SEI/TRF1 - 21211253

Senhor Diretor da Divisão de Tecnologia,

Em atenção ao Encaminhamento 21194012, segue abaixo uma análise das contribuições recebidas, acompanhada das respectivas respostas para cada consideração apresentada.

Contribuição 01

Sugestão para inclusão de especificação para a parte de identidade:

· O navegador deve suportar o armazenamento de cookies de autenticação de maneira remota, em uma nuvem do fabricante com a finalidade de prevenir ataques de sequestro de cookies ou simplesmente prevenir o armazenamento.

· O navegador deve suportar a configuração e controle de políticas de segurança de maneira centralizada e já apresentar como padrão as melhores práticas de mercado, por exemplo, controle de extensões de terceiros, desabilitar o developer tools, controles de criptográficos dentre outros.

· O navegador deve oferecer um gerenciador de senhas seguro e a capacidade de armazenar e preencher automaticamente credenciais de login mediante identificação do usuário, não deve existir cache local e o armazenamento deve ser realizado de forma segura na nuvem do fabricante.

· O gerenciador de senhas deve permitir a capacidade de compartilhamento de credenciais , especificando validade e visibilidade das credenciais.

· Deve possuir a capacidade de armazenar arquivos seguros com capacidade de armazenamento e compartilhamento, tais como, planilhas, certificados, dentre outros tipos de arquivos.

· Deve possuir aplicativo móvel além do Browser seguro."

· A solução deve permitir que as aplicações acessadas através navegador sejam monitoradas e indexadas em uma linha do tempo, registrando a navegação do usuário na página web de forma visual e com seus metadados indexados.

· A navegador deve ser capaz de bloquear uma ação ou notificar baseado em ações realizadas em uma determinada aplicação web. Por exemplo, em uma solução de recursos humanos bloquear que o campo de bônus não seja superior a um determinado valor. Isto deve ser realizado localmente no navegador sem a necessidade de um proxy Server.

· Deve permitir o isolamento da sessão do browser para aplicações web monitoradas, não permitindo a função copiar e colar e qualquer tipo de download da sessão isolada, dessa forma evitando o vazamento de informações desta sessão web protegida, as imagens devem ser armazenadas com marca d'agua informando IP e usuário nos metadados.

· A solução deve bloquear e pedir a re-autenticação uma sessão protegida baseada no distanciamento do usuário de seu computador ou de maneira temporal, com a finalidade de evitar que a sessão fique aberta e sem supervisão.

· Deve identificar aplicações web que só podem ser acessadas pelo browser seguro e bloquear qualquer acesso de outro browser.

· Deve possuir recurso para sumarizar uma sessão auditada pelo navegador e trazer para uma linguagem não técnica, como por exemplo: " O usuário João acessou a aplicação financeira X e realizou a transação de aprovação de pagamento para a ordem de compra Y". Com a finalidade de simplificar o processo de auditoria.

RESPOSTA: Não acatado. A inclusão dessas funcionalidades poderá restringir a participação de outros fabricantes e não são fundamentais para o atendimento dos objetivos pretendidos com a contratação.

1.19. A solução deve implementar autenticação de duplo fator.

SUGESTÃO

1.19. A solução deve implementar Single-Sign-On (SSO) e múltiplo fator de autenticação adaptativo, possuir análise comportamental e mitigações de risco no ambiente.

RESPOSTA: A inclusão dessas funcionalidades poderá restringir a participação de outros fabricantes e não é fundamental para o atendimento dos objetivos pretendidos com a contratação.

1.77. A solução deve possibilitar o uso da máscara de usuário na execução dos comandos (valores entre 0000 e 0777).

REMOVER

Impede nossa participação, ITEM referente à uma solução descontinuada.

RESPOSTA: Item removido visando a ampliação da concorrência do certame.

1.84.13.3. Notificar destinatários quando uma sessão é iniciada. Suportando, no mínimo, uma notificação por e- mail a destinatários designados sempre que uma sessão é iniciada com qualquer ativo/credenciais;

SUGESTÃO

1.84.13.3 Notificar destinatários quando uma sessão é iniciada. Suportando, no mínimo uma das possibilidades, notificação por e- mail a destinatários designados sempre que uma sessão é iniciada com qualquer ativo/credenciais, notificação através de menssagem no início da sessão.

RESPOSTA: Item ajustado para “1.84.13.3 Notificar por e-mail aos destinatários quando uma sessão for iniciada ou por mensagem no início da sessão”.

1.84.13.4. Notificar destinatários quando uma sessão é terminada. Suportando, no mínimo, uma notificação por e-mail a destinatários designados sempre que uma sessão é encerrada com qualquer ativo/credenciais;

SUGESTÃO

1.84.13.4 Notificar destinatários quando uma sessão é iniciada. Suportando, no mínimo uma das possibilidades, notificação por e- mail a destinatários designados sempre que uma sessão é iniciada com qualquer ativo/credenciais, notificação através de menssagem no término da sessão.

RESPOSTA: Item ajustado para “11.84.13.4. Notificar por e-mail aos destinatários quando uma sessão é encerrada ou por mensagem no término da sessão”.

