NAJWYZSZA IZBA KONTROLI BGO I BGZ-27 1-035 20 1 4 Kr Warszawa, dnia.2.!.. czerwca2[q r. do Wykonawc6w dotyczy: postepowania o udzielenie zamowienia publicznego prowadzonego w trybie pzetargu nieograniczonego na dostawq wdro2enie rozwiqzania do wykrywania szkodliwego oprogramowania (malware) w ramach ochrony przed zaawansowanymi zagroheniami wystqpujqcymi w ramach atak6w APT (Advanced Persistent Threat) 1. W zwiqzku z pytaniami dotyczqcymi wylasnienia tresci specyfikacji istotnych warunkow zam6wienia, zwanq dalej 'S WZ" jakie wplynqly do Zamawiajqcego, na podstawie art. 38 ust. 2 ustawy z dnia 29 stycznia 2004 r. Prawo Zamowieri Publicznych (Dz. U. z 2013 r., poz. 907 ze zm.\, zwanej dalej 'ustawq', Zamawiajqcy udziela nastgpujqcych wylasnief : Pytanie nr 1,,Dotyczy: Punkt 1 podpunkt 1.2 Rozwiqzania bezpieczehstwa, szczegolnie nastawione na wykrywanie tak zaawansowanych atakow jak APT muszq byc okresowo aktualizowane idostosowywane do nowych technik stosowanych pzez cyberpzestgpcow dla zapewnienia skutecznego wykrywania atakdw. Producenci takich rozwiqzah dostarczajq aktualizacje i usprawnienra systemu wykrywania w ramach usfug wsparcia technicznego i dedykowanych subskrypcji. W zwiqzku z tym nie jest stosowana,,bezterminowa" praca unqdzenia rozumiana jako wykrywanie analizy i blokowania atak6w. Bezterminowq licencjq jest zwykle objqty system dedykowany operacyjny uz4dzenia wykonujqcego analizq. To podej6cie umo2liwia pzesylanie ruchu pzez uzqdzenie, nawet je6li nie jest on poddawany analizie. Czy Zamawiajqcy dopuszcza zapewnienie bezterminowej licencji na system operacyjny, podczas gdy podsystem wykrywania atakow bgdzie wspierany w ramach odnawianych okresowo pzez Zamawiajqcego uslug wsparcia (suportu) producenta i subskrypcji na komponenty analityczne rozwiqzania?". Odpowied1 na pytanie nr 1 Zamawiajqcy wymaga bezterminowych licencji dla komponentow systemu i dopuszcza subskrypcje na elementy analityczne rozwiqzania, pod warunkiem,2e brak wykupionych subskrypcji, nie wiqze sig z calkowitym wyleczeniem mechanizmow kontrolnych uzedzenia, a dotyczy tylko braku mozliwosci pobrania nowych wzorc6w atak6w, czy sygnatur od producenta rczwiqzania. Pytanie nr 2,,Dotyczy: Punkt 2 podpunkt 2.1 Czy Zamawiajqcy dopuszcza realizacjq ochrony ruchu pocztowego (SMTP) w trybie wdro2enia inline jako tzw. MTA (urzqdzenie skanujqce pocztg posredniczy jawnie w dostarczeniu poczty do wewnqtznego semera pocztowego) a nie jako transparent bridge? 74 Jr"- 4 \ff* NA]WYzSZA IZBA KONTROLI ul. Filtrowa 57,02-056 Warszawa nik_2p@nik.gov.pl Adre5 korelponden(yjny: Skr po(zt. P-14. 00-950 Wartzawa I
