Estratègies per a l’administració de riscos de malware

Posted on by admin
  • 2017.11.10
  • Temps de lectura: 53 minuts
    • B

Publicat: 18/08/2006

en aquesta pàgina

Introducció a Definició a Desafiaments a Solucions
Resum
Apèndix a: Actius comuns de el sistema d’informació a Apèndix B: Amenaces comuns a Apèndix C Vulnerabilitats a Referències

Introducció

Benvingut a aquest document de la col·lecció Guies de seguretat per a mitjanes empreses. Microsoft espera que aquesta informació l’ajudi a crear un entorn informàtic més segur i productiu.

Resum executiu

A mesura que el malware o programari maliciós evoluciona i es torna més sofisticat, també han de desenvolupar-les tecnologies de programari i maquinari per tal d’evitar els atacs i les amenaces de malware.

les amenaces de malware han resultat molt costoses per a les mitjanes empreses, tant en les tecnologies de resposta i defensa d’atacs com en les operacions. Internet ha elevat considerablement el perfil de les amenaces externes adreçades a les mitjanes empreses, a el temps que les grans amenaces encara continuen com, per exemple, els atacs interns.

Els atacs interns que tenen el major potencial de dany es deriven de les activitats de el personal intern que ocupen els llocs de major confiança, com els administradors de xarxa. És molt possible que aquest personal implicat en activitats malintencionades tinguin metes i objectius específics, com col·locar un cavall de Troia o explorar sense autorització els sistemes d’arxius i conservar alhora un accés legítim als sistemes. En general, el personal intern no té intencions malintencionades però podria col·locar un programari maliciós a l’connectar involuntàriament sistemes o dispositius infectats a una xarxa interna, el que posaria en perill la integritat / confidencialitat de sistema o podria afectar el rendiment, la disponibilitat i / o la capacitat d’emmagatzematge de sistema.

les anàlisis de les amenaces internes i externes han portat a moltes mitjanes empreses a investigar sistemes que ajudin a supervisar les xarxes ia detectar atacs, entre els quals s’inclouen recursos per ajudar a administrar els riscos de malware en temps real.

informació general

en aquest document es proporciona informació sobre les estratègies que ajuden a administrar els riscos de malware en les mitjanes empreses. El document es divideix en quatre seccions principals: Introducció, Definició, Desafiaments i Solucions.

Definició

En aquesta secció es pretén aclarir el que és un malware (i també el que no és ), les seves característiques i l’administració de riscos.

desafiaments

en aquesta secció es descriuen molts dels desafiaments més freqüents a què s’enfronten les mitjanes empreses en relació a l’administració de riscos de malware, entre els quals s’inclouen:

  • Actius comuns de sistema d’informació

  • Amenaces més freqüents

  • Vulnerabilitats

  • Formació d’usuaris finals i directives

  • Equilibri entre l’administració de riscos i les necessitats empresarials

Solucions

En aquesta secció es proporciona informació addicional sobre directives, enfocaments i estratègies entre les quals s’inclouen:

  • Directives físiques i lògiques

  • Enfocaments reaccions tius i proactius per a la prevenció de virus i malware

  • Estratègies per reduir el malware

En aquesta secció també s’aborda l’administració i avaluació de riscos de malware com a part de les estratègies per prevenir les amenaces de malware. Es proporciona també informació sobre les eines de supervisió i elaboració d’informes dissenyades per explorar, detectar i elaborar informes sobre activitats malintencionades.

Qui hauria de llegir aquesta guia

Aquest document està dirigit principalment a l’ personal de TI i administració de les mitjanes empreses, amb la finalitat d’ajudar-los a comprendre les amenaces malintencionades, a defensar-se de les amenaces ia respondre de forma ràpida i adequada quan es produeixen atacs de malware.

Principi de la pàgina

Definició

Malware és l’abreujament dels termes en anglès “malicious software” (programari maliciós). Es tracta d’un nom col·lectiu que inclou virus, cucs i cavalls de Troia que realitzen expressament tasques malintencionades en un sistema informàtic. Tècnicament, un malware és un codi malintencionat.

Consideracions sobre els diferents tipus de malware

En les següents subseccions es descriuen les diferents categories de malware.

Ocultació
  • Cavall de Troia. Programa que sembla útil o inofensiu però que conté un codi ocult dissenyat per aprofitar o danyar el sistema en què s’executa. Els cavalls de Troia (també anomenats codis troians), generalment, arriben a l’usuari a través de missatges de correu electrònic que provoquen una representació equivocada de la funcionalitat i finalitat de l’programa. Els cavalls de Troia realitzen aquesta operació subministrant una tasca o càrrega malintencionada quan s’executen.
Malware infecciós

  • Cuc. Un cuc utilitza un codi malintencionat de autopropagació que es pot distribuir automàticament d’un equip a un altre a través de les connexions de xarxa. Un cuc pot produir danys com el consum de recursos de sistema local o de la xarxa que possiblement provoquin un atac de denegació de servei. Alguns cucs es poden executar i propagar sense la intervenció de l’usuari, mentre que altres necessiten que l’usuari executi el codi de cuc directament per poder propagar-se. Els cucs també poden subministrar una càrrega més de la replicació.

  • Virus. Un virus utilitza un codi escrit amb la intenció expressa d’autoreplicar. Un virus intenta propagar-se d’un equip a un altre adjuntant automàticament a un programa host. Pot danyar el maquinari, el programari o les dades. A l’executar el host, també s’executa el codi de virus, infectant nous host i, de vegades, subministrant una càrrega addicional.

Malware per beneficis

  • Spyware. De vegades, aquest tipus de programari es coneix com Spybot o programari de seguiment. El spyware utilitza altres formes de programes i programari enganyosos que realitzen determinades activitats en un equip sense tenir el corresponent consentiment de l’usuari. Entre aquestes activitats s’inclouen la recopilació d’informació personal i el canvi dels paràmetres de configuració de l’explorador d’Internet. A més de ser una molèstia, el spyware origina una varietat de problemes que van des de la degradació de l’rendiment general de l’equip a la infracció de la privacitat personal.

    Els llocs web que distribueixen spyware utilitzen diferents trucs per aconseguir que els usuaris els descarreguin i instal·lin en els seus equips. Entre aquests trucs s’inclou la creació d’experiències d’usuari enganyoses i la incorporació encoberta de spyware amb altres programes que puguin desitjar els usuaris, com un programari d’intercanvi d’arxius gratuït.

  • adware. Tipus de programari per mostrar publicitat, especialment, determinades aplicacions executables el principal propòsit és subministrar contingut publicitari d’una manera o amb un context que els usuaris no esperin o desitgin. Moltes aplicacions adware també realitzen funcions de seguiment i, per tant, també es poden classificar com a tecnologies de seguiment. Potser alguns consumidors desitgin eliminar els adware si els molesta realitzar tal seguiment, si no volen veure la publicitat originada pel programa o si no els agraden els efectes que tenen sobre el rendiment de el sistema. I a l’contrari, pot ser que alguns usuaris desitgin conservar determinats programes de adware si amb la seva presència es subvenciona el cost d’un servei o producte desitjat o bé si proporcionen una publicitat útil o desitjada com, per exemple, anuncis que siguin competitius amb el qual el usuari està buscant o el complementin.

Per obtenir més informació, consulteu el tema Malware en Wikipedia en http://en.wikipedia.org/wiki/Malware i el tema ¿ Què és Malware? a la Guia de defensa en profunditat antivirus en www.microsoft.com/technet/security/topics/serversecurity/avdind\_2.mspx\#ELF (poden estar en anglès).