1.84.32. A solução deve permitir que o Administrador mude o portal externo com a marca corporativa, isto é, os administradores podem alterar a imagem de logotipo para exibição em páginas da Web voltadas para o público. Permitindo que os usuários externos verifiquem que estão no site de sua organização, além de aprimorar o portal de acesso com a marca da organização.

REMOVER

Impede nossa participação, ITEM referente à uma solução que não esta dentro do escopo da uma solução de segurança para identidades. Sugerimos a remoção para ampliação da participação.

RESPOSTA: Apesar de desejado, o item não é imprescindível para a solução. Item removido visando a ampliação da concorrência.

1.85.1 Todos os componentes de software da solução deverão constar no catálogo do respectivo fabricante e o seu gerenciamento deve ser feito na mesma console web sem necessidade de infraestrutura adicional;

ALTERAR

1.85.1 Todos os componentes de software da solução deverão constar no catálogo do respectivo fabricante;

RESPOSTA: Item ajustado para permitir a composição de soluções, porém não poderá haver prejuízo de funcionalidades ou de integração. O item foi ajustado após consulta pública para: “1.85.1 Todos os componentes de software da solução deverão constar no catálogo do respectivo fabricante, sendo permitida a composição de soluções desde que não implique em perda funcionalidades ou em limitação da integração entre os componentes ofertados.”

1.85.18.1. Controles ActiveX, por codebase, versão e CLSID;

ALTERAR

1.85.18.1.Controles ActiveX, versão, CLSID ou codebase;

RESPOSTA: O item foi ajustado após consulta pública para: “Controles ActiveX, versão, CLSID ou codebase.

1.85.18.5. Solução deve permitir a desinstalação de aplicativos específicos, instalados por exe ou msi.

REMOVER

RESPOSTA: Apesar de desejado, o item não é imprescindível para a solução. Item removido visando a ampliação da concorrência.

1.85.19. A solução deve ser capaz de integrar com Pluggable Authentication Module (PAM) para verificação de segurança secundária, como senha, duplo fator de autenticação etc., ao elevar um comando.

REMOVER

Impede nossa participação, ITEM referente à uma solução descontinuada.

RESPOSTA: Apesar de desejado, o item não é imprescindível para a solução. Item removido visando a ampliação da concorrência.

1.85.21. A solução deve ser capaz de interceptar as chamadas da biblioteca relacionadas ao sistema de arquivos e permitir, proibir e auditar as chamadas. Deve permitir especificar ações (por exemplo, abrir/ler/ gravar/executar) que podem ou não ser executadas em um arquivo (usando padrões de arquivos no estilo de shell para corresponder aos arquivos) e também especificar um nível de auditoria;

REMOVER

RESPOSTA: Apesar de desejado, o item não é imprescindível para a solução. Item removido visando a ampliação da concorrência.

1.87.5. A solução deve fornecer recomendações práticas antes que se tornem uma ameaça e agilizar investigação de possíveis ameaças;

ALTERAR

1.87.5. A solução deve fornecer recomendações práticas antes que se tornem uma ameaça e agilizar investigação de possíveis ameaças ou possuir mecanismo de monitoramento de ataques sofisticados em contas privilegiadas;

RESPOSTA: Item alterado: “1.87.5. A solução deve fornecer recomendações práticas ou possuir mecanismo de monitoramento de ataques sofisticados em contas privilegiadas visando agilizar a investigação de possíveis ameaças;”

1.87.6. A ferramenta deve avaliar, ajustar e impedir o excesso de permissões de identidades de pessoas e máquinas (chaves SSH, contas de serviço);

ALTERAR

1.87.6. A ferramenta deve descobrir, gerenciar e controlar o excesso de permissões de identidades de pessoas e máquinas (chaves SSH, contas de serviço);

RESPOSTA: Item alterado visando a melhor compreensão do requisito: “1.87.6. A ferramenta deve gerenciar e controlar o excesso de permissões de identidades de pessoas e máquinas (chaves SSH, contas de serviço);”

1.87.7. A solução deve potencializar os recursos e inteligências dos produtos de gestão de privilégios e de outras soluções conectadas;

ALTERAR

1.87.7. A solução deve potencializar os recursos e inteligências dos produtos de gestão e controle de privilégios, ou integrar-se à serviços de Threat Intelligence de terceiros;

RESPOSTA: Item alterado “1.87.7. A solução deve potencializar os recursos e inteligências dos produtos ofertados ou integrar-se à serviços de inteligência de ameaças de terceiros, por meio de integração nativa, API ou outros”.

1.87.8. Deve ser possível organizar várias organizações na mesma console, podendo assim selecionar qual unidade organizacional os eventos de identidade pertencem de forma centralizada.

ALTERAR

1.87.8. Deve ser possível organizar hierarquicamente várias organizações na mesma console, podendo assim selecionar qual unidade organizacional os eventos de identidade pertencem de forma centralizada.

RESPOSTA: Não acatado. A inclusão de organização hierárquica poderá restringir a participação de outros fabricantes e não é fundamental para o atendimento dos objetivos pretendidos com a contratação.

