- 10/11/2017
- Tempo de lectura: 53 minutos
-
- b
Publicado: 08/08/2006
Neste Páxina
Introdución
Definición de desafíos
Solucións
Resumo
Apéndice A: activos comúns do sistema de información
Apéndice B: Ameazas comúns
Apéndice C vulnerabilidades
Referencias
Introdución
Benvido a este documento da colección Guías de seguridade para empresas medianas. Microsoft espera que esta información axude a crear un ambiente informático máis seguro e máis produtivo.
Resumo executivo
como malware ou software malicioso evoluciona e que se fai máis sofisticado, tamén deben desenvolver software e hardware Tecnoloxías Para evitar ataques e ameazas de malware.
As ameazas de malware foron moi caras para as empresas de tamaño medio, tanto nas tecnoloxías de resposta e defensa de ataques e en operacións. Internet levantou moito o perfil de ameazas externas dirixidas a empresas de tamaño medio, mentres que as grandes ameazas aínda seguen sendo, por exemplo, ataques internos.
ataques internos que teñen o maior potencial de dano que derivan das actividades Do persoal interno que ocupa as posicións de maior confianza, como os administradores de rede. É moi posible que este persoal involucrado nas actividades maliciosas teñan obxectivos e obxectivos específicos, como colocar un cabalo de Troia ou explorar sistemas de ficheiros non autorizados e ao mesmo tempo un acceso lexítimo aos sistemas. En xeral, o persoal interno non ten intencións maliciosas, pero podería colocar un software malicioso involuntariamente conectando sistemas ou dispositivos infectados cunha rede interna, que poñería en perigo a integridade / confidencialidade do sistema ou podería afectar o rendemento, a dispoñibilidade e o almacenamento Capacidade do sistema.
As análises de ameazas internas e externas levaron a moitas empresas de tamaño medio a investigar os sistemas que axudan a supervisar as redes e detectar ataques, incluídos os recursos para axudar a administrar os riscos de malware en tempo real.
Información xeral
Este documento proporciona información sobre estratexias que axudan a xestionar riscos de malware en empresas de tamaño medio. O documento está dividido en catro seccións principais: Introdución, Definición, retos e solucións.
Definición
Nesta sección preténdese aclarar o que é un malware (e tamén o que non é ), as súas características e xestión de riscos.
desafíos
Esta sección describe moitos dos desafíos máis frecuentes que enfrontan empresas de tamaño medio en relación coa xestión de riscos do malware, incluíndo:
-
Activos comúns do sistema de información
-
Máis ameazas frecuentes
-
Vulnerabilidades
-
Formación final e directiva de usuario
-
Balance entre xestión de riscos e necesidades empresariais
Solucións
Esta sección proporciona información adicional sobre directivas, enfoques e estratexias entre os que se inclúen:
-
Directivas físicas e lóxicas
-
rac enfoques Tivos e proactivos para a prevención de virus e malware
-
Estratexias para reducir o malware
Nesta sección tamén se dirixe A administración e avaliación de malware riscos como parte das estratexias para evitar as ameazas do malware. A información tamén se inclúe nas ferramentas de seguimento e informes deseñadas para explorar, detectar e elaborar informes sobre actividades maliciosas.
Quen debería ler esta guía
Este documento está dirixido principalmente ao persoal e Administración de empresas de tamaño medio, co obxectivo de axudalos a comprender ameazas maliciosas, deféndense a partir de tales ameazas e responder de xeito rápido e adecuado cando se producen ataques de malware.
Principio da páxina
Definición
Malware é a abreviatura dos termos en inglés “software malicioso” (software malicioso). É un nome colectivo que inclúe virus, gusanos e cabalos de Troia que realizan tarefas maliciosas nun sistema informático. Técnicamente, un malware é un código malicioso.
As consideracións sobre diferentes tipos de malware
nas seguintes subseccións describen as diferentes categorías de malware.
Ocultar
- Cabalo de Troia. Programa que parece útil ou inofensivo, pero contén un código oculto deseñado para aproveitar ou danar o sistema no que se executa. Os cabalos de Troy (tamén chamados códigos de Trojan), xeralmente veñen ao usuario a través de mensaxes de correo electrónico que causan unha representación incorrecta da funcionalidade e propósito do programa. Os cabalos de Troy realizan esta operación que fornece unha tarefa ou unha carga maliciosa cando se executan.
Malware infeccioso
-
gusano. Un gusano usa un código de auto-pagamento malicioso que se pode distribuír automaticamente dunha computadora a outra a través das conexións de rede. Un gusano pode producir danos como consumo de sistemas locais ou recursos de rede que posiblemente causen un ataque de servizo de denegación. Algúns gusanos poden ser executados e propagados sen a intervención do usuario, mentres que outros necesitan que o usuario execute o código de verme directamente para que poida estenderse. Os gusanos tamén poden proporcionar unha carga ademais da replicación.
-
virus. Un virus usa un código escrito coa intención expresada de auto-rexistro. Un virus trata de estender dun equipo a outro que se une automaticamente a un programa de host. Pode danar hardware, software ou datos. Ao executar o servidor, o código de virus tamén se executa, infectando un novo anfitrión e, ás veces, proporcionando unha carga adicional.
Malware para beneficios
-
Spyware. Ás veces, este tipo de software é coñecido como Spybot ou software de seguimento. Spyware usa outras formas de programas e software enganosos que realizan certas actividades nunha computadora sen ter o consentimento correspondente do usuario. Estas actividades inclúen a recollida de información persoal e cambiando os parámetros de configuración do Internet Explorer. Ademais de ser unha molestia, o spyware orixina unha variedade de problemas que van dende a degradación do desempeño global do equipo ata a infracción de privacidade persoal.
Os sitios web que distribúen spyware usan diferentes trucos para que os usuarios sexan descargados e instalalos nas súas computadoras. Estes trucos inclúen a creación de experiencias de usuario enganosas e a incorporación de spyware disfrazada con outros programas que os usuarios poden desexar, como o software de intercambio de ficheiros gratuíto.
-
adware Tipo de software para mostrar a publicidade, especialmente certas aplicacións executables cuxo obxectivo principal é proporcionar contido publicitario dun xeito ou cun contexto que os usuarios non esperen ou desexen. Moitas aplicacións de Adware tamén realizan funcións de seguimento e, polo tanto, tamén poden clasificarse como tecnoloxías de seguimento. Algúns consumidores poden querer eliminar o adware se os molestan realizar tal rastreamento, se non queren ver a publicidade orixinada polo programa ou se non lles gustan os efectos que teñen sobre o rendemento do sistema. E, pola contra, algúns usuarios poden querer manter certos programas de adware se coa súa presenza o custo dun servizo ou produto desexado está subvencionado ou se proporcionan publicidade útil ou desexada, como, por exemplo, publicidade que son competitivos cos que o O usuario está a buscar ou complementar.
Para obter máis información, consulte o tema de malware en Wikipedia en http://en.wikipedia.org/wiki/Malware e tema. ¿Que é o malware? Na Guía de Defensa de Profundidade Antivirus en www.microsoft.com/technet/security/topics/serverscurity/avdind\_2.mspx *helf (pode estar en inglés).
