ESPECIFICACIONES TÉCNICAS

Requisito

Detalle y definiciones

REQUERIDO

OFRECIDO

LOTE N° 1 SERVICIOS SOC Y MESA DE AYUDA DE CIBERSEGURIDAD

ITEM N° 1 - Servicio Security Operations Center (SOC)

1.1.1 Generalidades del Servicio

1.1.1.1

Se solicita el servicio SOC (Security Operations Center) tercerizado implementado actualmente en el BCP (Digiware), por un plazo de 24 meses computados a partir de la fecha establecida al efecto en la orden de inicio que será emitida por el área administradora del contrato, con las mismas condiciones en las que se tiene contratado el servicio.

EXIGIDO

ITEM N° 2 - Servicio de Mesa de Ayuda y Gestión de Incidentes de Ciberseguridad

1.2.1 Generalidades del servicio

1.2.1.1

Se solicita el servicio de suscripción a la herramienta Invgate Service Desk implementado actualmente en el BCP, con soporte y mantenimiento del fabricante por 24 meses, computados a partir de la fecha a ser establecida al efecto en la orden de inicio que será emitida por el área administradora del contrato.

EXIGIDO

1.2.1.2

Se deben incluir todas las licencias necesarias para al menos 20 agentes, sin limitaciones de usuarios clientes y capacidad de almacenamiento de por lo menos 100 GB.

EXIGIDO

1.2.1.3

El servicio debe incluir la provisión de un equipo de trabajo dedicado, compuesto como mínimo por 5 (cinco) técnicos, quienes realizarán las siguientes tareas: la gestión de incidentes de ciberseguridad, la operativa y administración de las herramientas de ciberseguridad del BCP y la gestión de la mesa de servicios implementada, con exclusividad absoluta para el BCP, hasta 40 horas semanales por cada técnico ya sea en modalidad onsite o remoto.

EXIGIDO

1.2.1.4

El servicio técnico contempla: Monitoreo de las alarmas de seguridad, revisión de alarmas y eventos de seguridad; análisis, evaluación y contención de primera línea de incidentes de seguridad; configuración de herramientas de seguridad, tales como firewalls, IPS, DLP, Antivirus, SIEM, Antispam, entre otros; configuración de reglas de correlación; configuración de las plataformas de mesa de servicios de seguridad; revisión técnica, auditoría de registros, test de seguridad e investigación y análisis forense de primer nivel; asistencia a usuarios finales para la resolución de casos; colaboración con el soporte externo de ciberseguridad.

EXIGIDO

1.2.1.5

Lugar de la prestación del servicio: On-Site (Oficinas del BCP) y/o Remoto, a definir con la contraparte del BCP. Horario de la prestación del servicio: On-Site en horario de 06:00 a 22:00, de lunes a viernes; Remoto disponible 24 horas, 7 días a la semana; horario a convenir con la contraparte del BCP.

EXIGIDO  

1.2.1.6

Perfil requerido del personal: Entre 23 y 35 años. Estudiante y/o egresado de carreras de Informática. Debe poseer conocimientos sólidos en ciberseguridad, redes y gestión de incidentes, acreditable con por lo menos 40 horas de formación específica en ciberseguridad, a través de cursos o certificaciones sobre: administración y operación de herramientas de seguridad, test de intrusión, seguridad en redes e infraestructura tecnológica, entre otros.

Experiencia laboral, al menos 1 (una) referencia certificada, acreditable con la presentación de la fotocopia simple de la referencia comprobable de los trabajos realizados que guarden relación con servicios de informática y/o ciberseguridad.

El personal técnico que ejecutará el contrato deberá ser el designado por parte del Proveedor en su oferta.

EXIGIDO

1.2.1.7

Herramientas de trabajo: El BCP proveerá el equipamiento y el espacio adecuados cuando el servicio sea realizado en sus oficinas. El oferente deberá proveer de todas las herramientas cuando el servicio sea realizado de manera remota, de conformidad con los requerimientos técnicos y de seguridad del BCP.

EXIGIDO  

1.2.1.8

La asistencia del equipo técnico en ningún caso representa compromiso laboral alguno entre los individuos y el BCP, siendo el oferente el único responsable del cumplimiento de todas las obligaciones laborales que correspondan según el caso (pago de salarios, vacaciones, aguinaldo, pagos jubilatorios, horas extras, viáticos, compensaciones, seguros, entre otros). El oferente exime al BCP de toda erogación y responsabilidad asociada a la prestación del servicio.

