Pachete software aferente securității informaționale

„Protecția identității” înseamnă supravegherea continuă și corelarea automată a tuturor evenimentelor legate de conturi și autentificare din Active Directory on prem, Microsoft Entra ID/Azure AD și Microsoft Intune, pentru a detecta și opri abuzul de identități cât mai devreme în lanțul de atac. Acest lucru trebuie să fie realizat cu ajutorul senzorilor de telemetrie care să: • monitorizeaze autentificările, controalele de acces și modificările de privilegii (inclusiv atacuri de tip brute force, folosirea de bilete Kerberos furate, conectări din locații suspecte, escaladări de privilegii, utilizarea aplicațiilor cu drepturi excesive); • coreleze aceste evenimente cu alte telemetrii (din endpointuri, sau din rețea etc.) pentru a identifica rapid conturi compromise sau tentative de abuz al privilegiilor; • genereaze incidente în consola, din care administratorii pot lansa acțiuni de răspuns (de exemplu: dezactivare cont, resetare parolă, blocarea sau izolarea dispozitivului, revocarea sesiunilor, revizuirea permisiunilor aplicațiilor). La nivel de date, să fie prelucrate în principal evenimente de autentificare și acces (logon/logoff, IP uri, locație estimată, timestamp uri), identificatori de utilizator (user ID/username), informații despre grupuri privilegiate și metadate tehnice despre dispozitive și politici Intune.

Da, înțelegeți corect. Prin „accesibilitate pe tip mobile” se înțelege posibilitatea de a accesa consola de management dintr-un browser web de pe un dispozitiv mobil (telefon/tabletă), cu interfață responsive/adaptată pentru ecrane mobile, fără a fi necesară o aplicație dedicată.

Soluțiile și platformele de securitate cibernetică folosesc acest mecanism de administrare prin politici care este un standard al industriei. Politicile au scopul de a instrui agenții software de securitate instalați local pe endpoint-uri cum să reacționeze, ce acțiuni automate să întreprindă și pe baza căror criterii să facă aceste lucruri.

În soluții de Securitate cibernetică „aplicare de politici pe pool-uri de resurse (VMware)” înseamnă că, după integrarea cu VMware vCenter, pool-urile de resurse sunt importate ca obiecte de inventar în arborele inventarului agentilor instalati pe endpoint, iar politicile de securitate pot fi atașate direct acestor pool-uri care sunte prezentate în structure de tip arbore în sectiunea de inventor al soluției de securitate. Politica atribuită unui “resource pool” se propagă automat către toate mașinile virtuale din acel pool și este aplicată în mod dinamic oricărei VM nou create sau mutate în acel resource pool, fără intervenție manuală suplimentară. Astfel, administratorul poate utiliza pool-urile de resurse ca și „containere/foldere de politică” sau „buckets” de securitate: simpla migrare a unei VM dintr-un pool în altul schimbă implicit politica de securitate aplicată acelei VM, îndeplinind cerința privind aplicarea politicilor la nivel de resource pool VMware.

În cadrul consolei soluției de securitate cibernetică „deconectare automată” înseamnă expirarea sesiunii după un timp de inactivitate configurabil, urmată de închiderea sesiunii/invalidarea token-ului și revenirea utilizatorului la ecranul de autentificare (este necesară re-autentificarea pentru a continua).”

Cerința face referire la faptul că soluția permite instalarea personalizată a agentului la nivel de modul pentru toate componentele principale de securitate care vor asigura funcțiile de protecție enumerate în celelalte cerințe precum scanare euristică bazate pe semnături, protecție împotriva atacurilor zero day, etc. Modulul tip EDR poate fi și separat și instalabil selectiv, dar modelul de instalare personalizată nu se aplică exclusiv modulului EDR, ci întregului set de module disponibile/aplicabile.