Consideracions sobre els comportaments de malware

Les diferents característiques que cada categoria de malware pot presentar solen ser molt similars. Per exemple, és possible que tant un virus com un cuc utilitzin la xarxa com a mecanisme de transport. No obstant això, un virus intentarà infectar els arxius mentre que un cuc simplement intentarà copiar-se a si mateix. En la següent secció es proporcionen unes breus explicacions de les característiques típiques de malware.

Entorns objectiu

Quan el malware intenta atacar a un sistema host, es requereix un nombre específic de components per a que l’atac tingui èxit. Els següents components són exemples típics dels components que pot necessitar el malware per llançar un atac contra un host:

  • Dispositius. Alguns malware es centraran específicament en un dels mitjans, per exemple PC, un equip Apple Macintosh o fins i tot un assistent digital personal (PDA). Els dispositius portàtils, com els telèfons mòbils, s’estan convertint en dispositius objectiu cada vegada més populars.

  • Sistemes operatius.Potser es requereixi un sistema operatiu específic perquè el malware sigui efectiu. Per exemple, el virus Chernobyl o CIH de finals dels 90 només podia atacar equips amb Microsoft ® Windows ® 95 o Windows 98. Els sistemes operatius més actuals són més segurs. Desgraciadament, el malware també és cada vegada més sofisticat.

  • Aplicacions. Potser malware necessiti que hi hagi una aplicació específica instal·lada en l’equip objectiu per subministrar la seva càrrega o replicar-se. Per exemple, el virus LFM.926 de 2002 només podia atacar si podien executar arxius Shockwave Flash (.swf) a l’equip local.

Objectes portadors

Si el malware és un virus, intentarà arribar a un objecte portador (també conegut com a host) per infectar-lo. El nombre i tipus dels objectes portadors objectiu varia molt entre les diferents formes de malware. En la següent llista es proporcionen exemples dels operadors objectiu més comuns:

  • Arxius executables. Aquests operadors són els objectius de l’tipus de virus “clàssic” que es replica a l’adjuntar a un programa host. A més dels arxius executables típics que utilitzen l’extensió .exe, els arxius amb les següents extensions també es poden utilitzar amb aquesta finalitat: .com, .SYS, .dll, .ovl, .OCX i .prg.

  • Scripts. Els atacs que utilitzen scripts com operadors es centren en arxius que utilitzen un llenguatge de scripting com, per exemple, Microsoft Visual Bàsic® Script, JavaScript, AppleScript o Perl Script. Entre les extensions d’arxius d’aquest tipus s’inclouen: .vbs, .js, .wsh i .prl.

  • Macros. Aquests operadors són arxius que admeten un llenguatge de scripting de macros d’una aplicació específica com, per exemple, una aplicació de processador de text, fulls de càlcul o base de dades. Per exemple, els virus que utilitzen llenguatges de macro a Microsoft Word i Lotus Ami Pro per produir una sèrie d’efectes inclouen des de les entremaliadures (canviar l’ordre de les paraules en un document o canviar els colors) fins als malware (donar format a el disc dur de l’equip).

Mecanismes de transport

Un atac pot utilitzar un dels molts mètodes diferents per intentar replicar-entre sistemes informàtics. En aquesta secció es proporciona informació sobre alguns dels mecanismes de transport més comuns utilitzats per un malware.

  • Mitjans extraïbles. El transmissor de virus informàtics i altres malware original i probablement més prolífic correspon a la transferència d’arxius (al menys fins fa poc). Aquest mecanisme va començar amb els disquets, després es va traslladar a les xarxes i, en l’actualitat, està buscant nous mitjans com els dispositius USB (bus sèrie universal) i Firewire. L’índex d’infecció no és tan ràpida com amb els malware que utilitzen la xarxa, tot i que l’amenaça continua present i és difícil d’eradicar per complet a causa de la necessitat d’intercanviar dades entre sistemes.

  • Recursos compartits de xarxa. Quan es va proporcionar un mecanisme perquè els equips es connectaran entre si directament a través d’una xarxa, els creadors de malware van trobar un altre mecanisme de transport que tenia potencial per superar les capacitats dels mitjans extraïbles per tal de propagar un codi malintencionat. Un sistema de seguretat implementat de forma incorrecta en els recursos compartits de xarxa produeix un entorn on els malware es poden replicar en un gran nombre d’equips connectats a la xarxa. Aquest mètode ha substituït en bona part a l’mètode manual d’utilitzar mitjans extraïbles.

  • Xarxes punt a punt (P2P). Perquè es produeixin transferències d’arxius P2P, un usuari d’instal·lar un component client de l’aplicació P2P que utilitzaràs la xarxa.

Per obtenir informació addicional, consulteu la secció “Característiques de malware” de la Guia de defensa en profunditat antivirus en www.microsoft.com/technet/security/topics/serversecurity/avdind\_2.mspx\#EQAAC (pot estar en anglès).

el que no s’inclou en la definició de malware

Hi ha una d’amenaça que no es considera malware perquè no són programes informàtics creats amb mala intenció. No obstant això, aquestes amenaces sí que poden tenir implicacions financeres i de seguretat per a les mitjanes empreses. En la següent llista es descriuen alguns dels exemples més freqüents d’amenaces que podrien prendre en consideració i entendre quan es desenvolupa una estratègia de seguretat completa.

  • Programari de virus. Les aplicacions de simulació de virus estan dissenyades per provocar un somriure o, com a molt, per fer-li perdre el temps a algú. Aquestes aplicacions existeixen des que la gent va començar a utilitzar els equips.Ja que no s’han desenvolupat amb mala intenció i s’identifiquen clarament com una broma, no s’han considerat com malware a l’efecte d’aquesta guia. Hi ha molts exemples d’aplicacions de simulació de virus que provoquen de tot, des interessants efectes de pantalla fins divertits jocs o animacions.

  • Falsificacions. Un exemple de falsificació seria un missatge enganyós que adverteix d’un virus que en realitat no existeix. A l’igual que altres formes de malware, les falsificacions utilitzen enginyeria social amb la finalitat d’intentar enganyar els usuaris dels equips perquè duguin a terme un determinat acte. No obstant això, no hi ha cap codi d’executar en la falsificació; el falsificador normalment només intenta enganyar la víctima. Un exemple comú de falsificació és un missatge de correu electrònic o una cadena de missatges de correu que avisa que s’ha descobert un nou tipus de virus i demana que es reenviï el missatge per avisar els amics. Aquest tipus de missatges falsos fa perdre el temps a la gent, ocupa recursos de servidors de correu electrònic i consumeix l’ample de banda de la xarxa. No obstant això, les falsificacions poden provocar danys si ordenen a l’usuari que canviï la configuració de l’equip (per exemple, que elimini les claus de registre o els arxius de sistema).

  • Estafes . Un exemple comú d’estafa és un missatge de correu electrònic que intenta enganyar el destinatari perquè reveli informació personal important que pugui utilitzar-se amb fins il·legals (per exemple, informació de comptes bancaris). Hi ha un tipus específic d’estafa que es coneix com suplantació d’identitat (phishing) i que també es coneix com suplantació de marca o carding.

  • Correu brossa. El correu electrònic no desitjat és correu electrònic no sol·licitat que es genera per anunciar algun servei o producte. En general, aquest fenomen resulta molest, però no és un malware. No obstant, el dràstic augment de l’correu brossa que s’envia constitueix un problema per a la infraestructura d’Internet. El correu electrònic no desitjat també provoca una pèrdua de productivitat dels empleats que es veuen obligats a veure aquests missatges i a esborrar tots els dies.