Consideracións sobre comportamentos de malware
As distintas características que cada categoría de malware pode presentarse adoitan ser moi similares. Por exemplo, é posible que tanto un virus como un gusano usen a rede como mecanismo de transporte. Non obstante, un virus intentará infectar os ficheiros, mentres que un gusano simplemente intentará copiarse. Na seguinte sección, proporciónanse breves explicacións sobre as características típicas de malware.
ambientes obxectivos
Cando o malware intenta atacar un sistema de servidor, é necesario un número específico de compoñentes para iso O ataque ten éxito. Os seguintes compoñentes son exemplos típicos dos compoñentes que o malware pode ter que lanzar un ataque a un servidor:
-
dispositivos. Algúns malware centraranse específicamente nun tipo de dispositivo, por exemplo PC, unha computadora de Apple Macintosh ou incluso un asistente dixital persoal (PDA). Os dispositivos portátiles, como os teléfonos móbiles, están facendo cada vez máis populares dispositivos obxecto de aprendizaxe.
-
sistemas operativos.Pode ser necesario un sistema operativo específico para que o malware sexa efectivo. Por exemplo, o virus Chernobyl ou CIH dos anos 90 só podería atacar equipos con Microsoft® Windows® 95 ou Windows 98. Os sistemas operativos máis actuais son máis seguros. Desafortunadamente, o malware tamén é cada vez máis sofisticado.
-
Aplicacións. O malware pode necesitar unha aplicación específica instalada na computadora de destino para proporcionar a súa carga ou replicar. Por exemplo, o virus LFM.926 de 2002 só podería atacar se os ficheiros de Shockwave flash (.swf) poderían executarse na computadora local.
operadores
Se o malware é un virus, intentará chegar a un operador (tamén coñecido como host) para infectarlo. O número e o tipo de obxectos de transporte obxectivo varían moito entre as diferentes formas de malware. A seguinte lista proporciona exemplos dos operadores de destino máis comúns:
-
ficheiros executables. Estes operadores son os obxectivos do tipo de virus “clásico” que se substitúe ao unirse a un programa de host. Ademais dos ficheiros executables típicos que utilizan a extensión .exe, os ficheiros coas seguintes extensións tamén se poden usar con ese final :.Com, .SYS, .DLL, .OVL, .OCX e .PRG.
-
scripts. Ataques que usan scripts como operadores de concentrarse en arquivos que usan unha linguaxe de script, como Microsoft Visual Basic® Script, JavaScript, AppleScript ou Perl Script. Entre as extensións de ficheiros deste tipo inclúense: .VBS, .JS, .WSH e .PRL.
-
Macros. Estes operadores son ficheiros que soportan un idioma de script de macro a partir dunha aplicación específica como, por exemplo, unha aplicación de procesador de texto, follas de cálculo ou base de datos. Por exemplo, os virus que usan as linguas macro en Microsoft Word e Lotus Ami Pro para producir unha serie de efectos inclúen das travesuras (cambia a orde das palabras dun documento ou cambia as cores) ao malware (formatear o disco duro equipos).
Mecanismos de transporte
Un ataque pode usar un dos moitos métodos diferentes para intentar reproducir entre os sistemas informáticos. Esta sección proporciona información sobre algúns dos mecanismos de transporte máis comúns utilizados por un malware.
-
Medios extraíbles. O transmisor de virus informáticos e outros malware orixinais e probablemente máis prolífico corresponde á transferencia de ficheiros (polo menos ata hai pouco). Este mecanismo comezou con disquetes, despois trasladouse a redes e, na actualidade, está a buscar novos medios como dispositivos USB (Universal Series Bus) e Firewire. O índice de infección non é tan rápido como o malware que utiliza a rede, aínda que a ameaza aínda está presente e é difícil de erradicar por completo debido á necesidade de intercambiar datos entre sistemas.
-
Recursos de rede compartidos. Cando se proporcionou un mecanismo para que os equipos se conecten directamente a través dunha rede, os creadores de malware atoparon outro mecanismo de transporte que tiña o potencial de superar as capacidades dos medios extraíbles para propagar un código malicioso. Un sistema de seguridade implementado incorrectamente en accións de rede produce un ambiente onde o malware pode ser replicado nunha gran cantidade de equipos conectados á rede. Este método substituíu unha gran parte do método manual de usar medios extraíbles.
-
Redes punto a punto (P2P). Para producir transferencias de ficheiros P2P, un usuario debe instalar un compoñente do cliente da aplicación P2P que vai usar a rede.
Para obter información adicional, consulte a sección “Malware Características “da Guía de defensa da profundidade antivirus en www.microsoft.com/technet/security/topics/serversecurity/avdind 2.mspx \\ eqaac (pode estar en inglés).
O que non está incluído en A definición de malware
Hai unha ameaza que non se considera malware porque non son programas informáticos creados con mal intención. Non obstante, estas ameazas poden ter implicacións financeiras e de seguridade para as empresas medianas. A seguinte lista describe algúns dos exemplos máis frecuentes de ameazas que se poden ter en conta e comprender cando se desenvolve unha estratexia de seguridade completa.
-
software de virus. As aplicacións de simulación de virus están deseñadas para causar un sorriso ou, como máximo, facer que alguén perda tempo. Estas aplicacións existen xa que a xente comezou a usar os equipos.Xa que non foron desenvolvidos con mala intención e están claramente identificados como unha broma, non foron considerados como malware para os efectos desta guía. Hai moitos exemplos de aplicacións de simulación de virus que causan todo de efectos de pantalla interesantes a xogos ou animacións divertidas.
-
fakes. Un exemplo de falsificación sería unha mensaxe engañosa que advirte dun virus que realmente non existe. Do mesmo xeito que outras formas de malware, falsificacións utilizan a ingeniería social co obxectivo de tentar enganar aos usuarios do equipo a realizar un determinado acto. Non obstante, non hai código que executa en falsificación; A falsificación normalmente intenta enganar á vítima. Un exemplo común de falsificación é unha mensaxe de correo electrónico ou unha cadea de mensaxes de correo que alerta que se descubriu un novo tipo de virus e pide que a mensaxe se remite para notificar aos amigos. Estes tipos de mensaxes falsas fan que os residuos de tempo de residuos, ocupen recursos dos servidores de correo electrónico e consumen o ancho de banda da rede. Non obstante, a falsificación pode causar danos se ordenan ao usuario que cambie a configuración da computadora (por exemplo, que elimine as teclas de rexistro ou os ficheiros do sistema).
-
Scams. Un exemplo común de Scam é unha mensaxe de correo electrónico que trata de enganar ao destinatario para revelar información persoal importante que pode usarse con fins ilegais (por exemplo, información da conta bancaria). Existe un tipo específico de estafa que se coñece como suplemento de identidade (phishing) e que tamén se coñece como manchas ou suplantación de cartas.
-
correo electrónico non desexado. O correo electrónico non desexado é un correo electrónico non solicitado que se xerou para anunciar un servizo ou produto. Normalmente, este fenómeno é molesto, pero non é un malware. Non obstante, o drástico aumento do correo non desexado que se envía é un problema para a infraestrutura de Internet. O correo electrónico non desexado tamén provoca unha perda de produtividade dos empregados que están obrigados a ver esas mensaxes e borralos todos os días.
