- 10/11/2017
- Tempo di lettura: 53 minuti
-
- B
Pubblicato: 08/08/2006
su questo Pagina
Introduzione
Definizione di sfide
Soluzioni
Sommario
Appendice A: Attività comuni del sistema informativo
Appendice B: minacce comuni
Appendice C Vulnerabilità
Riferimenti
Introduzione
Benvenuti a questo documento dalle guide di sicurezza della collezione per le medie imprese. Microsoft si aspetta che queste informazioni ti aiuti a creare un ambiente informatico più sicuro e più produttivo.
Sommario esecutivo
Come malware o software dannoso si evolve e diventa più sofisticato, devono anche sviluppare software e hardware Tecnologie per evitare attacchi e minacce malware.
Le minacce di malware sono state molto costose per le imprese di medie dimensioni, sia nelle tecnologie di risposta e della difesa degli attacchi che nelle operazioni. Internet ha notevolmente sollevato il profilo delle minacce esterne volte a società di medie dimensioni, mentre le grandi minacce continuano ad essere, ad esempio, attacchi interni.
Attacchi interni che hanno il maggior potenziale del danno che derivano dalle attività dello staff interno che occupano le posizioni della massima fiducia, come gli amministratori di rete. È molto probabile che questo personale sia coinvolto in attività dannose abbiano obiettivi e obiettivi specifici, come collocare un cavallo trojan o esplorare sistemi di file system non autorizzati e allo stesso tempo un legittimo accesso ai sistemi. In generale, lo staff interno non ha intenzioni maliziose ma potevano effettuare un software dannoso da sistemi o dispositivi involontariamente infetti da una rete interna, che metterebbe in pericolo l’integrità / riservatezza del sistema o potrebbe influenzare le prestazioni, la disponibilità e / o la memoria Capacità del sistema.
analisi di minacce interne ed esterne hanno portato a molte società di medie dimensioni per indagare sui sistemi che aiutano a supervisionare le reti e rilevare attacchi, comprese le risorse per aiutare a somministrare i rischi di malware in tempo reale.
Informazioni generali
Questo documento fornisce informazioni sulle strategie che aiutano a gestire i rischi malware nelle società di medie dimensioni. Il documento è diviso in quattro sezioni principali: introduzione, definizione, sfide e soluzioni.
definizione
In questa sezione è destinata a chiarire cos’è un malware (e anche cosa non è ), le sue caratteristiche e la gestione dei rischi.
SFIDE
Questa sezione descrive molte delle sfide più frequenti affrontate da società di medie dimensioni in relazione alla gestione dei rischi del malware, tra cui:
-
Comune beni del sistema informativo
-
più frequenti minacce
-
vulnerabilità
-
Formazione utente finale e direttiva
-
Bilancia tra gestione dei rischi e esigenze aziendali
-
Comune beni del sistema informativo
-
più frequenti minacce
-
vulnerabilità
-
Formazione utente finale e direttiva
-
Bilancia tra gestione dei rischi e esigenze aziendali
>
Soluzioni
Questa sezione fornisce ulteriori informazioni sulle direttive, gli approcci e le strategie tra cui sono inclusi:
-
Direttività fisiche e logiche
-
rac approcci Tivos e proattivo per la prevenzione del virus e malware
-
strategie per ridurre il malware
In questa sezione è anche affrontato L’amministrazione e la valutazione del malware rischiano come parte delle strategie per prevenire le minacce di malware. Le informazioni sono inoltre fornite sugli strumenti di monitoraggio e di reporting progettati per esplorare, rilevare ed elaborare rapporti sulle attività dannose.
Chi deve leggere questa guida
Questo documento è principalmente finalizzato allo staff IT e Amministrazione di aziende di medie dimensioni, con lo scopo di aiutarli a comprendere minacce dannose, difendersi da tali minacce e rispondere rapidamente e adeguatamente quando si verificano attacchi di malware.
Principio della pagina
Definizione
Malware è l’abbreviazione dei termini in inglese “Software dannoso” (software dannoso). È un nome collettivo che include virus, worm e cavalli trojan che eseguono espressamente compiti malevoli in un sistema informatico. Tecnicamente, un malware è un codice dannoso.
Considerazioni su diversi tipi di malware
nelle seguenti sottosezioni descrivono le diverse categorie di malware.
Nascondere
- cavallo di trojan. Programma che sembra utile o innocuo ma contiene un codice nascosto progettato per trarre vantaggio o danneggiare il sistema su cui viene eseguito. I cavalli di Troy (chiamati anche codici di Troia), di solito vengono all’utente attraverso i messaggi di posta elettronica che causano una rappresentazione errata delle funzionalità e dello scopo del programma. I cavalli di Troy eseguono questa operazione fornendo un compito o un carico dannoso quando vengono eseguiti.
malware infettivo
-
worm. Un worm utilizza un codice di pagamento auto malizioso che può essere distribuito automaticamente da un computer all’altro attraverso le connessioni di rete. Un verme può produrre danni come consumo di sistema locale o risorse di rete che possono causare un attacco di servizi di rifiuto. Alcuni worm possono essere eseguiti e propagati senza l’intervento dell’utente, mentre altri hanno bisogno dell’utente per eseguire direttamente il codice del verme per essere in grado di diffondersi. I worm possono anche fornire un carico in aggiunta alla replica.
-
virus. Un virus utilizza un codice scritto con l’intenzione espressa di auto-registrazione. Un virus cerca di diffondersi da una squadra all’altra allegata automaticamente a un programma host. Può danneggiare hardware, software o dati. Quando si esegue l’host, viene anche eseguito il codice virus, infettando il nuovo host e, a volte, fornendo un carico aggiuntivo.
malware per i vantaggi
-
Spyware. A volte, questo tipo di software è noto come spybot o software di tracciamento. Spyware utilizza altre forme di programmi e software ingannevoli che eseguono determinate attività su un computer senza avere il consenso dell’utente corrispondente. Queste attività comprendono la raccolta di informazioni personali e la modifica dei parametri di configurazione di Internet Explorer. Oltre ad essere un fastidio, lo spyware ha origine a una varietà di problemi che vanno dal degrado della performance generale del team alla violazione della privacy personale.
Siti Web che distribuiscono spyware utilizzano trucchi diversi per ottenere che gli utenti scaricarli e installali sui loro computer. Questi trucchi includono la creazione di esperienze degli utenti ingannevoli e l’incorporazione di spyware dissuassata con altri programmi che gli utenti potrebbero desiderare, come il software di scambio di file gratuito.
-
adware Tipo di software per mostrare pubblicità, in particolare alcune applicazioni eseguibili il cui scopo principale è quello di fornire contenuti pubblicitari in un modo o con un contesto che gli utenti non si aspettano o desiderano. Molte applicazioni adware eseguono anche funzioni di tracciamento e, pertanto, possono anche essere classificate come tecnologie di follow-up. Alcuni consumatori potrebbero volere eliminare l’adware se li infastidisce di eseguire tali monitoraggio, se non vogliono vedere la pubblicità originata dal programma o se non gli piace gli effetti che hanno circa la performance del sistema. E al contrario, alcuni utenti potrebbero voler mantenere determinati programmi adware se con la loro presenza il costo di un servizio o di un prodotto desiderato è sovvenzionato o se forniscono pubblicità utili o desiderata, ad esempio, annunci pubblicitari competitivi con cui il L’utente è ricercando o completato.