EXIGIDO

1.2.1.9

Durante la duración del contrato, el BCP se reserva el derecho de solicitar reemplazos al equipo técnico, y el oferente debe presentar un nuevo integrante en un plazo no mayor a 10 días hábiles, el cual deberá cumplir con los requisitos establecidos en el PBC.

EXIGIDO

1.2.1.10

Ante la ausencia de uno o más miembros del equipo por 3 (tres) días hábiles o más, cualquiera fuere la razón, el oferente será responsable de proveer un reemplazo temporal, hasta tanto el afectado se reintegre, sin perjuicios de las sanciones contractuales que correspondan.

EXIGIDO

LOTE N° 2 SERVICIO DE SUSCRIPCIÓN A SOLUCIÓN DE SEGURIDAD DNS

ITEM N° 1 Servicio de suscripción a Solución de Seguridad DNS

2.1.1 Características de la solución

2.1.1.1

Se solicita el servicio de suscripción al Software de seguridad DNS, Cisco Umbrella Secure Internet Gateway Essentials implementado actualmente en el BCP, con soporte y mantenimiento del fabricante por 24 meses, computados a partir de la fecha establecida al efecto en la orden de inicio que será emitida por el área administradora del contrato.

EXIGIDO

2.1.1.2

La Solución deberá estar basada en la nube (servicio SWG Cloud) y debe proveer análisis de consultas y resoluciones de DNS para al menos 800 usuarios.

EXIGIDO

LOTE N° 3 SERVICIO DE SUSCRIPCIÓN A SOLUCIÓN DE SEGURIDAD PERIMETRAL DEFINIDA POR SOFTWARE

ITEM N° 1 Servicio de Suscripción a Solución de Seguridad Perimetral Definida por Software

3.1.1 Características de la Solución

3.1.1.1

Se solicita el servicio de suscripción a solución de seguridad perimetral definida por software Appgate SDP implementado actualmente en el BCP, con soporte y mantenimiento del fabricante por 24 meses, computados a partir de la fecha establecida al efecto en la orden de inicio que será emitida por el área administradora del contrato.

EXIGIDO 

3.1.1.2

Se deben incluir todas las licencias necesarias para al menos 980 usuarios, y con protección para 2 (dos) sitios o centro de datos.

EXIGIDO

LOTE N° 4 SERVICIO DE SUSCRIPCIÓN A SOLUCIONES DE CIBERSEGURIDAD

ITEM N° 1 - Servicio de suscripción a Solución de Análisis de Muestras de malware (Sandboxing)

4.1.1 Características principales de la Solución

4.1.1.1

Se solicita el servicio de suscripción a solución de análisis de muestras de malware (sandboxing) Trellix Virtual Advanced Threat Defense Appliance, implementado actualmente en el BCP, con soporte y mantenimiento del fabricante por 24 meses, computados a partir de la fecha establecida al efecto en la orden de inicio que será emitida por el área administradora del contrato.

EXIGIDO

ITEM N° 2 - Servicio de suscripción a Solución de Seguridad Antimalware y EDR

4.2.1 Características principales de la Solución

4.2.1.1

Se solicita el servicio de suscripción a la solución de seguridad antimalware y EDR Trellix MVISION Protect Plus EDR para 1200 usuarios, implementado actualmente en el BCP, con soporte y mantenimiento del fabricante por 24 meses, computados a partir de la fecha establecida al efecto en la orden de inicio que será emitida por el área administradora del contrato.

EXIGIDO

4.2.1.2

La Solución debe contar con un Registro Cloud de análisis de riesgo para al menos 25 mil diferentes servicios Cloud.

EXIGIDO

4.2.1.3

Para cada servicio cloud se deben evaluar al menos 50 atributos y 260 sub atributos de riesgo.

EXIGIDO

4.2.1.4

Debe monitorear si los servicios Cloud cuentan con las siguientes certificaciones: EU GDPR, Trustee / BBB, Safe Harbor, ISO 27018, FISMA, FedRAMP, CSA Star, HITRUST, ISO 27017, SAS 70 / SSAE16 / ISAE 3402, ITIL, DCAA / SOC 3, ISO 27001, SOC 2, PCI Compliance y HIPAA

EXIGIDO

4.2.1.5

La Solución debe poder mostrar la exposición de los servicios Cloud a vulnerabilidades como: Cloudbleed, Heartbleed, Poodle, Freak, Ghostwriter.

EXIGIDO

4.2.1.6

La Solución debe identificar intentos de fuga de información por servicios no corporativos a través del análisis de Machine Learning y UEBA, correlacionado con la actividad de los usuarios en los servicios.