1.87.11. Deve identificar ameaças como phishing, malware e engenharia social;

ALTERAR

1.87.11. Deve identificar ameaças como phishing, malware e engenharia social ou descobrir automaticamente APTs (Ameaças Persistentes Avançadas), ataques de dia zero e ameaças direcionadas;

RESPOSTA: Item alterado: “1.87.11. Deve identificar ameaças como phishing, malware e engenharia social ou descobrir automaticamente APTs (Ameaças Persistentes Avançadas), ataques de dia zero e ameaças direcionadas;”

1.87.18.6. Possuir uma visão das recomendações de segurança, permitindo ao administrador consultar a saúde e remediação necessária de detecções automáticas.

ALTERAR

1.87.18.6.Possuir uma visão das recomendações de segurança, permitindo ao administrador consultar a saúde e remediação necessária de detecções automáticas ou possuir relaórios de atividades suspeita e indicadores de compromisso.

RESPOSTA: Item alterado: “1.87.18.6. Possuir uma visão das recomendações de segurança, permitindo ao administrador consultar a saúde e remediação necessária de detecções automáticas ou possuir relatórios de atividades suspeitas e indicadores de compromisso.”

1.87.28. Deve ser possível criar integrações via WebHook;

ALTERAR

1.87.28. Deve ser possível criar integrações via WebHook quando um alerta de segurança ou um evento for identificado;

RESPOSTA: Entendemos que a integração via WebHook quando da ocorrência de um alerta não interfere no atendimento do requisito.

1.87.30. Deve ser possível realizar a automação de ações proativas através de integração com soluções de SOAR, utilizando WebHooks;

ALTERAR

1.87.30. Deve ser possível realizar a automação de ações proativas através de integração com soluções de SOAR ou utilizando WebHooks;

RESPOSTA: Item alterado para “1.87.30. Deve ser possível realizar a automação de ações proativas através de integração com soluções de SOAR ou utilizando WebHooks”.

1.87.33. A ferramenta deve realizar integração de conectores sem a necessidade de usuários administrativos, utilizando apenas a opção de leitura;

ALTERAR

1.87.33. A ferramenta deve realizar integração de conectores sem a necessidade de usuários administrativos, utilizando apenas a opção de leitura ou possuir funcionalidade de criação de conectores sem a necessidades de programação;

RESPOSTA: Item alterado: “1.87.33. A ferramenta deve realizar integração de conectores sem a necessidade de usuários administrativos, utilizando apenas a opção de leitura, ou possuir funcionalidade de criação de conectores sem a necessidade de programação”.

Contribuição 02

Descrição

1. ITEM 1 - Solução para Gestão, Identificação e Resposta a Ameaças nos Acessos de Usuários Privilegiados

1.85 Elevação de Privilégios

NÃO.

Solicitamos flexibilização para nossa participação. Há uma console especifica para o Software de Elevação de privilegios e sua instalação é separada do PAM.

RESPOSTA: Item ajustado para permitir a composição de soluções, porém não poderá haver prejuízo de funcionalidades ou de integração: “1.85.1 Todos os componentes de software da solução deverão constar no catálogo do respectivo fabricante, sendo permitida a composição de soluções desde que não implique em perda funcionalidades ou em limitação da integração entre os componentes ofertados.”

1.85.13. Suportar a guarda de políticas de hosts fora do AD;

Parcial. Checar entendimento

As regras são salvas na pasta políticas do diretório Sysvol do Controlador de Domínio. Para se preparar para qualquer tipo de recuperação de desastres, devem ser feitos backups periódicos do banco de dados de relatórios da Solução.

RESPOSTA: As políticas de elevação de privilégios, objeto do item em questão, são restritas à solução objeto da consulta e o não se referem às políticas de domínio.

1.85.18.3. Elevação de execuções de acordo com a origem, permitindo especificar caminhos como discos fixos, discos removíeis, caminhos de rede, nome de arquivos ou pastas e etc;

Parcialmente

Poderá realizar a elevação instantanea para usuarios especificados e/ou elevação por auto-atendimento.

RESPOSTA: A elevação apenas para usuários especificados não é suficiente para o atendimento do requisito. O item visa restringir a elevação de privilégios em contextos e aplicativos específicos, de forma granular, evitando-se a elevação ampla de privilégios em todo o sistema operacional.

1.85.18.5. Solução deve permitir a desinstalação de aplicativos específicos, instalados por exe ou msi.

Checar entendimento

A solução pode elevar uma permissao para permitir a desinstalação.

RESPOSTA: Apesar de desejado, o item não é imprescindível para a solução. Item removido visando a ampliação da concorrência.

Checar entendimento

Entendemos que os niveis de permissoes dos usuarios podem realizar essa requisição.

Outro ponto: O PAM contém informações sobre qualquer processo que inicia ou falha ao iniciar em um computador cliente. Os dados armazenados aqui incluem o nome do produto e o nível de execução solicitado.

RESPOSTA: Apesar de desejado, o item não é imprescindível para a solução. Item removido visando a ampliação da concorrência.

1.87. Sobre a detecção e resposta a ameaças de identidade

1.87.1. A solução deve possuir uma console web otimizada para HTML5, compatível com no mínimo os seguintes navegadores:

1.87.1.1. Microsoft Edge

1.87.1.2. Firefox

1.87.1.3. Google Chrome

Parcialmente

Console do PAM -> OK

Solução Detecção de Ameaças: somente instalada.