Cerința indică necesitatea unbui Sandbox, mai precis un serviciu de analiză comportamentală, integrat nativ cu consola de administrare și agentul software instalat local pe endpoint-uri. Fișierele suspecte de pe stațiile și serverele fizice sau virtualizate sunt trimise automat către un mediu virtual izolat, unde sunt rulate și monitorizate detaliat (fișiere, registre, procese, rețea). Pe baza verdictului întors de sandbox, soluția blochează, pune în carantină sau permite fișierul, iar administratorul are la dispoziție rapoarte detaliate (timeline, arbore de procese, clasificarea tipului de atac, IoC-uri). Verdictele sunt memorate pe hash de fișier și contribuie la actualizarea serviciului global de threat intelligence, astfel încât protecția împotriva amenințărilor noi este propagată rapid către toate endpoint-urile. Soluția de Sandbox poate fi atât onPrem cât și Cloud.

Soluția trebuie să ofere posibilitatea pregătirii pachetelor de instalare ale agentului ce sunt configurabile pe module, create în consola de administrare a soluției. Pentru fiecare pachet se pot selecta și combina module precum Firewall, Device Control, Content Control, Incidents/EDR Sensor, Power User și/sau a rolului de Relay (server de comunicare și update). Pachetele astfel definite se distribuie și pot fi rulate remote prin task uri „Install agent” din consola de administrare a soluției, pe stațiile descoperite în rețea, în grupurile Active Directory sau în inventarul de virtualizare. Distribuția poate fi realizată direct prin consola de administrare sau prin endpoint-uri cu rol special ce să permită distribuția, administrarea centralizată și instalarea la distanță a agenților, cu modulele indicate (din meniul de generare a pachetului de instalare din consolă). În urma instalării, folosind acest pachet de instalare, pe endpoint se vor regăsi agentul cu modulele indicate.

Conceptul funcționează astfel: instalare o singură dată pe template, propagare prin clonare în pool • Consola soluția trebuie să se integreaze cu VMware vCenter și Citrix XenDesktop și să poată importa automat inventarul (datacenter, cluster, resource pool, foldere, VM-uri). • Agentul software de securitate se instalează o singură dată pe mașina „golden image”/„master image” (model), care va fi ulterior convertită în template și/sau folosită ca sursă de linked/instant clones. • Pool-ul de mașini virtuale se recreează / recompune prin clonare din acest template. • Toate VM-urile nou create din acest template pornesc cu agentul deja instalat și se înregistrează automat în consola soluției (fiecare vm – endpoint separat). • Politicile se aplică la nivel de container (datacenter/cluster/pool/folder), astfel încât orice VM nou creat în acel container moștenește automat politica de securitate asociată.

Soluția de protecție endpoint trebuie să poată: 1 identifica; 2 controla (blocheze/permită); 3 monitoriza, următoarele categorii de instrumente asociate pirateriei software: • fișiere și programe de tip cracks, keygens, activatoare/patch-uri de licență, loader-e și instalatoare „warez”, precum și packete/protectoare utilizate tipic în distribuții de software piratat; • aplicații de tip PUA (Potentially Unwanted Applications) și „potentially unsafe/riskware” asociate scenariilor de piraterie; • site-uri de tip „warez (pirated software)” și alte resurse web utilizate pentru distribuția de software piratat. Soluția trebuie să detecteze atât instrumente de hack-ing clare, cât și unelte dual use sau legitime folosite abuziv în atacuri, inclusiv: • malware și instrumente ofensive: exploit kits, troieni, keyloggers, rootkits, backdoor-e, RAT-uri, clienți de botnet, dump-ere de parole, password crackers, droppere de ransomware etc.; • instrumente dual use/administrative sau de pentest utilizate în atacuri (de exemplu: unelte de exfiltrare date precum Rclone, utilitare de escaladare de privilegii sau lateral movement, suite Sysinternals, TacticalRMM, gsudo și alte tool-uri legitime folosite abuziv); • instrumente de rețea și scanning/atac: port scannere, exploituri de rețea, unelte de brute force și componente implicate în trafic C2; • aplicații neproductive sau riscante utilizate în scenarii de piraterie/hacking, cum ar fi clienți de torrent/P2P, aplicații de partajare necontrolată de fișiere sau soluții de remote access neautorizate. Soluția trebuie să acopere următoarele scenarii de utilizare relevante pentru piraterie software și hacking: • prevenirea instalării și utilizării software-ului piratat: blocarea sau avertizarea accesului la site-uri warez, detectarea și blocarea/crantinarea crack-urilor, keygen-urilor și altor activatoare, precum și posibilitatea de a bloca clienți de tip P2P/torent folosiți pentru distribuția de software piratat; • semnalarea și, la necesitate, blocarea utilizării de unelte de hacking în mediul de producție: detecția și blocarea uneltelor de tip password dumper, scanner de rețea agresiv, instrumente de exfiltrare (ex. Rclone) și a altor tool-uri ofensive sau dual-use, cu posibilitatea de a alege între modurile „Detection and Prevention” (blocare) și „EDR – Report only” (doar monitorizare); • control granular al uneltelor de test/pentest: posibilitatea ca în mediile de laborator red team/pentest aceleași instrumente de atac (Kali/pentest tools, utilitare Sysinternals etc.) să fie permise și monitorizate, în timp ce în mediile de producție sunt detectate și blocate.