EXIGIDO

4.2.1.7

La Solución debe contar con la capacidad de control (Bloquear/Permitir) con base en atributos de Riesgo de Shadow IT.

EXIGIDO

4.2.1.8

La Solución debe tener la capacidad de aplicar políticas de DLP al tráfico Web y de servicios de Shadow IT.

  EXIGIDO

4.2.1.9

La Solución debe tener la capacidad de aplicar políticas a la información en la nube basado en: - Diccionarios.

EXIGIDO

4.2.1.10

- Palabras clave

EXIGIDO

4.2.1.11

- Grupos de usuarios

EXIGIDO

4.2.1.12

- Expresiones regulares

EXIGIDO

4.2.1.13

La Solución debe permitir a los administradores: personalizar vistas y reportes, basados en la información que deseen ver.

EXIGIDO

4.2.1.14

La consola debe permitir programar la ejecución de reportes y que estos sean enviados vía correo electrónico en formato PDF, CSV o XLS.

EXIGIDO

4.2.1.15

La Solución debe presentar un dashboard de madurez de implementación de la misma, donde se muestre el nivel de adopción de la herramienta en la entidad, comparativas anónimas con otros clientes de la misma vertical y recomendaciones de funcionalidades que deben ser implementadas.

EXIGIDO

ITEM N° 3 - Servicio de suscripción a Solución de Gestión de Vulnerabilidades

4.3.1 Características principales de la Solución

4.3.1.1

Se solicita el servicio de suscripción a la solución de gestión de vulnerabilidades  Tenable implementado actualmente en el BCP, con soporte y mantenimiento del fabricante por 24 meses, computados a partir de la fecha establecida al efecto  en la orden de inicio que será emitida por el área administradora del contrato.

EXIGIDO

4.3.1.2

Se deben incluir todas las licencias necesarias para al menos 512 (quinientos doce) activos de TI, entre ellos estaciones de trabajo, servidores, dispositivos de red, plataformas de virtualización y otros sistemas conectados.

EXIGIDO

LOTE N° 5 - SERVICIO DE SUSCRIPCIÓN A SOLUCIÓN DE DETECCIÓN Y RESPUESTA EXTENDIDA - XDR

ITEM N° 1 - Servicio de suscripción a Solución de Detección y Respuesta Extendida - XDR

5.1.1 Características principales de la Solución

5.1.1.1

Se solicita el servicio de suscripción a una Solución de Detección y Respuesta Extendida XDR, con el objetivo de facilitar la integración y la respuesta avanzada a incidentes de ciberseguridad, ejecución de playbooks y análisis de amenazas. La Solución debe tener, nativamente y sin ningún tipo de desarrollo adicional, integración con las soluciones de seguridad de endpoint y servidores con las cuales cuenta actualmente el BCP (Trellix MVISION Protect Plus EDR).

EXIGIDO

5.1.1.2

La Solución debe incluir nativamente capacidades tales como: agregación y correlación de eventos, recolección de eventos de distintas fuentes de datos y definición de políticas de retención de información. Toda la información generada debe poder ser consumida por la propia Solución para la toma de decisiones, de forma nativa, y sin ningún tipo de desarrollo por fuera de la Solución.

EXIGIDO

5.1.1.3

Se debe entregar todos los módulos de software necesarios para la correcta implementación de lo requerido en este ítem. Se deben incluir todas las licencias necesarias para al menos 750 EPS, con soporte y mantenimiento del fabricante por 24 meses computados a partir de la fecha establecida al efecto en la orden de inicio que será emitida por el área administradora del contrato.

EXIGIDO

5.1.1.4

La solución debe tener la capacidad de integrar al menos 300 tecnologías diferentes, sin licenciamiento adicional.

EXIGIDO

5.1.1.5

La solución debe tener la capacidad de minimizar el impacto de un incidente.

EXIGIDO

5.1.1.6

La solución debe poder centralizar los datos recibidos con el fin de contar con visibilidad de las amenazas y vulnerabilidades.

EXIGIDO

5.1.1.7

La solución debe soportar expresiones regulares compatibles con Perl.

EXIGIDO

5.1.1.8

La solución debe soportar operaciones booleanas como AND, OR y NOT.

EXIGIDO

5.1.1.9

Debe utilizar un lenguaje de análisis de datos para consultas de eventos para su posterior análisis.

EXIGIDO

5.1.1.10

La solución debe soportar dentro de la anatomía del lenguaje utilizado al menos los siguientes aspectos: búsquedas, filtros, elementos sintaxis como día y hora, operadores de comparación, funciones hash criptográfica, variables de expansión, histograma.