Software Elevação de Privilégios: Console Instalada

RESPOSTA: É importante que a solução atenda a critérios de compatibilidade com diferentes plataformas. Caso a solução não utilize interface web para a gerência, será necessário possuir ampla compatibilidades com sistemas operacionais Windows e Linux. Contudo, não foi indicado quais são parâmetros propostos para fins de ajuste das especificações.

1.87.4. Deve ser capaz de identificar contas privilegiadas com excesso de permissões, controles de segurança deficientes e anomalias;

Checar Entendimento

PAM: Fará o discovery de novas contas e poderá realizar ações, como desabilitar e/ou trocar senha.

Software Elevação de Privilégios: Os relatórios sobre atividades de execução dos usuarios nos computadores poderão mostrar o comportamento de uso do usuario na execução e instalação de aplicativos, denotando ou nao o excesso de permissão.

Solução Detecção de Ameaças: (*apenas para Windows) verificará anomalias em atividades de tentativas de login (Ex.: movimentação lateral)

RESPOSTA: Será permitida a composição de ferramentas para o atendimento do requisito. A análise conjunta de comportamentos, a indicação do excesso de permissões, a deficiência de controles de segurança e anomalias é um requisito que deve realizado pelas soluções ofertadas, não devendo ser objeto de análise humana ou de outras ferramentas de posse do Contratante.

1.87.5. A solução deve fornecer recomendações práticas antes que se tornem uma ameaça e agilizar investigação de possíveis ameaças;

Checar Entendimento

PAM ( o discovery mostrará novas contas e remediação poderá acontecer de forma automatica ou indicativa)

Solução Detecção de Ameaças: (mostrará tentativas de invasao no servidor, reportando por exemplo ataque do tipo Golden Ticket)

RESPOSTA: Será permitida a composição de ferramentas para o atendimento do requisito. As recomendações práticas ou os mecanismos de monitoramento de ataques é um requisito que deve realizado pelas soluções ofertadas, não devendo ser objeto de análise humana ou de outras ferramentas de posse do Contratante. O item foi ajustado após consulta pública para “1.87.5. A solução deve fornecer recomendações práticas ou possuir mecanismo de monitoramento de ataques sofisticados em contas privilegiadas visando agilizar investigação de possíveis ameaças”.

1.87.6. A ferramenta deve avaliar, ajustar e impedir o excesso de permissões de identidades de pessoas e máquinas (chaves SSH, contas de serviço);

Checar Entendimento

Os usuarios serão incorporados no AD através da solução, onde poederá ter uma visao completa de todas as identidades (*nix/MAC/Windows)

O console, podera ajustar facilmente o exesso de permissoes.

PAM ira controlar as contas de serviços e chaves SSH

RESPOSTA: Será permitida a composição de ferramentas para o atendimento do requisito. A gestão e controle do excesso de permissões de pessoas e máquinas deve ser realizado pelas soluções ofertadas, não devendo ser objeto de análise humana ou de outras ferramentas de posse do Contratante. O item foi ajustado após consulta pública para “1.87.6. A ferramenta deve gerenciar e controlar o excesso de permissões de identidades de pessoas e máquinas (chaves SSH, contas de serviço)”.

1.87.7. A solução deve potencializar os recursos e inteligências dos produtos de gestão de privilégios e de outras soluções conectadas;

Checar Entendimento

Exemplo de caso de uso: Alertas de Golden ticket (CA) potencializam a necessidade de verificar os privilegios do usuario (Software Elevação de Privilégios) e afinar no PAM.

RESPOSTA: O item foi ajustado após consulta pública para “1.87.7. A solução deve potencializar os recursos e inteligências dos produtos ofertados ou integrar-se à serviços de inteligência de ameaças de terceiros, por meio de integração nativa, API ou outros”.

1.87.8. Deve ser possível organizar várias organizações na mesma console, podendo assim selecionar qual unidade organizacional os eventos de identidade pertencem de forma centralizada.

Checar Entendimento

Os eventos da Solução de Detecção de Ameaças estarão na mesma console (realtime), separados por servidores.

RESPOSTA: A solução deverá permitir a identificação dos eventos em conformidade com a estrutura organizacional da JF1.

1.87.11. Deve identificar ameaças como phishing, malware e engenharia social;

NÃO

RESPOSTA: Item necessário para a proteção das credenciais. O item foi ajustado após consulta pública para “1.87.11. Deve identificar ameaças como phishing, malware e engenharia social ou descobrir automaticamente APTs (Ameaças Persistentes Avançadas), ataques de dia zero e ameaças direcionadas”.

1.87.12. Deve ser possível criar perfis de comportamento de usuários e entidades com base em atividades históricas;

Checar Entendimento

A solução traça perfil de comportamento com base nos acessos historicos.

RESPOSTA:A solução poderá traçar o perfil de comportamento com base nos acessos históricos.

1.87.16. Deve realizar a correlação de eventos de diferentes fontes para identificar a causa raiz do comportamento ou ação suspeita;

Não

RESPOSTA: O item é fundamental para a detecção e resposta a ameaças de identidade, devendo utilizar diversas fontes de eventos para identificação da causa raiz.

1.87.17. Deve fornecer ferramentas para contenção das ameaças ou ameaças encontradas, como bloqueio de contas, redefinição de senhas e revogação de acessos;

Parcialmente

O PAM identifica novos usuarios e poderá desabilitar/trocar senha.