  • Galetes d’Internet. Les galetes d’Internet són arxius de text que col·loquen a l’equip d’un usuari els llocs web que aquest visita. Les cookies contenen i proporcionen informació identificable sobre l’usuari als llocs web que les col·loquen en el seu equip, juntament amb qualsevol informació que els llocs desitgin retenir sobre la visita de l’usuari.

    Les cookies són eines legítimes que utilitzen molts llocs web per fer un seguiment de la informació d’al visitant. Desgraciadament, és sabut que alguns desenvolupadors de llocs web utilitzen les cookies per recopilar informació sense que l’usuari ho sàpiga. És possible que alguns enganyin als usuaris o facin cas omís de les seves directives. Per exemple, pot ser que facin un seguiment dels hàbits d’exploració a la Web en molts llocs web diferents sense informar l’usuari. D’aquesta manera, els desenvolupadors de llocs poden utilitzar aquesta informació per personalitzar els anuncis que l’usuari veu en un lloc web, el que es considera una invasió de la privacitat.

per obtenir informació més detallada sobre els malware i les seves característiques, consulteu la Guia de defensa en profunditat antivirus en Microsoft TechNet en www.microsoft.com/technet/security/topics/serversecurity/avdind\_0.mspx (pot estar en anglès).

Consideracions sobre l’administració de riscos i malware

Microsoft defineix l’administració de riscos com el procés mitjançant el qual s’identifiquen els riscos i es determina el seu impacte.

El fet d’intentar posar en marxa un pla d’administració de riscos de seguretat pot ser una sobrecàrrega per a les mitjanes empreses. Entre els possibles factors s’inclouen la falta d’experiència interna, recursos pressupostaris o instruccions per a subcontractar.

L’administració de riscos de seguretat proporciona un enfocament proactiu que pot ajudar a les mitjanes empreses a planificar les seves estratègies contra les amenaces de malware.

Un procés formal d’administració de riscos de seguretat permet que les mitjanes empreses treballin de la manera més rendible amb un nivell conegut i acceptable de risc empresarial. També proporciona una ruta clar i coherent per organitzar i donar prioritat als recursos limitats per tal d’administrar els riscos.

Per facilitar les tasques d’administració de riscos, Microsoft ha desenvolupat la Guia d’administració de riscos de seguretat, que proporciona instruccions sobre els següents processos:

  1. Valoració de riscos. Identificar i establir la prioritat dels riscos per a l’empresa.

  2. Suport per a la presa de decisions. Identificar i avaluar les solucions de control que es basen en un procés d’anàlisi de la relació cost-benefici definit.

  3. Implementació de controls. Implementar i operar les solucions de control per ajudar a reduir els riscos de les empreses.

  4. Quantificació de l’efectivitat de el programa. Analitzar el procés d’administració de riscos en relació amb l’eficàcia i comprovar que els controls proporcionen el grau de protecció esperat.

La informació detallada sobre aquest tema queda fora de l’objectiu de aquest article. No obstant això, és fonamental comprendre el concepte i els processos per poder planejar, desenvolupar i implementar una estratègia de solució dirigida als riscos de malware. A la següent figura es mostren els quatre processos principals de l’administració de riscos.

Figura 1. Els 4 processos principals de administració de riscos

Per obtenir més informació sobre l’administració de riscos, consulteu la Guia d’administració de riscos de seguretat en Microsoft TechNet en http://go.microsoft.com/fwlink/?linkid=30794 (pot estar en anglès ).

Principi de la pàgina

Desafiaments

Els atacs de malware es poden muntar a través de diferents vectors o mètodes d’atac en un punt feble específic. És recomanable que la mitjanes empreses realitzin una valoració de riscos que no només determini els seus perfils de vulnerabilitat, sinó que també ajudi a determinar el nivell de risc acceptable per a una determinada companyia. Les mitjanes empreses necessiten desenvolupar estratègies que ajudin a reduir els riscos de malware.

Entre els desafiaments per reduir els riscos de malware en una mitjana empresa s’inclouen els següents:

  • Actius comuns de sistema d’informació

  • Amenaces comuns

  • Vulnerabilitats

  • Formació d’usuaris

  • Equilibri entre l’administració de riscos i les necessitats empresarials

Actius comuns de sistema d’informació

la seguretat dels sistemes d’informació proporciona la informació fonamental per ajudar a administrar la seguretat de les mitjanes empreses. Els actius comuns de el sistema d’informació es refereixen tant als aspectes lògics com físics de la companyia. Poden ser servidors, estacions de treball, programari i llicències.

Els actius comuns de sistema d’informació són les dades de contacte empresarial dels empleats, els equips portàtils, els encaminadors, les dades de recursos humans, els plans estratègics, els llocs web interns i les contrasenyes dels empleats. Es proporciona una llista extensa en el “Apèndix A: Actius comuns de sistema d’informació” a el final d’aquest document.

Amenaces comuns

Alguns mètodes a través dels quals el malware pot posar en perill a la mitjana empresa a vegades es denominen vectors d’amenaça i representen les àrees que requereixen més atenció a l’hora de dissenyar una solució efectiva per ajudar a reduir els riscos de malware. Entre les amenaces més freqüents s’inclouen els desastres naturals, els errors mecànics, les persones malintencionades, els usuaris desinformats, l’enginyeria social, el codi per a dispositius mòbils malintencionat i els empleats descontents. Aquest ampli ventall d’amenaces constitueixen un desafiament no només per a les mitjanes empreses, sinó també per a les empreses de qualsevol dimensió.

En el “Apèndix B: Amenaces comuns” a el final d’aquest document es proporciona una àmplia llista de les amenaces que possiblement afectin les mitjanes empreses.

vulnerabilitats

les vulnerabilitats representen les deficiències en les directives i procediments de seguretat dels sistemes de TI, controls administratius, dissenys físics i altres àrees que poguessin aprofitar les amenaces per obtenir accés no autoritzat a la informació o irrompre en els processos crítics. Les vulnerabilitats són tant físiques com lògiques. Inclouen els desastres naturals, els errors mecànics, les configuracions incorrectes de programari i els errors humans. En el “Apèndix C: Vulnerabilitats” a el final d’aquest document es proporciona una àmplia llista de les vulnerabilitats que possiblement afectin les mitjanes empreses.

Formació d’usuaris

Pel que fa a la seguretat de la informació lògica i física, la major vulnerabilitat no resideix necessàriament en els problemes de programari o dels equips, sinó en els usuaris de els equips. Els empleats cometen errors terribles, com anotar les seves contrasenyes en llocs visibles, descarregar i obrir fitxers adjunts de correu electrònic que poden contenir virus i deixar l’equip encès a la nit.Ja que les accions humanes poden afectar seriosament la seguretat de l’equip, la formació dels empleats, el personal de TI i l’administració hauria de ser una prioritat. Igualment important és que el personal desenvolupi bons hàbits de seguretat. Aquests enfocaments són senzillament més rendibles per a les empreses a llarg termini. La formació hauria d’oferir als usuaris recomanacions per evitar activitats malintencionades i educar-los en relació amb les possibles amenaces i la manera d’evitar-les. Entre les pràctiques de seguretat que els usuaris haurien de tenir en compte s’inclouen les següents:

  • No respondre mai a un correu electrònic en què se sol·liciti informació personal o financera.