EXIGIDO

5.1.1.11

La solución debe proveer la capacidad de asignar un nombre de clase genérico que se refiera a eventos, por ejemplo, proxies: Bluecoat, firewall: Palo Alto, etc.

EXIGIDO

5.1.1.12

La solución debe incluir al menos los siguientes métodos de autenticación: local, Radius, LDAP, Active Directory, Sigle sign-on.

EXIGIDO

5.1.1.13

La solución debe proporcionar un flujo de trabajo de incidentes para rastrear eventos.

EXIGIDO

5.1.1.14

Para el tránsito de todos los datos, debe realizarse con un cifrado SSL/TLS.

EXIGIDO

5.1.1.15

La solución debe soportar al menos tres formas de contactar al soporte: licencia de suscripción, chat de soporte, por el servicio de expertise on demand.

EXIGIDO

5.1.1.16

La solución debe soportar una consola maestra de alertas, con capacidad de personalizar dashboards, búsquedas, y resultados de búsquedas.

EXIGIDO

5.1.1.17

La solución debe soportar el uso de API para la administración, así como para integración de fuentes de datos, si así se requiere.

EXIGIDO

5.1.1.18

Los indicadores deben ser cargados a través de archivos CSV o JSON.

EXIGIDO

5.1.1.19

Los indicadores deben de incluir al menos los siguientes campos: Value, Notes, Risk, Type.

EXIGIDO

5.1.1.20

La solución debe de soportar dos tipos de reglas: las creadas por el fabricante y las personalizadas.

EXIGIDO

5.1.1.21

La solución debe mostrar un gráfico que muestre el porcentaje de las reglas habilitadas creadas por el fabricante que están siendo utilizadas y las que no.

EXIGIDO

5.1.1.22

Las reglas deben contener al menos la siguiente información: riesgo, nombre, estatus, opción de deshabilitar y ver la regla.

EXIGIDO

5.1.1.23

La solución debe permitir asignar una contraseña al reporte en formato pdf cuando éste sea enviado por correo electrónico.

EXIGIDO

5.1.1.24

La solución debe contar con un dashboard que muestre información sobre:  estadísticas de eventos por segundo, estado general del dispositivo, eficacia de los sensores.

EXIGIDO

5.1.1.25

La solución debe mostrar en las tablas de alertas, al menos la siguiente información: riesgo, tipo, origen, primer evento, último evento, sumario, estado, hash.

EXIGIDO

5.1.1.26

La solución debe soportar la personalización de tablas de alertas.

EXIGIDO

5.1.1.27

La solución debe indicar el nivel de amenaza basado en la inteligencia que realice, tomando en consideración al menos los siguientes aspectos: el valor de un evento indeterminado, el valor de un evento benigno, el valor de un evento sospechoso, el valor de un evento malicioso.

EXIGIDO

5.1.1.28

La solución debe poder asignar alertas a los usuarios como parte del proceso de escalamiento y gestión de incidentes.

EXIGIDO

5.1.1.29

La solución debe incluir una vista sobre consejos de investigación, que permitan ofrecer mayor detalle a través de preguntas con consultas de búsqueda asociadas y así tener una mejor comprensión de la amenaza.

EXIGIDO

5.1.1.30

La solución debe poder exportar alertas a formato tipo JSON o CSV.

EXIGIDO

5.1.1.31

La solución debe soportar la búsqueda y descarga de transcripciones de PCAP.

EXIGIDO

5.1.1.32

La solución debe soportar al menos los siguientes tipos de log; security log, sysmon log, system log, application log, appLocker log, PowerShell Log, defender log, IIS log.

EXIGIDO

5.1.1.33

La solución debe soportar la identificación de actividad sospechosa a través del análisis del comportamiento indicado por detectores, incluyéndose al menos los siguientes: Beacon Detection, DNS Entropy Detection, DNS Fast-flux Detection, Geofeasibility Detetection, Credetial Misuse Detection, Unacknowledged Connection Detection, Anomalous WSman Activity Detection, Port Scanning Detection, Port Probing Detection, Data Theft (outbond) exfiltration Detection, Inbound Connections Detection, Server outbound Connections Detection, VPN Compromised Account Detection.

EXIGIDO

5.1.1.34

La solución debe ser compatible para procesar registros a través de los siguientes métodos: IETF, syslog, RFC5424, RFC3164.

EXIGIDO

5.1.1.35

La solución debe permitir la detección, validación, e investigación de alertas/amenazas, para así reconstruir el killchain de un ataque.