-
cookies de Internet. As cookies de Internet son ficheiros de texto que colocan na computadora dun usuario os sitios web que esta visita. As cookies conteñen e proporcionan información identificable sobre o usuario aos sitios web que os sitúan no seu computador, xunto con calquera información que os sitios desexen conservar sobre a visita do usuario.
As cookies son ferramentas lexítimas que usan moitos sitios web para rastrexar a información do visitante. Desafortunadamente, sábese que algúns desenvolvedores de sitios web usan cookies para recoller información sen que o usuario saiba. É posible que algúns usuarios enganen ou ignoren as súas directrices. Por exemplo, pode facer un seguimento dos hábitos de exploración na web en moitos sitios web diferentes sen informar ao usuario. Deste xeito, os desenvolvedores de sitios poden usar esta información para personalizar os anuncios que o usuario ve nun sitio web, que se considera unha invasión de privacidade.
Para obter información máis detallada sobre Malware e Características, consulte a Guía de Defensa de Profundidade Antivirus en Microsoft Technet en www.microsoft.com/technet/security/topics/serverscurity/avdind\_0.mspx (pode estar en inglés).
consideracións sobre A administración de riscos e malware
Microsoft define a xestión de risco como o proceso polo que se identifican os riscos eo seu impacto está determinado.
O feito de tentar lanzar un plan de xestión de risco de seguridade pode ser unha sobrecarga para empresas de tamaño medio. Os posibles factores inclúen a falta de experiencia interna, recursos orzamentarios ou instrucións para a subcontratación.
A administración de riscos de seguridade proporciona un enfoque proactivo que pode axudar ás empresas de tamaño medio a planificar as súas estratexias contra as ameazas. De malware.
Un proceso de xestión de risco de seguridade formal permite que as empresas de tamaño medio funcionen con máis rendibilidade cun nivel de risco comercial coñecido e aceptable. Tamén ofrece unha ruta clara e coherente para organizar e priorizar recursos limitados para xestionar os riscos.
Para facilitar as tarefas de xestión de riscos, Microsoft desenvolveu a Guía de Xestión de Risco de Seguridade, que proporciona instrucións sobre os seguintes procesos :
-
Avaliación de risco. Identificar e establecer a prioridade dos riscos para a empresa.
-
Apoio á toma de decisións. Identificar e avaliar as solucións de control que están baseadas nun proceso de análise da relación de custo-beneficio definido.
-
Implementación de controis. Implementar e operar solucións de control para axudar a reducir os riscos das empresas.
-
cuantificación da eficacia do programa. Analizar o proceso de xestión de risco en relación coa eficacia e comprobar que os controis proporcionen o grao de protección esperada.
Información detallada sobre este tema está fóra do obxectivo deste artigo. Non obstante, é imprescindible comprender o concepto e os procesos para planificar, desenvolver e implementar unha estratexia de solución dirixida a riscos de malware. A seguinte figura mostra os catro procesos principais de xestión de riscos.
Figura 1. Os 4 procesos principais de xestión de riscos
Para obter máis información sobre a xestión de risco, consulte a Guía de Administración de Microsoft Technet Security en http://go.microsoft.com/fwlink/?linkid=30794 (pode estar en inglés).
Principio da páxina
Os desafíos
Os ataques de malware poden ser montados a través de diferentes vectores ou métodos de ataque a un punto débil específico. Recoméndase que as empresas de tamaño medio realicen unha avaliación de risco que non só determinen os seus perfís de vulnerabilidade, senón que tamén axudan a determinar o nivel de risco aceptable para unha determinada empresa. As empresas de tamaño medio deben desenvolver estratexias que axuden a reducir os riscos de malware.
Entre os desafíos para reducir os riscos de malware nunha empresa de tamaño medio inclúen o seguinte:
-
Activos comúns do sistema de información
-
ameazas comúns
-
Vulnerabilidades
-
Formación de usuario
-
Balance entre xestión de riscos e necesidades empresariais
Información de activos do sistema común
A seguridade dos sistemas de información proporciona a información fundamental para axudar a xestionar a seguridade das empresas medianas. Os activos comúns do sistema de información refírense aos aspectos lóxicos e físicos da empresa. Poden ser servidores, estacións de traballo, software e licenzas.
Activos comúns do sistema de información son datos de contacto empresarial dos empregados, equipos portátiles, enrutadores, datos de recursos humanos, plans estratéxicos, sitios web internos e contrasinais de empregados. Unha lista extensa proporciónase no “Apéndice A: activos comúns do sistema de información” ao final deste documento.
Ameazas comúns
Algúns métodos a través dos cales o malware pode poñer en perigo A empresa mediana ás veces son chamados vectores de ameaza e representan as áreas que requiren máis atención ao deseñar unha solución efectiva para axudar a reducir os riscos de malware. Entre as ameazas máis frecuentes inclúense desastres naturais, erros mecánicos, persoas maliciosas, usuarios desinformados, enxeñaría social, código para dispositivos móbiles maliciosos e empregados insatisfeitos. Esta gran variedade de ameazas constitúen un desafío non só para empresas de tamaño medio, senón tamén para empresas de calquera dimensión.
en “Apéndice B: ameazas comúns” ao final deste documento proporciónase unha lista ampla . das ameazas que posibelmente afectan pequenas e medianas empresas.
vulnerabilidades
as vulnerabilidades representan deficiencias nos sistemas de TI e procedementos de seguridade, controis administrativos, proxectos física e outras áreas que poderían aproveitar Ameazas para obter acceso non autorizado á información ou entrar en procesos críticos. As vulnerabilidades son físicas e lóxicas. Inclúen desastres naturais, erros mecánicos, configuracións de software incorrectas e erros humanos. En “Apéndice C: vulnerabilidades” ao final deste documento, unha ampla lista de vulnerabilidades que posiblemente afectan ás empresas medianas.
Formación do usuario
Respecto á seguridade da información lóxica e física, a maior vulnerabilidade non reside necesariamente en problemas de software ou equipos, senón nos usuarios dos equipos. Os empregados realizan erros terribles, como marcar os seus contrasinais en lugares visibles, descargar e abrir anexos de correo electrónico que poden conter virus e deixar o equipo na noite.Dado que as accións humanas poden afectar seriamente a seguridade do equipo, a formación dos empregados, persoal de TI e administración debe ser unha prioridade. Igualmente importante é que o persoal desenvolve bos hábitos de seguridade. Estes enfoques son simplemente máis rendibles para empresas a longo prazo. O adestramento debe ofrecer aos usuarios recomendacións para evitar actividades maliciosas e educalas en relación a posibles ameazas e como evitalas. Prácticas de seguridade que os usuarios deben ter en conta incluír o seguinte:
-
Nunca responda a un correo electrónico no que se solicita información persoal ou financeira.
-
Nunca proporcione contrasinais.
-
Non abra anexos de mensaxes de correo electrónico sospeitoso.
-
Non responder a ningún non desexado ou correo electrónico sospeitoso.
-
Non instalar aplicacións non autorizadas.
-
Bloquear o equipo Cando non está a usar un contrasinal que protexe o protector de pantalla ou o uso da caixa de diálogo Ctrl-Alt-Delete.
