A beszerzés leírása
Az alábbi szakaszban a termék (egy darab, egy év időtartamig szóló online CTI adatforrás hozzáférés (szolgáltatás)) műszaki minimumkövetelményei szerepelnek.
- Támogatnia kell a nagyobb piaci CTI platformokat (pl. EclecticIQ, OpenCTI stb.).
- CERT / CSIRT szervezetnek releváns információt kell tartalmaznia.
- Az információforrásnak helyi régiós lefedettséget kell biztosítania mely a beérkező információkat relevánssá teszi az NKI számára, mivel a támadási „mintázatok” régiónként eltérhetnek.
- Támogatnia kell a STIX/STIX2 formátumot.
- Támogatnia kell a TAXII protokoll alapú megosztást.
- Az adatoknak nem kizárólag szenzortelemetriából kell érkeznie, elvárás a fejlett technológiák alkalmazása (pl. botnet szimuláció).
- Rendelkezzen kiterjedt (10 000-nél több) és nemzetközi szenzorhálózattal, legalább 25%-a kelet-közép-európai régió legyen.
- A beszerzendő szolgáltatás iránt követelmény a botnet hálózatokról (beleértve a vezérlőszerver és áldozati információk), káros domainek/URL-ekről és kártékony állományokról való információ megosztás.
- A botnet információkról elvárt adattartalomban szerepelnie kell az alábbiaknak: a rosszindulatú kód megnevezése, állományának ellenőrzőösszege és kiterjesztése, az utolsó ismert kommunikációs időpont (az adatot biztosító szerint), típus, konfigurációs fájl ellenőrzőösszeg, a cél (link formájában, pl.: *paypal.*/webscr?cmd=_login-submit*), valamint további letöltött állományok információi (megnevezés, ellenőrzőösszeg, típus).
- A vezérlőszerverek esetében elvárt, hogy kerüljön megküldésre, hogy azt mely rosszindulatú kód használja, az utolsó észlelés időpontja, az URL/IP címe, hosztneve, továbbá milyen protokoll(ok)on / port(ok)on érhető el (OSI Layer4 és Layer7 szintek vonatkozásában - pl.: „TCP 443 - HTTPs”).
- Amennyiben értelmezhető, a feed információk között szerepeljen a támadott cél (link formájában, pl.: *paypal.*/webscr?cmd=_login-submit*), valamint az, hogy mely kártevőről van szó.
- A domain információk alatt szerepeljen a domain megnevezése, a káros tevékenység oka (Minimum az alábbi részletességű típusokra bontásban: Letiltott ("Blocked"), Adathalász ("Phishing"), Nemkívánatos ("Unwanted"), Blokkolt objektum ("Blocked Object")), típusonként a domain károsként azonosításának darabszáma (hányszor azonosították károsként), IP címe, a domain-ről letöltött káros fájl megnevezése.
- Az URL adatforrásnak ugyanazokat az elemeket kell tartalmaznia, mint a domain-nek, azzal a különbséggel, hogy a káros tartalom pontos elérhetősége URL címként kerüljön megadásra.
- A kártékony állományokról kerüljön megosztásra a fájl ellenőrzőösszege, a rosszindulatú kód neve, a fájl mérete (byte-ban), fájl formátuma.
A részletes követelményeket a műszaki leírás tartalmazza!