EXIGIDO

5.1.1.36

La solución debe proveer la capacidad de generar una puntuación de riesgo.

EXIGIDO

5.1.1.37

La solución debe tener la capacidad de minimizar el impacto de un incidente de forma automática.

EXIGIDO

5.1.1.38

La solución debe generar una investigación visual guiada con los detalles de una incidencia.

EXIGIDO

5.1.1.39

La solución debe tener integrado playbooks que automatizan las acciones de respuesta a las amenazas.

EXIGIDO

5.1.1.40

La solución debe crear correlaciones automáticamente, a partir de alertas, utilizando análisis estadístico.

EXIGIDO

5.1.1.41

La solución debe soportar alertas de terceros de más de 600 fuentes.

EXIGIDO

5.1.1.42

La solución debe ser una plataforma de operación SaaS que permita tomar control de incidentes desde la detección hasta la respuesta.

EXIGIDO

5.1.1.43

La solución debe detectar incidentes correlacionando datos de múltiples herramientas.

EXIGIDO

5.1.1.44

La solución debe asistir en la toma de decisiones a través de inteligencia contextual sobre amenazas.

EXIGIDO

5.1.1.45

La solución debe permitir centralizar la infraestructura y los datos de seguridad.

EXIGIDO

5.1.1.46

La solución debe tener la capacidad de mejorar la detección de amenazas y vulnerabilidades con análisis avanzados de comportamiento de los usuarios

EXIGIDO

5.1.1.47

La solución debe incluir paneles que brinden descripción del estado de las operaciones de seguridad tales como: - Numero de amenaza

EXIGIDO

5.1.1.48

- Puntaje de riesgo.     

EXIGIDO

5.1.1.49

- Matriz de MITRE ATT&CK.

EXIGIDO

5.1.1.50

- Amenazas asignadas.

EXIGIDO

5.1.1.51

- Uso de datos dentro del entorno.

EXIGIDO

5.1.1.52

- Salud del entorno.

EXIGIDO

5.1.1.53

- Coincidencias de inteligencia que muestran actores e indicadores.

EXIGIDO

5.1.1.54

La solución debe permitir acciones para asignar, cerrar, suprimir, contener y exportar una alerta.

EXIGIDO

5.1.1.55

La solución debe soportar acciones para remediar la amenaza.

EXIGIDO

5.1.1.56

La solución debe ser capaz de proporcionar una representación visual de cada incidente y un resumen de lo que sucedió (vectores que estuvieron involucrados - como las alertas conectadas. entre sí).

EXIGIDO

5.1.1.57

La solución debe proporcionar información de los activos (host - usuario) basados en: - Clasificación de riesgo

EXIGIDO  

5.1.1.58

- Etiquetarlos como activo VIP

  EXIGIDO

5.1.1.59

- Exportar a un archivo CSV o JSON.

  EXIGIDO

5.1.1.60

La solución debe permitir la integración para automatizar tareas frecuentes a través de playbooks proporcionados por: Azure, Cloudvisory, detección bajo de manda, serviceNow, VirusTotal.

EXIGIDO

5.1.1.61

La solución debe contar con un portal que permita agregar conexiones a la nube, abarcando plataformas como: Amazon Web Services (AWS), Google Cloud Platform (GCP), GSuite, Microsoft Azure, Microsoft 365 y Microsoft Teams. También se admiten alertas de proveedores como MimeCast, Proofpoint, MS Defender, Sophos (AV), TrendMicro y CrowdStrike.

EXIGIDO

5.1.1.62

La solución debe permitir configurar notificaciones por correo electrónico.

EXIGIDO

5.1.1.63

La solución debe mostrar información sobre cada táctica (Mitre ATT&CK) que se intentó durante el periodo de tiempo especificado.

EXIGIDO

5.1.1.64

La solución debe mostrar el número de técnicas (Mitre ATT&CK) que se utilizaron en el intento de la táctica.

EXIGIDO

5.1.1.65

La solución debe detallar el número de amenazas asociadas a cada técnica (Mitre ATT&CK).

EXIGIDO

5.1.1.66

La solución debe proporcionar una comprensión del flujo de ataque a través de un gráfico que muestre los siguientes nodos: - Múltiples herramientas. 

EXIGIDO

5.1.1.67

- Múltiples fuentes.

EXIGIDO

5.1.1.68

- Alertas múltiples.

EXIGIDO

5.1.1.69

- Activos múltiples.

EXIGIDO

5.1.1.70

- Múltiples artefactos.

EXIGIDO

5.1.1.71

La solución debe tener la capacidad de agrupar una amenaza a través de una correlación o una alerta.