  • No proporcionar mai les contrasenyes.

  • No obrir fitxers adjunts de missatges de correu electrònic sospitosos.

  • no respondre a cap correu brossa o sospitós.

  • no instal·lar aplicacions no autoritzades.

  • Bloquejar els equips quan no s’estiguin utilitzant mitjançant una contrasenya que protegeixi el protector de pantalla o mitjançant el quadre de diàleg CTRL-ALT-SUPR.

  • Habilitar un tallafocs.

  • Utilitzar contrasenyes segures en els equips remots.

directives

Les directives escrites i els procediments acceptats són necessaris per ajudar a reforçar les pràctiques de seguretat. Perquè siguin eficaces, totes les directives de TI haurien d’incloure el suport dels membres de l’equip executiu i proporcionar un mecanisme d’aplicació, una manera d’informar els usuaris i una manera de formar-los. Els exemples de directives poden tractar els següents temes:

  • Com detectar malware en un equip.

  • Com informar sobre infeccions sospitoses.

  • el que els usuaris poden fer per ajudar els controladors d’incidents com, per exemple, l’última acció que va realitzar un usuari abans que s’infectés el sistema.

  • Processos i procediments per solucionar el sistema operatiu i les vulnerabilitats de les aplicacions que el malware pugui utilitzar.

  • Administració de revisions, aplicació de guies de configuració de seguretat i llistes de comprovació.

Equilibri entre administració de riscos i necessitats empresarials.

La inversió en processos d’administració de riscos ajuda a preparar a les mitjanes empreses per articular les prioritats, planejar la solució d’amenaces i tractar la propera amenaça o vulnerabilitat de l’empresa.

les limitacions pressupostàries poden estipular les despeses en seguretat de TI, però una metodologia d’administració de riscos ben estructurada, si s’utilitza de forma eficaç, pot ajudar a l’equip executiu a identificar de forma adequada els controls per proporcionar les capacitats de seguretat per a missions fonamentals.

les mitjanes empreses han de valorar el delicat equilibri que existeix entre l’administració de riscos i les necessitats empresarials. Les següents preguntes poden resultar útils a l’hora de realitzar un balanç de l’administració de riscos i les necessitats empresarials:

  • ¿La companyia configurar els seus sistemes o ho ha de fer el proveïdor de maquinari o programari? Quin seria el cost?

  • ¿S’ha d’utilitzar equilibri de càrrega o una organització per clústers per garantir una alta disponibilitat de les aplicacions? Què es necessita per posar en marxa aquests mecanismes?

  • És necessari un sistema d’alarma per a la sala de servidor?

  • ¿s’han d’utilitzar sistemes de clau electrònica per a l’edifici o la sala de servidor?

  • Quin és el pressupost de la companyia per als sistemes informàtics?

  • Quin és el pressupost de la companyia per al manteniment i el suport tecnològic?

  • Quina quantitat de diners calcula que s’ha gastat la companyia en sistemes informàtics (manteniment de maquinari / programari) durant l’últim any?

  • Quants equips hi ha al departament principal de la companyia? Té un inventari de programari i maquinari informàtic?

  • És el seu antic sistema prou potent com per executar la majoria dels programes que necessita executar?

  • Quants equips nous o actualitzats calcula que necessitaria? Quants seria l’òptim?

  • Cada usuari necessita una impressora?

Per obtenir més informació sobre l’administració de riscos, consulteu la Guia d’administració de riscos de seguretat en http://go.microsoft.com/fwlink/?linkid=30794 (pot estar en anglès).

Principi de la pàgina

Solucions

En aquesta secció s’expliquen les diferents estratègies per ajudar a administrar els riscos de malware entre els quals s’inclouen els enfocaments proactius i reactius per a directives lògiques, físiques i malware. També s’abordaran els mètodes de validació, com les eines d’elaboració d’informes i la supervisió.

Desenvolupament d’estratègies per reduir el malware

A l’hora de desenvolupar estratègies per reduir el malware és important definir els punts clau operatius necessaris en què es pot implementar la prevenció i / o detecció de malware. Quan es tracta d’administrar riscos de malware no dependrà únicament d’un sol dispositiu o tecnologia com a única línia de defensa. Els mètodes preferits haurien d’incloure un enfocament de nivells mitjançant mecanismes proactius i reactius a través de la xarxa. Els programari antivirus tenen un paper fonamental en aquest tema; encara que no haurien de ser l’únic instrument utilitzat per determinar els atacs de malware. Per obtenir més informació sobre els enfocaments de nivells, vegeu “Enfocament de la defensa de malware” a la Guia de defensa en profunditat antivirus en www.microsoft.com/technet/security/topics/serversecurity/avdind \ _3.mspx \ # E1F (pot estar en anglès).

Més endavant s’abordaran en detall els següents punts clau operatius:

  • Valoració de riscos de malware

  • Seguretat física

  • Seguretat lògica

  • Procediments i directives proactives davant reactives

  • Implementació i administració

Valoració de riscos de malware

Per valorar els riscos de malware, les mitjanes empreses han de ser conscients dels tipus d’atacs més vulnerables davant les amenaces. Com i en quina mesura estan protegits? Haurien de tenir-se en compte les següents preguntes:

  • Té la companyia un tallafocs instal·lat?

    Els tallafocs són una part important de l’perímetre de defensa. Un tallafocs de xarxa normalment serveix com a primera línia de defensa davant les amenaces externes adreçades als sistemes informàtics, xarxes i informació important d’una companyia. Les mitjanes empreses han de tenir algun tipus de tallafocs implementat, ja siguin tallafocs de programari o maquinari.

  • Disposa la companyia d’una funció d’anàlisi de detecció de vulnerabilitat interna o externa? Com s’analitza la informació detectada?

    Es recomana utilitzar una eina com Microsoft Baseline Security Analyzer (MBSA) per detectar les vulnerabilitats o configuracions incorrectes. També és possible subcontractar el procés d’anàlisi de vulnerabilitat de seguretat mitjançant la contractació de proveïdors externs per tal de valorar l’entorn de seguretat i proporcionar suggeriments per millorar el que es consideri necessari.

    Nota MBSA és una eina senzilla dissenyada per als professionals de TI que contribueixen a que les petites i mitjanes empreses determinin el seu estat de seguretat d’acord amb les recomanacions de seguretat de Microsoft. També ofereix instruccions específiques de reparació. Millori els processos d’administració de seguretat mitjançant MBSA per detectar les configuracions incorrectes de seguretat més comuns i les actualitzacions de seguretat que falten en el sistema informàtic.

  • Hi ha en marxa algun pla de l’avaluació de recuperació i còpies de seguretat?

    Assegureu-vos que hi ha plans de còpia de seguretat i que el servidor de còpia de seguretat funciona de manera eficaç.

  • Quants tipus de programari antivirus té la companyia? ¿S’ha instal·lat l’antivirus en tots els sistemes?

    Dependre d’una única plataforma antivirus pot exposar a la companyia a riscos, ja que cada paquet té els seus propis punts forts i febles.

  • La companyia disposa d’una xarxa sense fils implementada? Si és així, ¿s’ha configurat correctament i habilitat la seguretat a la xarxa sense fils?

    Fins i tot si una xarxa amb cables és completament segura, una xarxa sense fils insegura pot introduir un nivell de risc no acceptable en un entorn que, en cas contrari, seria segur. Els antics estàndards sobre sistemes sense fil, com WEP, es posen en perill fàcilment, pel que ha de realitzar-se una investigació per garantir que s’ha posat en marxa la solució de seguretat sense fils més apropiada.