-
Activar un firewall.
-
Use contrasinais seguras activadas computadoras remotas.
Directivas
Directivas escritas e procedementos aceptados que son necesarios para axudar a reforzar as prácticas de seguridade. Para ser efectivo, todas as Directivas de TI deberían incluír o apoio dos membros do equipo executivo e proporcionar un mecanismo de aplicación, unha forma de informar aos usuarios e unha forma de formalos. Exemplos de directivas poden abordar os seguintes temas:
-
Como detectar malware nunha computadora.
-
Como informar infeccións sospeitosas.
-
Que usuarios poden facer para axudar aos controladores de incidentes, como un usuario realizado antes de que o sistema estea infectado.
-
procesos e Procedementos para resolver o sistema operativo e as aplicacións vulnerabilidades que o malware pode usar.
-
xestión de opinións, guías de configuración de seguridade de aplicacións e listas de verificación.
Balance entre a xestión de riscos e as necesidades empresariais.
Investimento en procesos de xestión de riscos que axuda a preparar as empresas de tamaño medio para articular as prioridades, planificar a solución de ameazas e tratar a próxima ameaza ou vulnerabilidade da empresa .
Limitacións orzamentarias Poden estipular os gastos de seguridade de TI, pero unha metodoloxía de xestión de riscos ben estruturada, se se usa de forma eficaz, pode axudar ao equipo executivo identificar adecuadamente os controis para proporcionar as capacidades de seguridade das misións fundamentais.
As empresas de tamaño medio deben Avaliar o delicado equilibrio que existe entre a xestión de risco e as necesidades empresariais. As seguintes preguntas poden ser útiles ao realizar un equilibrio de xestión de riscos e necesidades empresariais:
-
Se a empresa debería configurar os seus sistemas ou facer o provedor ou software de hardware? Cal sería o custo?
-
Se o equilibrio de carga ou unha organización de clúster se usen para garantir a alta dispoñibilidade de aplicacións? O que é necesario para comezar estes mecanismos?
-
é un sistema de alarma necesario para a sala de servidores?
-
Os sistemas electrónicos de clave usar para o edificio ou a sala de servidores?
-
Cal é o orzamento da empresa para os sistemas informáticos?
-
Cal é a Orzamento da empresa para o mantemento e apoio tecnolóxico?
-
Que cantidade de diñeiro calcula que se gastou a empresa en sistemas informáticos (mantemento de hardware / software) durante o último ano?
-
Cantos equipos hai no departamento principal da empresa? Ten un inventario de software e hardware de ordenador?
-
¿É o seu antigo sistema poderoso o suficiente para executar a maioría dos programas que necesita para executar?
-
Cantos equipos novos ou actualizados calculan o que necesitarías? Cantos sería óptimo?
-
Pode cada usuario necesita unha impresora?
Para obter máis información sobre a administración de riscos , consulte a Guía de Xestión de Riscos de Seguridade en http://go.microsoft.com/fwlink/?linkid=30794 (pode estar en inglés).
Páxina de páxina
Solucións
Esta sección explica as diferentes estratexias para axudar a xestionar os riscos de malware entre os que se inclúen enfoques proactivos e reactivos para a lóxica, física e directivas de malware. Os métodos de validación, como as ferramentas de informes e a supervisión, tamén se abordarán.
Desenvolvemento de estratexias para reducir o malware
Ao desenvolver estratexias para reducir o malware é importante definir a clave necesaria operativa Puntos nos que se pode implementar a prevención e / ou a detección de malware. Cando se trata de xestionar riscos de malware non dependerá só dun único dispositivo ou tecnoloxía como a única liña de defensa. Os métodos preferidos deben incluír un enfoque de nivel a través de mecanismos proactivos e reactivos a través da rede. O software antivirus desempeña un papel fundamental neste tema; Aínda que non deben ser o único instrumento usado para determinar os ataques de malware. Para obter máis información sobre os enfoques de nivel, consulte a sección “Malware Defense Focus” na Guía de Defensa de Profundidade Antivirus en www.microsoft.com/technet/security/topics/serverscurity/avdind \ _3.mspx \ # e1f (pode estar en inglés) .
Os puntos clave seguinte operativos serán abordados en detalles abaixo:
-
risco de malware avaliación
-
Seguridade física
-
Seguridade lóxica
-
Procedementos e directivos proactivos versus reactivos
-
Implementación e administración
Riscos de malware Avaliación
Para avaliar os riscos de malware, as empresas de tamaño medio teñen que ser conscientes dos tipos de ataques máis vulnerables a ameazas. Como e en que medida están protexidos? Deberán terse en conta as seguintes preguntas:
-
A empresa ten un firewall instalado?
Os firewalls son unha parte importante do perímetro de defensa. Un firewall de rede normalmente serve como primeira liña de defensa contra as ameazas externas dirixidas a sistemas informáticos, redes e información importante dunha empresa. As empresas de tamaño medio deben ter algún tipo de firewall implementado, xa sexa software ou firewalls de hardware,
-
¿A empresa ten unha función de análise interna ou externa de vulnerabilidade? Como se analiza a información detectada?
Recoméndase usar unha ferramenta como o analizador de seguridade de Microsoft Baseline (MBSA) para detectar vulnerabilidades ou configuracións incorrectas. Tamén é posible subcontratar o proceso de análise de vulnerabilidade de seguridade ao contratar provedores externos para avaliar o ambiente de seguridade e proporcionar suxestións para mellorar o que se considera necesario.
Note MBSA é unha ferramenta sinxela deseñada para profesionais de TI que contribúen ás pequenas e medianas empresas para determinar o seu estado de seguridade segundo as recomendacións de seguridade de Microsoft. Tamén ofrece instrucións de reparación específicas. Mellorar os procesos de xestión de seguridade utilizando MBSA para detectar a configuración de seguridade máis comúns e as actualizacións de seguridade que faltan no sistema informático.
-
Algún plan en marcha da avaliación de recuperación e copia de seguridade?
Asegúrese de que hai plans de copia de seguridade e que o servidor de copia de seguridade funcione de forma eficaz.
-
Cantos tipos de software antivirus ten a empresa? Ten instalado o antivirus en todos os sistemas?
Reserva Unha plataforma antivirus única pode expoñer a empresa a riscos, xa que cada paquete ten os seus propios puntos fortes e débiles.
/li>
-
A empresa ten unha rede sen fíos implementada? Se é así, está configurado correctamente e habilitado a seguridade da rede sen fíos?
Aínda que un cable con cables é completamente seguro, unha rede sen fíos inseguro pode introducir un nivel de risco non aceptable nun ambiente que, se non, el sería seguro. Os antigos estándares en sistemas sen fíos, como WEP, son facilmente en perigo, polo que se debe realizar unha investigación para garantir que se lanzou a solución de seguridade sen fíos máis adecuada.
-
ten Os empregados recibiron formación sobre como evitar o malware? ¿Recibiu formación sobre o tema dos riscos de malware?
A forma máis común de propagación de malware implica algún tipo de enxeñería social; E a defensa máis efectiva contra as ameazas á ingeniería social é a formación.
