ou anti-spyware, permitindo a criação de exceções com granularidade nas configurações. 7.1.27 Permitir o bloqueio de vírus e spywares em, pelo menos, os seguintes protocolos: HTTP, FTP, SMB, SMTP e POP3. 7.1.28 Identificar e bloquear comunicação com botnets. 7.1.29 Registrar na console de monitoração as seguintes informações sobre ameaças identificadas: O nome da assinatura ou do ataque, aplicação, usuário, origem e o destino da comunicação, além da ação tomada pelo dispositivo. 7.1.30 Deve suportar a captura de pacotes (PCAP), por assinatura de IPS ou controle de aplicação. 7.1.31 Deve permitir que na captura de pacotes por assinaturas de IPS seja definido o número de pacotes a serem capturados ou permitir capturar o pacote que deu origem ao alerta assim como seu contexto, facilitando a análise forense e identificação de falsos positivos. 7.1.32 Deve possuir a função de proteção a resolução de endereços via DNS, identificando requisições de resolução de nome para domínios maliciosos de botnets conhecidas. 7.1.33 Os eventos devem identificar o país de onde partiu a ameaça. 7.1.34 Deve incluir proteção contra vírus em conteúdo HTML e javascript, software espião (spyware) e worms. 7.1.35 Possuir proteção contra downloads involuntários usando HTTP de arquivos executáveis e maliciosos. 7.1.36 Deve ser possível a configuração de diferentes políticas de controle de ameaças e ataques baseado em políticas do firewall considerando Usuários, Grupos de usuários, origem, destino, zonas de segurança, etc, ou seja, cada política de firewall poderá ter uma configuração diferentes de IPS, sendo essas políticas por Usuários, Grupos de usuário, origem, destino, zonas de segurança. 7.1.37 O Firewall deve permitir que se analise a implantação de Tecido de Segurança para identificar potenciais vulnerabilidades e destaque as práticas recomendadas que podem ser usadas para melhorar a segurança e o desempenho geral da rede. 7.1.38 Caso o firewall possa ser coordenado por software de segurança do computador do usuário final (laptop, desktop, etc.) deve ter um perfil onde se possa executar a análise de vulnerabilidade nestes equipamentos de usuário e assegurar que estes executem versões compatíveis. 7.1.39 Análise de postura de segurança devem existir para permitir que o software de segurança do endpoint aplique proteção em tempo real, antivírus, filtragem da Web e controle de aplicativos no endpoint. 7.1.40 Fornecer proteção contra-ataques de dia zero por meio de estreita integração com os componentes Security Fabric, incluindo NGFW, Sandbox (on-premise e nuvem).

PREVENÇÃO DE AMEAÇAS. 7.1.1 2.5.1 Para proteção do ambiente contra-contra ataques, os dispositivos de proteção devem possuir módulo de IPS, Antivírus e Anti-Spyware integrados no próprio appliance de firewallFirewall ou entregue através de composição com outro equipamento ou fabricante. 7.1.2 2.5.2 Deve incluir assinaturas de prevenção de intrusão (IPS) e bloqueio de arquivos maliciosos (Antivírus e Anti-Anti- Spyware). 7.1.3 2.5.3 As funcionalidades de IPS, Antivírus e Anti-Spyware devem operar em caráter permanente, podendo ser utilizadas por tempo indeterminado, mesmo que não subsista o direito de receber atualizações ou que não haja contrato de garantia de software com o fabricante. 7.1.4 2.5.4 Deve sincronizar as assinaturas de IPS, Antivírus, Anti-Spyware quando implementado em alta disponibilidadedisponibilidade ativo/ativo e ativo/passivo. 7.1.5 2.5.5 Deve implementar os seguintes tipos de ações para ameaças detectadas pelo IPS, Antipyware e Antivirus: permitir, permitir e gerar log, bloquear, bloquear IP do atacante por um intervalo de tempo e enviar tcp-reset. 7.1.6 2.5.6 As assinaturas devem poder ser ativadas ou desativadas, ou ainda habilitadas apenas em modo de monitoração. 7.1.7 Deve ser possível a criação de políticas por usuários, grupos de usuários, IPs, redes ou zonas de segurança. 7.1.8 2.5.7 Exceções por IP de origem ou de destino devem ser possíveis nas regras ou regras, de forma geral e assinatura a assinatura. 7.1.9 2.5.8 Deve suportar granularidade nas políticas de IPS, IPS Antivírus e Anti-SpywareSpyware , possibilitando a criação de diferentes políticas politicas por zona de segurança, endereço de origem, endereço de destino, serviço e a combinação de todos esses itens. 7.1.10 Deve permitir o bloqueio de vulnerabilidades. 7.1.11 Deve permitir o bloqueio de exploits conhecidos. 7.1.12 Deve incluir proteção contra-ataques de negação de serviços. 7.1.13 Deverá possuir o seguinte mecanismo de inspeção de IPS: Análise de padrões de estado de conexões. 7.1.14 Deverá possuir o seguinte mecanismo de inspeção de IPS: Análise de decodificação de protocolo. 