Caja Municipal de Ahorro y Crédito Cusco S.A. INFORME TÉCNICO SOFTWARE ANTIVIRUS EMPRESARIAL Cusco 2009 Software Antivirus Empresarial 1
INDICE 1. NOMBRE DEL AREA...... 3 2. RESPONSABLE DE LA EVALUACIÓN... 3 3. CARGO... 3 4. FECHA... 3 5. JUSTIFICACION... 3 6. ALTERNATIVAS 3 7. ANÁLISIS COMPARATIVO TÉCNICO.... 4 8. ANÁLISIS COMPARATIVO COSTO - BENEFICIO... 13 9. CONCLUSIONES. 14 10. FIRMAS... 14 Software Antivirus Empresarial 2
1. NOMBRE DEL ÁREA Departamento de Tecnología de la Información 2. RESPONSABLE DE LA EVALUACIÓN Ing. John Edward Olivera Murillos 3. CARGO Jefe del Departamento de Tecnología de la Información 4. FECHA 07 de Septiembre del 2009 5. JUSTIFICACIÓN Dentro del marco del Plan Estratégico de la CMAC CUSCO S.A. y con el objetivo de fortalecer la calidad y eficiencia en el desarrollo organizacional, a través de una mayor integración de las diferentes unidades organizativas, su capital humano, manejo financiero, adecuada infraestructura, innovación y mejoramiento continuo de los procesos internos, así como la seguridad e integridad de la información se expone lo siguiente: El Departamento de Tecnología de la Información plantea la necesidad de garantizar una adecuada protección de los sistemas informáticos de la institución, a su vez, asegurar la continuidad de las labores que permiten el cumplimiento de las funciones de la CMAC CUSCO S.A., es por ello que se requiere la renovación de licencias de la solución antivirus institucional o la adquisición de una nueva solución. 6. ALTERNATIVAS Se realizó el análisis de los siguientes productos de software que se encuentran entre los líderes del Cuadrante Mágico de Plataformas de Protección de Terminales de Gartner de Abril 2009: Symantec McAfee Software Antivirus Empresarial 3
7. ANÁLISIS COMPARATIVO TÉCNICO Se realizó aplicando el numeral 3 de la Guía de evaluación de Software aprobada por Resolución Ministerial N 139-2004-PCM a. Propósito de la Evaluación: Determinar los atributos o características mínimas para el Producto Final del Software Anti-virus. El producto deberá proteger y controlar la seguridad en los siguientes niveles: 1) Estaciones de trabajo y servidores de red Software Antivirus Empresarial 4
2) En el perímetro de Internet Gateway de correo (SMTP) Gateway de Internet. ( HTTP / HTTPS / FTP ) b. Identificar el tipo del producto Software de Seguridad Integrada para la protección multi-amenazas. Anti-virus. Anti-spyware. Cliente firewall Control de dispositivos y aplicaciones. Prevención y detección de intrusos. Anti-spam Control del contenido de correo. Anti-phishing. Bloqueo de sitios web maliciosos. Filtrado de productividad web. Encriptación de dispositivos Consola de distribución, administración y reporte c. Especificación del Modelo de Calidad Se aplicará el Modelo de Calidad de Software descrito en la Parte I de la Guía de Evaluación de Software aprobado por Resolución Ministerial Nº 139-2004-PCM. d. Identificación de Métricas Las métricas fueron seleccionadas en base al análisis de la información técnica de los pro-ductos antivirus señalados en el punto Alternativas, como son las Características del Pro-ducto y Requerimiento de instalación. En el Anexo I, se puede apreciar el cuadro de análisis con las características resumidas de los antivirus. Del análisis realizado se ha determinado las siguientes características técnicas mínimas. Software Antivirus Empresarial 5
ITEM ATRIBUTO DESCRIPCIÓN Estaciones de Trabajo (clientes) y Servidores Microsoft Windows El software deberá ser compatible con los sistemas operativos Windows 2000 Professional, Windows XP, Windows Vista, Windows Server 2000, Windows Server 2003, Windows Server 2008, Novell Netware y Macintosh. El soporte incluye sistemas de 32 y 64 bits. Solución antivirus Tecnología innovadora para PC y servidores. Que detenga y elimina proactivamente el software malicioso, extienda la cobertura contra nuevos riesgos de seguridad y reduzca el costo de respuesta frente a epidemias. Debe combinar tecnologías avanzadas para la prevención de intrusos, firewall y antivirus Defienda los sistemas contra virus, buffer overflows (desbordamientos de