-
Existe unha directiva escrita sobre como previr ou xestionar as ameazas de malware?Canto é que as reseñas directivas? ¿Aplica? O persoal cumpre coa directiva?
Asegúrese de que os usuarios reciban formación sobre como evitar ameazas e prevención de malware. É moi importante ter toda esta información documentada. Debe haber unha directiva escrita pertinente sobre os procedementos e información anterior. As revisións desta Directiva deben realizarse cando se producen cambios para garantir a eficacia e validez das directrices indicadas.
Seguridade física
O A seguridade física implica a restrición de acceso a equipos para evitar alteracións, roubos, erros humanos e posterior tempo de inactividade que causan estas accións.
Aínda que a seguridade física é máis ben un problema de seguridade que un problema de malware específico é imposible Para protexerse contra o malware sen un plan de defensa física eficaz para todos os dispositivos de clientes, servidores e redes dentro da infraestrutura dunha organización.
Na seguinte lista están incluídos os elementos máis importantes que hai que ter en conta Consegue un plan de defensa física eficaz:
-
seguridade de construción. Quen ten acceso ao edificio?
-
Seguridade do persoal. Cales son as restricións do dereito de acceso a un empregado?
-
puntos de acceso a redes. Quen ten acceso a equipos de rede?
-
Equipo de servidor. Quen ten dereitos de acceso aos servidores?
-
Equipo da estación de traballo. Quen ten dereitos de acceso ás estacións de traballo?
Se algún destes elementos está en perigo, hai máis risco que un malware cóbase límites de defensa interna e externos para infectar un servidor de rede. A protección do acceso ás instalacións e os sistemas informáticos debe ser un elemento fundamental das estratexias de seguridade.
Para obter información máis detallada, consulte o artigo “Asesor de seguridade en 5 minutos: seguridade física básica” en Microsoft Technet en www. microsoft.com/technet/archive/community/columns/security/5min/5min-203.mspx (pode estar en inglés).
Seguridade lóxica
Medidas de protección de software para medios Os sistemas de información de tamaño inclúen o acceso por contrasinal e identificación de usuario, autenticación e dereitos de acceso; Todo isto é crucial para a administración de riscos de malware. Estas medidas de protección axudan a garantir que os usuarios autorizados só poden realizar accións ou ter acceso á información dunha determinada estación de traballo ou servidor na rede. Os administradores deben garantir que os sistemas estean constantemente configurados coa función de traballo do usuario da computadora. A configuración destas medidas de protección pode ter en conta o seguinte:
-
Limitación de programas ou utilidades só para aqueles que o necesitan para a súa posición.
-
Aumentar o control no sistema de directorios clave do sistema.
-
Aumento dos niveis de auditoría.
-
Uso de políticas menores.
-
Limitación do uso de medios extraíbles, como disquetes.
-
Quen é que concederá dereitos administrativos para a copia de seguridade servidor, servidores de correo e servidores de ficheiros?
-
Quen debería ter acceso a carpetas de recursos humanos?
-
Que dereito de privilexio vai Dáse ás carpetas interdepartamentais?
-
Vai usar a mesma estación de traballo diferentes usuarios? Se é así, que nivel de acceso vai dar? Son os usuarios autorizados a instalar aplicacións de software nas súas estacións de traballo?
ID de usuario, ID de inicio de sesión ou contas e nomes dos usuarios son identificadores persoais únicos de usuarios dunha rede ou programa de ordenador para que máis dun usuario pode ter acceso. A autenticación é o proceso para comprobar se unha entidade ou obxecto é quen di que é ou o que afirma ser. Exemplos inclúen a confirmación da fonte e integridade da información, como verificar unha sinatura dixital dun usuario ou equipo. Para mellorar a seguridade, recoméndase que todas as contas de inicio de sesión teñan datos de autenticación de contrasinal secretos empregados para controlar o acceso a un recurso ou unha computadora. Unha vez que o usuario poida iniciar sesión na rede, deben definirse os dereitos de acceso adecuados. Por exemplo, un determinado usuario pode acceder a un cartafol de recursos humanos, pero só terá acceso de lectura e non pode facer ningún cambio.
Outros temas de seguridade lóxicos inclúen:
-
instrucións sobre contrasinais, como a complexidade ou a caducidade dos contrasinais.
-
Copia de seguridade de software e datos.
-
Información confidencial / Datos importantes: uso de cifrado cando sexa necesario.
Autorización adecuada e deben proporcionarse funcións de autenticación, correspondente a un nivel de risco aceptable e uso adecuado. A atención debe centrarse en ambos servidores e estacións de traballo. Todos os elementos de seguridade lóxicos mencionados anteriormente deben ser redactados claramente, deben ser aplicados e deben estar dispoñibles para toda a empresa como puntos de referencia.
Procedementos e directivos proactivos versus reactivos
Dous enfoques básicos úsanse para axudar a xestionar o risco de malware: proactivo e reactivo. Os enfoques proactivos inclúen todas as medidas tomadas co obxectivo de evitar que os ataques de redes ou anfitrións obteñan sistemas en perigo de extinción. Os enfoques reactivos son aqueles procedementos utilizados polas empresas de tamaño medio unha vez que descobren que os seus sistemas foron implementados debido a un programa de ataque ou un intruso como a troia ou outro cabalo de malware.
Reagent enfoques
Se a seguridade dun sistema ou rede foi en perigo, é necesario, é necesario un proceso de resposta ao incidente. Unha resposta ao incidente é o método de investigación dun problema, a análise da causa, a minimización do impacto, a solución do problema e a documentación de cada paso da resposta para a referencia posterior.
Como todas as empresas toman medidas Para evitar futuras perdas comerciais, tamén están en forma de plans para responder a estas perdas no caso de que as medidas proactivas non sexan efectivas ou non existían. Os métodos reactivos inclúen plans de recuperación de desastres, reinstalación de sistemas operativos e aplicacións en sistemas en perigo e cambios a sistemas alternativos noutros lugares. Ter un conxunto de respostas reactivas apropiadas preparadas e listas para implementar é tan importante como ter medidas proactivas en marcha.
No seguinte diagrama xerárquico de resposta reactiva, móstranse os pasos para xestionar incidentes de malware. No seguinte texto, proporciónase información adicional sobre estes pasos.
Figura 2. Xerarquía de respostas reactivas
-
Protección da vida humana e da seguridade das persoas. Se os equipos afectados inclúen sistemas de mantemento de vida, pode desactivarse non unha opción. Quizais os devanditos sistemas da rede poidan estar loxicamente illados, cambiando a configuración dos enrutadores e os interruptores sen interromper a capacidade de axudar aos pacientes.
-
contención de danos. A contención de danos causados por ataque axuda a limitar danos adicionais. Protección inmediata de hardware, software e datos importantes.
-
Valoración do dano. Realizar inmediatamente un duplicado dos discos duros de calquera servidor que foi atacado e poñer estes servidores separados para unha análise de investigación posterior. A continuación, remate o dano.
-
Determinación da causa do dano. Para determinar a orixe do ataque, é necesario coñecer os recursos aos que se necesitan o ataque e as vulnerabilidades que utilizaban para obter acceso ou interromper os servizos. Comprobe a configuración do sistema, o nivel de revisión, o sistema rexistra, os rexistros de auditoría e as pistas de auditoría nos sistemas afectados directamente, así como nos dispositivos de rede que ruta o tráfico.