EXIGIDO

5.1.1.72

La solución debe mostrar un gráfico de tabla que contenga al menos la siguiente información: riesgo, tipo, total de activos, total de eventos, primer evento, último evento, origen/destino, resumen (summary), asignación, estatus.

EXIGIDO

5.1.1.73

La solución debe ser capaz de calcular el riesgo de un activo multiplicando la suma de los puntajes de riesgo de todas las alertas por el número de reglas para dividirse entre el total de alertas utilizando la siguiente escala o similar:  0-59: puntuación - severidad baja; 60-79: puntuación - severidad media; 80 - 99: puntuación - severidad alta; Mayor o igual a 100: puntuación - severidad crítica.

EXIGIDO

5.1.1.74

La solución debe tener la capacidad de realizar las siguientes acciones relacionadas con la amenaza: - Contener

EXIGIDO

5.1.1.75

- Eliminar

EXIGIDO

5.1.1.76

- Asignar a un usuario

EXIGIDO

5.1.1.77

- Cierre o suprimir

EXIGIDO

5.1.1.78

La solución debe tener la capacidad de realizar las siguientes acciones relacionadas con la amenaza: - Activar un playbook

EXIGIDO

5.1.1.79

- Realizar una reparación

EXIGIDO

5.1.1.80

La solución debe mostrar una gráfica sobre las actividades playbooks ejecutadas en la organización.

EXIGIDO

5.1.1.81

La solución debe permitir la visualización del diagrama de flujo que realiza el seguimiento de cada paso de la ejecución dentro del playbook.

EXIGIDO

5.1.1.82

La solución debe permitir que el diagrama de flujo de la actividad del playbook y los detalles de la acción puedan ser exportados a formato JSON.

EXIGIDO

5.1.1.83

La solución debe soportar la asignación de acciones de respuesta a los playbooks a través de artefactos relevantes como: hashes MD5, alertas, dominios, direcciones IP).

EXIGIDO

5.1.1.84

La solución debe contar con la capacidad de que el fabricante cree paquetes de reglas dedicadas a tipos específicos de detección como: suplantación de identidad, para Windows, etc.

EXIGIDO

5.1.1.85

La solución debe permitir visualizar la regla a través de una tabla la información donde se identifique: nombre, consulta (query), estatus, playbook, riesgo, creación.

EXIGIDO

LOTE N° 6 - SERVICIO DE SUSCRIPCIÓN A SOLUCIÓN FIREWALL DE APLICACIÓN WEB (WAF)

ITEM N° 1 - Servicio de suscripción a Solución Firewall de Aplicación Web (WAF)

6.1.1 Características principales de la Solución

6.1.1.1

Se solicita el servicio de suscripción a solución firewall de aplicación web  Barracuda 660 Vx implementado actualmente en el BCP, con soporte y mantenimiento del fabricante por 12 meses computados a partir de fecha establecida al efecto  en la orden de inicio que será emitida por el área administradora del contrato.

EXIGIDO

6.1.1.2

La Solución debe contar con las siguientes características:
 Backend Servers Supported
CPU Cores Allowed
 Throughput
 Response Control
 Outbound Data Theft Protection
 File Upload Control
 Vulnerability Scanner Integration
 Protection against Application DDoS Attacks
 Bot Defense/ Web Scraping Protection
 Network Firewall
 JSON Protection
 XML Firewall
 URL Encryption
 Adaptive Profiling
 AV for File Uploads
 Advanced Threat Protection
 Authentication and Authorization
 LDAP/RADIUS
 Load Balancing
 Caching and Compression
 Content Routing
 High Availability
 Advanced Routing

EXIGIDO

LOTE N° 7 SERVICIO DE SUSCRIPCIÓN A SOLUCIÓN DE DETECCIÓN Y RESPUESTA PARA NETWORKING - NDR

ITEM N° 1 Servicio de suscripción a Solución de Detección y Respuesta para Networking - NDR

7.1.1 Características principales de la Solución:

7.1.1.1

Se solicita el servicio de suscripción a una Solución de ciberseguridad para la detección y respuesta a incidentes para networking, mediante el análisis de la metadatos del tráfico de red, para 300 fuentes, con el objetivo de realizar la medición e identificación de IoCs (indicadores de compromiso) a través de la técnica de detección continua de compromisos, con soporte y mantenimiento del fabricante por 24 meses, computados a partir de la fecha establecida al efecto  en la orden de inicio que será emitida por el área administradora del contrato.