Tryb pracy MTA to czgsto stosowane przez producent6w rozwiqzanie do obslugi poczty, ktory umo2liwia zablokowanie ka2dego (nawet pierwszego) maila z zainfekowanym zalqcznikiem. Automatyczna reakcja na awarig urzqdzenia w tym trybie jest uzyskrwana przez odpowiedniq konfiguracjg routingu idns na uzedzeniach pzesylajqcych pocztg pzez system skanowania email, czyli na upsheam MTA ina wewnqtznym semerze pocztowym.'. Odpowied? na pytanie nr 2 Zamawiajqcy dopuszcza tryb wdro2enia dla ruchu pocztowego (SMTP), jako tzw. MTA, z zastzeleniem, 2e rozwiqzanie to jest dedykowanym rozwiqzaniem producenta oferowanego rozwiqzania oraz zapewnia cieglosc dzialania uslugi pocztowej w przypadku awarii uz4dzenia. UWAGA: Zmiana nr 4 i nr 5 he6ci SIWZ opisana w pkt 2 pisma. Pytanie nr 3 'Dotyczy: Punkt 2 podpunkt 2.3 Czy Zamawi{Wy dopuszcza pzekazywanre danych Klienta (obiekt6w, plik6w wykrytych w czasie analizy ruchu sieciowego, zalqcznik6w do email) poza siedzibg Klienta (np. do chmury producenta) celem analizy pod kqtem zawartego kodu zloi;liwego?". Odpowiedi na pytanie nr 3 Zamawiajqcy dopuszcza pzekazywanie do chmury producenta powy2ej wymienionych danych, tylko i wylqcznie w pzypadku wykrycia przez oferowany system w tych danych znamion szkodliwego oprogramowania w celu dalszej zaawansowanej analizy Forensic. Pytanie nr 4,,Dotyczy: Punkt 2 podpunkt 2.3 Prosimy o doprecyzowanie wymagania w kontekscie zapisow z punktu 2 podpunkt 2.2, Czy zapis z punktu 2.3 nalezy odnosic tylko do wykrywania polqczef zwrotnych (callback), podczas gdy wykrywanie infekcji/atak6w ma sig odbywa6 dla ruchu http/smtp/ftp jak to opisano w punkcie 2 podpunkt 2.2?". Odpowiedi na pytanie nr 4 Blokowanie polqczei zwrotnych, komunikacji kontrolnej C2C, C2, CnC dotyczy calo5ci ruchu objgtego inspekcjq natomiast blokowanie szkodliwego oprogramowania dotyczy minimum protokolu HTTP, SIVTP, FTP. Pytanie 5,,Dotyczy: Punkt 2 podpunkt 2.6 Dla wlasciwego dobrania uzqdzef spelniajqcych wymagania postepowania, prosimy o okreslenie dodatkowych paramehow ruchu: - udzial ruchu HTTP, FTP ismtp w podanym pasmie ruchu (500 Mb/s) - maksymalna ilosci wiadomosci email, jakie majq podlegai analizie dziennie - maksymalna ilose wiadomosci email,, jakie majq podlegac analizie na godzinq - maksymalna i1056 zalqcznikdw (sumarycznie) w wiadomosciach email jakie majq podlegac analizie na godzine.". Odpowiedi na pytanie nr 5 Uzqdzenie pracujqce w trybie in-line musi posiada6 og6lnq przepustowos6 na poziomie 500 Mb/s bez podzialu na protokoly komunikacyjne, poniewaz w zale2nosci od natezenia ruchu oraz wykotzystywanych serwis6w pzez pracownik6w Zamawiajqcego dane te zmieniajq sig dynamicznie. llos6 pzeslanych wiadomo6ci email w ciqgu dnia Srednio waha sig w granicach 7-9 tysiqcy, w ciqgu godziny w granicach 500-800 wiadomo6ci email. llo6c pzeslanych zalqcznik6w na godzing mie6ci sie w granicach 250-400. 2