  • els empleats han rebut formació sobre com evitar els malware? Han rebut formació sobre el tema de riscos de malware?

    La forma més comuna de propagació de codi maliciós implica algun tipus d’enginyeria social; i la defensa més eficaç contra les amenaces a l’enginyeria social és la formació.

  • Hi ha alguna directiva escrita sobre com impedir o gestionar les amenaces de malware?Cada quan es revisa aquesta directiva? ¿S’aplica? El personal compleix amb la directiva?

    Assegureu-vos que els usuaris reben formació sobre com evitar les amenaces i sobre la prevenció de malware. És molt important tenir tota aquesta informació documentada. Hi ha d’haver i reforçar una directiva escrita pertinent respecte als procediments i la informació anterior. S’han de realitzar revisions d’aquesta directiva quan es produeixen canvis a fi de garantir l’eficàcia i la validesa de les directives indicades.

Seguretat física

La seguretat física comporta la restricció de l’accés als equips amb la finalitat d’evitar alteracions, robatoris, errors humans i els subsegüents temps d’inactivitat que provoquen aquestes accions.

Tot i que la seguretat física és més aviat un tema de seguretat general que un problema específic de malware, és impossible protegir-se contra el malware sense un pla de defensa física eficaç per a tots els dispositius de clients, servidors i xarxes dins de la infraestructura d’una organització.

A la següent llista s’inclouen els elements més importants que cal tenir en compte per aconseguir un pla de defensa física eficaç:

  • Seguretat de l’edifici. Qui té accés a l’edifici?

  • Seguretat de el personal. Quines són les restriccions de el dret d’accés d’un empleat?

  • Punts d’accés a xarxes. Qui té accés als equips en xarxa?

  • Equips de servidor. Qui té drets d’accés als servidors?

  • Equips de l’estació de treball. Qui té drets d’accés a les estacions de treball?

Si qualsevol d’aquests elements està en perill, hi ha més risc que un malware eludeixi els límits de defensa interna i externa per infectar un host de la xarxa. La protecció de l’accés a les instal·lacions i als sistemes informàtics hauria de ser un element fonamental de les estratègies de seguretat.

Per obtenir informació més detallada, consulteu l’article “Assessor de seguretat en 5 minuts: seguretat física bàsica” en Microsoft TechNet en www.microsoft.com/technet/archive/community/columns/security/5min/5min-203.mspx (pot estar en anglès).

Seguretat lògica

les mesures de protecció de programari per a sistemes d’informació en mitjanes empreses inclouen l’accés mitjançant contrasenya i Id. d’usuari, l’autenticació i els drets d’accés; tot això és crucial per a l’administració de riscos de malware. Aquestes mesures de protecció ajuden a garantir que només els usuaris autoritzats poden realitzar accions o tenir accés a informació d’una particular estació de treball o servidor a la xarxa. Els administradors han de garantir que els sistemes estan configurats de manera coherent amb la funció de treball de l’usuari de l’equip. La configuració d’aquestes mesures de protecció pot tenir en compte el següent:

  • Limitació de programes o utilitats només per a aquells que ho necessitin pel seu lloc.

  • Augment de controls en directoris claus de sistema.

  • Augment dels nivells d’auditoria.

  • ús de directives de menor privilegi.

  • Limitació de l’ús de mitjans extraïbles, com els disquets.

  • A qui es li concediran drets administratius per al servidor de còpia de seguretat, els servidors de correu i els servidors d’arxius?

  • Qui ha de tenir accés a les carpetes de recursos humans?

  • Quin dret de privilegi es donarà a les carpetes interdepartamentals?

  • ¿Van a utilitzar una mateixa estació de treball diferents usuaris? Si és així, ¿quin nivell d’accés se’ls va a donar? ¿Els usuaris estan autoritzats per instal·lar aplicacions de programari en les seves estacions de treball?

Els Id. D’usuari, els Id. D’inici de sessió o comptes i els noms de usuaris són identificadors personals únics dels usuaris d’una xarxa o programa informàtic a què pot tenir accés més d’un usuari. L’autenticació és el procés per comprovar si una entitat o objecte és qui diu ser o el que diu ser. Els exemples inclouen la confirmació de la font i integritat de la informació com, per exemple, la comprovació d’una signatura digital d’un usuari o equip. Per millorar la seguretat, es recomana que tots els comptes d’inici de sessió tinguin dades d’autenticació de contrasenya secreta emprades per controlar l’accés a un recurs o un equip. Una vegada que l’usuari pugui iniciar sessió a la xarxa, s’han de definir els drets d’accés adequats. Per exemple, un determinat usuari pot tenir accés a una carpeta de recursos humans, però només tindrà accés de lectura i no podrà realitzar cap canvi.

Altres temes de seguretat lògica inclouen:

  • Instruccions sobre contrasenyes, com la complexitat o el venciment de contrasenyes.

  • Còpia de seguretat de programari i dades.

  • Informació confidencial / dades importants: ús de xifrat on sigui necessari.

s’han de proporcionar funcions d’autorització i autenticació adequades, corresponents a un nivell de risc acceptable i un ús adequat. L’atenció s’ha de centrar tant en els servidors com a les estacions de treball. Tots els elements de seguretat lògica anteriorment esmentats han d’estar redactats amb claredat, s’hauran d’aplicar i han d’estar disponibles per a tota la companyia com a punts de referències.

Procediments i directives proactives davant reactives

s’utilitzen dos enfocaments bàsics per ajudar a administrar el risc de malware: proactiu i reactiu. Els enfocaments proactius inclouen totes les mesures que es prenen amb l’objectiu d’evitar que els atacs que es basen en xarxes o host aconsegueixin posar en perill els sistemes. Els enfocaments reactius són aquells procediments que utilitzen les mitjanes empreses una vegada que descobreixen que els seus sistemes s’han posat en perill a causa d’un programa d’atac o un intrús com el cavall de Troia o un altre malware.

Enfocaments reactius

Si s’ha posat en perill la seguretat d’un sistema o xarxa, cal un procés de resposta a incidents. Una resposta a incidents és el mètode d’investigació d’un problema, anàlisi de la causa, minimització de l’impacte, solució de el problema i documentació de cada pas de la resposta per referència posterior.

A l’igual que totes les companyies prenen mesures per evitar futures pèrdues empresarials, també tenen en marxa plans per respondre a aquestes pèrdues en cas que les mesures proactives no fossin eficaços o no existissin. Els mètodes reactius inclouen els plans de recuperació de desastres, la reinstal·lació de sistemes operatius i aplicacions en els sistemes en perill i el canvi a sistemes alternatius en altres ubicacions. Tenir un conjunt de respostes reactives adequades preparades i llistes per implementar és tan important com tenir en marxa mesures proactives.

En el següent diagrama jeràrquic de respostes reactives es mostren els passos per gestionar els incidents de malware. En el següent text es proporciona informació addicional sobre aquests passos.

Figura 2. Jerarquia de respostes reactives

  • Protecció de la vida humana i de la seguretat de les persones. Si els equips afectats inclouen sistemes de manteniment de vida, pot ser que apagar-no sigui una opció. Potser es podrien aïllar lògicament aquests sistemes a la xarxa, canviant la configuració dels encaminadors i commutadors sense interrompre la capacitat d’assistir als pacients.

  • Contenció de el dany. La contenció de el dany causat per l’atac ajuda a limitar els danys addicionals. Protecció immediata de maquinari, programari i dades importants.