RESPOSTA: A solução deverá possuir mecanismos de contenção das ameaças que venham a ser identificadas.

1.87.18.5. Sumario dos elementos que possuem permissões elevadas, como contas ou identidades, permitindo o monitoramento dos acessos.

Checar Entendimento

A Solução lista todos usuarios que estão em determinados grupos (denotando privilegios elevados)

RESPOSTA: A solução deverá indicar as credenciais que privilégios elevados, permitindo o monitoramento para a identificação de possíveis permissões excessivas.

1.87.18.6. Possuir uma visão das recomendações de segurança, permitindo ao administrador consultar a saúde e remediação necessária de detecções automáticas.

Checar Entendimento

Hávera uma lista e avisos (por email) de usuarios/servidores realizando atividades maliciosas.

RESPOSTA: A solução deverá permissão a visualização de recomendações de segurança por meio de painéis ou pela geração de relatórios. O item foi ajustado após consulta pública para “1.87.18.6. Possuir uma visão das recomendações de segurança, permitindo ao administrador consultar a saúde e remediação necessária de detecções automáticas ou possuir relatórios de atividades suspeita e indicadores de compromisso.”

1.87.19. A solução deve permitir que sejam criados perfis de usuários e cada usuário possua regras especificas de acesso a unidades organizacionais.

Não

Retirar para flexibilizar participação. Gostariamos de saber um caso de uso para garantir o atendimento.

RESPOSTA: A solução deve permitir a criação de perfis de usuários e a definição de regras de acesso conforme o perfil. Característica típica de controle de acesso baseado em funções (RBAC).

1.87.21.1. Deve ser possível realizar a integração com outras ferramentas através integração via API para estas funcionalidades;

Parcialmente

Alguns módulos não suportam API

RESPOSTA:A possibilidade de automatizar medidas de resposta para conter ameaças é fundamental para o alcance das necessidade de negócio desta contratação e da contratação de serviços gerenciados de segurança.

1.87.22. Deve possibilitar a visualização unificada de identidades e riscos relacionados em todo o ecossistema de identidades, está visualização deve incluir no mínimo os seguintes sistemas:

NÃO

RETIRAR. As consoles, com os demais módulos, não são unificadas

RESPOSTA: Em caso de composição de ferramentas, não é obrigatória a existência de uma única console de administração. Contudo, é necessário que os produtos se integrem visando a visualização integral dos riscos e/ ou ameaças.

1.87.22.1. Microsoft Active Directory;

Não

RETIRAR.

RESPOSTA: Não é possível remover, ambiente principal e indispensável para a detecção de ataques às credenciais de acesso.

1.87.22.2. Microsoft Entra ID;

Não

RETIRAR.

RESPOSTA: Não é possível remover, ambiente muito relevante para a detecção de ataques às credenciais em nuvem.

1.87.22.3. Azure AD;

Não

RETIRAR.

RESPOSTA: Item removido em função da mudança do nome Azure AD para Microsoft Entra ID e que já consta do subitem anterior.

1.87.22.4. AWS;

Não

RETIRAR.

RESPOSTA: Ambiente necessário para a gestão de credenciais privilegiadas utilizadas na gestão serviços hospedados na AWS. O item desejado e que poderia ser removido, com prejuízo de funcionalidade, caso fosse fundamental para possibilitar a participação de algum fabricante. Situação não constatada até o momento.

1.87.22.5. GitLab.

Não

RETIRAR.

RESPOSTA: Ambiente necessário para a gestão de ataques às credenciais de desenvolvedores.

1.87.23. Deve ser possível mitigar riscos de identidade, como privilégios mal protegidos, caminhos de escalonamento de privilégios e configurações incorretas com recomendações prescritivas.

NÃO

retirar. Solicitar caso de uso para garantir o atendimento.

RESPOSTA: A remoção compromete o objetivo de mitigar riscos que permitem a elevação de privilégios ou a existência de configurações incorretas.

1.87.26. Deve aplicar o princípio do menor privilégio e remediar ameaças baseadas em identidades;

Não

RETIRAR.

RESPOSTA: O princípio do menor privilégio é fundamental para qualquer solução de segurança e a remediação de ameaças é item fundamental do objeto da contratação.

1.87.28. Deve ser possível criar integrações via WebHook;

Não

RETIRAR.

RESPOSTA: Item necessário para a integração com outros produtos de detecção e resposta de incidentes cibernéticos.

1.87.30. Deve ser possível realizar a automação de ações proativas através de integração com soluções de SOAR, utilizando WebHooks;

Não

RETIRAR.

RESPOSTA: Item necessário para a integração com outros produtos de detecção e resposta de incidentes cibernéticos que serão contratados pelo Tribunal.

1.87.33. A ferramenta deve realizar integração de conectores sem a necessidade de usuários administrativos, utilizando apenas a opção de leitura;

Não

RETIRAR.

RESPOSTA: Item ajustado após consulta pública para “1.87.33. A ferramenta deve realizar integração de conectores sem a necessidade de usuários administrativos, utilizando apenas a opção de leitura, ou possuir funcionalidade de criação de conectores sem a necessidade de programação”.

1.87.35. Deve ser possível segmentar unidades de corporativas, onde cada membro possa visualizar e conectar seus sistemas de forma independente;

Não

RETIRAR.