Per ulteriori informazioni, vedere il tema di malware su Wikipedia in http://en.wikipedia.org/wiki/Malware e tema. Cos’è il malware? Nella Guida alla Difesa Profondità antivirus su www.microsoft.com/technet/security/topics/serverrscurity/avdind\_2.mspx\\Helf (potrebbe essere in inglese).
Considerazioni sui comportamenti del malware
Le diverse caratteristiche che ogni categoria di malware può essere presente di solito sono molto simili. Ad esempio, è possibile che sia un virus che un worm utilizzino la rete come meccanismo di trasporto. Tuttavia, un virus cercherà di infettare i file mentre un verme cercherà semplicemente di copiare se stesso. Nella prossima sezione, vengono fornite brevi spiegazioni delle tipiche funzionalità di malware.
Ambienti oggettivi
Quando il malware tenta di attaccare un sistema host, è necessario un numero specifico di componenti L’attacco ha successo. I seguenti componenti sono esempi tipici dei componenti che il malware potrebbe essere necessario avviare un attacco su un host host:
-
dispositivi. Alcuni malware si concentreranno specificamente su un tipo di dispositivo, ad esempio PC, un computer Apple Macintosh o anche un assistente digitale personale (PDA). I dispositivi portatili, come i telefoni cellulari, stanno diventando dispositivi di destinazione sempre più popolari.
-
Sistemi operativi.Potrebbe essere necessario un sistema operativo specifico in modo che il malware sia efficace. Ad esempio, il virus di Chernobyl o CIH degli anni ’90 potrebbe solo attaccare le attrezzature con Microsoft® Windows® 95 o Windows 98. I sistemi operativi più recenti sono più sicuri. Sfortunatamente, il malware è anche sempre più sofisticato.
-
Applicazioni. Il malware potrebbe aver bisogno di un’applicazione specifica installata sul computer di destinazione per fornire il carico o la replica. Ad esempio, il virus del 2002 LFM.926 potrebbe attaccare solo se i file Shockwave Flash (.swf) potrebbero essere eseguiti sul computer locale.
Carriers
Se il malware è un virus, cercherà di raggiungere un oggetto portante (noto anche come host) per infettarlo. Il numero e il tipo di oggetti di trasporto bersaglio variano molto tra le diverse forme di malware. Il seguente elenco fornisce esempi degli operatori di destinazione più comuni:
-
file eseguibili. Questi operatori sono gli obiettivi del tipo di virus “classico” che viene sostituito quando si collega a un programma host. Oltre ai tipici file eseguibili che utilizzano l’estensione .exe, i file con le seguenti estensioni possono anche essere utilizzati con quella fine: .com, .sys, .dll, .ovl, .ocx e .prg.
-
script. Attacchi che utilizzano gli script poiché gli operatori si concentrano sui file che utilizzano un linguaggio di scripting, come Microsoft Visual Basic® Script, JavaScript, AppleScript o Script Perl. Tra le estensioni dei file di questo tipo includono: .vbs, .js, .wsh e .prl.
-
macro. Questi operatori sono file che supportano un linguaggio di scripting macro da un’applicazione specifica come ad esempio un’applicazione di processore di testo, fogli di calcolo o database. Ad esempio, i virus che utilizzano le lingue macro in Microsoft Word e Lotus AMI Pro Pro per produrre una serie di effetti includono dalle scherzetti (modificare l’ordine delle parole in un documento o modificare i colori) al malware (formatta il disco rigido Attrezzatura).
Meccanismi di trasporto
Un attacco può utilizzare uno dei tanti metodi diversi per provare a replicare tra i sistemi informatici. Questa sezione fornisce informazioni su alcuni dei meccanismi di trasporto più comuni utilizzati da un malware.
-
Mezzi rimovibili. Il trasmettitore di virus informatici e altri malware originali e probabilmente più prolifico corrisponde al trasferimento di file (almeno fino a poco tempo fa). Questo meccanismo è iniziato con dischetti, quindi spostato in reti e, al momento, è alla ricerca di nuovi media come dispositivi USB (bus della serie universale) e firewire. L’indice di infezione non è così veloce come con il malware che utilizza la rete, sebbene la minaccia sia ancora presente ed è difficile da sradicare completamente a causa della necessità di scambiare dati tra i sistemi.
-
Risorse di rete condivise. Quando è stato fornito un meccanismo in modo che le squadre si connettino direttamente attraverso una rete, i creatori di malware hanno trovato un altro meccanismo di trasporto che ha avuto il potenziale per superare le capacità dei media rimovibili per propagare un codice dannoso. Un sistema di sicurezza implementato in modo errato nelle condivisioni di rete produce un ambiente in cui il malware può essere replicato in un gran numero di apparecchiature collegate alla rete. Questo metodo ha sostituito gran parte del metodo manuale di utilizzo dei mezzi rimovibili.
-
Reti point-to-point (P2P). Per produrre trasferimenti di file P2P, un utente deve installare un componente client dell’applicazione P2P che si utilizza la rete.
Per ulteriori informazioni, vedere la sezione “Malware Caratteristiche “Della Guida alla Difesa Profondità Antivirus su www.microsoft.com/technet/security/topics/serversecrity/avdind 2.mspx \\ eqaac (può essere in inglese).
Ciò che non è incluso in La definizione di malware
C’è una minaccia che non è considerata malware perché non sono programmi per computer creati con cattiva intenzione. Tuttavia, queste minacce possono avere implicazioni finanziarie e di sicurezza per le medie imprese. Il seguente elenco descrive alcuni dei più frequenti esempi di minacce che potrebbero essere presi in considerazione e comprensione quando viene sviluppata una strategia di sicurezza completa.
-
Software virus. Le applicazioni di simulazione dei virus sono progettate per causare un sorriso o, al massimo, per far perdere tempo a qualcuno. Queste applicazioni esistono da quando le persone hanno iniziato a utilizzare le squadre.Dal momento che non sono stati sviluppati con cattiva intenzione e sono chiaramente identificati come uno scherzo, non sono stati considerati malware ai fini di questa guida. Ci sono molti esempi di applicazioni di simulazione dei virus che causano tutto da interessanti effetti di schermo ai giochi o alle animazioni divertenti.
-
Fakes. Un esempio di falsificazione sarebbe un messaggio ingannevole che avverte di un virus che non esiste davvero. Come altre forme di malware, i falsificazioni utilizzano ingegneria sociale allo scopo di cercare di ingannare gli utenti del team a svolgere un determinato atto. Tuttavia, non vi è alcun codice che esegue in contraffazione; Il contraffatto normalmente tenta di ingannare la vittima. Un esempio comune di contraffazione è un messaggio di posta elettronica o una stringa di messaggi di posta che avvisa che un nuovo tipo di virus è stato scoperto e chiede che il messaggio venga inoltrato per notificare agli amici. Questi tipi di messaggi falsi prendono il tempo di sprecare tempo, occupano risorse dai server di posta elettronica e consumano la larghezza di banda della rete. Tuttavia, la contraffazione può causare danni se ordinano all’utente di modificare le impostazioni del computer (ad esempio, che eliminano i tasti di registrazione o i file di sistema).
-
truffe. Un esempio comune di truffa è un messaggio di posta elettronica che cerca di imbrogliare il destinatario di rivelare importanti informazioni personali che possono essere utilizzate per scopi illegali (ad esempio, informazioni sul conto bancario). Esiste un tipo specifico di truffa che è noto come integratore d’identità (phishing) e che è anche conosciuto come marchio o imitazione della carda.