-
Reparación do dano. É moi importante que o dano sexa reparado o máis rápido posible para restaurar as operacións comerciais habituais e recuperar datos que se perderon durante o ataque.
-
Revisión das directrices de Actualización e resposta. Unha vez que as fases de recuperación e documentación, as políticas de actualización e resposta deben ser revisadas por completo.
O que se debe facer se os sistemas da rede están infectados con virus? Na seguinte lista inclúense exemplos dun enfoque reactivo:
-
Asegúrese de que o firewall funcione. Obter un control positivo sobre o tráfico entrante e saínte dos sistemas de rede.
-
Trata o máis sospeitoso primeiro. Limpa as ameazas de malware máis comúns e, a continuación, comprobe se hai ameazas descoñecidas.
-
illar o sistema infectado. Deixalo da rede e internet. Evite que a infección se estenda a outros sistemas de rede durante o proceso de limpeza.
-
Investiga as técnicas de limpeza e control de Sprout.
-
Descargue as últimas definicións de virus dos provedores de software antivirus.
-
Asegúrese de que os sistemas antivirus foron configurados para explorar todos os ficheiros.
-
Executar unha exploración completa do sistema.
-
Restaurar datos danados ou perdidos.
-
Eliminar ou limpar os ficheiros infectados.
-
Confirme isto Os sistemas informáticos non conteñen malware.
-
Reconectar os sistemas informáticos á rede.
Nota é importante asegurar que Todos os sistemas informáticos executan software antivirus recente e que os procesos automatizados execútanse para actualizar regularmente definicións de virus. É especialmente importante actualizar o software antivirus en equipos portátiles que usan traballadores móbiles.
Manter unha base de datos ou rexistro que rastrexa as revisións que se aplicaron aos sistemas máis importantes da compañía: sistemas accesibles de Internet, firewalls, enrutadores internos, bases de datos e servidores de oficina.
Enfoques proactivos
Un enfoque proactivo para a xestión de risco presenta moitas vantaxes sobre o enfoque reactivo. En lugar de esperar a xurdir problemas e reaccionar a un posterior, pode minimizar a posibilidade de ocorrer. Debe realizarse plans para protexer os activos importantes da organización a través da implementación de controis que reducen o risco de que o malware utilice vulnerabilidades.
Un enfoque efectivo proactivo pode axudar ás empresas a medianas empresas a reducir o número de incidentes de seguridade que xorden No futuro, aínda que estes problemas non son susceptibles de desaparecer por completo. Polo tanto, deben seguir mellorando os procesos de resposta de incidentes ao desenvolver enfoques proactivos a longo prazo. A seguinte lista inclúe algúns exemplos de medidas proactivas que poden axudar a xestionar os riscos de malware.
-
Aplicar o último firmware aos sistemas de hardware e enrutadores como provedores recomendables.
-
Aplicar as últimas revisións de seguridade para aplicacións de servidor ou outras aplicacións.
-
Suscríbete ás listas de correo electrónico dos provedores en materia de seguridade e aplicación de comentarios cando se recomenda.
-
Asegúrese de que todos os sistemas informáticos de Microsoft executen software antivirus recente.
-
Asegúrese de que os procesos automatizados que executen regularmente actualizar as definicións de virus.
Nota é especialmente importante actualizar o software antivirus en ordenadores portátiles que usan os traballadores móbiles.
-
Manter unha base de datos que segue as revisións que se aplicaron ADO.
-
Revise os rexistros de seguridade.
-
Activar firewalls ou perímetro baseados no servidor.
-
Use un escáner de vulnerabilidade, como o analizador de seguridade de Microsoft Baseline para detectar a configuración de seguridade incorrecta máis comúns e as actualizacións de seguridade que faltan en sistemas informáticos.
-
Use menos privilexiado Contas de usuario (LUA). Se os procesos privilexiados máis baixos están en perigo, causarán menos danos que os procesos privilexiados máis altos. Polo tanto, se se usa unha conta de administrador en lugar dun administrador cando se completen as tarefas diarias, ofrécense a protección adicional ao usuario en comparación cunha infección a partir dun servidor de malware, ataques de seguridade internos ou externos, modificacións interesantes ou accidentais na configuración e instalación do sistema e acceso intencional ou accidental a documentos ou programas confidenciais.
-
Aplicar políticas de contrasinal seguras. Os contrasinais seguros reducen a probabilidade de que un atacante que usa a forza bruta adquira máis privilexios. Os contrasinais normalmente seguros teñen as seguintes características:
-
15 ou máis caracteres.
-
Nunca conteña nomes de conta, nomes reais ou nomes da empresa de ningún xeito.
-
Nunca conteñen unha palabra completa, jerga ou outro termo que se pode buscar facilmente.
-
Son eles considerablemente diferente en contido a contrasinais anteriores e non aumentan.
-
Use polo menos tres dos seguintes tipos de caracteres:
-
maiúsculas (a, b, c …)
-
Tiny (a, b, c …)
-
Números (0, 1, 2 …)
-
Símbolos non alfanuméricos (@, &, $ …)
-
caracteres Unicode (€, ƒ, λ …)
-
-
Para obter máis información sobre as políticas de contrasinal, consulte o tema “Prácticas recomendadas para os contrasinais” en Microsoft Technet en http://technet2.microsoft.com/WindowsServer/en/Library/e903f7a2-4def-4f5f-9480-41de6010fd291033.mspx?mfr=true (pode estar en inglés).
Defensa en profundidade
Un enfoque proactivo para a xestión de riscos de malware nun medio- O ambiente de tamaño debe incluír o uso dun enfoque de defensa en profundidade a niveis para axudar a protexer os recursos das ameazas externas e internas. Defensa de defensa (ás veces coñecida como seguridade en profundidade ou seguridade multi-nivel) utiliza para describir a distribución por niveis de seguridade contramedidas para formar un ambiente de seguridade unificado sen un único punto de erro. Os niveis de seguridade que forman a estratexia de defensa en profundidade deben incluír a implementación de medidas proactivas de enrutadores externos ata a localización dos recursos e todos Puntos intermedios. A implementación de varios niveis de seguridade axuda a garantir que se un nivel está en perigo, o resto dos niveis proporcionarán a seguridade necesaria para protexer os recursos.
Esta sección aborda o modelo de seguridade de defensa en profundidade que é Un excelente punto de partida para comprender este concepto. Este modelo identifica sete niveis de defensa de seguridade destinados a garantir que calquera intento de poñer en perigo a seguridade das empresas de tamaño medio entrará nun sólido conxunto de defensas. Cada conxunto pode axudar a detectar ataques a niveis moi diferentes.
Pode modificar as definicións detalladas de cada nivel en función dos diferentes requisitos e as prioridades de seguridade das empresas. A seguinte figura mostra os diferentes niveis do modelo de defensa en profundidade.
Figura 3. Modelo de seguridade de defensa en profundidade
-
datos. Os riscos no nivel de datos xorden polas vulnerabilidades que un atacante podería ter usado para acceder aos datos de configuración, datos da organización ou calquera dato exclusivo dun dispositivo que utilice a organización.