RESPOSTA: Item importante para a gestão dos acessos privilegiados dos diferentes órgãos da JF1.

1.87.36. Deve ser possível administrar e convidar usuários através do dashboard da solução;

Não

RETIRAR.

RESPOSTA: A forma de convite pode ser ajustada visando a ampliação da concorrência. O item foi ajustado após consulta pública para “1.87.36. Deve ser possível administrar e convidar usuários”.

1.87.37. Os usuários convidados devem ser cadastrados de acordo com a regra pré-configurada durante a criação do convite;

Não

RETIRAR.

RESPOSTA: Item necessário para a segurança da funcionalidade de acesso mediante convite.

Contribuição 03

Prezado TRF1,

Inicialmente gostaria de agradecer a oportunidade de poder contribuir com algumas sugestões.

Para tanto, seguem abaixo alguns pontos de reflexão para melhoramentos no entendimento de sua necessidade.

Sendo assim, seguem nossas considerações:

CONSIDERAÇÃO 01 - Solicitamos esclarecimentos quanto ao item:

1.5.1. Acompanhar, quando solicitado por um usuário, todas as operações realizadas na solução durante determinado período de tempo;

Q: Será necessário realizar operação assistida?

RESPOSTA: Não se trata de operação assistida. Item ajustado para “1.5.1. Apoiar, quando solicitado, no diagnóstico de problemas de funcionamento da solução.

CONSIDERAÇÃO 02

1.22 A CONTRATADA deverá apresentar, mensalmente, ou através de sistema WEB, relatório contendo as informações de data e hora de abertura e fechamento do chamado, nome do responsável pela abertura, nome do responsável pelo atendimento, número de controle (protocolo), nível de severidade e descrição sucinta do chamado.

Q: Será possível adicionar a planilha de controle e considerar este item como requisito de pagamento?

RESPOSTA: O relatório técnico previsto deverá ser apresentado previamente ao pagamento para fins de apuração do cumprimento dos níveis mínimos de serviço.

CONSIDERAÇÃO 03

1.68.2. Senhas armazenadas;

Q: O relatorio devera apreser quais senhas armazendas pela solução? Este item se faz contraditorio visto que as mesmas devem ser rotacionadas e protegidas, expor em um relatorio iria contra os fundamentos da solução.

RESPOSTA: O item foi ajustado para “1.68.2. Credenciais armazenadas, sem expor as respectivas senhas”.

CONSIDERAÇÃO 04

- Esclarecimento a contradição quanto aos seguintes itens:

1.1.2. O licenciamento do virtualizador, quando for o caso, será fornecido pela CONTRATANTE.

1.10.1.3 servidores físicos com solução de virtualização, devidamente suportados e licenciados pelo período da garantia contratual;

Q: Em qual cenário de fornecimento da solução em servidores virtuais a garantia a esses sistemas deve ser fornecida, visto que o licenciamento do virtualizador sera de responsabilidade da CONTRATANTE?

RESPOSTA: A CONTRATADA deverá fornecer todo o licenciamento de todos os componentes da solução quando do fornecimento appliances, servidores físicos ou servidores físicos com software de virtualização. Deve-se observar o disposto nos itens 1.10.1 e 1.10.3, que tratam de requisito do funcionamento em alta disponibilidade e de manutenção em operação da solução nas Seções Judiciárias (capitais da JF1),mesmo em caso de indisponibilidade da comunicação com o TRF1. Esta configuração deverá ser detalhada durante o projeto de implantação. O item foi ajustado após consulta pública para “1.1.1. A solução deverá ser fornecida com todo o licenciamento necessário para seu pleno funcionamento, incluindo sistemas operacionais, bancos de dados, virtualizador ou quaisquer outros componentes de hardware e software. O item 1.1.2 foi removido.

CONSIDERAÇÃO 05

2.3. Todas as ferramentas necessárias para execução dos serviços, bem como todo material passivo de rede necessário para o perfeito funcionamento da solução, são de inteira responsabilidade da contratada;

Q: deverão ser fornecidos inclusive cabos de rede? disjuntores?

RESPOSTA: O item 2.3 está inserido no “Item 2. Serviços de instalação e configuração”, portanto trata dos materiais necessários para a instalação e configuração da solução nos ambientes da CONTRATADA, incluindo material passivo de rede– tais como cabos de rede, fibras óticas e cabos de alimentação elétrica –necessários para interconexão dos equipamentos entregues à infraestrutura já existente no CONTRATANTE. Isto não incluí fornecimento de infraestrutura rede de alimentação elétrica ou climatização.

CONSIDERAÇÃO 06

3.5. O treinamento deve ter carga horária mínima de 21 (vinte e uma) horas, devendo cada aula ter duração máxima de 3 horas;

Q: Para melhor aproveitamento, pode ser alterado para 4hs?

RESPOSTA: O requisito de carga horária máxima diária de 3 horas é necessário para não comprometer o andamento das demais atividades desenvolvidas pela equipe técnica do CONTRATANTE.

CONSIDERAÇÃO 07

- Solicitamos flexibilização quanto aos seguintes itens:

1.18. A solução não deverá permitir a abertura do cofre com chaves criptográficas geradas por seus respectivos fornecedores e/ou fabricantes em hipótese alguma.