EXIGIDO

7.1.1.2

La solución debe proporcionar, en modalidad de SaaS, la capacidad de medir el compromiso de la infraestructura tecnológica, en tiempo real, sin importar el formato enviado, siempre y cuando contenga la información necesaria.

EXIGIDO

7.1.1.3

La solución debe tener la capacidad de recolectar, procesar y analizar las consultas DNS de la organización para identificar qué activos (estaciones de trabajo, servidores, equipos de red, etc.) están intentando comunicarse con potenciales atacantes.

EXIGIDO

7.1.1.4

La solución debe tener la capacidad de recolectar, procesar y analizar los datos del Spambox para identificar quién y cómo están intentando atacar a la organización.

EXIGIDO

7.1.1.5

La solución debe incluir agentes o colectores para al menos sistemas operativos Windows 10 o superior y Windows Server 2012 o superior.

EXIGIDO

7.1.1.6

La solución debe poder ser implementada y debe tener la capacidad de realizar el proceso de recolección de datos sin la necesidad de hardware de propósito especifico, tal como network taps u otros. El proceso de recolección de datos para medir compromiso debe estar basado en metadatos.

EXIGIDO

7.1.1.7

El proceso de medición de compromiso debe estar basado en: consultas DNS, spambox, netflows, logs de proxy y/o firewall.

EXIGIDO

7.1.1.8

La solución debe tener la capacidad de clasificar el resultado de la medición de compromiso. Ejemplo: Malware, C&C, Phishing.

EXIGIDO

7.1.1.9

La solución debe almacenar datos de forma histórica de al menos 2 años.

EXIGIDO

7.1.1.10

La solución debe tener la capacidad de realizar una revisión histórica o 'playback' de nuevos ataques para identificar compromiso histórico basado en nueva información.

EXIGIDO

7.1.1.11

La solución debe identificar el origen del compromiso de manera precisa y sin la necesidad de la instalación de hardware de propósito específico.

EXIGIDO

7.1.1.12

El proceso de análisis de los metadatos de la organización debe estar basado en: - Correlación contra más de 80 fuentes de ciberinteligencia.

EXIGIDO

7.1.1.13

- Analizadores/algoritmos, supervisados o no, de machine learning e inteligencia artificial.

EXIGIDO

7.1.1.14

La solución debe implementar la capacidad de adicionar nuevas fuentes de ciberinteligencia con conceptos tales como BYOTI "Bring your own threat intelligence".

EXIGIDO

7.1.1.15

La solución debe proveer un portal web que sea accesible desde las últimas versiones estables de los navegadores Google Chrome, Firefox, Edge y Safari.

EXIGIDO

7.1.1.16

La solución debe incluir al menos uno de los siguientes métodos de autenticación: local, Radius, LDAP, Active Directory, Sigle sign-on.

EXIGIDO

7.1.2 Reportes y vistas

7.1.2.1

El portal debe contener una vista que provea estadísticas de los indicadores de compromiso.

EXIGIDO

7.1.2.2

La solución debe tener la opción de aplicar filtros predefinidos, como por fecha, ejemplo: Hoy, ayer, últimos 7 días, últimos 30 días.

EXIGIDO

7.1.2.3

La solución debe tener la opción de aplicar filtros por un periodo de tiempo personalizado.

EXIGIDO

7.1.2.4

La solución debe permitir agrupar los activos a través de etiquetas como: tipo de activos (estaciones de trabajo, servidores, equipos de red, etc.), grupos de usuarios, etc., de acuerdo con la necesidad de la organización.

EXIGIDO

7.1.2.5

La solución debe incluir frecuencia del compromiso por día de la semana y hora del día. Asimismo, debe mostrar la distribución del ataque basado en etiquetas previamente configuradas (ejemplo: usuario remoto, oficina central, IOT), también debe contar con recursos relacionados con los compromisos y con unas guías (playbooks) para cada tipo de ataque detectado.

EXIGIDO

7.1.2.6

La solución debe permitir mostrar los IoCs por cada compromiso detectado y se debe poder descargar directamente de la plataforma, en formato CSV.

EXIGIDO

7.1.2.7

La solución debe tener una vista de incidentes que permita gestionar incidentes abiertos, cerrar incidentes y silenciar incidentes llevando registro de las acciones tomadas en los mismos.

EXIGIDO

7.1.2.8

La solución debe incluir información del spambox como: volumen de correos analizados, destinatarios que reciben más spam, tendencias de ataques, días y horas de la semana en la que se recibe más correos maliciosos y correlación del spambox con respecto a la comunicación efectiva realizada hacia el potencial atacante.

