Implementarea unui sistem pentru detectarea și răspunsul la amenințări complexe și atacuri țintite de infrastructură IT de tip NDR

Stimate Operator Economic! Obiectivul sistemului NDR solicitat nu este doar monitorizarea performanței (Application Performance Monitoring), ci asigurarea unei posturi de securitate multi-stratificat (Defense in Depth). IPS & Antivirus (Network-based): Soluția trebuie să fie capabilă să identifice semnăturile de atac și payload-urile malware direct din fluxul de date mirrorat. Deși NDR-ul este prin definiție o soluție de detecție, suportul pentru funcționalități de tip IPS și Antivirus este necesar pentru a asigura corelarea alertelor de rețea cu bazele de date de amenințări cunoscute (threat intelligence), oferind astfel o analiză hibridă: bazată pe comportament (AI/ML) și bazată pe semnături (IPS/AV). Application Control: Această cerință nu se referă la monitorizarea performanței, ci la vizibilitatea și clasificarea aplicațiilor (ex. identificarea aplicațiilor de tip P2P, VPN-uri neautorizate sau instrumente de administrare la distanță) care pot fi utilizate ca vectori de atac sau pentru exfiltrarea datelor. Sistemul trebuie să recunoască protocolul aplicației indiferent de portul utilizat. Contextul de Securitate: Având în vedere cerința de integrare cu ecosistemul existent (Security Fabric), funcționalitățile de IPS și Antivirus la nivel de NDR servesc drept al doilea strat de inspecție, capabil să detecteze amenințări care pot trece de perimetrul principal sau care se manifestă în traficul intern (lateral movement).

Stimate Operator Economic! Se acceptă mecanismul de reacție prin integrare și transmiterea comenzilor către soluțiile de securitate existente (Firewall, EDR, etc.). Nu se solicită blocarea de tip "inline" (în fluxul direct de trafic) de către echipamentul NDR. Arhitectură de tip Pasiv (Mirroring): Conform cerințelor din Caietul de Sarcini privind colectarea traficului prin mirroring (SPAN) și NetFlow, sistemul NDR este proiectat să funcționeze out-of-band. Această arhitectură asigură că disponibilitatea rețelei nu este afectată în cazul unei defecțiuni a sistemului de detecție. Răspuns Automatizat prin Integrare: Funcționalitățile de IPS, Antivirus și Application Control solicitate au rolul de a genera alerte și de a declanșa mecanisme de răspuns (Response) prin intermediul ecosistemului menționat (ex. Fortinet Security Fabric). Sistemul NDR trebuie să poată instrui Firewall-ul să blocheze o sesiune suspectă sau să izoleze un endpoint prin integrarea cu soluția EDR, realizând astfel prevenția fără a fi interpus fizic în calea traficului. Performanță: Operarea în regim de analiză și răspuns prin integrare permite procesarea fluxurilor de date de mari dimensiuni (20 Gbps) fără a introduce latență în traficul de producție al beneficiarului.

Stimate Operator Economic! Analiza traficului vs. Endpoint: Afirmația conform căreia analiza fișierelor este specifică soluțiilor EDR este eronată. O soluție NDR modernă trebuie să aibă capacitatea de a extrage obiecte (fișiere) din protocoalele de rețea (ex: HTTP, SMB, FTP, SMTP) pentru a detecta amenințări de tip „zero-day” sau malware polimorfic înainte ca acestea să fie executate pe stațiile de lucru. Prevenirea mișcării laterale și exfiltrării: Extragerea și analiza tipurilor de fișiere menționate (precum .exe, .dll, .php sau .reg) sunt esențiale pentru identificarea atacurilor de tip lateral movement sau a tentativelor de instalare a unor unelte de tip web shell pe servere, acțiuni care nu sunt întotdeauna vizibile la nivel de endpoint dacă atacatorul folosește tehnici de evaziune. Analiza în Sandbox: Cerința este corelată direct cu funcționalitatea de Sandbox intern solicitată în Caietul de Sarcini. Pentru ca un Sandbox să fie eficient, sistemul NDR trebuie să poată recunoaște și trimite spre analiză exact aceste tipuri de extensii, care sunt vectori comuni de atac. Neutralitate tehnologică: Specificația se referă la capacități de analiză a protocoalelor standard și a formatelor de fișiere universale. Faptul că anumiți producători au integrat aceste capabilități într-o singură platformă hardware nu restricționează participarea altor furnizori care pot oferi funcționalități similare, fie nativ, fie prin module integrate.