7.1.15 Deverá possuir o seguinte mecanismo de inspeção de IPS: Análise para detecção de anomalias de protocolo. 7.1.16 Deverá possuir o seguinte mecanismo de inspeção de IPS: Análise heurística. 7.1.17 Deverá possuir o seguinte mecanismo de inspeção de IPS: IP Defragmentation. 7.1.18 Deverá possuir o seguinte mecanismo de inspeção de IPS: Remontagem de pacotes de TCP. 7.1.19 Deverá possuir o seguinte mecanismo de inspeção de IPS: Bloqueio de pacotes malformados. 7.1.20 2.5.9 Ser imune e capaz de impedir ataques básicos como: Syn floodSynflood, ICMP floodICMPflood, UDP floodUDPfloof, etc. 7.1.21 2.5.10 Detectar e bloquear a origem de portscansportscans com possibilidade de criar exceções para endereços IPs de ferramentas de monitoramento da organização. 7.1.22 2.5.11 Bloquear ataques efetuados por worms conhecidos, permitindo ao administrador acrescentar novos padrões. 7.1.23 2.5.12 Possuir assinaturas específicas para a mitigação de ataques DoS e DDoS. 7.1.24 2.5.13 Possuir assinaturas para bloqueio de ataques de buffer overflow. 7.1.25 2.5.14 Deverá possibilitar a criação de assinaturas customizadas pela interface gráfica do produto. 7.1.26 2.5.15 Deve permitir usar operadores de negação na criação de assinaturas customizadas de IPS ou e anti-spyware, permitindo a criação de exceções com granularidade nas configurações. 7.1.27 2.5.16 Permitir o bloqueio de vírus e spywares em, pelo menos, os seguintes protocolos: HTTP, FTP, SMB, SMTP e POP3. 7.1.28 a) É permitido uso de appliance externo (antivírus de rede), para o bloqueio de vírus e spywares em protocolo SMB de forma a conter malwares se espalhando horizontalmente pela rede. 2.5.17 Suportar bloqueio de arquivos por tipo. 2.5.18 Identificar e bloquear comunicação com botnets. 7.1.29 2.5.19 Deve suportar várias técnicas de prevenção, incluindo Drop e tcp-rst (Cliente, Servidor e ambos). 2.5.20 Deve suportar referência cruzada com CVE. 2.5.21 Registrar na console de monitoração as seguintes informações sobre ameaças identificadas: : a) O nome da assinatura ou do ataque, aplicação, usuário, origem e o destino da comunicação, além da ação tomada pelo dispositivo. 7.1.30 2.5.22 Deve suportar a captura de pacotes (PCAP), por assinatura de IPS ou controle de aplicaçãoe Antyspyware. 7.1.31 2.5.23 Deve permitir que na captura de pacotes por assinaturas de IPS e Antispyware seja definido o número de pacotes a serem capturados ou capturados. Esta captura deve permitir capturar o pacote que deu origem ao alerta assim como seu contextoselecionar, facilitando a análise forense e identificação de falsos positivosno mínimo, 50 pacotes. 7.1.32 2.5.24 Deve possuir a função de proteção a resolução de endereços via DNS, identificando requisições de resolução de nome para que conexões com destino a domínios maliciosos de botnets conhecidassejam resolvidas pelo Firewall com endereços (IPv4 e IPv6), previamente definidos. 7.1.33 2.5.25 Permitir o bloqueio de vírus, pelo menos, nos seguintes protocolos: HTTP, FTP, SMB, SMTP e POP3. 2.5.26 Os eventos devem identificar o país de onde partiu a ameaça. 7.1.34 2.5.27 Deve incluir proteção contra vírus em conteúdo HTML e javascript, software espião (spyware) e worms. 7.1.35 Possuir proteção 2.5.28 Proteção contra downloads involuntários usando HTTP de arquivos executáveis e maliciososexecutáveis.maliciosos. 7.1.36 2.5.29 Rastreamento de vírus em PDF. 2.5.30 Deve permitir a inspeção em arquivos comprimidos que utilizam o algoritmo deflate (zip, gzip, etc.). 2.5.31 Deve ser possível a configuração de diferentes políticas de controle de ameaças e ataques baseado em políticas do firewall considerando Usuários, Grupos de usuários, origem, destino, zonas de segurança, etc, ou seja, cada política de firewall poderá ter uma configuração diferentes de IPS, sendo essas políticas por Usuários, Grupos de usuário, origem, destino, zonas de segurança. 7.1.37 O Firewall deve permitir que se analise a implantação de Tecido de Segurança para identificar potenciais vulnerabilidades e destaque as práticas recomendadas que podem ser usadas para melhorar a segurança e o desempenho geral da rede. 7.1.38 Caso o firewall possa ser coordenado por software de segurança do computador do usuário final (laptop, desktop, etc.) deve ter um perfil onde se possa executar a análise de vulnerabilidade nestes equipamentos de usuário e assegurar que estes executem versões compatíveis. 7.1.39 Análise de postura de segurança devem existir para permitir que o software de segurança do endpoint aplique proteção em tempo real, antivírus, filtragem da Web e controle de aplicativos no endpoint. 7.1.40 Fornecer proteção contra-ataques de dia zero por meio de estreita integração com os componentes Security Fabric, incluindo NGFW, Sandbox (on-premise e nuvem).