-
Email indesiderata. L’e-mail indesiderata è un’e-mail non richiesta che viene generata per annunciare un servizio o un prodotto. Di solito, questo fenomeno è fastidioso, ma non è un malware. Tuttavia, il drastico aumento della posta indesiderata inviata è un problema per l’infrastruttura Internet. L’e-mail indesiderata provoca anche una perdita di produttività dei dipendenti che sono costretti a vedere quei messaggi e cancellarli ogni giorno.
-
Cookie Internet. I cookie di Internet sono file di testo che si posizionano sul computer di un utente i siti Web che questa visita. I cookie contengono e forniscono informazioni identificabili sull’utente ai siti Web che li posizionano sul proprio computer, insieme a qualsiasi informazione che i siti desiderano conservare sulla visita dell’utente.
I cookie sono strumenti legittimi che utilizzano molti siti web tracciare le informazioni sui visitatori. Sfortunatamente, è noto che alcuni sviluppatori di siti Web utilizzano i cookie per raccogliere informazioni senza che l’utente lo sappia. È possibile che alcuni utenti ingannino o ignorino le loro direttive. Ad esempio, è possibile tenere traccia delle abitudini di esplorazione sul Web su molti diversi siti Web senza informare l’utente. In questo modo, gli sviluppatori di siti possono utilizzare queste informazioni per personalizzare gli annunci che l’utente vede su un sito Web, che è considerato un’invasione della privacy.
Per informazioni più dettagliate su Malware e funzioni, consultare la Guida alla Difesa Profondità antivirus in Microsoft TechNet su www.microsoft.com/technet/security/topics/serverscurity/avdind\_0.mspx (puoi essere in inglese).
Considerazioni su L’amministrazione dei rischi e del malware
Microsoft definisce la gestione del rischio come il processo con cui è identificato i rischi e il suo impatto è determinato.
Il fatto di provare a lanciare un piano di gestione del rischio per la sicurezza può essere un sovraccarico per le aziende di medie dimensioni. I possibili fattori includono la mancanza di esperienza interna, risorse di bilancio o istruzioni per il subappalto.
L’amministrazione dei rischi di sicurezza fornisce un approccio proattivo che può aiutare le aziende di medie dimensioni pianificare le loro strategie contro le minacce. Di malware.
Un processo di gestione dei rischi di sicurezza formale consente alle aziende di medie dimensioni di lavorare in modo più redditizio con un livello di rischio aziendale noto e accettabile. Fornisce anche un percorso chiaro e coerente per organizzare e dare la priorità alle risorse limitate al fine di gestire i rischi.
Per facilitare le attività di gestione del rischio, Microsoft ha sviluppato la Guida alla Gestione dei rischi di sicurezza, che fornisce istruzioni sui seguenti processi :
-
Valutazione del rischio. Identificare e stabilire la priorità dei rischi per l’azienda.
-
supporto per il processo decisionale. Identificare e valutare le soluzioni di controllo basate su un processo di analisi del rapporto costo-benefici definito.
-
Implementazione dei controlli. Implementare e gestire soluzioni di controllo per ridurre i rischi delle aziende.
-
quantificazione dell’efficacia del programma. Analizza il processo di gestione del rischio in relazione all’efficacia e verificare che i controlli forniscano il grado di protezione prevista.
Le informazioni dettagliate su questo argomento sono al di fuori dell’obiettivo di questo articolo. Tuttavia, è essenziale comprendere il concetto e i processi al fine di pianificare, sviluppare e attuare una strategia di soluzione finalizzata ai rischi di malware. La figura seguente mostra i quattro principali processi di gestione del rischio.
figura 1. I 4 processi principali della gestione del rischio
Per ulteriori informazioni sulla gestione del rischio, consultare la Guida all’amministrazione della sicurezza Microsoft TechNet in http://go.microsoft.com/fwlink/?linkid=30794 (può essere in inglese).
Principio della pagina
sfide
Gli attacchi di malware possono essere montati attraverso diversi vettori o metodi di attacco a un punto debole specifico. Si raccomanda che le società di medie dimensioni svolgano una valutazione del rischio che non solo determinano i loro profili di vulnerabilità, ma anche contribuire a determinare il livello di rischio accettabile per una determinata società. Le aziende di medie dimensioni devono sviluppare strategie che aiutano a ridurre i rischi di malware.
Tra le sfide per ridurre i rischi malware in un’impresa di medie dimensioni includono quanto segue:
-
Attività comuni del sistema informativo
-
minacce comuni
-
vulnerabilità
-
Allenamento utente
-
Bilancia tra la gestione dei rischi e le esigenze aziendali
Common System Assets Information
La sicurezza dei sistemi informativi fornisce le informazioni fondamentali per aiutare a gestire la sicurezza delle medie imprese. Le attività comuni del sistema informativo si riferiscono agli aspetti logici e fisici della Società. Possono essere server, workstation, software e licenze.
Attività comuni del sistema informativo sono dati di contatto aziendali dei dipendenti, apparecchiature portatili, router, dati sulle risorse umane, piani strategici, siti Web interni e password dei dipendenti. Un’elenco ampio è fornito nell’appendice A: attività comuni del sistema informativo “alla fine di questo documento.
minacce comuni
alcuni metodi attraverso cui il malware può essere per mettere in pericolo La società mediana a volte è chiamata vettori minabili e rappresentano le aree che richiedono maggiore attenzione quando si progetta una soluzione efficace per ridurre i rischi malware. Tra le minacce più frequenti includono disastri naturali, errori meccanici, persone maliziose, utenti disinformati, ingegneria sociale, codice per dispositivi mobili dannosi e dipendenti insoddisfatti. Questa vasta gamma di minacce costituiscono una sfida non solo per aziende di medie dimensioni, ma anche per le aziende di qualsiasi dimensione.
in “Appendice B: minacce comuni” Alla fine di questo documento è fornita una lista ampia . delle minacce che influiscono possibilmente alle imprese di medie dimensioni.
vulnerabilità
vulnerabilità rappresentano carenze nei sistemi IT e procedure di sicurezza, controlli amministrativi, progetti fisici e altre aree che potrebbero trarre vantaggio da minacce per ottenere accesso non autorizzato alle informazioni o interrompere in processi critici. Le vulnerabilità sono sia fisiche che logiche. Includono disastri naturali, errori meccanici, configurazioni software errate e errori umani. In “Appendice C: vulnerabilità” alla fine di questo documento, una vasta lista di vulnerabilità che influiscono possibilmente alle aziende di medie dimensioni.
Allenamento utente
Per quanto riguarda la sicurezza delle informazioni logiche e fisiche, la più grande vulnerabilità non risiede necessariamente nei problemi software o attrezzature, ma sugli utenti delle squadre. I dipendenti effettuano errori terribili, come segnare le loro password in luoghi visibili, scaricare e aprire gli allegati e-mail che possono contenere virus e lasciare l’attrezzatura di notte.Dal momento che le azioni umane possono seriamente influenzare la sicurezza del team, la formazione dei dipendenti, il personale IT e l’amministrazione dovrebbero essere una priorità. Altrettanto importante è che il personale sviluppa buone abitudini di sicurezza. Questi approcci sono semplicemente più redditizi per le società a lungo termine. La formazione dovrebbe offrire agli utenti raccomandazioni per evitare attività dannose ed educarle in relazione a possibili minacce e come evitarle. Pratiche di sicurezza che gli utenti dovrebbero tenere in considerazione includono quanto segue:
-
non rispondere mai a un’e-mail in cui vengono richieste informazioni personali o finanziarie.
-
Non fornire mai password.
-
Non aprire gli allegati dai messaggi di posta elettronica sospetta.