EXIGIDO

7.1.2.9

La solución debe enviar reportes vía correo electrónico con información de resultados de la evaluación de compromiso.

EXIGIDO

7.1.2.10

La solución debe enviar notificación al correo electrónico del administrador de la plataforma o a los usuarios definidos en caso de la existencia de un indicador de compromiso detectado.

EXIGIDO

7.1.2.11

La solución debe tener la opción de configurar la periodicidad de las notificaciones, tales como: envío de correo con las alertas de la ultima hora o de las últimas 4 horas, etc.

EXIGIDO

7.1.2.12

La solución debe incluir en las notificaciones, el análisis de cada incidente basado en la matriz MITRE ATT&CK.

EXIGIDO

7.1.2.13

La solución debe permitir configurar la periodicidad de los reportes. Ejemplo: diario, semanal, bisemanal y mensual

EXIGIDO

7.1.3 Características y alertas

7.1.3.1

La solución debe poder responder de forma automática, conectándose vía API a la infraestructura tecnológica para ajustar las políticas de bloqueo pertinentes, ante la detección de un compromiso.

EXIGIDO

7.1.3.2

La solución debe incorporar capacidades automáticas de bloqueo con los fabricantes más reconocidos de la industria, tales como: Palo Alto Networks, Fortinet, Checkpoint, Cisco, entre otros.

EXIGIDO

7.1.3.3

La solución debe proporcionar una API de forma tal que la organización pueda construir la integración que requiera para propósitos de defensa o gestión de incidentes.

EXIGIDO

7.1.3.4

La solución debe tener la capacidad de realizar la descarga de información de amenazas en formato STIX.

EXIGIDO

7.1.3.5

La solución debe proporcionar el contexto de cada compromiso con referencias internas y externas para entender la naturaleza del mismo.

EXIGIDO

7.1.3.6

La solución debe permitir el direccionamiento del tráfico DNS a un DNS publico ofrecido por el proveedor.

EXIGIDO

7.1.3.7

La solución debe permitir consumir metadatos de plataformas de VPN para medición de compromiso de dispositivos remotos en modo full tunnel y split tunnel.

EXIGIDO

7.1.3.8

La solución debe proporcionar una API abierta para consumir metadatos, de forma que la organización pueda utilizarla para propósitos específicos.

EXIGIDO

7.1.3.9

La solución debe soportar colectores o su equivalente para los hipervisores VirtualBox, Hyper-V y VMware.

EXIGIDO

7.1.4 Calidad y capacidad del Talento Humano

7.1.4.1

El proveedor debe ofrecer la gestión de los incidentes generados en la solución en modalidad 7x24.

EXIGIDO

7.1.4.2

El alcance de la gestión de incidentes debe entregar al equipo de la organización la guía necesaria para la mitigación de estos, identificados por la solución.

EXIGIDO

7.1.4.3

El proveedor debe proporcionar el apoyo necesario para el despliegue de la solución.

EXIGIDO

7.1.4.4

El proveedor debe proporcionar resolución de dudas sobre la forma de mitigación de los compromisos detectados.

EXIGIDO

7.1.4.5

El proveedor debe disponibilizar entrenamiento/capacitación de la solución ofrecida para traspaso de conocimiento al personal para asegurar la correcta operación.

EXIGIDO

7.1.4.6

El proveedor debe incluir un plan de implementación, actualización u optimización, además del acompañamiento continuo a lo largo de la duración de la prestación del servicio.

EXIGIDO

Tipo

Descripción

Cantidad

Server

Total de Servidores Físicos

50

Storage

IBM, Dell

7

Hipervisores

ESXi 5, 6

34

Hipervisores

HyperV

2

Server

CentOS Linux

39

Server

RedHat

18

Server

Generic Linux

13

Server

Microsoft Windows Server Otros

54

Server

Microsoft Windows Server 2012

60

Server

Microsoft Windows Server 2016

3

MBD

MS SQL

5

MBD

PostgreSQL

1

MBD

MySQL

4

MBD

Sybase

4

MBD

Oracle

6

Server

Servidor de archivos

5

Server

Servidor Exchange

2

Firewall

Checkpoint

3

Firewall

Cisco FTD

2

Firewall

Cisco ASA

5

LB

Citrix

2

Router

Cisco IOS

3

Switch

Cisco IOS

70

Switch

Cisco NX-OS

15

Wireless

Cisco WLAN Controller

3

Wireless

Cisco AP

50

Proxy

Forcepoint

2

Usuarios

Estaciones de trabajo (PCs, Notebooks)

900

Usuarios

Dispositivos móviles (Android/iOS)

70