buffer) y ataques combinados Bloquee las amenazas que no escriben en el disco duro con el escaneo en memoria Evite que se instalen rootkits y archivos ocultos Permita ser administrado por una consola de administración centralizada vía Web Bloquee una amplia gama de virus y amenazas de código malicioso, incluso los que están ocultos en archivos comprimidos; que descubra virus desconocidos con detección heurística y genérica Proteja contra exploits dirigidos a aplicaciones y servicios Microsoft, especialmente a servicios del sistema operativo Microsoft Windows, Microsoft Word, Microsoft Excel, Internet Explorer, Microsoft Outlook y SQL server Limite el daño provocado por contagios, incluso antes de la emisión de archivos DAT; cierra los puertos, monitorea aplicaciones y motores de correo electrónico, bloquea archivos y directorios, que efectúe seguimientos y bloquee las fuentes de infección Detecte amenazas que escriben en la memoria en lugar de hacerlo en el disco, como CodeRed y SQLSlammer Detecte y limpie virus en Microsoft Outlook y Lotus Notes, inclusive texto HTML y archivos adjuntos Evite que se ejecuten amenazas que aprovechan JavaScript o Visual Basic Adapte las actualizaciones en terreno a ubicaciones físicas y velocidades de conexión: reanudará la actualización después de que se restablezca una conexión interrumpida Evite que los archivos del antivirus sean modificados a través de las reglas de protección de acceso mejoradas Escanee la memoria del sistema para encontrar rootkits ya instalados, procesos ocultos y otros códigos maliciosos ocultos Adicionalmente debe integrar en el mismo software antivirus y no con programas o software adicional las siguientes características: Reportar gráficamente la actividad de los componentes, Sistema de bloqueo de tráfico en puertos de entrada y/o salida por reglas predefinidas de fabrica y reglas adicionales definidas por el administrador. Sistema de aseguramiento de archivos, carpetas y elementos compartidos (shares), que permita restablecer Software Antivirus Empresarial 6
y/o aumentar el nivel de seguridad de los permisos afines a éstos en todos los equipos. Permitiendo prohibir el acceso local y remoto a determinadas áreas del computador. Sistema de protección contra desbordamiento de buffer (buffer overflow) que permitirá proteger de manera proactiva al Kernel del sistema operativo contra exploits o ataques informáticos conocidos y desconocidos a través de vulnerabilidades del sistema operativo o software afines. Sistema de detección, eliminación y/o envío a cuarentena spyware (programas espía, propaganda, otros) a través de reglas y listas predefinidas y/o personalizadas por el administrador Solución antispyware Detecte los programas espía.- bloqueando los programas espía antes de que se instalen y se extiendan, usando una tecnología de exploración en el momento del acceso de AntiSpyware. Busque y detenga los programas espía desconocidos.- que no se quede esperando a recibir los archivos de firmas actualizados de programas espías; deberá usar una tecnología basada en comportamiento de AntiSpyware detectará y bloqueará los programas espía desconocidos basándose en su forma de actuar. Exploración en el momento del acceso.- que detecte y bloquee los programas espía antes de que se instalen y se extiendan; que explore los procesos y archivos que se ejecutan en memoria para neutralizarlos antes de que arraiguen. Detención eficiente de programas espía y virus.- Que pueda detener tanto los programas espía como los virus integrando AntiSpyware y antivirus en un mismo modulo; ambos programas deberán compartir un único procesador de exploración que permite reducir la sobrecarga del sistema y mejorar su rendimiento. Exploración y detección de programas espía en el registro y los archivos.