PREVENÇÃO DE AMEAÇAS. 7.1.1 2.1.4.1. Para proteção do ambiente contra-ataques, os dispositivos de proteção devem firewalls deverão possuir módulo de IPS, IPS e Antivírus e Anti-Spyware integrados no próprio appliance de firewall.Firewall; 7.1.2 2.1.4.2. Deve incluir assinaturas de prevenção de intrusão (IPS) e bloqueio de arquivos códigos maliciosos (Antivírus e Anti-Spyware).Antivírus; 7.1.3 As funcionalidades de IPS, Antivírus e Anti-Spyware devem operar em caráter permanente, podendo ser utilizadas por tempo indeterminado, mesmo que não subsista o direito de receber atualizações ou que não haja contrato de garantia de software com o fabricante. 7.1.4 Deve 2.1.4.3. Xxxx sincronizar as assinaturas de IPS, Antivírus, Anti-Spyware IPS e Antivírus quando implementado em alta disponibilidade.disponibilidade ativo/ativo e ativo/passivo; 7.1.5 2.1.4.4. Deve implementar os seguintes tipos de ações para ameaças detectadas pelo IPSIPS e/ou Antivirus: permitir, permitir e gerar log, bloquear, bloquear IP do atacante por um intervalo de tempo e enviar tcp-reset.; 7.1.6 2.1.4.5. As assinaturas devem poder ser ativadas ou desativadas, ou ainda habilitadas apenas em modo de monitoração.; 7.1.7 2.1.4.6. Deve ser possível a criação de políticas por usuários, grupos de usuários, IPs, redes ou zonas de segurança.; 7.1.8 2.1.4.7. Exceções por IP de origem ou de destino devem ser possíveis nas regras ou assinatura a assinatura.regras; 7.1.9 2.1.4.8. Deve suportar granularidade nas políticas de IPS, IPS e/ou Antivírus e Anti-Spyware, possibilitando a criação de diferentes políticas por zona de segurança, endereço de origem, endereço de destino, serviço e a combinação de todos esses itens.; 7.1.10 2.1.4.9. Deve permitir o bloqueio de vulnerabilidades.; 7.1.11 2.1.4.10. Deve permitir o bloqueio de exploits conhecidos.; 7.1.12 2.1.4.11. Deve incluir proteção contra-ataques de negação de serviços.; 7.1.13 2.1.4.12. Deverá possuir o seguinte mecanismo de inspeção de IPS: Análise de padrões de estado de conexões.; 7.1.14 2.1.4.13. Deverá possuir o seguinte mecanismo de inspeção de IPS: Análise de decodificação de protocolo.; 7.1.15 2.1.4.14. Deverá possuir o seguinte mecanismo de inspeção de IPS: Análise para detecção de anomalias de protocolo.; 7.1.16 2.1.4.15. Deverá possuir o seguinte mecanismo de inspeção de IPS: Análise heurística.; 7.1.17 2.1.4.16. Deverá possuir o seguinte mecanismo de inspeção de IPS: IP Defragmentation.; 7.1.18 2.1.4.17. Deverá possuir o seguinte mecanismo de inspeção de IPS: Remontagem de pacotes de TCP.; 7.1.19 2.1.4.18. Deverá possuir o seguinte mecanismo de inspeção de IPS: Bloqueio de pacotes malformados.; 7.1.20 2.1.4.19. Ser imune e capaz de impedir ataques básicos como: Syn flood, ICMP flood, UDP flood, etc.; 7.1.21 2.1.4.20. Detectar e bloquear a origem de portscans.; 7.1.22 2.1.4.21. Bloquear ataques efetuados por worms conhecidos., permitindo ao administrador acrescentar novos padrões; 7.1.23 2.1.4.22. Possuir assinaturas específicas para a mitigação de ataques DoS e DDoS.DoS; 7.1.24 2.1.4.23. Possuir assinaturas para bloqueio de ataques de buffer overflow.; 7.1.25 2.1.4.24. Deverá possibilitar a criação de assinaturas customizadas pela interface gráfica do produto.; 7.1.26 2.1.4.25. Deve permitir usar operadores de negação na criação de assinaturas customizadas de IPS ou anti-spywaree antispyware, permitindo a criação de exceções com granularidade nas configurações.; 7.1.27 2.1.4.26. Permitir o bloqueio de vírus e spywares em, pelo menos, os seguintes protocolos: HTTP, FTP, SMB, SMTP e POP3.; 7.1.28 2.1.4.27. Identificar e bloquear comunicação com botnets.; 7.1.29 2.1.4.28. Registrar na console de monitoração nas logs as seguintes informações sobre ameaças identificadas: O nome da assinatura ou do ataque, aplicação, usuário, origem e o destino da comunicação, além da ação tomada pelo dispositivo.; 7.1.30 2.1.4.29. Deve suportar a captura de pacotes (PCAP), por assinatura de IPS ou controle de aplicação.; 7.1.31 Deve permitir que na captura de pacotes por assinaturas de IPS seja definido o número de pacotes a serem capturados ou permitir capturar o pacote que deu origem ao alerta assim como seu contexto, facilitando a análise forense e identificação de falsos positivos. 