-
Non rispondere a nessuna indesiderata o e-mail sospetta.
-
Non installare applicazioni non autorizzate.
-
blocca l’apparecchiatura quando non si utilizza una password che protegge Lo screen saver o utilizzando la finestra di dialogo Ctrl-Alt-Elimina.
-
Abilita un firewall.
-
Utilizzare le password sicure su Computer remoti.
Direttive
Direttive scritte e procedure accettate sono necessarie per aiutare a rafforzare le pratiche di sicurezza. Per essere efficace, tutte le direttive IT dovrebbero includere il supporto dei membri del team di esecuzione e fornire un meccanismo di applicazione, un modo per informare gli utenti e un modo per formarli. Esempi di direttive possono affrontare i seguenti argomenti:
-
Come rilevare malware su un computer.
-
Come segnalare infezioni sospette.
-
Quali utenti possono fare per aiutare i controllori degli incidenti, come ad esempio un utente eseguito prima che il sistema fosse infettato.
-
Processi e Procedure per risolvere il sistema operativo e le vulnerabilità delle applicazioni che il malware può utilizzare.
-
Gestione della revisione, Gestione della revisione, Guide di configurazione della sicurezza dell’applicazione e liste di controllo.
Bilancia tra la gestione dei rischi e le esigenze aziendali.
Investimento nei processi di gestione dei rischi Aiuta a preparare le società di medie dimensioni per articolare le priorità, pianificare la soluzione delle minacce e trattare la prossima minaccia o vulnerabilità della società .
Limitazioni di bilancio Possono stipulare spese di sicurezza IT, ma una metodologia di gestione dei rischi ben strutturata, se utilizzata in modo efficace, può aiutare il team di esecutivo a identificare adeguatamente i controlli per fornire le capacità di sicurezza per le missioni fondamentali.
Le aziende di medie dimensioni devono Valutare il delicato equilibrio che esiste tra la gestione del rischio e le esigenze aziendali. Le seguenti domande possono essere utili quando si effettuano un saldo di gestione dei rischi e esigenze aziendali:
-
Se la Società dovrebbe configurare i tuoi sistemi o eseguire il fornitore di hardware o il software? Quale sarebbe il costo?
-
Se il saldo del carico o un’organizzazione del cluster devono essere utilizzati per garantire un’elevata disponibilità di applicazioni? Cosa è necessario per avviare questi meccanismi?
-
è un sistema di allarme necessario per la stanza del server?
-
può sistemi di tasti elettronici essere utilizzato per l’edificio o la stanza del server?
-
Qual è il budget della società per i sistemi informatici?
-
Qual è il Budget della società per la manutenzione e il supporto tecnologico?
-
Quale somma di denaro calcola che è stata spesa la società in sistemi informatici (manutenzione hardware / software) durante l’ultimo anno?
-
Quante squadre ci sono nel dipartimento principale dell’azienda? Hai un inventario software e un hardware del computer?
-
è il tuo vecchio sistema abbastanza potente da eseguire la maggior parte dei programmi che devi eseguire?
-
Quante nuove attrezzature nuove o aggiornate calcola cosa potresti? Quanti sarebbe ottimale?
-
Ciascun utente ha bisogno di una stampante?
Per ulteriori informazioni sulla somministrazione dei rischi , consultare la Guida alla gestione dei rischi di sicurezza a http://go.microsoft.com/fwlink/?linkid=30794 (può essere in inglese).
Pagina della pagina
Soluzioni
Questa sezione spiega le diverse strategie per aiutare a gestire i rischi di malware tra cui gli approcci proattivi sono inclusi e reagenti per logici, fisici e direttive malware. I metodi di convalida, come gli strumenti di reporting e la supervisione, saranno inoltre indirizzati.
Sviluppo di strategie per ridurre il malware
Sviluppo di strategie per ridurre il malware
Quando si sviluppano strategie per ridurre il malware, è importante definire la chiave necessaria operativa Punti in cui il rilevamento della prevenzione e / o del malware può essere implementato. Quando si tratta di gestire i rischi di malware non dipenderanno solo da un singolo dispositivo o tecnologia come un’unica riga di difesa. I metodi preferiti dovrebbero includere un approccio a livello attraverso meccanismi proattivi e reattivi attraverso la rete. Il software antivirus svolge un ruolo fondamentale in questo argomento; Sebbene non dovrebbero essere l’unico strumento utilizzato per determinare gli attacchi di malware. Per ulteriori informazioni sugli approcci di livello, vedere la sezione “Malware Defense Focus” nella Guida alla Difesa Profondità antivirus all’indirizzo www.microsoft.com/technet/security/topics/serverscurity/avdind \ _3.mspx \ # E1F (può essere in inglese) .
I seguenti punti chiave operativi saranno indirizzati in dettaglio di seguito:
-
valutazioni dei rischi di malware
-
Sicurezza fisica
-
Sicurezza logica
-
Procedure e direttive proattive contro reattive
-
Implementazione e amministrazione
Valutazione dei rischi di malware
Per valutare i rischi malware, le aziende di medie dimensioni devono essere consapevoli dei tipi di attacchi più vulnerabili alle minacce. Come e in che misura sono protetti? Le seguenti domande dovrebbero essere prese in considerazione:
-
La società ha un firewall installato?
I firewall sono una parte importante del perimetro della difesa. Un firewall di rete normalmente serve come una prima linea di difesa contro le minacce esterne rivolte a sistemi informatici, reti e informazioni importanti di un’azienda. Le aziende di medie dimensioni devono avere un tipo di firewall implementato, sia che i firewall software o hardware,
-
la società dispone di una funzione di analisi di vulnerabilità interna o esterna? Come vengono analizzate le informazioni rilevate?
Si consiglia di utilizzare uno strumento come Microsoft Baseline Security Analyzer (MBSA) per rilevare vulnerabilità o configurazioni errate. È anche possibile subappaltare il processo di analisi della vulnerabilità della sicurezza assumendo i fornitori esterni per valutare l’ambiente di sicurezza e fornire suggerimenti per migliorare ciò che è considerato necessario.
Nota MBSA è un semplice strumento progettato per i professionisti IT Chi contribuisce a piccole e medie imprese per determinare il loro stato di sicurezza in base alle raccomandazioni di sicurezza di Microsoft. Offre anche istruzioni di riparazione specifiche. Migliorare i processi di gestione della sicurezza utilizzando MBSA per rilevare le impostazioni di sicurezza errate più comuni e aggiornamenti di sicurezza mancanti sul sistema del computer.
-
Alcuni piani sono in corso la valutazione del recupero e copie di backup?
Assicurarsi che ci siano piani di backup e che il server di backup funzioni in modo efficace.
-
Quanti tipi di software antivirus ha? L’antivirus è stato installato su tutti i sistemi?
Prenotare una singola piattaforma antivirus può esporre la società a rischi, poiché ogni confezione ha i propri punti di forza e punti deboli.
/li>
-
L’azienda ha una rete wireless implementata? In caso affermativo, è configurato correttamente e abilitato la sicurezza della rete wireless?
Anche se un cavo con cavi è completamente sicuro, una rete wireless insicurezza può immettere un livello di rischio non accettabile in un ambiente che, altrimenti, sarebbe sicuro I vecchi standard sui sistemi wireless, come WEP, sono facilmente in pericolo, quindi è necessario effettuare un’indagine per garantire che sia stata avviata la soluzione di sicurezza wireless più appropriata.
-
I dipendenti hanno ricevuto una formazione su come evitare malware? Hai ricevuto formazione sull’argomento dei rischi di malware?