- Que bloquee la molesta reinstalación de programas espía, ya que el antispyware explorara tanto las entradas del registro como los archivos y, con ello, eliminara las principales amenazas contra la seguridad y los anuncios emergentes Consola de Administración Sistema central de administración de plataforma antivirus y de seguridad: Despliegue, actualización, administración y soporte a la plataforma antivirus y de seguridad que debe efectuar a través de una consola de gestión de políticas de seguridad y antivirus que cubra tanto los elementos locales como remotos y móviles, incluyendo estaciones de trabajo, servidores de grupo, aplicación, y servidores de correo electrónico. Las actualizaciones se realizarán en forma incremental y automática. La consola deberá permitir ser administrado vía web. La consola de administración debe estar basada en una arquitectura jerárquica (dominios, grupos de elementos, elementos, otros) que permita un esquema distribuido de repositorios de instalación, que permitan un ahorro de ancho de banda a nivel local y nacional mientras se efectúen labores de instalación, actualización y soporte. Las labores de instalación, despliegue o desinstalación a Software Antivirus Empresarial 7
través de la consola de administración no deben requerir la movilización de personal técnico hacia la estación de usuario final o equipo alguno de la red. Esta se hará de forma totalmente remota desde la consola de administración central, reconociendo a los equipos por su dirección o rango de direcciones IP, nombre, pertenencia a dominio, cuenta de correo electrónico, lista plana. La consola deberá monitorear las estaciones de trabajo activas e inactivas de la totalidad de la red y además permitir tomar acciones en caso se detecte una estación con virus. En caso de encontrar equipos que no cumplan con la política de seguridad establecida, que sean vulnerables o se encuentren infectados, deberá tomar las acciones necesarias para subsanar éstas deficiencias de seguridad. Asimismo, se deberá efectuar análisis en demanda de los equipos en busca de virus. Los productos de la solución deberán ser pre-configurables, configuración basada en las políticas de seguridad antivirus default o a ser desarrolladas que deberá ser desplegada a toda la red. El despliegue de configuraciones deberá ser programable o activado por el administrador. La recepción de los archivos de actualización se deberá efectuar a través de Internet con el fin de ponerlas a disposición de los administradores o del software involucrado para su despliegue. Las actualizaciones se deberán obtener directamente de los sitios disponibles por el fabricante o a través del proveedor, cada hora, día o semanalmente, y ser aplicadas a cada uno de los productos. Las actualizaciones deberán ser totalmente constantes y auditables. La lectura del estado de los equipos deberá ser automática y así como programada o activada por el administrador. La consola de administración deberá mantener una base de datos interna o externa (MSDE, SQL o similar) en la cual se almacenará en tiempo real toda la información relacionada a actividad en la plataforma de seguridad y antivirus (despliegue, instalación, actualización, monitoreo. Deberá permitir la ejecución de reportes individuales y personalizados, relacionados a equipos y archivos afectados La consola deberá recoger en la base de datos otra información sobre los equipos que conforman la plataforma antivirus como CPU (velocidad y tipo), memoria, espacio total y disponible de discos duros, directorios de instalación de archivos de sistema, versiones de sistema operativo y niveles de parche, usuarios que ingresaron al sistema, entre otros, que también podrán ser materia de reporte. Que incluya un sistema de umbrales de seguridad que responderán con alertas emitidas por SNMP, e-mail, SMS, pager. Toda acción de la consola de administración central deberá ser totalmente transparente para el usuario final o escrita en la bitácora de funcionamiento. Adicionalmente los productos antivirus deberán ser totalmente compatibles con sistemas de distribución y administración: Tívoli, SMS de Microsoft, Altiris. La comunicación se realiza entre el sistema central ubicado en un servidor y agentes de comunicación instalados en los equipos. Este agente realizará tareas de gestión de políticas Software Antivirus Empresarial 8