7.1.32 2.1.4.30. Deve possuir a função de proteção a resolução de endereços via DNS, identificando requisições de resolução de nome para domínios maliciosos de botnets conhecidas.; 7.1.33 2.1.4.31. Os eventos devem identificar o país de onde partiu a ameaça.; 7.1.34 2.1.4.32. Deve incluir proteção contra vírus em conteúdo HTML e javascript, software espião (spyware) e worms.; 7.1.35 Possuir proteção 2.1.4.33. Proteção contra downloads involuntários usando HTTP de arquivos executáveis e maliciosos.; 7.1.36 2.1.4.34. Deve ser possível a configuração de diferentes políticas de controle de ameaças e ataques baseado em políticas do firewall considerando Usuários, Grupos de usuários, origem, destino, ,zonas de segurança, etc, ou seja, cada política de firewall poderá ter uma configuração diferentes de IPS, sendo essas políticas por Usuários, Grupos de usuário, origem, destino, zonas de segurança. 7.1.37 O Firewall deve permitir que se analise a implantação de Tecido de Segurança para identificar potenciais vulnerabilidades e destaque as práticas recomendadas que podem ser usadas para melhorar a segurança e o desempenho geral da rede. 7.1.38 Caso o firewall possa ser coordenado por software de segurança do computador do usuário final (laptop, desktop, etc.) deve ter um perfil onde se possa executar a análise de vulnerabilidade nestes equipamentos de usuário e assegurar que estes executem versões compatíveis. 7.1.39 Análise de postura de segurança devem existir para permitir que o software de segurança do endpoint aplique proteção em tempo real, antivírus, filtragem da Web e controle de aplicativos no endpoint. 7.1.40 Fornecer proteção contra-ataques de dia zero por meio de estreita integração com os componentes Security Fabric, incluindo NGFW, Sandbox (on-premise e nuvem).

PREVENÇÃO DE AMEAÇAS. 7.1.1 7.1. Para proteção do ambiente contra-ataques, os dispositivos de proteção devem possuir módulo de IPS, Antivírus e Anti-Spyware integrados no próprio appliance de firewallFirewall ou entregue através de composição com outro equipamento ou fabricante. 7.1.2 7.2. Deve incluir assinaturas de prevenção de intrusão (IPS) e bloqueio de arquivos maliciosos (Antivírus e Anti-Anti- Spyware).; 7.1.3 7.3. As funcionalidades de IPS, Antivírus e Anti-Spyware devem operar em caráter permanente, podendo ser utilizadas por tempo indeterminado, mesmo que não subsista o direito de receber atualizações ou que não haja contrato de garantia de software com o fabricante. 7.1.4 7.4. Deve sincronizar as assinaturas de IPS, Antivírus, Anti-Spyware quando implementado em alta disponibilidade.disponibilidade ativo/ativo e ativo/passivo; 7.1.5 7.5. Deve implementar os seguintes tipos de ações para ameaças detectadas pelo IPS, Antipyware e Antivirus: permitir, permitir e gerar log, bloquear, bloquear IP do atacante por um intervalo de tempo e enviar tcp-reset.; 7.1.6 7.6. As assinaturas devem poder ser ativadas ou desativadas, ou ainda habilitadas apenas em modo de monitoração.; 7.1.7 Deve ser possível a criação de políticas por usuários, grupos de usuários, IPs, redes ou zonas de segurança. 7.1.8 7.7. Exceções por IP de origem ou de destino devem ser possíveis nas regras ou regras, de forma geral e assinatura a assinatura.; 7.1.9 7.8. Deve suportar granularidade nas políticas de IPS, IPS Antivírus e Anti-Spyware, possibilitando a criação de diferentes políticas politicas por zona de segurança, endereço de origem, endereço de destino, serviço e a combinação de todos esses itens. 7.1.10 7.9. Deve permitir o bloqueio de vulnerabilidades. 7.1.11 7.10. Deve permitir o bloqueio de exploits conhecidos. 7.1.12 7.11. Deve incluir proteção contra-ataques de negação de serviços. 7.1.13 7.12. Deve suportar a inspeção e criação de regras de proteção de DOS e QOS para o conteúdo de tráfego tunelados pelos protocolos GRE e IPSEC não criptografado; 7.13. Deverá possuir o seguinte mecanismo os seguintes mecanismos de inspeção de IPS: : 7.13.1. Análise de padrões de estado de conexões.; 7.1.14 Deverá possuir o seguinte mecanismo de inspeção de IPS: 7.13.2. Análise de decodificação de protocolo.; 7.1.15 Deverá possuir o seguinte mecanismo de inspeção de IPS: 7.13.3. Análise para detecção de anomalias de protocolo. 7.1.16 Deverá possuir o seguinte mecanismo de inspeção de IPS: 7.13.4. Análise heurística.; 7.1.17 Deverá possuir o seguinte mecanismo de inspeção de IPS: 7.13.5. IP Defragmentation.; 7.1.18 Deverá possuir o seguinte mecanismo de inspeção de IPS: 7.13.6. Remontagem de pacotes de TCP.; 7.1.19 Deverá possuir o seguinte mecanismo de inspeção de IPS: 7.13.7. Bloqueio de pacotes malformados. 