  • Valoració de el dany. Feu immediatament un duplicat dels discs durs de qualsevol servidor que hagi estat atacat i posi aquests servidors a part per una posterior anàlisi d’investigació. A continuació valori el dany.

  • Determinació de la causa d’el dany. Per determinar l’origen de l’atac és necessari conèixer els recursos als quals anava dirigit l’atac i les vulnerabilitats que es van utilitzar per obtenir accés o interrompre els serveis. Comproveu la configuració del sistema, el nivell de revisió, els registres de sistema, els registres d’auditories i les pistes d’auditories en els sistemes directament afectats, així com en els dispositius de xarxes que s’enruten el trànsit.

  • Reparació de el dany. És molt important que es repari el dany tan ràpidament com sigui possible per restablir les operacions empresarials habituals i recuperar qualsevol dada que s’hagi perdut durant l’atac.

  • Revisió de les directives de actualització i resposta. Un cop finalitzades les fases de recuperació i documentació, les directives d’actualització i resposta s’haurien de revisar per complet.

Què s’ha de fer si els sistemes de la xarxa estan infectats amb virus? En la següent llista s’inclouen exemples d’un enfocament reactiu:

  • Assegurar-se que el tallafocs funciona. Obtenir un control positiu sobre el tràfic entrant i sortint dels sistemes de la xarxa.

  • Tractar primer els més sospitosos. Netejar les amenaces de malware més comuns i, a continuació, comprovar si hi ha amenaces desconegudes.

  • Aïllar el sistema infectat. Deixar fora de la xarxa i d’Internet. Impedir que la infecció es propagui a altres sistemes de la xarxa durant el procés de neteja.

  • Investigar tècniques de neteja i control de brots.

  • descarregar les últimes definicions de virus dels proveïdors de programari antivirus.

  • Garantir que els sistemes d’antivirus s’han configurat per explorar tots els arxius.

  • Executar una exploració completa de sistema.

  • Restaurar les dades danyats o perduts.

  • Eliminar o netejar els arxius infectats.

  • Confirmar que els sistemes informàtics no contenen malware.

  • Tornar a connectar els sistemes informàtics a la xarxa.

Nota és important garantir que tots els sistemes informàtics executen programari antivirus recents i que s’executen processos automatitzats per actualitzar regularment les definicions de virus. És especialment important actualitzar el programari antivirus en els equips portàtils que utilitzen els treballadors mòbils.
Mantenir una base de dades o registre que faci un seguiment de les revisions que s’han aplicat als sistemes més importants de la companyia: sistemes accessibles des Internet, tallafocs, encaminadors interns, bases de dades i servidors de l’oficina.

Enfocaments proactius

Un enfocament proactiu per a l’administració de riscos presenta molts avantatges pel que fa a l’enfocament reactiu. En comptes d’esperar que sorgeixin els problemes i reaccionar a posteriori, es pot minimitzar la possibilitat que ocorrin. S’han de realitzar plans per protegir els actius importants de l’organització mitjançant la implementació de controls que redueixin el risc que el malware utilitzi les vulnerabilitats.

Un enfocament proactiu eficaç pot ajudar a que les mitjanes empreses redueixin el nombre d’incidents de seguretat que sorgeixin en el futur, encara que no és probable que aquests problemes desapareguin per complet. Per tant, han de continuar millorant els processos de resposta a incidents alhora que es desenvolupen enfocaments proactius a llarg termini. En la següent llista s’inclouen alguns exemples de mesures proactives que poden ajudar a administrar els riscos de malware.

  • Aplicar els últims firmware a sistemes de maquinari i encaminadors segons recomanen els proveïdors.

  • Aplicar les últimes revisions de seguretat a les aplicacions de servidor o altres aplicacions.

  • Subscripció a les llistes de correu electrònic de proveïdors relatives a la seguretat i aplicar les revisions quan es recomanin.

  • Assegurar-se que tots els sistemes informàtics de Microsoft executen programari antivirus recents.

  • Assegurar-se que els processos automatitzats que s’executen s’actualitzen regularment les definicions de virus.

    Nota És especialment important actualitzar el programari antivirus en els equips portàtils que utilitzen els treballadors mòbils.

  • Mantenir una base de dades que faci un seguiment de les revisions que s’han aplic at.

  • Revisar els registres de seguretat.

  • Habilitar tallafocs basats en host o perímetre.

  • Utilitzar un escàner de vulnerabilitat com Microsoft Baseline Security Analyzer per detectar les configuracions incorrectes de seguretat més comuns i les actualitzacions de seguretat que falten en els sistemes informàtics.

  • Utilitzar comptes d’usuari de menys privilegi (LUA). Si es posen en perill els processos de menor privilegis, causaran menys mal que els processos de major privilegi. Per tant, si s’utilitza un compte que no és d’administrador en lloc d’una d’administrador quan es completen les tasques diàries, s’ofereix una protecció addicional a l’usuari enfront d’una infecció d’un sistema principal de malware, atacs de seguretat interns o externs, modificacions intencionades o accidentals en la configuració i instal·lació de sistema i accés intencionat o accidental als documents o programes confidencials.

  • Aplicar directives de contrasenya segura. Les contrasenyes segures redueixen la probabilitat que un atacant que utilitza la força bruta adquireixi més privilegis. Normalment les contrasenyes segures tenen les següents característiques:

    • 15 o més caràcters.

    • Mai contenen noms de comptes, noms reals o noms de companyia de cap manera.

    • Mai contenen una paraula completa, argot o un altre terme que es pugui buscar fàcilment.

    • Són considerablement diferents en contingut a contrasenyes anteriors i no estan incrementades.

    • Utilitzen almenys tres dels següents tipus de caràcters:

      • Majúscules (a, b, c …)

      • Minúscules (a, b, c …)

      • Números (0, 1, 2 …)

      • Símbols no alfanumèrics (@, &, $ .. .)

      • Caràcters Unicode (€, ƒ, λ …)

Per obtenir més informació sobre les directives de contrasenyes, consulteu el tema “Pràctiques recomanades per a contrasenyes “en Microsoft TechNet en http://technet2.microsoft.com/WindowsServer/en/Library/e903f7a2-4def-4f5f-9480-41de6010fd291033.mspx?mfr=true (pot estar en anglès).

Defensa en profunditat

Un enfocament proactiu per a l’administració de riscos de malware en un entorn de mitjana empresa hauria d’incloure l’ús d’un enfocament de defensa en profunditat en nivells per ajudar a protegir els recursos de les amenaces externes i internes. La defensa en profunditat (de vegades coneguda com seguretat en profunditat o seguretat multinivell) es utilitza per descriure la distribució per nivells de les contramesures de seguretat per formar un entorn de seguretat unificat sense un sol punt d’error. els nivells de seguretat que formen l’estratègia de defensa en profunditat han d’incloure la implementació de mesures proactives des dels encaminadors externs fins la ubicació dels recursos ia tots els punts intermedis. La implementació de diversos nivells de seguretat ajuda a garantir que si un nivell està en perill, la resta de nivells proporcionarà la seguretat necessària per protegir els recursos.

Aquesta secció aborda el model de seguretat de defensa en profunditat que és un excel·lent punt de partida per comprendre aquest concepte. Aquest model identifica set nivells de defensa de seguretat dissenyats per garantir que qualsevol intent de posar en perill la seguretat de les mitjanes empreses es toparà amb un sòlid conjunt de defenses. Cada conjunt pot ajudar a detectar els atacs en nivells molt diferents.