La forma più comune della propagazione del malware implica un tipo di ingegneria sociale; E la difesa più efficace contro le minacce all’ingegneria sociale è la formazione.
-
Esistono una direttiva scritta su come prevenire o gestire le minacce dei malware?Quanto costa le recensioni di direttive? Fai domanda? Lo staff è conforme alla direttiva?
Assicurati che gli utenti ricevano formazione su come evitare minacce e prevenzione del malware. È molto importante avere tutte queste informazioni documentate. Deve esserci una direttiva scritta pertinente per quanto riguarda le procedure e le informazioni precedenti. Le recensioni della presente direttiva devono essere effettuate quando vengono prodotte modifiche al fine di garantire l’efficacia e la validità delle direttive indicate.
sicurezza fisica
il La sicurezza fisica comporta la restrizione dell’accesso a squadre al fine di evitare modifiche, rapine, errori umani e successivi tempi di inattività che causano queste azioni.
Sebbene la sicurezza fisica sia piuttosto un problema di sicurezza generale che un problema di malware specifico è impossibile per proteggere contro il malware senza un efficace piano di difesa fisico per tutti i dispositivi del cliente, i server e le reti all’interno dell’infrastruttura di un’organizzazione.
Nell’elenco seguente sono inclusi gli elementi più importanti che devono essere presi in considerazione Ottieni un efficace piano di difesa fisica:
-
Sicurezza dell’edificio. Chi ha accesso all’edificio?
-
Sicurezza del personale. Quali sono le restrizioni del diritto di accesso di un dipendente?
-
punti di accesso alle reti. Chi ha accesso alle apparecchiature di rete?
-
apparecchiature server. Chi ha diritti di accesso ai server?
-
Attrezzature della workstation. Chi ha i diritti di accesso alle workstation?
Se uno qualsiasi di questi elementi è in pericolo, vi è più rischi che un malware gestiva i limiti di difesa interni e esterni per infettare un host di rete. La protezione dell’accesso alle strutture e sui sistemi informatici dovrebbe essere un elemento fondamentale delle strategie di sicurezza.
Per informazioni più dettagliate, vedere l’articolo “Consulente di sicurezza in 5 minuti: sicurezza fisica di base” in Microsoft TechNet at www. microsoft.com/technet/archive/community/Columns/security/5min/5min-203.mspx (può essere in inglese).
Sicurezza logica
Software Protezione Misure per medio I sistemi di informazione di dimensioni comprendono l’accesso tramite password e ID utente, autenticazione e diritti di accesso; Tutto ciò è cruciale per l’amministrazione dei rischi malware. Queste misure di protezione aiutano a garantire che solo gli utenti autorizzati possano eseguire azioni o avere accesso alle informazioni da una particolare stazione di lavoro o server sulla rete. Gli amministratori devono assicurarsi che i sistemi siano coerentemente configurati con la funzione di lavoro utente del computer. La configurazione di queste misure di protezione può tenere conto di quanto segue:
-
Limitazione di programmi o utility solo per coloro che ne hanno bisogno per la loro posizione.
-
Aumenta il controllo nelle directory chiave del sistema.
-
Aumento dei livelli di audit.
-
Uso di politiche minori.
-
Limitazione dell’uso dei supporti rimovibili, come dischetti.
-
Chi è concedere diritti amministrativi per il backup Server, server di posta e server file?
-
chi dovrebbe avere accesso alle cartelle delle risorse umane?
-
Che diritto del privilegio essere somministrato alle cartelle interdipartment?
-
Hai intenzione di utilizzare lo stesso workstation diversi utenti? Se è così, quale livello di accesso hai intenzione di dare? Gli utenti sono autorizzati a installare applicazioni software nelle loro workstation?
ID utente, ID utente o account utente e nomi degli utenti sono identificatori personali univoci di utenti di una rete o un programma per computer a che più di un utente può avere accesso. L’autenticazione è il processo per verificare se un’entità o un oggetto è colui che dice di essere o di ciò che afferma di essere. Gli esempi includono la conferma della fonte e integrità delle informazioni, come il controllo di una firma digitale di un utente o di un’apparecchiatura. Per migliorare la sicurezza, si raccomanda che tutti gli account di accesso abbiano dati di autenticazione della password segreta utilizzati per controllare l’accesso a una risorsa o un computer. Una volta che l’utente può accedere alla rete, devono essere definiti i diritti di accesso adeguati. Ad esempio, un determinato utente può accedere a una cartella delle risorse umane, ma avrà solo accesso in lettura e non può apportare modifiche.
Altri argomenti di sicurezza logici includono:
-
Istruzioni sulle password, come la complessità o la scadenza delle password.
-
backup del software e dati.
-
Informazioni riservate / Dati importanti: Uso di crittografia Dove necessario.
Autorizzazione adeguata E le funzioni di autenticazione devono essere fornite, corrispondenti a un livello accettabile di rischio e un uso adeguato. L’attenzione dovrebbe concentrarsi su server e workstation. Tutti i suddetti elementi di sicurezza logici devono essere redatti chiaramente, devono essere applicati e dovrebbero essere disponibili per l’intera società come punti di riferimento.
Procedure e direttive proattive contro reattive
Due approcci di base sono usati per aiutare a gestire il rischio di malware: proattivo e reattivo. Gli approcci proattivi includono tutte le misure adottate con l’obiettivo di prevenire gli attacchi da parte di networking o host per ottenere sistemi in via di estinzione. Gli approcci dei reagenti sono quelle procedure utilizzate da aziende di medie dimensioni una volta che scoprono che i loro sistemi sono stati implementati a causa di un programma di attacco o di un intruso come Troy o altro cavallo malware.
approcci di reagente
Se la sicurezza di un sistema o di una rete è stata in pericolo, è necessario un processo di risposta all’incidente. Una risposta all’incidente è il metodo di ricerca di un problema, analisi della causa, minimizzazione dell’impatto, soluzione del problema e documentazione di ogni fase della risposta per il riferimento successivo.
Come tutte le aziende prendono misure Per evitare future perdite di business, sono anche in base ai piani per rispondere a tali perdite nel caso in cui le misure proattive non siano state efficaci o non esistesse. I metodi reattivi includono piani di ripristino di emergenza, reinstallazione di sistemi operativi e applicazioni nei sistemi in via di estinzione e modifica a sistemi alternativi in altre località. Avere una serie di adeguate risposte reattive preparate e pronta ad attuare è importante quanto sia in corso misure proattive.
Nel seguente diagramma gerarchico della risposta reattiva, vengono visualizzati i passaggi per gestire gli incidenti di malware. Nel testo seguente, vengono fornite ulteriori informazioni su questi passaggi.
Figura 2. Gerarchia delle risposte reattive
-
Protezione della vita umana e della sicurezza delle persone. Se le squadre interessate includono i sistemi di manutenzione della vita, potrebbe essere disattivato non un’opzione. Forse detti sistemi nella rete potrebbero essere logicamente isolati, modificando la configurazione dei router e degli interruttori senza interrompere la capacità di assistere i pazienti.
-
contenimento del danno. Il contenimento dei danni causati dall’attacco aiuta a limitare ulteriori danni. Protezione immediata di hardware, software e dati importanti.
-
Valutazione del danno. Eseguire immediatamente un duplicato dei dischi rigidi di qualsiasi server che è stato attaccato e messo questi server separati per una successiva analisi della ricerca. Quindi valuta il danno.