Prin senzori specifici de analiză a telemetriei contului de Office 365 (Office 365 Mail și Office 365 Audit), soluția trebuie să detecteaze solicitări de acces suspecte, inclusiv scenarii în care același utilizator primește sau utilizează acces la un număr mare de fișiere/directoare pe mai multe site-uri SharePoint/OneDrive într-un interval scurt de timp. Detecția se bazează pe colectarea evenimentelor de acces, partajare și modificare de permisiuni din Microsoft 365 unified audit log (inclusiv Audit.SharePoint) și pe corelarea acestora cu date de identitate (Entra ID) și endpoint în motorul de corelare al incidentelor, pentru identificarea anomaliilor și a conturilor compromise. Senzorul soluției trebuie să genereze incidente corelate cu timeline detaliat al activităților, mapare a tehnicilor de atac și context de identitate, evidențiind clar accesările masive sau neobișnuite. Din aceste incidente, soluția trebuie să permită acțiuni de răspuns asupra mediului Office 365, precum dezactivarea sau resetarea contului, revocarea sesiunilor, marcarea utilizatorului ca „compromis” și acțiuni asupra fișierelor SharePoint/OneDrive (eliminarea fișierelor malițioase sau restricționarea accesului), în funcție de permisiunile de răspuns acordate.

În contextul senzorului de identitate prin „controale de acces” se înțeleg configurarea și utilizarea drepturilor de acces în infrastructura de identitate on prem și cloud – Active Directory, Microsoft Entra ID/Azure AD și Microsoft Intune – incluzând conturi, grupuri, privilegii, permisiuni de aplicații, precum și politici de acces și de dispozitiv. Senzorul de identitate trebuie să: • monitorizeze continuu aceste controale de acces (cine are ce drepturi, ce politici sunt aplicate, ce aplicații au ce permisiuni) și activitățile de autentificare asociate; • detecteaze anomalii și tentative de abuz (escaladare de privilegii, conturi compromise, permisiuni excesive, schimbări riscante de politici sau configurații Intune); • trimită evenimentele către motorul de corelare al incidentelor: pentru corelare cu alte telemetrii și generarea de incidente; • permită acțiuni rapide de răspuns din consola de administrare (de exemplu: dezactivarea contului, resetarea parolei, marcarea utilizatorului ca „compromised” în Entra ID) pentru a preveni sau limita accesul neautorizat și a restabili un nivel sigur al controalelor de acces.

Cerința rămâne valabilă. În cerințe e indicată necesitatea unei platforme integrate care include atât prevenție, cât și detecție și răspuns. Nu se solicită funcționalități separate, ci capabilități consolidate într-o singură soluție. Denumirea bunurilor în anunțul de participare și caietul de sarcini la cerința față de bunuri este: Soluție de securitate cibernetică avansată pentru dispozitive tip Server/PC/Laptop/VDI.

Architectura globală poate include unul sau mai multe sandbox-uri 3rd party (hardware/VA/cloud), cu condiția existenței unei integrări funcționale native sau certificate și a fluxurilor automate de analiză și răspuns. Dacă soluția de securitate cibernetică are inclus un Sandbox nativ performant, care acoperă cerințele, nu sunt necesare integrări multiple cu alte soluții de Sandbox.

Funcția EDR de blocklist la nivel de industrie funcționează prin analiza telemetriei raw pe care doar EDR o corelează și o monitorizează. Funcția de blocare deși poate face parte și din alte module în mod limitat este o funcționalitate EDR. Formatul CSV este cel mai utilizat deoarece este universal ușor de citit, fiind o listă de identificatori precum MD5 sau SHA256 separați prin virgulă. Soluția poate bloca sau exclude fișiere/procese pe baza hash-urilor MD5/SHA256 direct din pagina incidentului, prin acțiunea de adăugare în Blocklist (reguli Application hash). Totodată, soluția poate importa și utiliza hash-uri MD5/SHA256 din fișiere CSV pentru blocarea fișierelor/proceselor, în formatul CSV standard (tip hash, valoare hash, notă opțională).

Funcționalitatea de firewall este solicitată ca parte a protecției endpoint integrate și nu ca soluție separată. Se acceptă implementări software la nivel de endpoint, integrate în platforma de securitate. Denumirea bunurilor în anunțul de participare și caietul de sarcini la cerința față de bunuri este: Soluție de securitate cibernetică avansată pentru dispozitive tip Server/PC/Laptop/VDI.

Web Control este solicitat ca mecanism de reducere a suprafeței de atac și de prevenție, integrat în soluția endpoint. Denumirea bunurilor în anunțul de participare și caietul de sarcini la cerința față de bunuri este: Soluție de securitate cibernetică avansată pentru dispozitive tip Server/PC/Laptop/VDI.

Se confirmă că prin controale de acces se înțeleg toate mecanismele de autentificare, autorizare și gestionare a privilegiilor utilizatorilor, inclusiv corelarea acestora cu evenimentele de securitate și riscul asociat.

Referitor la solicitarea dumneavoastră de clarificare, vă comunicăm următoarele: În conformitate cu Anexa nr. 1 la Caietul de Sarcini, secțiunea „Cantitate licențe”, se solicită o soluție de securitate care să asigure protecția pentru un număr total de 1.000 (una mie) de dispozitive (endpoint-uri de tip PC, Laptop, VDI sau Server). Celelalte cantități menționate în specificațiile tehnice (700 utilizatori și 600 utilizatori Microsoft 365) reprezintă parametrii necesari pentru dimensionarea modulelor specifice (ex: protecția identității, protecția aplicațiilor de colaborare, etc..), în cazul în care modelul de licențiere al soluției ofertate necesită o astfel de diferențiere. Prin urmare, oferta financiară și tehnică trebuie să acopere protecția EDR/EPP pentru 1.000 de endpoint-uri, incluzând funcționalitățile solicitate pentru numărul de utilizatori specificați.

În conformitate cu cerințele din Caietul de Sarcini, se solicită o licențiere de tip Subscripție (Subscription) pe o perioadă determinată de 12 luni (07.02.2026 – 07.02.2027). Licența ofertată trebuie să fie complet funcțională pentru numărul total de endpoint-uri solicitat și să includă obligatoriu, pe toată durata contractului: 1. Dreptul de utilizare a soluției software (agenți și consolă de management); 2. Accesul la toate modulele funcționale descrise în specificațiile tehnice; 3. Actualizări automate de securitate (semnături, baze de date, indicatori de compromitere); 4. Actualizări de versiune a produsului (software upgrades) lansate de producător în această perioadă; 5. Suport tehnic din partea producătorului.