Pytanie nr 6,,Dotyczy: Punkt 2 podpunkt 2.7 Prosimy o doprecyzowanie czy wymaganie z punktu 2.7 odnosi siq tylko do rozpoznawania polqczeh zwrotnych (callback)?". Odpowiedi na prtanie 6 Wymaganie dotyczqce rozpoznawania protokolu bez wzglgdu na port sieciowy dotyczy polqczei zwrotnych callback. Pytenie nr 7,,Dotyczy: Punkt 2 podpunkt 2.10 Prosimy o informacjq czy Zanawilqy wymaga podawania szczegol6w dziatania kodu ztosliwego w Srodowtsku kontrolowanym w kolejno6ci jego wykonywania tak aby mo2na bylo pze6ledzii krok po kroku jakie kolejne zmiany w Srodowisku wprowadza malware?. Odpowiedi na pytanie nr 7 Zamawiaj4cy nie wymaga, aby informacle te byly podane,,krok po kroku'. Zamawiajecy wymaga podania szczeg6l6w dzialania kodu zlo$liwego, ale nie jest lstotna kolejnosi tych dziatai, Pytanie nr I,,Dotyczy: Punkt 2 podpunkt 2.13 Skuteczna analiza w Srodowisku virtualnym (sandbox) wymaga uruchomienia maszyny wirtualnej dla ka2dej analizy z osobna (a czasami nawet kilku maszyn dla tej samej analizy dla wyeliminowania pzypadkow false positive). Biorqc pod uwagg wymagania wydajnosciowe Zamawialqcego i mo2liwo6ci spzqtu, na kt6rym dzialajq maszyny wirtualne nte jest mozliwe zapewnienie "braku ograniczeti" dla ilosci jednoczesnie analizowanych pr6bek zlo6liwego kodu. A r6wnocze6nie Oferent dobiera rodzaj rozwiqzania pod kqtem wymagari wydajnosciowych okreslonych pzez Zamawialqcego. Prosimy o doprecyzowanie czy w zapisie w punkcie 2 podpunkt 2.13 Zamawiajqcy odnosil sig do braku ograniczen licencyjnych na ilo56 analizowanych pol4czeti iobiekt6w pzez oferowane rozwiqpanie (np. licencyjne ograniczenie ilosci analizowanych plik6w zwiezanych z jednym adresem lp, itp.)?". Odpowiedi na pytenie m I Zamawiajqcy oczekuje braku ograniczeh licencyjnych na ilo56 analizowanych potqczei iobiektow jednoczesnie zakladajqc pzepustowosi uzqdzenia na poziomie 500 Mb/s oraz ilo6ci analizowanych oblekt6w liczqc wedlug wzoru: polowa iloczynu ilosci pracownik6w razy dziesig6 obiekt6w (pobieranych w postaci zalqcznika do poczty lub plikow bqdecych obiektami strony VWWV) poddany analizie w czasie jednei sekundy, czyli minimum 8500 obiektow/s Pytanie nr 9,,Dotyczy: Punkt 2 podpunkt 2.16 Prosimy o okre5lenie czy Wzez wym6g "bez ograniczeri pod wzglgdem ilo6ci zdefiniowanych i jednocze6nie pracujqcych u2ytkownikow" Zamawiajqcy mial na my6li brak ograniczeir licencyjnych oferowanego rozwiqzania?". Odpowiedi na pytanie nr 9 Zamawiajqcy zaklada brak ograniczeh licencyjnych co do ilo6ci zdefiniowanych i iednocze6nie pracujqcych uzytkownik6w w systemie. i. \ll t' /{ \ ot.4"2l