SF: Item para comprovação documental não esta disponível;

RESPOSTA: O atendimento do item poderá ocorrer por meio de carta do fabricante e comprovação por meio de diligência do CONTRATANTE.

CONSIDERAÇÃO 08

- Solicitamos flexibilização quanto aos seguintes itens:

1.29. As secrets deverão ser criptografadas previamente ao seu armazenamento, inclusive dentro dos containers de aplicação, não permitindo que sejam visualizadas em texto claro por meio de variáveis de ambientes nem nos volumes (storage) dos containers;

SF: Para atendimento a esta funcionalidade a única forma de atender seria armazenar o secret já criptografado no cofre de senhas. Em outras palavras a propria aplicação a ser gerenciada deve fazer a criptografia da secret.

RESPOSTA: Redação ajustada com o objetivo de evitar interpretações variadas “As secrets deverão ser criptografadas no armazenamento, não permitindo que sejam visualizadas em texto claro;

CONSIDERAÇÃO 09

- Solicitamos flexibilização quanto aos seguintes itens: 1.43. A solução deve identificar as contas privilegiadas com ID 0 em Linux e as contas que não possuem ID zero, porém, são privilegiadas através do uso de ‘sudo ́ (configuradas no Sudoers).

SF: Alterar a forma de gerenciamento de contas que não possuem ID Zero.

RESPOSTA: Não foi possível identificar qual é a proposta de adequação. A capacidade de varredura de contas privilegiadas como “sudor” é funcionalidade relevante para o objetivo pretendido com a solução.

CONSIDERAÇÃO 10

- Solicitamos flexibilização quanto aos seguintes itens:

1.50. A solução deve permitir que as sessões acessadas possam ser monitoradas por meio de gravação de vídeos das mesmas, em formato padrão de execução da solução não proprietário da solução, possibilitando que os vídeos gerados possam ser armazenados em drivers locais de rede, pastas compartilhadas, e etc;

SF: A solução possui padrão proprietário de vídeo para fins de segurança quanto a auditoria e armazenamento. Desta forma sendo necessário flexibilizar a forma no qual apresentado. E também que o armazenamento externo a solução seja apenas para fins de backup e arquivamento.

RESPOSTA: Item ajustado em função da identificação de que se trata de funcionalidade de segurança para a garantia da integridade da gravação e que a manutenção item implicaria na exclusão de fabricante da licitação. A solução deve permitir a conversação dos vídeos para formato público. O item foi ajustado para “1.50. A solução deve permitir que as sessões acessadas possam ser monitoradas por meio de gravação de vídeos, possibilitando o armazenamento em drivers locais de rede, pastas compartilhadas, e etc.”

CONSIDERAÇÃO 11

- Solicitamos flexibilização quanto aos seguintes itens:

1.80. A solução deve possibilitar mapear e coletar atividades regulares de usuários através do modo observação, agregando e exportando os resultados para um perfil.

SF: Mover para o bloco de análise comportamental.

RESPOSTA: Item movido para o item “1.86 Análise de comportamento” como subitem 1.86.7.

CONSIDERAÇÃO 12

- Solicitamos flexibilização quanto aos seguintes itens:

1.83. A solução deve permitir a configuração de eventos críticos a serem reportados automaticamente, baseados em comandos Linux em sessões SSH, comandos, janelas e aplicações Windows e com suporte a expressões regulares para comandos em geral.

SF: Eventos em janelas e aplicações não são monitorados.

RESPOSTA: A detecção da execução de eventos críticos de segurança pela análise de cliques em telas Windows é atualmente bastante complexa. Item ajustado para “1.83. A solução deve permitir a configuração de eventos críticos a serem reportados automaticamente com base nos comandos Linux em sessões SSH e nos comandos e aplicações Windows, com suporte a expressões regulares para comandos em geral.

CONSIDERAÇÃO 13

- Solicitamos flexibilização quanto aos seguintes itens:

2.2. Os serviços de instalação e configuração deverão ser realizados pela CONTRATADA nas dependências da CONTRATANTE;

SF: Ajustar para que possa ser realizado de forma remota

RESPOSTA: Não se vislumbra a possibilidade de execução dos serviços de instalação e configuração, que inclui a instalação de equipamentos físicos, de forma remota. Ademais, são soluções críticas do ponto de vista de segurança e não devem estar acessíveis externamente, exceto em caso de suporte técnico posterior à instalação e configuração.

CONSIDERAÇÃO 14

- Solicitação para ajuste em itens duplicados:

1.85.9 Permitir a criação de regras de privilégios, onde o privilégio de administrador é concedido para cada aplicativo/processo autorizado, de forma que cada usuário, mesmo com o privilégio de usuário convencional (usuário padrão), possa instalar certos programas permitidos, possa executar os aplicativos legados que requerem o privilégio de administrador para funcionar, controles ActiveX, por codebase e outros;

SA: O item se encontra melhor detalhado no item 1.85.18

RESPOSTA: Item duplicado. Mantida a funcionalidade, conforme descrição no item 1.85.18.

Contribuição 04

Prezados Senhores,

Após divulgação da CONSULTA PÚBLICA Nº 4/2024 estamos avaliando as possibilidades de participação do processo que visa contratar uma solução para gestão, identificação e resposta a ameaças nos acessos de usuários privilegiados, abrangendo garantia, serviços de instalação, configuração e treinamento.