Es poden modificar les definicions detallades de cada nivell en funció dels diferents requisits i prioritats de seguretat de les companyies. A la següent figura es presenten els diferents nivells de el model de defensa en profunditat.

Figura 3. Model de seguretat de defensa en profunditat

  • Dades. Els riscos en el nivell de dades sorgeixen per les vulnerabilitats que un atacant pogués haver utilitzat per accedir a les dades de configuració, dades de l’organització o qualsevol dada exclusiu d’un dispositiu que utilitzi l’organització.

  • Aplicació. Els riscos en el nivell d’aplicació sorgeixen per les vulnerabilitats que un atacant pogués haver utilitzat per accedir a les aplicacions que s’executen. Qualsevol codi executable que un creador de malware pugui empaquetar fora de el sistema operatiu podria servir per atacar un sistema.

  • Host. Normalment aquest nivell és l’objectiu dels proveïdors que proporcionen paquets de serveis i revisions per fer front a les amenaces de malware. Els riscos en aquest nivell sorgeixen pels atacants que utilitzen les vulnerabilitats dels serveis que ofereix el dispositiu o sistema principal.

  • Xarxa interna. Els riscos en les xarxes internes de les empreses afecten a bona part a les dades importants transmesos a través de xarxes d’aquest tipus. Els requisits de connectivitat per a les estacions de treball dels clients en aquestes xarxes internes comporten una sèrie de riscos.

  • Xarxa perimetral. Els riscos associats a el nivell de xarxa perimetral sorgeixen perquè un atacant obté accés a les xarxes d’àrea extensa (WAN) i els nivells de rede que connecten.

  • Seguretat física. Els riscos en el nivell físic sorgeixen perquè un atacant obté accés físic a un actiu físic.

  • Directives, procediments i conscienciació. Les mitjanes empreses necessiten posar en marxa procediments i directives al voltant de tots els nivells de el model de seguretat per complir i mantenir els requisits de cada nivell.

Els nivells de dades, aplicació i host es poden combinar en dues estratègies de defensa per ajudar a protegir els clients i servidors de les companyies. Encara que aquestes defenses comparteixen una sèrie d’estratègies comunes, hi ha suficients diferències a l’hora d’implementar les defenses de servidors i clients com per garantir un enfocament de defensa únic per a cadascuna d’elles.

El nivell perimetral i el de xarxa interna també es poden combinar en una estratègia de defenses de xarxa comuna perquè les tecnologies implicades són les mateixes per als dos nivells. Els detalls d’implementació variaran en cada nivell en funció de la posició dels dispositius i les tecnologies en la infraestructura de l’organització. Per obtenir més informació sobre el model de defensa en profunditat, consulteu el “Capítol 2: Amenaces de malware” de la Guia de defensa en profunditat antivirus en http://go.microsoft.com/fwlink/?LinkId=50964 (pot estar en anglès).

Implementació i administració

les estratègies per a l’administració de riscos de malware poden abastar totes les tecnologies i enfocaments abordats fins ara en aquest document.Es recomana implementar un programari antivirus adequat i fiable en tots els sistemes. Windows Defensar, una eina de Microsoft que l’ajuda a seguir sent productiu mitjançant la protecció de l’equip contra els elements emergents, les amenaces de seguretat i la reducció de rendiment causades per spyware o un altre programari potencialment no desitjat, s’ha d’utilitzar juntament amb un programari antivirus . De fet, haurien d’implementar tan aviat com sigui possible després d’instal·lar el sistema operatiu. S’han d’aplicar les últimes revisions de programari antivirus immediatament i s’han de configurar per mantenir l’eficàcia a l’hora de detectar i aturar els malware. Ja que no és aconsellable dependre d’un únic enfocament com a solució de seguretat total, els tallafocs, portes d’enllaç, deteccions d’intrusió i altres tecnologies de solucions de seguretat de les que s’han parlat en seccions anteriors haurien consolidar-se en combinació amb el programari antivirus .

En aquesta secció s’abordarà la validació, supervisió i elaboració d’informes i les tecnologies disponibles.

Validació

Un cop estudiats i implementats els enfocaments i les tecnologies que s’han identificat anteriorment per a l’administració de riscos de malware, de quina manera es pot garantir que s’estan implementant de forma eficaç?

per a validar una solució proposada, utilitzeu les següents eines que ajuden a validar l’entorn de sistema i de la xarxa:

  • Antivirus. Explori tots els sistemes a la recerca de virus mitjançant un programari antivirus amb les definicions d’arxius de signatures més recents.

  • Windows Defensar. A través de Windows Defensar, explori tots els sistemes a la recerca de spyware i altres programari possiblement no desitjats.

  • Microsoft Baseline Security Analyzer (MBSA). Explori tots els sistemes amb MBSA per identificar els errors de configuració de seguretat més freqüents. Podeu obtenir més informació al lloc web de Microsoft Baseline Security Analyzer en http://go.microsoft.com/fwlink/?linkid=17809 (pot estar en anglès).

A més, s’han de comprovar i verificar totes les comptes creades recentment amb permisos d’accés adequat per garantir que funcionen correctament.

Una vegada que s’han validat les estratègies i les tecnologies implementades, s’han d’aplicar revisions de programari i maquinari quan sigui necessari per aconseguir una eficàcia de seguretat contínua. Els usuaris, i especialment el personal de TI, han d’estar sempre a el dia de les últimes actualitzacions.

Supervisió i elaboració d’informes

La supervisió contínua dels dispositius de la xarxa és fonamental parar ajudar a detectar els atacs de malware. La supervisió pot ser un procés complex. Requereix un recull d’informació de nombroses fonts (per exemple registres de tallafocs, encaminadors, commutadors i usuaris) per recopilar una línia base de comportament “normal” que pugui utilitzar-se per identificar un comportament anormal.

Les estratègies de supervisió i elaboració d’informes de malware en entorns de mitjana empresa han d’incloure tecnologies i formació d’usuaris.

Per tecnologies ens referim a les tecnologies de maquinari i programari que ajuden a que les mitjanes empreses supervisin i realitzin informes sobre activitats malintencionades i responguin en conseqüència. Per formació ens referim als programes de conscienciació que inclouen instruccions per als usuaris sobre la prevenció d’incidents malintencionats, la capacitat per eludir-i la manera d’elaborar informes correctament.

Tecnologies a És possible automatitzar 1 sistema de supervisió d’alerta de manera que es pugui informar d’una sospita d’infecció de malware a una ubicació central o punt de contacte adequat que, al seu torn, pugui informar els usuaris sobre com actuar. Un sistema d’alerta automatitzat minimitzaria el temps d’espera entre un avís inicial i el moment en què els usuaris prenen consciència de l’amenaça de malware, però el problema amb aquest enfocament és que pot generar alertes “positives falses”. Si ningú filtra les alertes i revisa una llista de comprovació d’informes d’activitats inusuals, és probable que les alertes adverteixin d’un malware inexistent. Aquesta situació pot conduir a l’autocomplaença, ja que els usuaris es insensibilizarán ràpidament a les alertes que es generin amb massa freqüència.

Pot resultar útil assignar a membres de l’equip d’administració de xarxa la responsabilitat de rebre totes les alertes de malware automatitzades procedents de tots els paquets d’antivirus o de programari de supervisió de sistema que utilitza la companyia. L’equip o individu responsable podrà filtrar les alertes positives falses dels sistemes automatitzats abans d’enviar les alertes als usuaris.