Pytenie 10,,Dotyczy: Punkt 2 podpunkt 2.7 Prosimy o informacjg czy Zamawiajqcy dopuszcza zapisywanie flltrow w celu ich ponownego u2ycia zbudowanych na bazie kryteri6w czasu wystqpienia zdaeenia, adresow lp source i adresow lp destination, podczas gdy pozostale parametry mogq byc uzywane na 2qdanie, bez zapisywania wraz z filtrem?". Odpowiedi na pytanie nr 10 Zamawiajqcy dopuszcza mo2liwo56 zapisywania filtr6w w celu ich ponownego uicia. Pytanie nr 11,,Dotyczy: Punkt 2 podpunkt 2.27 Prosimy o informacjq czy opisana w tym wymaganiu funkcjonalnosc ma by6 pzedmiotem pzyszlel rozbudowy (nie jest pzedmiotem niniejszego postqpowania)? Prosimy o informacjg, czy Zamawilqcy dopuszcza by wlasne pliki do analizy byly przesytane drogq emailow4 popzez rozwiqzanie do analizy ruchu SIVTP?". Odpowiedt na pytanie nr 11 Funkcjonalno56 dotyczy aktualnie oferowanego rozwiqzania. Ze wzglgdu na specyfikq dzialania uslugi SMTP w sieci Zamawiajqcego oraz pzewidywane scenariusze wdro2enia czq6ci rozwi4zania w trybie MTA, nie dopuszcza sig mo2liwosci pzesylania plik6w do analizy drogq e-mail. Pytanie nr 12,,Dotyczy: Punkt 2 podpunkt 2.28 Prosimy o wy'jasnienie czy Zamawiajqcy wymaga aby oferowany system wykrywania atak6w APT posiadal funkcje: r wykrywania nowych, nieznanych wczesniej kodow exploit (np. w postaci Java Script, Flash, itd.)? o wykrywania atakow, w ktdrych kod malware jest,,zaciemniony" (obfuscated - np. zaszyfrowany) a jego,,odciemnienie" (deobfuscation) i uruchomienie lest wykonywane pzez kod exploita (tego typu technologia ukrywania ataku jest powszechnie stosowana w zaawansowanych atakach APT),". Odpowiedi na pytanie nr 12 TAK. Zamawiajqcy wymaga takich funkcji. Pytenie nr 13,,Dotyczy: Punkt 2 podpunkt 2.29 Prosimy o ewentualnq zmrang wymaganego trybu pracy (transparent bridge) okreslonego w tym punkcie i dopuszczenie zastosowania trybu IVTA w przypadki rozwiqzania do analizy ruchu pocztowego, zgodnie z odpowiedziq na pytanie zwiqzane z punktem 2 podpunkt 2.'1.". Odpowiedi na pytanie nr 13 Zamawiajqcy dopuszcza zastosowanie trybu pracy MTA w pzypadku analizy ruchu pocztowego z zastzezeniem informacji podanych w odpowiedzi na pytanie nr 2. Pytanie nr 14,,Dotyczy: Punkt 2.32.4 Czy Zamawiajqcy wymaga tak2e zapisow PCAP z pr6b nawiqzania polqczeh sieciowych pzez malware analizowany w Srodowisku wirtualnym?". 4
" Odpowiedt na pytanie nr 14 Zamawiajqcy nie wymaga dodatkowego pliku PCAP z p16b nawiqzania potqczeh sieciowych pzez malware. Pytanie m 15,,Dotyczy: Punkt 7 podpunkt 7.1 Prosimy o sprecyzowanie wymagania zapewnienia pzez WykonawcQ 12 miesiecy gwarancji w stosunku do zapisow w punkcie 2 podpunkt 2.30. Czy w okresie po zakoriczeniu 12 miesiecy gwarancji udzielonej pzez Wykonawcq, Zamawiajqcy bgdzie samodzielnie kontaktowa{ siq z suportem producenta w razie wystqptenia problemow spzgtowych?". Odpowiedi na pytanie nr 15 Patz odpowied2 na pytanie nr 16. Pytanie nr 16,,Dotyczy: Punkt 7 podpunkt 7.1 Prosimy o sprecyzowanie jak nalezy interpretowai zapis w tym punkcie w stosunku do wymagania zapewnienia pzez Wykonawcg gwaranc1i pnez 12 miesigcy okreslonej w punkcie 7 podpunkt 7.1 oraz zapis6w o wsparciu producenta w punkcie 2 podpunkt 2.30. Jaki tryb postgpowania nalezy ptzyjei po zakoticzeniu okresu 12 miesiqcy