-
aplicación. Riscos a nivel de aplicación xorden das vulnerabilidades que un atacante podería ter usado para acceder ás aplicacións que se executan. Calquera código executable que un creador de malware pode empacar fóra do sistema operativo pode servir para atacar un sistema.
-
Host. Normalmente, este nivel é o obxectivo dos provedores que proporcionan paquetes de servizos e revisións para xestionar as ameazas de malware. Os riscos a este nivel xorden polos atacantes que utilizan as vulnerabilidades dos servizos que ofrecen o dispositivo ou o servidor.
-
rede interna. Os riscos nas redes internas das empresas afectan principalmente datos transmitidos a través de redes deste tipo. Os requisitos de conectividade para as estacións de traballo dos clientes nestas redes internas implican unha serie de riscos.
-
rede perimetral. Os riscos asociados ao nivel de rede perimetral xorden porque un atacante obtén acceso a redes extensas (WAN) e os niveis de rede que se conectan.
-
Seguridade física. Os riscos a nivel físico xorden porque un atacante obtén acceso físico a un activo físico.
-
Directivas, procedementos e conciencia. As empresas medianas necesitan iniciar procedementos e directrices en torno a todos os niveis do modelo de seguridade para cumprir e manter os requisitos de cada nivel.
Os niveis de datos, a aplicación e o servidor poden ser Combinado en dúas estratexias de defensa para axudar a protexer aos clientes e servidores de empresas. Aínda que estas defensas comparten unha serie de estratexias comúns, hai bastante diferenzas ao implementar o servidor e as defensas dos clientes para garantir un enfoque de defensa único para cada un deles.
O nivel perímetro e a rede interna tamén se pode combinar en Unha estratexia de defensas de rede común porque as tecnoloxías implicadas son as mesmas para ambos os niveis. Os detalles de implementación variarán en cada nivel dependendo da posición dos dispositivos e tecnoloxías da infraestrutura da organización. Para obter máis información sobre o modelo de defensa en profundidade, consulte “capítulo 2: ameazas de malware” da Guía de defensa de profundidade antivirus en http://go.microsoft.com/fwlink/?LinkId=50964 (pode estar en inglés).
Implementación e administración
Estratexias para a administración de riscos de malware poden abarcar todas as tecnoloxías e enfoques abordados ata agora neste documento.Recoméndase implementar software antivirus adecuado e fiable en todos os sistemas. Windows Defender, unha ferramenta de Microsoft que axuda a seguir sendo produtiva protexendo o equipo contra elementos emerxentes, ameazas de seguridade e redución de rendemento causadas por spyware ou outro software potencialmente non desexado, debe ser usado xunto co software antivirus. De feito, deberían implementarse o antes posible despois de instalar o sistema operativo. As últimas revisións de software antivirus deben ser aplicadas de inmediato e deben ser configuradas para manter a eficiencia cando se trata de detectar e deter o malware. Dado que non é aconsellable depender dun único enfoque como unha solución de seguridade total, os firewalls, as portas de ligazóns, as deteccións de intrusión e outras tecnoloxías de solucións de seguridade que foron discutidas nas seccións anteriores deben consolidarse en combinación co software antivirus.
Esta sección abordará a validación, a supervisión e a preparación dos informes e as tecnoloxías dispoñibles.
Validación
Unha vez que os enfoques e as aproximacións e as tecnoloxías que previamente identificaron para a administración de riscos de malware, como se pode garantir que están a ser implementados de forma eficaz?
Para validar unha solución proposta, use as seguintes ferramentas que axudan a validar o sistema e o ambiente da rede:
-
antivirus. Explore todos os sistemas de virus usando software antivirus coas definicións de ficheiro firmes máis recentes.
-
Windows defensor. A través de Windows Defender, explore todos os sistemas en busca de spyware e outro software posiblemente non desexado.
-
Analizador de seguridade de Microsoft Baseline (MBSA). Explore todos os sistemas con MBSA para identificar os erros de configuración de seguridade máis frecuentes. Pode obter máis información sobre o sitio web do analizador de seguridade de Microsoft Baseline en http://go.microsoft.com/fwlink/?linkid=17809 (pode estar en inglés).
Ademais, todo As contas creadas recentemente deben ser verificadas e verificadas con permisos de acceso adecuados para garantir que funcionen correctamente.
Unha vez que se deben aplicar as estratexias e as tecnoloxías implementadas, as revisións de software e hardware deben ser aplicadas cando sexa necesario acadar continuo Eficiencia de seguridade. Os usuarios e, especialmente, o persoal de TI, sempre debe estar actualizado coas últimas actualizacións.
Supervisión e informes
Supervisión continua dos dispositivos de rede é fundamental. A axuda de detectar ataques de malware. A supervisión pode ser un proceso complexo. Require unha colección de información de numerosas fontes (por exemplo, firewalls, enrutadores, interruptores e usuarios) para recoller unha liña de comportamento “normal” que se pode usar para identificar o comportamento anormal.
Estratexias de supervisión e preparación de malware Os informes de ambientes de tamaño medio deben incluír tecnoloxías e formación de usuarios.
por tecnoloxías que nos referimos a tecnoloxías de hardware e software que axudan ás empresas a medianas empresas supervisar e realizar informes sobre actividades maliciosas e responder de conformidade. Por adestramento, referimos aos programas de sensibilización que inclúen instrucións para os usuarios sobre a prevención de incidentes maliciosos, a capacidade de eludir e como preparar os informes correctamente.
Tecnoloxías
é posible automatizar un seguimento de alerta Sistema para que poida informar dunha sospeita de infección de malware nunha localización central ou punto de contacto adecuado que, á súa vez, pode informar aos usuarios sobre como actuar. Un sistema de alerta automatizado minimizaría o tempo de espera entre unha alerta inicial e no momento en que os usuarios toman coñecemento da ameaza de malware, pero o problema con este enfoque é que pode xerar alertas “falsas positivas”. Se ninguén filtra as alertas e revisa unha lista de comprobación de actividades pouco comúns, é probable que as alertas sexan destacadas por malware inexistente. Esta situación pode levar á complacencia, xa que os usuarios serán rápidamente desensibilizados para alertas que se xeran con demasiada frecuencia.
Pode ser útil asignar aos membros do equipo de administración de rede a responsabilidade de recibir todas as alertas de malware automatizadas de todos Packages de software de control de antivirus ou sistema utilizados pola empresa. O equipo ou individuo responsable pode filtrar as falsas alertas positivas de sistemas automatizados antes de enviar as alertas aos usuarios.
Recoméndase revisar e actualizar constantemente as alertas de solucións de malware. Todos os aspectos da protección contra Malware son importantes, desde as descargas sinxelas de sinaturas automáticas de virus ata facer cambios na Directiva de Operacións. Aínda que xa se mencionaron algunhas das seguintes ferramentas, son esenciais para a administración de seguridade, seguimento e informes:
-
Detección de intrusión de rede (NID). Porque a rede perimetral é unha parte altamente exposta da rede, é de vital importancia que os sistemas de administración de rede poidan detectar ataques e responder o antes posible.