Servidores de correo electrónico corporativo Detección y Prevención de Intrusiones de seguridad, actualización de productos antivirus y envío de información hacia sistema central (éstas tareas se realizan bajo programación y configuración). Desde la consola de administración se deberá bloquear carpetas compartidas. La consola deberá permitir bloquear puertos de comunicación para combatir epidemias. Así como también crear políticas de denegación de escritura en forma centralizada para evitar epidemias. La consola de administración tendrá la capacidad de seguir o hacer un "trace" de los equipos de la red que se encuentren infectados y tendrá la capacidad de bloquear éste equipo remotamente no permitiéndoles mayor comunicación con la red. Debe permitir la activación de múltiples modalidades de actualización incluyendo transmisión http, ftp o por UNC. Debe poseer un módulo que reporte el estado de actualización de los parches de seguridad relacionados a Microsoft, a través de un sistema de reportes gráficos y una base de datos de información de las mejoras de seguridad disponibles. Debe poseer un modulo que permita verificar y reportar el estado de distintas anomalías de seguridad según políticas predefinidas y personalizables por el usuario, por ejemplo, falta de parches, software de seguridad, entre otros. Debe poseer tecnología de cliente servidor a través de un agente, que recoja información del software y hardware de la PC guardándolo dentro de la base de datos. Entre las características de inventario a ser recogidas se encuentran: o Sistema Operativo o Versión de sistema operativo o Número de Service Pack o Memoria RAM o Discos o Unidades lógicas de disco o Espacio total de disco o Espacio libre de disco o Dirección IP de la PC. Deberá ser compatible con servidores de correo electrónico Microsoft Exchange y Lotus Notes, que soporte servidores configurados en Cluster. Que se integre como un servicio más del sistema de correo electrónico con las siguientes funcionalidades: Análisis en acceso Análisis en demanda Análisis en segundo plano Análisis proactivo Sub-sistema de prevención de brotes de virus Filtrado de contenido Protección completa de los equipos de sobremesa.- que incluya tres capas de protección (reglas de comportamiento, análisis de firmas y protección mediante firewall) que impidan las intrusiones, protejan los activos y salvaguarden los equipos de sobremesa y los portátiles. que proteja los sistemas de escritorio contra ataques desconocidos. Y que sea fácil gestionar todos los equipos de sobremesa, sin tener Software Antivirus Empresarial 9
Navegación web segura Control de dispositivos Removibles en cuenta su ubicación, desde una única consola centralizada. Protección de los equipos.- Que gestione centralmente y que sea escalable, de modo que puede desplegarlo en toda la empresa para obtener una protección global completa compatible con varios idiomas Protección de vulnerabilidades.- La actualización automática del contenido de seguridad tiene como objetivo vulnerabilidades específicas; reconoce los ataques por vulnerabilidad desconocidos y evita que se ejecuten; las actualizaciones del contenido de seguridad no necesitan que se reinicie el sistema Evita problemas de desbordamiento del búfer.- que utilice una tecnología de intrusión del host para evitar ataques de desbordamiento del búfer, uno de los métodos de ataque a ordenadores personales más comunes. Protección de firewall de ordenadores personales.- Los firewall de ordenadores personales podrán aplicar diferentes políticas de firewall según la conexión de su sistema a la red, poner en cuarentena los sistemas incompatibles a medida que intentan conectar con la red y bloquear puertos del sistema. Sistema de clasificación intuitivo. Herramienta que permita navegar y buscar en la web de forma segura y mantenerse alejado de amenazas como programas espía, programas publicitarios, timos de phishing, etc. Que añada otra capa de protección a la vez que educa a los usuarios acerca de los peligros de navegar por Internet. Que proteja contra el software dañino basado en la web como el software publicitario, el software espía, los virus y las estafas por robo de identidad; que convierta las búsquedas y la navegación por la web