Stimate Operator Economic! Definiția modernă a NDR: Conform standardelor actuale de securitate, o soluție NDR (Network Detection and Response) nu se limitează la analiza fluxurilor de trafic (NetFlow), ci trebuie să realizeze Deep Packet Inspection (DPI). Extragerea obiectelor din traficul de rețea și analiza acestora într-un mediu izolat (Sandbox) este o funcționalitate critică pentru detectarea amenințărilor de tip Zero-Day și a atacurilor țintite (APT) care nu au semnături cunoscute. Cazuri de utilizare concrete (Use Cases): Detectarea atacurilor "File-based" prin rețea: Identificarea unui document Word malițios trimis prin e-mail (SMTP) sau descărcat de pe un site compromis (HTTP/S), înainte ca acesta să fie deschis de utilizator. Analiza mișcării laterale (Lateral Movement): Detectarea propagării unui ransomware prin protocoale de partajare a fișierelor (SMB/RPC) în interiorul rețelei. Un NDR fără Sandbox ar vedea doar un transfer de fișiere legitim, în timp ce un NDR cu Sandbox va identifica natura malițioasă a fișierului transferat. Protecția dispozitivelor fără agenți (Agentless): În infrastructurile IT/OT (unde există imprimante, camere IP, senzori industriali sau sisteme legacy), nu pot fi instalați agenți EDR. În aceste cazuri, singura linie de apărare este sistemul NDR care analizează fișierele trimise către sau de la aceste dispozitive. Clarificare privind arhitectura: Beneficiarul nu a solicitat un produs anume, ci o funcționalitate. Faptul că anumiți producători livrează această funcționalitate într-un singur șasiu (appliance), iar alții prin module interconectate, nu restricționează participarea. Oferta poate include o arhitectură formată din mai multe componente, cu condiția ca acestea să funcționeze ca un sistem unitar, conform cerințelor de performanță (20 Gbps) și integrare solicitate.

Stimate Operator Economic! Prin „vizibilitate completă” se înțelege capacitatea sistemului de a analiza conținutul traficului criptat pentru a identifica amenințări ascunse în payload (ex: malware, comenzi de Command & Control, exfiltrare de date).

Stimate Operator Economic! Entitatea contractantă dispune de infrastructură de tip Next-Generation Firewall (NGFW) capabilă de inspecție SSL/TLS. În cadrul implementării, se va analiza posibilitatea tehnică de a furniza fluxul de date decriptat către sistemul NDR sau de a integra mecanismele de partajare a cheilor de sesiune/certificatelor, acolo unde politicile de securitate și arhitectura tehnică permit acest lucru, fără a compromite integritatea datelor. Colaborare între sisteme: Cerința de integrare nativă cu ecosistemul existent (Fortinet Security Fabric) presupune tocmai această sinergie. Echipamentele de tip Firewall pot realiza decriptarea (SSL Inspection), transmițând ulterior traficul "clear-text" către NDR pentru analiză avansată (Sandbox, IPS, AI), evitând astfel dubla procesare și latența inutilă. Flexibilitatea soluției: Ofertantul trebuie să propună o soluție care să poată ingera atât trafic criptat (pentru analiză bazată pe metadate/ETA), cât și trafic decriptat provenit de la punctele de control perimetrale sau interne (Proxy/NGFW). Responsabilitatea furnizorului: Furnizarea mecanismelor de integrare și configurarea colectării traficului în mod optim (decriptat sau cu chei de sesiune) fac parte din obiectul contractului (conform pct. 1.2 din Caietul de Sarcini).

Stimate Operator Economic! Capacitatea de procesare solicitată de 20 Gbps reprezintă pragul de performanță necesar pentru a susține vârfurile de trafic (bursts) și creșterea prognozată a volumului de date din infrastructură, fără a introduce pierderi de pachete care ar putea compromite detecția. Volumul mediu de trafic estimat ce va fi supus inspecției se situează în intervalul 12 - 16 Gbps, însă soluția trebuie să garanteze integritatea analizei și a alertelor până la capacitatea maximă de 20 Gbps conform cerințelor tehnice.