-
Analizador de seguridade de Microsoft Baseline ( MBSA) mellora os procesos de xestión de seguridade con MBSA para detectar a configuración de seguridade máis comúns e as actualizacións de seguridade que faltan en sistemas informáticos.
-
Escáner de sinaturas antivirus. Actualmente, a maioría dos programas de software antivirus utilizan esta técnica, que implica a busca da lente (equipos de acollida, unidade de disco ou ficheiros) dun patrón que pode representar malware.
-
Escáneres de pasarela SMTP. Estas solucións de exame de correo electrónico baseadas en SMTP adoitan ser coñecidas como solucións de pasarela antivirus. Teñen a vantaxe de traballar con todos os servidores de correo electrónico SMTP en lugar de estar vinculados a un produto específico do servidor de correo electrónico.
-
ficheiros de rexistro. Os ficheiros listados polos detalles dos accesos a ficheiros almacenados e gardados nun servidor. A análise dos ficheiros de rexistro pode revelar datos útiles no tráfico do sitio web.
-
Visor de eventos. A ferramenta administrativa que informa erros e outros eventos, como, por exemplo, os erros do controlador, os erros de arquivos, os inicios de inicio de sesión e os peche da sesión.
-
Microsoft Windows Defender. Programa que axuda a protexer os equipos contra elementos emerxentes, redución de rendemento e ameazas de seguridade causadas por spyware ou outro software non desexado. Ofrece protección en tempo real, un sistema de supervisión que recomenda accións contra spyware cando o detecta e unha nova interface optimizada que minimiza as interrupcións e axuda aos usuarios a manter a súa produtividade.
-
Use o Protección de seguridade dinámica de Internet de Internet Explorer 7.
Entre as ferramentas adicionais recomendadas que axudan a explorar e aplicar as últimas actualizacións ou solucións inclúen:
-
Os servizos de actualización de Microsoft Windows Server (WSUS) proporciona unha solución global para as actualizacións de administración na rede de empresas medianas.
-
Microsoft Systems Management Server 2003 SP 1 ofrece unha solución global Para a xestión de configuración e os cambios de plataforma de Microsoft, permitindo ás organizacións proporcionar actualizacións e software significativos aos usuarios de xeito rápido e rendible.
Considere a subscrición a calquera nova revisión que se aplica á súa organización. Para recibir estas notificacións automaticamente, pode subscribirse a Microsoft Security Boletines en http://go.microsoft.com/fwlink/?LinkId=21723
Formación de usuario
Como xa se mencionou nunha sección anterior deste documento, Todos os usuarios deben recibir formación en malware e as súas características, a gravidade das súas posibles ameazas, as técnicas de evasión e as formas de propagación de malware e riscos que implican. A formación do usuario tamén debe incluír a conciencia da Directiva e os procedementos que se aplican á administración de incidentes de malware, como a detección de malware nunha computadora, como informar infeccións sospeitosas e que os usuarios poden facer para axudar aos administradores de incidentes. As empresas de tamaño medio deben realizar sesións de adestramento en estratexias para administrar os riscos de malware dirixidos a TI persoal implicado na prevención de incidentes de malware.
Principio da páxina
Resumo
Malware é unha área complexa e constante evolucionada de tecnoloxía informática. De todos os problemas que se atoparon en ti, poucos son tan frecuentes e constantes como ataques de malware e os custos asociados ao combatelos. Se entende como funcionan, como evolucionan ao longo do tempo e os tipos de ataques que utilizan, é posible axudar ás empresas de tamaño medio a tratar de forma proactiva e crear procesos reactivos máis eficaces e eficientes.Malware usa tantas técnicas deseñadas para crear, distribuír e usar sistemas informáticos que son difíciles de entender como un sistema pode ser o suficientemente seguro como para resistir estes ataques. Non obstante, o feito de comprender os retos e aplicar estratexias para administrar os riscos de malware fai posible que as empresas de tamaño medio administren os seus sistemas e infraestrutura de rede para que a posibilidade dun ataque sexa reducida.
arriba da páxina
Apéndice a: activos comúns do
Neste apéndice os activos do sistema de información están listados que normalmente se atopan en empresas de tamaño medio de diferentes tipos. Non ten a intención de ser exhaustiva e, probablemente, esta lista non representa todos os activos presentes no ambiente exclusivo dunha organización. Ofrécese como unha lista de referencia e punto de partida para axudar ás empresas de tamaño medio a iniciar.
Táboa A.1. Lista de activos comúns do sistema de información
clase activa | Descrición do máis alto nivel do activo | definición do seguinte nivel (se é necesario) | valor de activos (5 é o máis alto) | ||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Tangible | Infraestrutura física | Centros datos | 5 | Infraestrutura física | servidores | 3 | |||||||
Tangible | Infraestrutura física | Equipo de escritorio | 1 | ||||||||||
Tangible | Infraestrutura física | Equipo portátil | 3 | ||||||||||
Tangible | Infraestrutura física | PDA | 1 | Tangible | Infraestrutura física | Teléfonos móbiles | 1 | ||||||
Tangible | Infraestrutura física | Soft Ware of Server Application | 1 | Tangible | Infraestrutura física | Software de solicitude de usuario final | 1 | ||||||
Tangible | Infraestrutura física | Ferramentas de desenvolvemento | 3 | ||||||||||
Tangible | Infraestrutura física | Routers | 3 | ||||||||||
Tangible | Infraestrutura física | interruptores de rede | 3 | Tangible | físico Infraestructura | Dispositivos de fax | 1 | Tangible | Infraestrutura física | PBX | 3 | ||
Tangible | Infraestrutura física | Medios extraíbles (cintas, disquetes, CD-ROM, DVD, discos duros portátiles, dispositivos de almacenamento de tarxetas de PC, dispositivos de almacenamento USB, etc.) | 1 | Tangible | Infraestrutura física | Sistemas de potencia. | 3 | ||||||
Tangible | Infraestrutura física | Sistemas de potencia ininterrompida | 3 | ||||||||||
Tangible | Infraestrutura física | Sistemas de extinción de incendios | 3 | ||||||||||
Tangible | Infraestrutura física | Sistemas de aire acondicionado | Tangible | Infraestrutura física | Sistemas de filtración de aire | 1 | Tangible | Infraestrutura física | Outros sistemas de control ambiental | 3 | |||
Tangible | Intranet Data | Código fonte | 5 | ||||||||||
Tangible | Datos de Intranet | Datos de recursos humanos | 5 | ||||||||||
Tangible | Datos de Intranet | Datos financeiros | 5 | ||||||||||
Tangible | Datos de Intranet | Marketing Data | 5 | ||||||||||
Tangible | D Intranet Atos | Contrasinal de empregados | Tangible | Datos de Intranet | Claves criptográficas privadas dos empregados | 5 | Tangible | Intranet Data | Teclas pictográficas do sistema informático | 5 | |||
Tangible | Datos de Intranet | tarxetas intelixentes | 5 | ||||||||||
Tangible | Datos de propiedade intelectual | 5 | |||||||||||
Tangible | Datos de Intranet | Datos para os requisitos reguladores (GLBA, HIPAA, CA SB1386, Directiva para a protección da información da Unión Europea, etc |