en una actividad más segura El producto deberá ser fácil de implantar en toda la organización con la consola de administración, que también indique qué equipos tienen instalado el producto. Que evite que el usuario se meta involuntariamente en paginas peligrosas cuando haga búsquedas con Google, Yahoo MSN, AOL o Ask.com, obteniendo una valoración de seguridad al lado del resultado de la búsqueda El sistema de valoración deberá estar basado en códigos de colores que permita saber qué sitios son seguros y cuáles son peligrosos; es necesario saber si el sitio que está explorando el usuario este libre de amenazas Los avisos por adelantado deberán informar acerca de los sitios web dañinos, de modo que evitará correr riesgos innecesarios Unas sencillas señales verdes, amarillas y rojas alertaran de posibles amenazas en las páginas que visite el usuario. Con sólo un clic obtendrá un perfil de amenazas completo de cada sitio, incluida información acerca de cuántos correos electrónicos recibirá al mes si se registra, críticas de usuarios y molestias Deberá ser utilizado como complemento de los navegadores Microsoft Internet Explorer o Mozilla Firefox Proteger de los riesgos de la pérdida de datos.- que evite la pérdida de datos Obtener visibilidad y control sobre sus datos.- Vigilar y Software Antivirus Empresarial 10
Solución de encriptación regular la transferencia de datos por parte de los empleados a soportes extraíbles, como unidades USB, reproductores MP3, CD, DVD y dispositivos Bluetooth, aunque los usuarios no estén conectados a la red de la empresa. Mantener la productividad operativa.- Especificar filtrado, vigilancia y bloqueo detallados de los datos confidenciales, basados en hardware y en contenidos, en cualquier dispositivo de almacenamiento extraíble; asegurar de que los empleados siguen usando de forma segura los dispositivos permitidos como parte de sus actividades laborales diarias. Centralizar la administración.- Desde una única consola centralizada, que implante y aplique directivas de seguridad en todo su entorno; establezca directivas de dispositivos y datos por usuario, grupo o departamento que impidan que la información de carácter confidencial escape al control de la empresa y se pierda o sea objeto de robo; reduzca el trabajo, el tiempo y la formación de administración. La consola será la misma que administre toda la solución ofertada. Demuestre el cumplimiento con menos esfuerzo.- Que supervise los incidentes en tiempo real y genere informes detallados para demostrar el cumplimiento de los requisitos de las normativas y directivas internas relativas a la protección de la intimidad ante auditores, miembros de la junta directiva y demás interesados. Controles diferenciados.- Que especifique qué dispositivos se pueden usar y cuáles no en función de cualquier parámetro de dispositivo de Windows, como identificación de producto, identificación de proveedor, número de serie, clase de dispositivo y nombre de dispositivo; para los dispositivos que se pueden usar, especifique qué contenidos se pueden copiar y cuáles no en esos dispositivos. Funciones avanzadas de generación de informes y de auditoría.- Que contribuya a lograr el cumplimiento con un registro detallado a nivel de usuario y de dispositivo; recoja detalles tales como dispositivo, fecha y pruebas de datos para unas auditorías puntuales y correctas Proteja los datos.- Que impida el acceso no autorizado al sistema e inutilice los datos en caso de pérdida o robo mediante la implementación del cifrado y fuerte control de acceso. Mantenga la productividad de sus empleados.- Que mantenga la eficiencia operativa con cifrado y descifrado transparente; cifrado sobre la marcha, ya que el rendimiento del sistema apenas se vea afectado. Centralice la administración de su seguridad.- Que desde una consola centralizada, implemente y aplique para toda la empresa directivas de seguridad obligatorias que controlen el cifrado de los datos y la autenticación de usuarios. La consola será la misma que administre toda la solución ofertada. Demuestre el cumplimiento.- Que genere informes detallados con la integración de la consola de administración para demostrar la conformidad con los requisitos de las normativas y directivas internas relativas a la protección de la intimidad ante los auditores, la alta dirección y demás interesados. Cifrado de la totalidad del disco.- Tener la tranquilidad de que los datos están cifrados de forma segura siempre que se Software Antivirus Empresarial 11