Stimate Operator Economic! Cerința privind păstrarea statisticilor și a traficului timp de cel puțin 2 luni la viteza de colectare de până la 10 Gbps se referă la metadate, statistici detaliate, fluxuri (NetFlow/IPFIX) și evenimente de securitate, precum și la obiectele (fișierele) extrase pentru analiză care au fost identificate ca fiind suspecte sau malițioase. Nu se solicită stocarea pachetelor complete (Full PCAP) pentru întreg traficul colectat pe parcursul celor 2 luni.

Stimate Operator Economic! Se menține cerința privind capacitatea de analiză malware: până la 170.000 fișiere/oră Natura amenințărilor actuale: Obiectivul prezentului Caiet de Sarcini este achiziția unui sistem capabil să detecteze „amenințări complexe și atacuri țintite”. Având în vedere că majoritatea atacurilor moderne (Advanced Persistent Threats) utilizează fișiere malițioase (payloads) ca vector principal de infectare și propagare, o soluție NDR care nu poate analiza aceste obiecte ar fi ineficientă împotriva riscurilor identificate. Neutralitate tehnologică: Capacitatea de analiză malware și integrarea cu module de Sandbox reprezintă o funcționalitate oferită de liderii de piață în domeniul securității rețelelor (ex: Cisco, Palo Alto Networks, Trend Micro, Fortinet, Check Point, etc.). Deși modalitatea de implementare poate diferi (appliance unic sau arhitectură modulară), funcția în sine este un standard pentru segmentul „Advanced NDR”. Justificarea volumului (170.000 fișiere/oră): Această valoare este corelată cu performanța de procesare solicitată de 20 Gbps. Într-o infrastructură de mari dimensiuni, volumul de obiecte ce tranzitează rețeaua (documente, scripturi, executabile, arhive) este masiv. O capacitate de analiză inferioară ar crea blocaje (queuing) în procesul de detecție, ducând la o reacție întârziată în cazul unui atac activ. Protecție împotriva atacurilor "zero-day": Analiza malware este singura metodă prin care se pot detecta amenințări care nu au o semnătură cunoscută (identificate prin comportament în sandbox). Eliminarea acestei cerințe ar reduce soluția la un sistem de monitorizare statistică, lăsând infrastructura vulnerabilă la cele mai periculoase forme de atac cibernetic.

Stimate Operator Economic! Se menține cerința privind capacitatea de analiză malware: până la 170.000 fișiere/oră Natura amenințărilor actuale: Obiectivul prezentului Caiet de Sarcini este achiziția unui sistem capabil să detecteze „amenințări complexe și atacuri țintite”. Având în vedere că majoritatea atacurilor moderne (Advanced Persistent Threats) utilizează fișiere malițioase (payloads) ca vector principal de infectare și propagare, o soluție NDR care nu poate analiza aceste obiecte ar fi ineficientă împotriva riscurilor identificate. Neutralitate tehnologică: Capacitatea de analiză malware și integrarea cu module de Sandbox reprezintă o funcționalitate oferită de liderii de piață în domeniul securității rețelelor (ex: Cisco, Palo Alto Networks, Trend Micro, Fortinet, Check Point, etc.). Deși modalitatea de implementare poate diferi (appliance unic sau arhitectură modulară), funcția în sine este un standard pentru segmentul „Advanced NDR”. Justificarea volumului (170.000 fișiere/oră): Această valoare este corelată cu performanța de procesare solicitată de 20 Gbps. Într-o infrastructură de mari dimensiuni, volumul de obiecte ce tranzitează rețeaua (documente, scripturi, executabile, arhive) este masiv. O capacitate de analiză inferioară ar crea blocaje (queuing) în procesul de detecție, ducând la o reacție întârziată în cazul unui atac activ. Protecție împotriva atacurilor "zero-day": Analiza malware este singura metodă prin care se pot detecta amenințări care nu au o semnătură cunoscută (identificate prin comportament în sandbox). Eliminarea acestei cerințe ar reduce soluția la un sistem de monitorizare statistică, lăsând infrastructura vulnerabilă la cele mai periculoase forme de atac cibernetic.

Stimate Operator Economic! Cerința privind păstrarea statisticilor și a traficului timp de cel puțin 2 luni la viteza de colectare de până la 10 Gbps se referă la metadate, statistici detaliate, fluxuri (NetFlow/IPFIX) și evenimente de securitate, precum și la obiectele (fișierele) extrase pentru analiză care au fost identificate ca fiind suspecte sau malițioase. Nu se solicită stocarea pachetelor complete (Full PCAP) pentru întreg traficul colectat pe parcursul celor 2 luni.