7.1.20 7.14. Ser imune e capaz de impedir ataques básicos como: Syn floodSynflood, ICMP floodICMPflood, UDP floodUDPflood, etc.; 7.1.21 7.15. Detectar e bloquear a origem de portscans.portscans com possibilidade de criar exceções para endereços IPs de ferramentas de monitoramento da organização; 7.1.22 7.16. Bloquear ataques efetuados por worms conhecidos., permitindo ao administrador acrescentar novos padrões; 7.1.23 7.17. Suportar os seguintes mecanismos de inspeção contra ameaças de rede: análise de padrões de estado de conexões, análise de decodificação de protocolo, análise para detecção de anomalias de protocolo, análise heurística, IP Defragmentation, remontagem de pacotes de TCP e bloqueio de pacotes malformados; 7.18. Possuir assinaturas específicas para a mitigação de ataques DoS e DDoS.DDoS; 7.1.24 7.19. Possuir assinaturas para bloqueio de ataques de buffer overflow.; 7.1.25 7.20. Deverá possibilitar a criação de assinaturas customizadas pela interface gráfica do produto.; 7.1.26 7.21. Deve permitir usar operadores de negação na criação de assinaturas customizadas de IPS ou anti-e anti- spyware, permitindo a criação de exceções com granularidade nas configurações.; 7.1.27 7.22. Permitir o bloqueio de vírus e spywares em, pelo menos, os seguintes protocolos: HTTP, FTP, SMB, SMTP e POP3.; 7.1.28 7.22.1. É permitido uso de appliance externo (antivírus de rede), para o bloqueio de vírus e spywares em protocolo SMB de forma a conter malwares se espalhando horizontalmente pela rede; 7.23. Suportar bloqueio de arquivos por tipo; 7.24. Identificar e bloquear comunicação com botnets.; 7.1.29 7.25. Deve suportar várias técnicas de prevenção, incluindo Drop e tcp-rst (Cliente, Servidor e ambos); 7.26. Deve suportar referência cruzada com CVE; 7.27. Registrar na console de monitoração as seguintes informações sobre ameaças identificadas: 7.27.1. O nome da assinatura ou do ataque, aplicação, usuário, origem e o destino da comunicação, além da ação tomada pelo dispositivo.; 7.1.30 7.28. Deve suportar a captura de pacotes (PCAP), por assinatura de IPS ou controle de aplicação.e Antyspyware; 7.1.31 7.29. Deve permitir que na captura de pacotes por assinaturas de IPS e Antispyware seja definido o número de pacotes a serem capturados ou capturados. Esta captura deve permitir capturar o pacote que deu origem ao alerta assim como seu contextoselecionar, facilitando a análise forense e identificação de falsos positivos.no mínimo, 50 pacotes; 7.1.32 7.30. Deve possuir a função de proteção a resolução de endereços via DNS, identificando requisições de resolução de nome para que conexões com destino a domínios maliciosos sejam resolvidas pelo Firewall com endereços (IPv4 e IPv6), previamente definidos; 7.31. Permitir o bloqueio de botnets conhecidas.vírus, pelo menos, nos seguintes protocolos: HTTP, FTP, SMB, SMTP e POP3; 7.1.33 7.32. Os eventos devem identificar o país de onde partiu a ameaça.; 7.1.34 7.33. Deve incluir proteção contra vírus em conteúdo HTML e javascript, software espião (spyware) e worms. 7.1.35 Possuir proteção 7.34. Proteção contra downloads involuntários usando HTTP de arquivos executáveis e maliciosos. 7.1.36 7.35. Rastreamento de vírus em pdf. 7.36. Deve permitir a inspeção em arquivos comprimidos que utilizam o algoritmo deflate (zip, gzip, etc.) 7.37. Deve ser possível a configuração de diferentes políticas de controle de ameaças e ataques baseado em políticas do firewall considerando Usuários, Grupos de usuários, origem, destino, zonas de segurança, etc, ou seja, cada política de firewall poderá ter uma configuração diferentes de IPS, sendo essas políticas por Usuários, Grupos de usuário, origem, destino, zonas de segurança. 7.1.37 O Firewall deve permitir que se analise a implantação de Tecido de Segurança para identificar potenciais vulnerabilidades e destaque as práticas recomendadas que podem ser usadas para melhorar a segurança e o desempenho geral da rede. 7.1.38 Caso o firewall possa ser coordenado por software de segurança do computador do usuário final (laptop, desktop, etc.) deve ter um perfil onde se possa executar a análise de vulnerabilidade nestes equipamentos de usuário e assegurar que estes executem versões compatíveis. 7.1.39 Análise de postura de segurança devem existir para permitir que o software de segurança do endpoint aplique proteção em tempo real, antivírus, filtragem da Web e controle de aplicativos no endpoint. 7.1.40 Fornecer proteção contra-ataques de dia zero por meio de estreita integração com os componentes Security Fabric, incluindo NGFW, Sandbox (on-premise e nuvem).