-
Determinazione della causa del danno. Per determinare l’origine dell’attacco, è necessario conoscere le risorse a cui gli attacchi e le vulnerabilità utilizzati per ottenere l’accesso o l’interruzione dei servizi erano necessari. Controllare la configurazione del sistema, il livello di revisione, i record di sistema, i record di audit e le tracce di audit nei sistemi sono direttamente interessati, nonché sui dispositivi di rete che instrada il traffico.
-
Riparazione del danno. È molto importante che il danno sia riparato il più rapidamente possibile per ripristinare le normali operazioni aziendali e recuperare qualsiasi dato che è stato perso durante l’attacco.
-
Revisione delle direttive di Aggiornamento e risposta. Una volta che le fasi di recupero e documentazione, le polizze di aggiornamento e risposta dovrebbero essere completamente riviste.
Cosa dovrebbe essere fatto se i sistemi della rete sono infetti da virus? Nell’elenco seguente include esempi di un approccio reattivo:
-
Assicurarsi che il firewall funzioni. Ottieni un controllo positivo sul traffico in entrata e in uscita dei sistemi di rete.
-
Tratta il primo più sospetto. Pulire le minacce malware più comuni, quindi verificare se ci sono minacce sconosciute.
-
Isolare il sistema infetto. Lascialo dalla rete e Internet. Impedire l’infezione di diffondersi ad altri sistemi di rete durante il processo di pulizia.
-
Indaga le tecniche di pulizia e controllo dei germogli.
-
Scarica le ultime definizioni dei virus dei fornitori di software antivirus.
-
Assicurarsi che i sistemi antivirus siano stati configurati per esplorare tutti i file.
-
Esegui una scansione completa del sistema.
-
Ripristina dati danneggiati o persi.
-
Elimina o pulire i file infetti.
-
Confermare quello I sistemi informatici non contengono malware.
-
Ricollegare i sistemi informatici alla rete.
Nota È importante assicurarsi che Tutti i sistemi informatici eseguono software antivirus recente e che i processi automatizzati vengono eseguiti per aggiornare regolarmente le definizioni dei virus. È particolarmente importante aggiornare il software antivirus sull’apparecchiatura portatile che utilizzano i lavoratori mobili.
Mantenere un database o un record che traccia le revisioni applicate ai sistemi più importanti della società: sistemi accessibili da Internet, firewalls, router interni, Database e server da ufficio.
Approcci proattivi
Un approccio proattivo alla gestione dei rischi presenta molti vantaggi rispetto all’approccio reattivo. Invece di aspettare problemi da sorgere e reagire un lato posteriore, puoi minimizzare la possibilità di verificarsi. È necessario pianificare i piani per proteggere gli importanti beni dell’organizzazione attraverso l’attuazione dei controlli che riducono il rischio che il malware utilizzi le vulnerabilità.
Un approccio proattivo efficace può aiutare le aziende di medie dimensioni a ridurre gli incidenti di sicurezza numerica che sorgono In futuro, anche se questi problemi non sono suscettibili di scomparire completamente. Pertanto, dovrebbero continuare a migliorare i processi di risposta agli incidenti durante lo sviluppo di approcci proattivi a lungo termine. Il seguente elenco include alcuni esempi di misure proattive che possono aiutare a gestire i rischi di malware.
-
Applicare il firmware più recente ai sistemi hardware e ai router come fornitori.
-
Applica le ultime revisioni di sicurezza per applicazioni server o altre applicazioni.
-
Iscriviti agli elenchi di posta elettronica dei fornitori relativi alla sicurezza e alle valutazioni delle recensioni quando consigliato.
-
Assicurarsi che tutti i sistemi informatici di Microsoft funzionino il recente software antivirus.
-
Assicurarsi che i processi automatizzati che funzionano regolarmente aggiornando le definizioni dei virus.
Nota È particolarmente importante aggiornare il software antivirus su computer portatili che utilizzano i lavoratori mobili.
-
Mantieni un database che segue le recensioni che sono state applicate revisioni applicate ADO.
-
Rivedi i record di sicurezza.
-
Abilita firewall o perimetro basati su host.
-
Utilizzare uno scanner di vulnerabilità come Microsoft Baseline Security Analyzer per rilevare le più comuni impostazioni di sicurezza e aggiornamenti di sicurezza mancanti sui sistemi informatici.
-
Usa meno privilegiato Account utente (LUA). Se i processi privilegiati inferiori sono in pericolo, causeranno meno danni rispetto ai massimi processi privilegiati. Pertanto, se un account amministratore viene utilizzato al posto di un amministratore quando le attività giornaliere sono completate, la protezione aggiuntiva viene offerta all’utente rispetto a un’infezione da un host di malware, attacchi di sicurezza interna o esterna, interessanti o modifiche accidentali nella configurazione e installazione del sistema e accesso intenzionale o accidentale a documenti o programmi riservati.
-
Applica le politiche di password sicure. Le password sicure riducono la probabilità che un utente malintenzionato che utilizza la forza bruta acquisisce più privilegi. Le password normalmente sicure hanno le seguenti funzionalità:
-
15 o più caratteri.
-
Non contenere mai nomi di account, nomi reali o nomi aziendali in nessun modo.
-
Non contenere mai una parola completa, gergo o altro termine che può essere facilmente cercato.
-
Loro sono Considerevolmente diverso nel contenuto delle password precedenti e non sono aumentati.
-
Utilizzare almeno tre dei seguenti tipi di caratteri:
-
maiuscolo (a, b, c …)
-
minuscolo (a, b, c …)
-
Numeri (0, 1, 2 …)
-
Simboli non alfanumerici (@, , $ ..)
-
Caratteri Unicode (€, ƒ, λ …)
-
-
Per ulteriori informazioni sulle politiche della password, vedere l’argomento “Pratiche consigliate per le password” in Microsoft TechNet in http://technet2.microsoft.com/WindowsServer/en/Library/e903f7a2-4def-4f5f-9480-41de6010fd291033.mspx?mfr=true (può essere in inglese).
difesa in profondità
Un approccio proattivo per la gestione del rischio di malware in un medio L’ambiente di dimensioni dovrebbe includere l’uso di un approccio di difesa approfondito a livelli per aiutare a proteggere le risorse da minacce esterne e interne. Difesa profondità (a volte nota come sicurezza in profondità o sicurezza multilivello) Utilizza per descrivere la distribuzione per livelli di sicurezza contromisure per formare un ambiente di sicurezza unificato senza un singolo punto di errore. I livelli di sicurezza che formano la strategia di difesa approfondita dovrebbero includere l’implementazione di misure proattive da router esterni fino alla posizione di risorse e tutto Punti intermedi. L’implementazione di diversi livelli di sicurezza aiuta a garantire che se un livello sia in pericolo, il resto dei livelli fornirà la sicurezza necessaria per proteggere le risorse.
Questa sezione affronta il modello di sicurezza della difesa in profondità che è Un ottimo punto di partenza per capire questo concetto. Questo modello identifica sette livelli di difesa della sicurezza progettati per garantire che qualsiasi tentativo di mettere in pericolo la sicurezza delle aziende di medie dimensioni si imbatterà in un solido set di difese. Ogni set può aiutare a rilevare attacchi a livelli molto diversi.
È possibile modificare le definizioni dettagliate di ciascun livello in base alle diverse esigenze e alle priorità di sicurezza delle società. La figura seguente mostra i diversi livelli del modello di difesa in profondità.
Figura 3. Modello di sicurezza della difesa in profondità
-
dati. I rischi nel livello dei dati sorgono dalle vulnerabilità che un utente malintenzionato avrebbe potuto utilizzare per accedere ai dati di configurazione, ai dati dell’organizzazione o da qualsiasi dato esclusivo di un dispositivo che utilizza l’organizzazione.
-
Applicazione. I rischi a livello di applicazione derivano dalle vulnerabilità che un utente malintenzionato avrebbe potuto usare per accedere alle applicazioni che vengono eseguite. Qualsiasi codice eseguibile che un creatore di malware può imballare al di fuori del sistema operativo potrebbe servire ad attaccare un sistema.
-
host. Normalmente questo livello è l’obiettivo dei fornitori che forniscono pacchetti di servizi e revisioni per affrontare le minacce di malware. I rischi a questo livello sorgono dagli aggressori che utilizzano le vulnerabilità dei servizi offerti dal dispositivo o dell’host.
-
rete interna. I rischi nelle reti interne delle società influenzano dati in gran parte trasmessi attraverso reti di questo tipo. I requisiti di connettività per le workstation dei clienti in queste reti interne coinvolgono una serie di rischi.
-
rete perimetrale. I rischi associati al livello della rete perimetrale sorgono perché un utente malintenzionato ottiene l’accesso a reti di area vasta (WAN) e i livelli di Rede che si connettono.
-
Sicurezza fisica. I rischi a livello fisico sorgono perché un attaccante ottiene l’accesso fisico a un’attività fisica.
-
Direttive, procedure e consapevolezza. Le aziende di medie dimensioni devono avviare procedure e direttive attorno a tutti i livelli del modello di sicurezza per soddisfare e mantenere i requisiti di ogni livello.
Livelli dati, applicazione e host possono essere Combinato in due strategie di difesa per aiutare a proteggere i clienti e i server dalle aziende. Sebbene queste difese condividino una serie di strategie comuni, ci sono abbastanza differenze durante l’implementazione del server e le difese dei clienti per garantire un approccio di difesa unico per ciascuno di essi.
Il livello perimetrale e la rete interna può anche essere combinata in Una strategia di difesa della rete comune perché le tecnologie coinvolte sono le stesse per entrambi i livelli. I dettagli dell’attuazione variano ad ogni livello a seconda della posizione dei dispositivi e delle tecnologie nell’infrastruttura dell’organizzazione. Per ulteriori informazioni sul modello di difesa in profondità, vedere “Capitolo 2: Manatoni del malware” della Guida alla Difesa Profondità antivirus in http://go.microsoft.com/fwlink/?LinkId=50964 (può essere in inglese).
Implementazione e amministrazione
Le strategie per l’amministrazione dei rischi di malware possono coprire tutte le tecnologie e gli approcci affrontati finora in questo documento.Si consiglia di implementare un software antivirus adeguato e affidabile su tutti i sistemi. Windows Defender, uno strumento Microsoft che ti aiuta a continuare ad essere produttivo proteggendo l’apparecchiatura contro gli elementi pop-up, le minacce alla sicurezza e la riduzione delle prestazioni causate da spyware o altri software potenzialmente indesiderate, devono essere utilizzate insieme al software antivirus. Infatti, dovrebbero essere implementati il prima possibile dopo aver installato il sistema operativo. Le ultime revisioni del software antivirus devono essere applicate immediatamente e devono essere configurate per mantenere l’efficienza quando si tratta di rilevare e fermare il malware. Dal momento che non è consigliabile dipendere da un singolo approccio come soluzione di sicurezza totale, i firewall, le porte del link, i rilevamenti delle intrusioni e altre tecnologie di soluzioni di sicurezza che sono stati discussi nelle sezioni precedenti dovrebbero essere consolidati in combinazione con il software antivirus.
Questa sezione affronterà la convalida, la supervisione e la preparazione di report e tecnologie disponibili.
convalida
Una volta gli approcci e gli approcci e le tecnologie che hanno precedentemente identificato per l’amministrazione dei rischi di malware, come può essere garantito che vengano implementati in modo efficace?
Per convalidare una soluzione proposta, utilizzare i seguenti strumenti che aiutano a convalidare il sistema e l’ambiente di rete:
-
antivirus. Esplora tutti i sistemi per i virus che utilizzano software antivirus con le definizioni del file ditta più recenti.
-
Windows Defender. Attraverso Windows Defender, esplorare tutti i sistemi in cerca di spyware e altri software possibilmente indesiderati.
-
Microsoft Baseline Security Analyzer (MBSA). Esplora tutti i sistemi con MBSA per identificare gli errori di configurazione della sicurezza più frequenti. È possibile ottenere maggiori informazioni sul sito Web di Microsoft Baseline Security Analyzer a http://go.microsoft.com/fwlink/?linkid=17809 (può essere in inglese).
anche, tutto I conti creati di recente dovrebbero essere controllati e verificati con adeguate autorizzazioni di accesso per garantire che funzioni correttamente.
Una volta che le strategie e le tecnologie implementate sono state convalidate, i revisioni software e hardware devono essere applicati quando è necessario raggiungere continuo Efficienza di sicurezza. Gli utenti, e in particolare lo staff IT, dovrebbero sempre essere aggiornati con gli ultimi aggiornamenti.
Supervisione e reporting
La supervisione continua dei dispositivi di rete è fondamentale STOP Aiuta a rilevare attacchi di malware. La supervisione può essere un processo complesso. Richiede una raccolta di informazioni da numerose fonti (ad esempio firewalls, router, switch e utenti) per raccogliere una linea di comportamento “normale” che può essere utilizzata per identificare il comportamento anormale.
Strategie di supervisione e preparazione del malware I report in ambienti di medie dimensioni dovrebbero includere tecnologie e formazione degli utenti.
da tecnologie Si riferiamo alle tecnologie hardware e software che aiutano le aziende di medie dimensioni supervisioni e eseguono report su attività dannose e rispondono di conseguenza. In formazione ci riferiamo ai programmi di consapevolezza che includono istruzioni per gli utenti sulla prevenzione degli incidenti dannosi, la capacità di elude loro e come preparare correttamente i report.
Tecnologie
È possibile automatizzare un monitoraggio delle attenzioni Sistema in modo da poter segnalare un sospetto di infezione da malware in una posizione centrale o un punto di contatto appropriato che, a sua volta, può informare gli utenti su come agire. Un sistema di avviso automatico riduce al minimo il tempo di attesa tra un avviso iniziale e il momento in cui gli utenti diventano consapevoli della minaccia del malware, ma il problema con questo approccio è che può generare avvisi “falsi positivi”. Se nessuno filtra gli avvisi e le recensioni di una checklist di attività insolite, è probabile che gli avvisi siano osservati da malware inesistenti. Questa situazione può portare ad un compiacimento, poiché gli utenti saranno rapidamente desensibilizzati agli avvisi generati troppo spesso.
Potrebbe essere utile assegnare membri del team di amministrazione della rete La responsabilità di ricevere tutti gli avvisi di malware automatizzati da tutti Pacchetti software antivirus o monitoraggio del sistema utilizzato dalla Società. La squadra o individuale responsabile può filtrare i falsi avvisi positivi dei sistemi automatizzati prima di inviare gli avvisi agli utenti.
Si consiglia di rivedere e aggiornare costantemente gli avvisi di malware Solutions. Tutti gli aspetti della protezione dei malware sono importanti, dai semplici download di firme automatizzate del virus fino a quando apportare modifiche alla direttiva sulle operazioni. Sebbene alcuni dei seguenti strumenti siano già stati menzionati, sono essenziali per l’amministrazione della sicurezza, il monitoraggio e la segnalazione:
-
Rilevamento delle intrusioni di rete (NID). Poiché la rete perimetrale è una parte altamente esposta della rete, è di vitale importanza che i sistemi di amministrazione della rete possano rilevare attacchi e rispondere il prima possibile.
-
Microsoft Baseline Security Analyzer ( MBSA) migliora i processi di gestione della sicurezza con MBSA per rilevare le impostazioni di sicurezza errate più comuni e gli aggiornamenti di sicurezza mancanti sui sistemi informatici.
-
Scanner di firme antivirus. Attualmente, la maggior parte dei programmi software antivirus utilizza questa tecnica, che prevede la ricerca dell’obiettivo (apparecchiature host, unità disco o file) di un motivo che può rappresentare il malware.
-
Scanner gateway SMTP. Queste soluzioni di esame e-mail basate su SMTP sono solitamente note come soluzioni gateway antivirus. Hanno il vantaggio di lavorare con tutti i server di posta elettronica SMTP invece di essere legati a un prodotto specifico del server di posta elettronica.
-
file di registro. File elencati dai dettagli degli accessi a file memorizzati e salvati su un server. L’analisi dei file di registrazione può rivelare dati utili sul traffico del sito Web.
-
Viewer eventi. Strumento amministrativo che informa errori e altri eventi, ad esempio, ad esempio, errori del controller, errori di file, accessi e chiusure di sessione.
-
Microsoft Windows Defender. Programma che aiuta a proteggere l’apparecchiatura contro gli elementi pop-up, la riduzione delle prestazioni e le minacce alla sicurezza causate da spyware o altro software indesiderato. Offre una protezione in tempo reale, un sistema di supervisione che raccomanda azioni contro lo spyware quando lo rileva e una nuova interfaccia ottimizzata che riduce al minimo gli interruzioni e aiuta gli utenti a mantenere la loro produttività.
-
Usa il Protezione di sicurezza dinamica Internet di Internet Explorer 7.
Tra gli strumenti aggiuntivi consigliati che aiutano a esplorare e applicare gli ultimi aggiornamenti o soluzioni includono:
-
Microsoft Windows Server Update Services (WSUS) fornisce una soluzione globale per gli aggiornamenti di amministrazione nella rete media delle imprese.
-
Microsoft Systems Management Server 2003 SP 1 fornisce una soluzione globale Per la gestione della configurazione e le modifiche a piattaforma Microsoft, consentendo alle organizzazioni di fornire aggiornamenti e software significativi agli utenti rapidamente e in modo conveniente.
Considera Iscriviti a qualsiasi nuova revisione che si applica alla tua organizzazione. Per ricevere automaticamente queste notifiche, è possibile iscriversi a Microsoft Security Bollettini in http://go.microsoft.com/fwlink/?LinkId=21723.
Allenamento utente
Come già menzionato in una sezione anteriore di questo documento, Tutti gli utenti devono ricevere formazione su malware e le loro caratteristiche, la gravità delle loro potenziali minacce, tecniche di evasione e le forme di propagazione di malware e rischi che comportano. La formazione degli utenti dovrebbe anche includere la consapevolezza della direttiva e delle procedure applicabili all’amministrazione degli incidenti di malware, come come rilevare malware su un computer, come segnalare infezioni sospette e quali utenti possono fare per aiutare gli amministratori degli incidenti. Le aziende di medie dimensioni dovrebbero condurre sessioni di formazione su strategie per amministrare i rischi di malware finalizzati al personale IT coinvolto nella prevenzione degli incidenti di malware.
Principio della pagina
Riepilogo
Malware è un’area complessa e in continua evoluzione della tecnologia informatica. Di tutti i problemi che sono stati trovati in te, pochi sono frequenti e costanti come attacchi di malware e i costi associati alla lottandoli. Se è inteso come funzionano, come si evolvono nel tempo e nei tipi di attacchi che usano, è possibile aiutare le aziende di medie dimensioni trattano il problema in modo proattivo e creare processi reattivi più efficaci ed efficienti.Il malware utilizza tante tecniche progettate per creare, distribuire e utilizzare sistemi informatici che sono difficili da capire come un sistema può essere abbastanza sicuro da resistere a tali attacchi. Tuttavia, il fatto di comprendere le sfide e l’applicazione delle strategie per amministrare i rischi di malware consente alle aziende di medie dimensioni per amministrare i loro sistemi e le loro infrastrutture di rete in modo che la possibilità di un attacco sia ridotta.
Top della pagina
Appendice A: Attività comuni del
In questa appendice le attività del sistema informativo sono elencate che si trovano solitamente in società di medie dimensioni di diversi tipi. Non intende essere esaustivo e, probabilmente, questa lista non rappresenta tutte le risorse presenti nell’ambiente esclusivo di un’organizzazione. È fornito come elenco di riferimento e punto di partenza per aiutare le aziende di medie dimensioni ad avviare.
Tabella A.1. Elenco dei beni comuni del sistema informativo
classe attiva | > Descrizione del più alto livello del bene | Definizione del livello successivo (se necessario) | Valore Asset (5 è il più alto) | |
---|---|---|---|---|
tangible | infrastruttura fisica | centri dati | 5 | |
tangible | infrastruttura fisica | server | 3 | |
tangible | infrastruttura fisica | apparecchiature desktop | 1 | |
Tangible | infrastruttura fisica | apparecchiatura portatile | 3 | |
tangible | Infrastruttura fisica | PDA | 1 | |
tangible | infrastruttura fisica | Telefoni cellulari | 1 | |
tangible | infrastruttura fisica | morbido Ware of Server Application | 1 | |
tangible | infrastruttura fisica | software applicazione utente finale | 1 | |
Tangible | infrastruttura fisica | strumenti di sviluppo | 3 | |
tangible | infrastruttura fisica | router | 3 | |
Tangible | infrastruttura fisica | interruttori di rete | 3 | |
tangible | fisico Infrastruttura | Dispositivi fax | 1 | |
TD> TD> | Infrastruttura fisica | PBX | 3 | |
tangible | infrastruttura fisica | supporti rimovibili (nastri, dischetti, cd-rom, DVD, dischi rigidi portatili, dispositivi di archiviazione della scheda PC, dispositivi di archiviazione USB, ecc.) | 1 | |
tangible | infrastruttura fisica | sistemi di alimentazione. | 3 | |
tangible | infrastruttura fisica | sistemi di alimentazione non interrotti | 3 | |
Tangible | infrastruttura fisica | sistemi di estinzione antincendio | 3 | |
tangible | Infrastruttura fisica | Sistemi di climatizzazione | 3 | |
tangible | infrastruttura fisica | Sistemi di filtrazione dell’aria | 1 | |
TD> | Infrastruttura fisica | altri sistemi di controllo ambientale | 3 | |
Tangible | dati intranet | codice sorgente | 5 | |
tangible | dati intranet | dati risorse umane | 5 | |
tangible | dati intranet | dati finanziari | 5 | |
Tangible | Dati da intranet | dati di marketing | 5 | |
tangibile | d Intranet ATOS | Password dipendenti | 5 | |
TD> | Dati INTRANET | Tasti crittografici privati da dipendenti | 5 | |
Tangible | dati intranet | tasti Pictish del sistema informatico | 5 | |
tangible | dati intranet | smart card | 5 | |
tangible | dati di proprietà intellettuale | 5 | ||
tangible | dati di intranet | dati per i requisiti normativi (GLBA, HIPAA, CA SB1386, direttiva per la protezione delle informazioni dell’Unione europea, eccetera. |