Para que seja possível uma competição justa, reiteramos nossa solicitação para a revisão e retirada do item abaixo:

“1.84.30. A solução deve permitir que os usuários transfiram arquivos da máquina em que está conectado para o sistema remoto, através da console da solução e sem necessidade de uso de ferramentas de terceiros.”

Justificativa: Identificamos que apenas o índice do item foi ajustado e o texto apresenta restrição de participação do mercado uma vez que este requisito é mais facilmente atendido pela ferramenta da Beyond Trust.

RESPOSTA: Apesar de desejado, o item não é imprescindível para a solução. Item removido visando a ampliação da concorrência.

Em relação aos itens acrescentados a última versão do documento, gostaríamos de manifestar nossa preocupação quanto item abaixo que restringe nossa participação. Desta forma, solicitamos a revisão e retirada dos itens:

“1.85 - elevação de privilégios, necessidade de composição de soluções para atender, como change auditor e active administrator. “

Justificativa: Considerando o cenário apresentado de 11 mil usuários, a massa de informações geradas é gigantesca uma vez que o change auditor e uma solução de auditoria de eventos abrange não somente atividade de login como histórico de senhas. Isto gera uma preocupação quanto ao armazenamento destas informações.

RESPOSTA: O referido item “1.85 - elevação de privilégios, necessidade de composição de soluções para atender, como change auditor e active administrator” não existe no documento colocado em consulta pública. A elevação de privilégios faz parte do objeto da contratação e os termos “change auditor” ou “active auditor” não constam das especificações apresentadas. Com relação ao armazenamento das informações de auditoria, faz parte da contratação o fornecimento da solução de armazenamento.

“1.87 – sobre a detecção e respostas a ameaça de identidade”

1.87.4. Deve ser capaz de identificar contas privilegiadas com excesso de permissões, controles de segurança deficientes e anomalias;

1.87.5. A solução deve fornecer recomendações práticas antes que se tornem uma ameaça e agilizar investigação de possíveis ameaças;

1.87.6. A ferramenta deve avaliar, ajustar e impedir o excesso de permissões de identidades de pessoas e máquinas (chaves SSH, contas de serviço);

1.87.10. Deve realizar a detecção de acessos não autorizados, escalonamento de privilégios e movimentação lateral;

1.87.11. Deve identificar ameaças como phishing, malware e engenharia social;

1.87.12. Deve ser possível criar perfis de comportamento de usuários e entidades com base em atividades históricas;

1.87.13. Deve possuir detecção de anomalias e desvios em relação ao comportamento normal;

1.87.14. Deve ter funcionalidade de análise de atividades em diferentes contextos, como horário de acesso, localização e dispositivos utilizados;

1.87.15. Deve ser possível realizar a investigação aprofundada de incidentes de segurança relacionados a identidade;

1.87.16. Deve realizar a correlação de eventos de diferentes fontes para identificar a causa raiz do comportamento ou ação suspeita;

1.87.17. Deve fornecer ferramentas para contenção das ameaças ou ameaças encontradas, como bloqueio de contas, redefinição de senhas e revogação de acessos; 1.87.18.5. Sumario dos elementos que possuem permissões elevadas, como contas ou identidades, permitindo o monitoramento dos acessos.

1.87.18.6. Possuir uma visão das recomendações de segurança, permitindo ao administrador consultar a saúde e remediação necessária de detecções automáticas.

1.87.23. Deve ser possível mitigar riscos de identidade, como privilégios mal protegidos, caminhos de escalonamento de privilégios e configurações incorretas com recomendações prescritivas.

1.87.24. Deve ser possível detectar ameaças baseadas em identidade, como abuso de privilégios e acesso a infraestrutura.

1.87.27. A solução deve permitir criar regras de exclusão para detecções, identidades e recomendações;

1.87.29. Deve ser possível realizar a categorização, alteração e acompanhamento dos incidentes diretamente na console da solução, permitindo a configuração de exceções ou falsos positivos que deverão ser ignorados.

1.87.31. A solução não deve permitir a redução do nível de criticidade de uma detecção ou recomendação, seja de forma personalizada ou manual;

Justificativa: Após uma análise minuciosa dos itens, identificamos que tais especificações limitam a competitividade e a participação de outros fornecedores que poderiam atender às necessidades com soluções igualmente qualificadas e, possivelmente, mais vantajosas em termos de custo-benefício. Visando garantir a isonomia, a ampla concorrência solicitamos que sejam revistas as especificações técnicas dos itens mencionados, com o objetivo de torná-las mais abrangentes e alinhadas aos princípios.

Agradecemos a atenção e aguardamos um posicionamento sobre este questionamento.

RESPOSTA: Análises de mercado indicam a existência de vários fornecedores de soluções voltadas para a identificação de ameaças e proteção de identidades. Não existe limitação para a participação dos fornecedores conforme indica o texto ajustado após consulta pública “1.85.1 Todos os componentes de software da solução deverão constar no catálogo do respectivo fabricante, sendo permitida a composição de soluções desde que não implique em perda de funcionalidades ou em limitação da integração entre os componentes ofertados”.

À consideração superior.

Respeitosamente,

Renato Solimar Alves

Supervisor da Seção de Segurança da Informação Digital