almacenen en equipos de sobremesa, portátiles, Tablet PC y demás aparatos móviles, y que los archivos y carpetas permanecen cifrados dondequiera que vayan, potentes algoritmos de cifrado estándar del sector, como AES-256 y RC5-1024. Rígido control de acceso.- Que impida el acceso no autorizado y la consiguiente pérdida de datos con autenticación de dos y tres factores previa al arranque, que admita muchos tipos diferentes de tarjetas y testigos USB inteligentes; que permita el inicio único de sesión, para minimizar las complicaciones a los usuarios autorizados, y la sincronización de contraseñas con Windows. Cambios sincronizados de contraseña.- Que propague los cambios de contraseña hechos por el usuario en un equipo a todos los demás equipos que este usuario tenga asignados. Administración centralizada.- Que defina, instale, administre y actualice centralmente las directivas de seguridad; que mantenga un control centralizado sobre las credenciales del usuario, como sincronización, recuperación y revocación. Funciones inestimables de informes y auditorías.- Que contribuya a lograr el cumplimiento de las normativas de la compañía, del sector y de la administración usando las capacidades funciones de auditoría e informes de la solución. Integración con Active Directory.- Sincronice esta solución con Active Directory, LDAP, PKI y otros; compatible con todos los sistemas operativos Windows (plena compatibilidad con Vista de 32 y 64 bits), idiomas habituales y diversos teclados; además, el cifrado de extremos deberá soporta la detección automática de idioma previa al arranque, basándose en la configuración de idioma de Microsoft Windows. d. Niveles, escalas para métricas. ITEM ATRIBUTOS ESCALAS 1 Estaciones de Trabajo (clientes) y Servidores Microsoft Windows 12 2 Solución antivirus 12 3 Solución antispyware 8 4 Firewall personal 10 5 Consola de Administración 12 6 Servidores de correo electrónico corporativo 12 7 Detección y Prevención de Intrusiones 10 8 Navegación web segura 8 9 Control de dispositivos Removibles 8 10 Solución de encriptación 8 PUNTAJE TOTAL 100 Software Antivirus Empresarial 12
Comparar los criterios ITEM ATRIBUTOS ESCALAS McAfee Symantec 1 Estaciones de Trabajo (clientes) y Servidores Microsoft Windows 12 12 12 2 Solución antivirus 12 12 10 3 Solución antispyware 8 8 8 4 Firewall personal 10 10 8 5 Consola de Administración 12 12 10 6 Servidores de correo electrónico corporativo 12 12 12 7 Detección y Prevención de Intrusiones 10 10 10 8 Navegación web segura 8 8 8 9 Control de dispositivos Removibles 8 8 6 10 Solución de encriptación 8 8 6 PUNTAJE TOTAL 100 100 90 8. ANÁLISIS COMPARATIVO DE COSTO BENEFICIO Costo: Se indica los montos referenciales para la renovación o adquisición, tomándose como base la contratación de 1 año. LICENCIAMIENTO 600 Licencias + SOLUCIÓN DE SOFTWARE SOPORTE TECNICO (PRECIO EN $ - SIN IGV) Symantec $31,200.00 McAfee $29,340.00 Beneficio: Este producto garantizará que los servidores y/o estaciones de trabajo cuenten con protección contra cualquier ataque de Virus o software malintencionado que afecte el normal desarrollo de las actividades de la institución, requiriendo que el software de antivirus tenga una actualización permanente que le permita enfrentar los ataques, asegurando la continuidad de las labores cotidianas de la CMAC CUSCO S.A. Software Antivirus Empresarial 13
9. CONCLUSIONES Como resultado de la evaluación, se concluye que la solución de software Antivirus más adecuada a nuestras necesidades y que cumple comparativamente con los requerimientos de la institución es McAfee. Además por ser el producto que actualmente utiliza la organización, el cuál durante 7 años viene protegiendo a la Institución. 10. FIRMAS Software Antivirus Empresarial 14