PREVENÇÃO DE AMEAÇAS. 7.1.1 6.1. Para proteção do ambiente contra-contra ataques, os dispositivos de proteção devem possuir módulo de IPS, Antivírus Antivirus e Anti-Spyware Antispyware integrados no próprio appliance de firewall.firewall ou entregue através de composição com outro equipamento ou fabricante; 7.1.2 6.2. Deve incluir assinaturas de prevenção de intrusão (IPS) e bloqueio de arquivos maliciosos (Antivírus Antivirus e Anti-SpywareAntispyware).; 7.1.3 6.3. As funcionalidades de IPS, Antivírus Antivirus e Anti-Spyware Antispyware devem operar em caráter permanente, podendo ser utilizadas por tempo indeterminado, mesmo que não subsista o direito de receber atualizações ou que não haja contrato de garantia de software com o fabricante.; 7.1.4 6.4. Deve sincronizar as assinaturas de IPS, AntivírusAntivirus, Anti-Spyware Antispyware quando implementado em alta disponibilidade.disponibilidade ativo/ativo e ativo/passivo; 7.1.5 6.5. Deve implementar os seguintes tipos de ações para ameaças detectadas pelo IPSIPS e Antispyware: permitir, permitir e gerar log, bloquear, bloquear IP do atacante por um intervalo de tempo e enviar tcp-reset.; 7.1.6 6.6. Deve possuir a capacidade de detectar e prevenir contra ameaças em tráfegos HTTP/2; 6.7. As assinaturas devem poder ser ativadas ou desativadas, ou ainda habilitadas apenas em modo de monitoração.; 7.1.7 Deve ser possível a criação de políticas por usuários, grupos de usuários, IPs, redes ou zonas de segurança. 7.1.8 6.8. Exceções por IP de origem ou de destino devem ser possíveis nas regras ou regras, de forma geral e de assinatura a assinatura.; 7.1.9 6.9. Deve suportar granularidade nas políticas de IPS, Antivírus IPS Antivirus e Anti-SpywareAntispyware, possibilitando a criação de diferentes políticas por zona de segurança, endereço de origem, endereço de destino, serviço e a combinação de todos esses itens.; 7.1.10 6.10. Deve permitir o bloqueio de vulnerabilidades.; 7.1.11 6.11. Deve permitir o bloqueio de exploits conhecidos.; 7.1.12 6.12. Deve incluir proteção contra-contra ataques de negação de serviços.; 7.1.13 6.13. Deve suportar a inspeção e criação de regras de proteção de DoS e QoS para o conteúdo de tráfego “tunelado” pelo protocolo GRE; 6.14. Deverá possuir o seguinte mecanismo os seguintes mecanismos de inspeção de IPS: : 6.14.1. Análise de padrões de estado de conexões.; 7.1.14 Deverá possuir o seguinte mecanismo de inspeção de IPS: 6.14.2. Análise de decodificação de protocolo.; 7.1.15 Deverá possuir o seguinte mecanismo de inspeção de IPS: 6.14.3. Análise para detecção de anomalias de protocolo.; 7.1.16 Deverá possuir o seguinte mecanismo de inspeção de IPS: 6.14.4. Análise heurística.; 7.1.17 Deverá possuir o seguinte mecanismo de inspeção de IPS: 6.14.5. IP Defragmentation.; 7.1.18 Deverá possuir o seguinte mecanismo de inspeção de IPS: 6.14.6. Remontagem de pacotes de TCP.; 7.1.19 Deverá possuir o seguinte mecanismo de inspeção de IPS: 6.14.7. Bloqueio de pacotes malformados.; 7.1.20 6.15. Ser imune e capaz de impedir ataques básicos de flood, tais como: Syn floodSynflood, ICMP floodICMPflood, UDP floodUDPfloof, etc.; 7.1.21 6.16. Detectar e bloquear a origem de portscans.escaneamento de portas (port scans) com possibilidade de criar exceções para endereços IPs de ferramentas de monitoramento da organização; 7.1.22 6.17. Bloquear ataques efetuados por worms conhecidos., permitindo ao administrador acrescentar novos padrões; 7.1.23 6.18. Suportar os seguintes mecanismos de inspeção contra ameaças de rede: análise de padrões de estado de conexões, análise de decodificação de protocolo, análise para detecção de anomalias de protocolo, análise heurística, IP Defragmentation, remontagem de pacotes de TCP e bloqueio de pacotes malformados; 6.19. Possuir assinaturas específicas para a mitigação de ataques DoS e DDoS.DDoS; 7.1.24 6.20. Possuir assinaturas para bloqueio de ataques de buffer overflow.; 7.1.25 6.21. Deverá possibilitar a criação de assinaturas customizadas pela interface gráfica do produto.; 7.1.26 6.22. Deve permitir usar operadores de negação na criação de assinaturas customizadas de IPS ou anti-spywaree Antispyware, permitindo a criação de exceções com granularidade nas configurações.; 7.1.27 6.23. Permitir o bloqueio de vírus e spywares em, pelo menos, os seguintes protocolos: HTTP, FTP, SMB, SMTP e POP3.; 7.1.28 6.23.1. É permitido uso de appliance externo (antivirus de rede), para o bloqueio de vírus e spywares em protocolo SMB de forma a conter malwares se espalhando horizontalmente pela rede; 6.24. Suportar bloqueio de arquivos por tipo; 6.25. Identificar e bloquear comunicação com botnets.; 7.1.29 6.26. Deve suportar várias técnicas de prevenção, incluindo Drop e tcp-rst (Cliente, Servidor e ambos); 6.27. Deve suportar referência cruzada com CVEs; 6.28. Registrar na console de monitoração as seguintes informações sobre ameaças identificadas: : 6.28.1. O nome da assinatura ou do ataque, aplicação, usuário, origem e o destino da comunicação, além da ação tomada pelo dispositivo.; 7.1.30 6.29. Deve suportar a captura de pacotes (PCAP), por assinatura de IPS ou controle de aplicação.e Antispyware; 7.1.31 6.30. Deve permitir que na captura de pacotes por assinaturas de IPS e Antispyware seja definido o número de pacotes a serem capturados ou capturados. Esta captura deve permitir capturar o pacote que deu origem ao alerta assim como seu contextoselecionar, facilitando a análise forense e identificação de falsos positivos.no mínimo, 50 pacotes; 7.1.32 6.31. Deve possuir a função de proteção a resolução de endereços via DNS, identificando requisições de resolução de nome para que conexões com destino a domínios maliciosos sejam resolvidas pelo firewall com endereços (IPv4 e IPv6), previamente definidos; 6.32. Permitir o bloqueio de botnets conhecidas.vírus, pelo menos, nos seguintes protocolos: HTTP, FTP, SMB, SMTP e POP3; 7.1.33 6.33. Os eventos devem identificar o país de onde partiu a ameaça.; 7.1.34 6.34. Deve incluir proteção contra vírus em conteúdo HTML e javascriptJava script, software espião (spyware) e worms.; 7.1.35 Possuir proteção 6.35. Proteção contra downloads involuntários usando HTTP de arquivos executáveis e executáveis; maliciosos.; 7.1.36 6.36. Rastreamento de vírus em pdf; 6.37. Deve permitir a inspeção em arquivos comprimidos que utilizam o algoritmo deflate (zip, gzip, etc;) 6.38. Deve ser possível a configuração de diferentes políticas de controle de ameaças e ataques baseado em políticas do firewall considerando Usuários, Grupos de usuários, origem, destino, zonas de segurança, etc, ou . Ou seja, cada política regra de firewall poderá ter uma configuração diferentes de IPS, sendo essas políticas por Usuários, Grupos de usuário, origem, destino, zonas de segurança. 7.1.37 O Firewall deve permitir que se analise a implantação de Tecido de Segurança para identificar potenciais vulnerabilidades e destaque as práticas recomendadas que podem ser usadas para melhorar a segurança e o desempenho geral da rede. 7.1.38 Caso o firewall possa ser coordenado por software de segurança do computador do usuário final (laptop, desktop, etc.) deve ter um perfil onde se possa executar a análise de vulnerabilidade nestes equipamentos de usuário e assegurar que estes executem versões compatíveis. 7.1.39 Análise de postura de segurança devem existir para permitir que o software de segurança do endpoint aplique proteção em tempo real, antivírus, filtragem da Web e controle de aplicativos no endpoint. 7.1.40 Fornecer proteção contra-ataques de dia zero por meio de estreita integração com os componentes Security Fabric, incluindo NGFW, Sandbox (on-premise e nuvem).

PREVENÇÃO DE AMEAÇAS. 7.1.1 36.4.1. Para proteção do ambiente contra-contra ataques, os dispositivos de proteção devem possuir módulo de IPS, Antivírus e Anti-Spyware integrados no próprio appliance de firewall. 7.1.2 36.4.2. Deve incluir assinaturas de prevenção de intrusão (IPS) e bloqueio de arquivos maliciosos (Antivírus e Anti-Spyware). 7.1.3 36.4.3. As funcionalidades de IPS, Antivírus e Anti-Spyware devem operar em caráter permanente, podendo ser utilizadas por tempo indeterminado, mesmo que não subsista o direito de receber atualizações ou que não haja contrato de garantia de software com o fabricante. 7.1.4 36.4.4. Deve sincronizar as assinaturas de IPS, Antivírus, Anti-Spyware quando implementado em alta disponibilidade. 7.1.5 36.4.5. Deve implementar os seguintes tipos de ações para ameaças detectadas pelo IPS: permitir, permitir e gerar log, bloquear, bloquear IP do atacante por um intervalo de tempo e enviar tcp-tcp- reset. 7.1.6 36.4.6. As assinaturas devem poder ser ativadas ou desativadas, ou ainda habilitadas apenas em modo de monitoração. 7.1.7 36.4.7. Deve ser possível a criação de políticas por usuários, grupos de usuários, IPs, redes ou zonas de segurança. 7.1.8 36.4.8. Exceções por IP de origem ou de destino devem ser possíveis nas regras ou assinatura a assinatura. 7.1.9 36.4.9. Deve suportar granularidade nas políticas de IPS, Antivírus e Anti-Spyware, possibilitando a criação de diferentes políticas por zona de segurança, endereço de origem, endereço de destino, serviço e a combinação de todos esses itens. 7.1.10 36.4.10. Deve permitir o bloqueio de vulnerabilidades. 7.1.11 36.4.11. Deve permitir o bloqueio de exploits conhecidos. 7.1.12 36.4.12. Deve incluir proteção contra-contra ataques de negação de serviços. 7.1.13 36.4.13. Deverá possuir o seguinte mecanismo de inspeção de IPS: Análise de padrões de estado de conexões. 7.1.14 36.4.14. Deverá possuir o seguinte mecanismo de inspeção de IPS: Análise de decodificação de protocolo. 7.1.15 36.4.15. Deverá possuir o seguinte mecanismo de inspeção de IPS: Análise para detecção de anomalias de protocolo. 7.1.16 36.4.16. Deverá possuir o seguinte mecanismo de inspeção de IPS: Análise heurística. 7.1.17 36.4.17. Deverá possuir o seguinte mecanismo de inspeção de IPS: IP Defragmentation. 7.1.18 36.4.18. Deverá possuir o seguinte mecanismo de inspeção de IPS: Remontagem de pacotes de TCP. 7.1.19 36.4.19. Deverá possuir o seguinte mecanismo de inspeção de IPS: Bloqueio de pacotes malformados. 7.1.20 36.4.20. Ser imune e capaz de impedir ataques básicos como: Syn flood, ICMP flood, UDP flood, etc. 7.1.21 36.4.21. Detectar e bloquear a origem de portscans. 7.1.22 36.4.22. Bloquear ataques efetuados por worms conhecidos. 7.1.23 36.4.23. Possuir assinaturas específicas para a mitigação de ataques DoS e DDoS. 7.1.24 36.4.24. Possuir assinaturas para bloqueio de ataques de buffer overflow. 7.1.25 36.4.25. Deverá possibilitar a criação de assinaturas customizadas pela interface gráfica do produto. 7.1.26 36.4.26. Deve permitir usar operadores de negação na criação de assinaturas customizadas de IPS ou anti-spyware, permitindo a criação de exceções com granularidade nas configurações. 7.1.27 36.4.27. Permitir o bloqueio de vírus e spywares em, pelo menos, os seguintes protocolos: HTTP, FTP, SMB, SMTP e POP3. 7.1.28 36.4.28. Identificar e bloquear comunicação com botnets. 7.1.29 36.4.29. Registrar na console de monitoração as seguintes informações sobre ameaças identificadas: O nome da assinatura ou do ataque, aplicação, usuário, origem e o destino da comunicação, além da ação tomada pelo dispositivo. 7.1.30 36.4.30. Deve suportar a captura de pacotes (PCAP), por assinatura de IPS ou controle de aplicação. 7.1.31 36.4.31. Deve permitir que na captura de pacotes por assinaturas de IPS seja definido o número de pacotes a serem capturados ou permitir capturar o pacote que deu origem ao alerta assim como seu contexto, facilitando a análise forense e identificação de falsos positivos. 7.1.32 36.4.32. Deve possuir a função de proteção a resolução de endereços via DNS, identificando requisições de resolução de nome para domínios maliciosos de botnets conhecidas. 7.1.33 36.4.33. Os eventos devem identificar o país de onde partiu a ameaça. 7.1.34 36.4.34. Deve incluir proteção contra vírus em conteúdo HTML e javascript, software espião (spyware) e worms. 7.1.35 36.4.35. Possuir proteção contra downloads involuntários usando HTTP de arquivos executáveis e maliciosos. 7.1.36 36.4.36. Deve ser possível a configuração de diferentes políticas de controle de ameaças e ataques baseado em políticas do firewall considerando Usuários, Grupos de usuários, origem, destino, zonas de segurança, etc, ou seja, cada política de firewall poderá ter uma configuração diferentes de IPS, sendo essas políticas por Usuários, Grupos de usuário, origem, destino, zonas de segurança. 7.1.37 36.4.37. O Firewall deve permitir que se analise a implantação de Tecido de Segurança para identificar potenciais vulnerabilidades e destaque as práticas recomendadas que podem ser usadas para melhorar a segurança e o desempenho geral da rede. 7.1.38 36.4.38. Caso o firewall possa ser coordenado por software de segurança do computador do usuário final (laptop, desktop, etc.) deve ter um perfil onde se possa executar a análise de vulnerabilidade nestes equipamentos de usuário e assegurar que estes executem versões compatíveis. 7.1.39 Análise de postura de segurança devem existir para permitir que o software de segurança do endpoint aplique proteção em tempo real, antivírus, filtragem da Web e controle de aplicativos no endpoint. 7.1.40 36.4.39. Fornecer proteção contra-contra ataques de dia zero por meio de estreita integração com os componentes Security Fabric, incluindo NGFW, Sandbox (on-premise e nuvem).