gwarancji zapewnionej pzez Wykonawcq do momentu zakoiczenia wsparcia producenta?". Odpowiedi na pytanie 16 Nale2y rozro2ni6 gwarancjg pzewidzianqw pkt 2.30 oraz 7.1 Szczeg6lowego opisu pzedmtotu zamowienia (OPZ). W punkcie 2.30 OPZ wskazano minimalne wymagania, dla speetu wykozystanego do budowy Systemu. Spzqt taki musi posiadai co najmniej 3 letniq gwarancjg jego producenta. Natomiast pkt 7,1 dotyczy gwarancji, jakiej udziela Wykonawca na prawidlowe, w pelni zgodne z jego pzeznaczeniem, funkcjonowanie wdro2onego Systemu. Dodatkowo nale2y wskaza6, ie zgodnie z pkt 7.6 OPZ,,W trakcie tmania umowy Zamawiajqcego z Wykonawcq uslugi gwarancyjne producenta dla poszczegolnych uzqdzeh wchodzqcych w sklad Systemu, Swiadczone beda za po6rednictwem Wykonawcy." Pytenie 17 "Z uwagi na model licencjonowania producenta oferowanego rozwiqzania, do pzygotowanla wyceny konieczna bgdzie informacja na temat calkowitej liczby uiytkownik6w Zamawiajqcego kozystajqcych z sieci Internet oraz poczty email. W zwiq.zku z powyzszym zwracamy sie z prosbqo podanie powy2szej liczby." odpowiedi na pytanie nr 17 1700 uiytkownik6w. Pytanie 1E,,Jeden z element6w oferowanego rozwiqzania mo2e byt uruchomiony w formie wirtualnego appliance'u, pozwalajqc tym samym na ograniczenie koszt6w zwiqlanych z zarzqdzaniem, uttzymaniem oraz rozwojem systemu w pzyszlosci. w zwiqzku z powy2szym zwracamy sie z prosbq o informacjs, czy Zamawiajqcy wyrazi zgodg na uruchomienie wspomnianych powyzej wirtualnych appliance'6w na platformie wirtualnej, kt6ra jest aktualnie uruchomiona w infraskuktuze Zamawiajqcego.". Odpowiedt na pytanie nr 18 Zamawiajqcy nie dopuszcza takiego rozwiezania.,4 /-{ 0*
Pytanie nr 19,,Czy Zamawiajqcy wyra2a zgode na zmiang zapisu m6wiqcego o trybie pracy systemu z "monitor oraz in-line" na "monitor lub inline"? Czy pzy zapewnieniu odpowtedniego poziomu redundancji oraz spelnieniu wymagania co do aktywnego blokowania szkodliwego oprogramowania Zamawiajqcy dopuszcza zastosowanie takich tryb6w pracy uzqdzeri jak np. S[/TP Relay dla protokolu SMTP czy Proxy/Transparent Proxy dla protokol6w HTTP i FTP?", Odpowiedt na pytanie nr 19 Zamawiajqcy dopuszcza tryb pracy monitor lub in{ine oferowanego systemu. Jednak zastzega sobie wyb6r jednego z ww. tryb6w na etapie wdro2enia ikonfiguracji. Zamawiajqcy dopuszcza dla oferowanych urzqdzei mo2liwo56 trybu pracy SMTP Relay jak i ProxyiTransparent Proxy. UWAGA: Zmiana nr 4 tre6ci SIWZ opisana w pkt 2 pisma. Pytanie 20,,Poniewa2 podstawowym zadaniem systemow APT jest wykrywanie nieznanych oraz ukierunkowanych zagrozeil czy ZamawiEqcy dopuszcza rezygnacje z wymagania blokowania w czasie zeczywistym szkodliwego oprogramowania? Opcjonalnie czy Zamawilqpy zgadza sie na zmianq wymagania co do blokowania na tylko dla protokolu SIVITP? Tylko w pzypadku protokotu SMTP mozliwe jest chwilowe zablokowanie szkodliwego pliku do czas wykonanra pelnej analizy w technologii sandbox.'. Odpowied? na pytanie nr 20 Zamawiajqcy nie dopuszcza rezygnacji z wymogu blokowania szkodliwego oprogramowania w czasie zeczywistym dla calo6ci rozwiqzania. Jednoczesnie dzialajqc na podstawie art. 38 ust. 4 ustawy Zamawiajqcy informuje, 2e dokonal zmiany tresci SIWZ w nastgpujecy spos6b: Zmiana nr 4 Zmienia sig zapis punktu 2.1. bgdqcego podpunktem pkt 2 pn.,,wymagana, minimalna funkcjonalnos6 systemu", w czqsci lll pn.,,specyfikacja minimalnych wymagari Zamawiajqcego" w Zalqczniku nr 1 do slwz -,,szczegolowy opis pzedmiotu zamowienia (OPZ) z.,,2.1. System musi umo2liwia6 wyb6r trybu pracy, tryb: monitor (zasilany kopiq zeczywistego ruchu sieciowego z portu SPAN lub uzedzenia TAP) oraz inline (spzgt bezpo6rednio wpiqty w infrastrukture sieciowq Zamawiajqcego, zachowujqcy ciqglosc dzialania polqczenia sieciowego w pzypadku awarii systemu - rryo transparent bridge).". na:,,2.1. System musi umozliwiad wybor trybu pracy, tryb: monitor (zasilany kopie zeczywistego ruchu sieciowego z portu SPAN lub uzqdzenia TAP) lub in-line (spzgt bezpo6rednio wpiqty w infrastrukturg srecrowq Zamawiajqcego, zachowujqcy ciqglosc dzialanra polqczenia sieciowego w pzypadku awarii systemu - tryb transparent bridge). Dla ruchu pocztowego (smtp) dopuszczalny tryb wdroienia, jako tzw. MTA, z zastzeieniem, ie rozwiqzanie to jest dedykowanym rozwiqzaniem producenta oferowanego rozwiqzania.". b
Zmiana nr 5 Zmienia siq zapis punktu 2.29. bedqcego podpunktem pkt 2 pn. "Wymagana, minimalna funkcjonalnosi systemu", w czgsci lll pn.,,specyfikacja minimalnych wymagah Zamawiajqcego" w Zalqczniku nr 1 do SIWZ -,,Szczeg6lowy opis przedmiotu zam6wienia (OPZ)":,,2.29. Oferowane rozwiqzanie musi byc dostarczone w formie gotowego (pre-instalowanego) uzqdzenia (lub uzqdzei) {izycznego, z redundantnymi zasilaczami 230V z mo2liwo6ciq monta2u w szafie 19'. W pzypadku pracy uzqdzenia w trybie in-line wymagana jest funkcjonalno6i zapewniajqca ciqgtos6 dzialania w pzypadku jego awarii - tryb transparent bridge.". na:,,2.29. Oferowane rozwiqzanie musi by6 dostarczone w formie gotowego (pre-instalowanego) uzqdzenia (lub uzqdzeh) fizycznego, z redundantnymi zasilaczami 230V z mo2liwo5ciq monta2u w szafle 19'. W pzypadku pracy uzqdzenia w trybie in-line wymagana jest funkcjonalno66 zapewniajqca ciqgloic dzialania w pzypadku jego awarii - tryb transparent bridge. Dla ruchu pocztowego (SMTP) dopuszczalny tryb wdroienia, jako tzw. MTA, z zastneieniem, ie w prrypadku awarii uzqdzenia zapewniona jest ciqglos6 dzialania polqczenia sieciowego i uslugi poczty elekronicznej. Pozostale zapisy SIWZ nie ulegajq zmianie. Zamawiajqcy informuje r6wnie2, 2e wyznaczony do dnia 26 czerurca 20, 4 r., do godz. '10.00 termin skladania ofert, pozostaje bez zmian.