Es recomana revisar i actualitzar constantment les alertes de solucions de malware. Tots els aspectes de protecció de malware són importants, des de les simples descàrregues de signatures de virus automatitzades fins a realitzar canvis en la directiva d’operacions. Encara que ja s’han esmentat algunes de les següents eines, resulten essencials per a l’administració de seguretat, supervisió i elaboració d’informes:

  • Network Intrusion Detection (NID). A causa de que la xarxa perimetral és una part altament exposada de la xarxa, és de vital importància que els sistemes d’administració de xarxa puguin detectar els atacs i respondre el més aviat possible.

  • Microsoft Baseline Security Analyzer (MBSA) Millori els processos d’administració de seguretat amb MBSA per detectar les configuracions de seguretat incorrectes més comuns i les actualitzacions de seguretat que falten en els sistemes informàtics.

  • Escàner de signatures d’antivirus. Actualment la majoria dels programes de programari antivirus utilitzen aquesta tècnica, el que implica buscar l’objectiu (equip amfitrió, unitat de disc o arxius) d’un patró que pugui representar el malware.

  • Escàners de portes d’enllaç SMTP. Aquestes solucions d’examen de correu electrònic basades en SMTP (protocol simple de transferència de correu) se solen conèixer com solucions de portes d’enllaç d’antivirus. Tenen l’avantatge de treballar amb tots els servidors de correu electrònic SMTP en lloc d’estar lligat a un producte de servidor de correu electrònic específic.

  • Arxius de registre. Arxius que enumeren els detalls dels accessos a arxius que s’emmagatzemen i guarden en un servidor. L’anàlisi dels arxius de registre pot revelar dades útils sobre el trànsit del lloc web.

  • Visor de successos. Eina administrativa que informa d’errors i altres successos com, per exemple, errors de el controlador, errors d’arxiu, inicis de sessió i tancaments de sessió.

  • Microsoft Windows Defensar. Programa que ajuda a protegir l’equip davant els elements emergents, la reducció de l’rendiment i les amenaces de seguretat causades per spyware o un altre programari no desitjat. Ofereix protecció en temps real, un sistema de supervisió que recomana accions davant spyware quan el detecta i una nova interfície optimitzada que minimitza les interrupcions i ajuda als usuaris a mantenir la seva productivitat.

  • Utilitzeu la protecció de seguretat dinàmica d’Internet Explorer 7.

Entre les eines addicionals recomanades que ajuden a explorar i aplicar les últimes actualitzacions o solucions s’inclouen:

  • Microsoft Windows Server Update Services (WSUS) proporciona una solució global per a les actualitzacions d’administració en la xarxa de les mitjanes empreses.

  • Microsoft Systems Management Server 2003 SP 1 proporciona una solució global per a l’administració de la configuració i els canvis de la plataforma Microsoft, possibilitant que les organitzacions proporcionin actualitzacions i programari significatius als usuaris de forma ràpida i rendible.

Penseu subscriure a qualsevol revisió nova que s’apliqui a la seva organització. Per rebre aquestes notificacions de forma automàtica, pot subscriure als butlletins de seguretat de Microsoft a http://go.microsoft.com/fwlink/?LinkId=21723.

Formació d’usuaris a Com ja s’ha esmentat en una secció anterior d’aquest document, tots els usuaris han de rebre formació sobre els malware i les seves característiques, la gravetat de les seves amenaces potencials, les tècniques d’evasió i la formes de propagació dels malware i els riscos que aquests comporten. La formació d’usuaris també ha d’incloure la conscienciació de les directiva i procediments que s’apliquen a l’administració d’incidents de malware com, per exemple, com detectar un codi maliciós en un equip, com informar d’infeccions sospitoses i el que poden fer els propis usuaris per ajudar els administradors d’incidents. Les mitjanes empreses haurien de fer sessions de formació sobre estratègies per administrar els riscos de malware dirigides a el personal de TI implicat en la prevenció d’incidents de malware.

Principi de la pàgina

Resum

El malware és una àrea complexa i en constant evolució de la tecnologia informàtica. De tots els problemes que s’han trobat en la TI, pocs són tan freqüents i constants com els atacs de malware i els costos associats a combatre’ls. Si es comprèn com funcionen, com evolucionen en el temps i els tipus d’atacs que utilitzen, és possible ajudar les mitjanes empreses a tractar el problema de manera proactiva i crear processos reactius més eficaços i eficients.El malware utilitza tantes tècniques dissenyades per crear, distribuir i utilitzar sistemes informàtics que resulta difícil entendre com un sistema pot estar prou segur com per resistir tals atacs. No obstant això, el fet de comprendre els desafiaments i aplicar estratègies per administrar els riscos de malware possibilita que les mitjanes empreses administrin els seus sistemes i infraestructura de xarxes de manera que es redueixi la possibilitat d’un atac tingui èxit.

principi de la pàgina

apèndix a: actius comuns de sistema d’informació

en aquest apèndix s’enumeren els actius de el sistema d’informació que habitualment es troben a les mitjanes empreses de diferents tipus. No pretén ser exhaustiva i, probablement, aquesta llista no representi tots els actius presents en l’entorn exclusiu d’una organització. Es proporciona com a llista de referència i punt de partida per ajudar a la mitjanes empreses a posar-se en marxa.

Taula A.1. Llista dels actius comuns de sistema d’informació

Classe d’actiu Descripció de el nivell més alt de l’actiu Definició de el següent nivell (si cal) Valor de l’actiu (5 és el més alt)
Tangible Infraestructura física Centres de dades 5
Tangible Infraestructura física Servidors 3
Tangible Infraestructura física Equips d’escriptori 1
Tangible Infraestructura física Equips portàtils 3
Tangible Infraestructura física PDA 1
Tangible Infraestructura física Telèfons mòbils 1
Tangible Infraestructura física Soft mari d’aplicació de servidor 1
Tangible Infraestructura física Programari d’aplicació d’usuari final 1
Tangible Infraestructura física Eines de desenvolupament 3
Tangible Infraestructura física Enrutadores 3
Tangible Infraestructura física Commutadors de xarxes 3
Tangible Infraestructura física Aparells de fax 1
Tangible Infraestructura física PBX 3
Tangible Infraestructura física Mitjans extraïbles (cintes, disquets, CD-ROM, DVD, discs durs portàtils, dispositius d’emmagatzematge PC Card, dispositius d’emmagatzematge USB, etc.) 1
Tangible Infraestructura física Sistemes d’alimentació. 3
Tangible Infraestructura física Sistemes d’alimentació ininterrompuda 3
Tangible Infraestructura física Sistemes d’extinció d’incendis 3
Tangible Infraestructura física Sistemes d’aire condicionat 3
Tangible Infraestructura física Sistemes de filtració d’aire 1
Tangible Infraestructura física Altres sistemes de control mediambientals 3
Tangible Dades d’intranet Codi font 5
Tangible Dades d’intranet Dades de recursos humans 5
Tangible Dades d’intranet Dades financeres 5
Tangible Dades d’intranet Dades de màrqueting 5
Tangible D ats d’intranet Contrasenyes dels empleats 5
Tangible Dades d’intranet Claus criptogràfiques privades dels empleats 5
Tangible Dades d’intranet claus pictogràfiques de el sistema informàtic 5
Tangible Dades d’intranet Targetes intel·ligents 5
Tangible Dades d’intranet Propietat intel·lectual 5
Tangible Dades d’intranet Dades per als requisits normatius (GLBA, HIPAA, CA SB1386, Directiva de protecció de la informació de la Unió Europea, etc.

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *