- 10/11/2017
- tempo de leitura: 53 minutos
-
- b
Publicado: 08/18/2006
neste página
introdução
Definição de desafios
soluções
Resumo
Apêndice A: Ativos comuns do sistema de informação
apêndice B: ameaças comuns
vulnerabilidades do Apêndice C
Referências
Introdução
Bem-vindo a este documento das guias de segurança de coleta para médias empresas. A Microsoft espera que essas informações ajudem a criar um ambiente de computador mais seguro e mais produtivo.
Resumo executivo
como software malware ou malicioso evolui e se torna mais sofisticado, eles também devem desenvolver software e hardware Tecnologias para evitar ataques e ameaças de malware.
As ameaças de malware foram muito caras para empresas de médio porte, tanto na resposta quanto nas tecnologias de defesa de ataques como nas operações. A Internet aumentou muito o perfil das ameaças externas voltadas para empresas de médio porte, enquanto grandes ameaças ainda continuam a ser, por exemplo, ataques internos.
Ataques internos que têm o maior potencial de danos que derivam das atividades da equipe interna que ocupa as posições da maior confiança, como administradores de rede. É muito possível que este pessoal envolvido em atividades maliciosas tenha objetivos e objetivos específicos, como a colocação de um cavalo de tróia ou a exploração de sistemas de arquivos não autorizados e, ao mesmo tempo, um acesso legítimo aos sistemas. Em geral, a equipe interna não tem intenções maliciosas, mas pode colocar um software malicioso, conectando involuntariamente sistemas ou dispositivos infectados com uma rede interna, que colocaria em risco a integridade / confidencialidade do sistema ou poderá afetar o desempenho, a disponibilidade e / o o armazenamento Capacidade do sistema.
As análises de ameaças internas e externas levaram muitas empresas de médio porte para investigar sistemas que ajudam a supervisionar redes e detectar ataques, incluindo recursos para ajudar a administrar os riscos de malware em tempo real.
Informações gerais
Este documento fornece informações sobre estratégias que ajudam a gerenciar riscos de malware em empresas de médio porte. O documento é dividido em quatro seções principais: introdução, definição, desafios e soluções.
Definição
Nesta seção destina-se a esclarecer o que é um malware (e também o que não é ), suas características e gestão de riscos.
Desafios
Esta seção descreve muitos dos desafios mais frequentes enfrentados por empresas de médio porte em relação ao gerenciamento de riscos de malware, incluindo:
-
Ativos comuns do sistema de informação
-
mais ameaças frequentes
-
vulnerabilidades
-
Balanço entre o gerenciamento de risco e as necessidades de negócios
Soluções
Esta seção fornece informações adicionais sobre diretrizes, abordagens e estratégias entre as quais estão incluídas:
-
diretivas físicas e lógicas
-
se aproxima Tipos e proativo para a prevenção do vírus e malware
-
Estratégias para reduzir malware
nesta seção também é endereçado A administração e avaliação de riscos de malware como parte das estratégias para evitar ameaças de malware. As informações também são fornecidas nas ferramentas de monitoramento e relatório projetadas para explorar, detectar e elaborar relatórios sobre atividades maliciosas.
Quem deve ler este guia
Este documento é principalmente destinado a funcionários de TI e Administração de empresas de médio porte, com o objetivo de ajudá-los a entender ameaças maliciosas, defender-se de tais ameaças e responder de forma rápida e adequada quando ocorrem os ataques de malware.
Definição
malware é a abreviação dos termos em inglês “software malicioso” (software malicioso). É um nome coletivo que inclui vírus, worms e cavalos de Tróia que expressamente executam tarefas maliciosas em um sistema de computador. Tecnicamente, um malware é um código malicioso.
Considerações sobre diferentes tipos de malware
nas seguintes subseções Descreva as diferentes categorias de malware.
Esconder
- cavalo de trojan. Programa que parece útil ou inofensivo, mas contém um código oculto projetado para aproveitar ou danificar o sistema no qual ele é executado. Os cavalos de Troy (também chamados de códigos de Trojan), geralmente chegam ao usuário por meio de mensagens de e-mail que causam uma representação errada da funcionalidade e propósito do programa. Os cavalos de Troy executam esta operação fornecendo uma tarefa ou carga maliciosa quando são executadas.
malware infeccioso
-
worm. Um verme usa um código de auto-pagamento malicioso que pode ser distribuído automaticamente de um computador para outro através das conexões de rede. Um verme pode produzir danos à medida que o consumo de recursos locais ou recursos de rede que possivelmente causam um ataque de serviço de negação. Alguns vermes podem ser executados e propagados sem a intervenção do usuário, enquanto outros precisam do usuário executar o código Worm diretamente para ser capaz de se espalhar. Os worms também podem fornecer uma carga além da replicação.
-
vírus. Um vírus usa um código escrito com a intenção expressa de auto-registro. Um vírus tenta se espalhar de uma equipe para outro anexando automaticamente a um programa de host. Pode danificar hardware, software ou dados. Ao executar o host, o código de vírus também é executado, infectando novo host e, às vezes, fornecendo uma carga adicional.
malware para benefícios
-
spyware. Às vezes, esse tipo de software é conhecido como Spybot ou Software de Rastreamento. O spyware usa outras formas de programas e software enganosos que executam certas atividades em um computador sem ter o consentimento do usuário correspondente. Essas atividades incluem a coleta de informações pessoais e alterando os parâmetros de configuração do Internet Explorer. Além de ser um incômodo, o spyware origina uma variedade de problemas que vão desde a degradação do desempenho geral da equipe à infração de privacidade pessoal.
Sites da Web que distribuem spyware usam diferentes truques para obter que os usuários baixá-los e instale-os em seus computadores. Esses truques incluem a criação de experiências de usuário enganosas e a incorporação de spyware disfarçadas com outros programas que os usuários podem desejar, como o software de troca de arquivos gratuito.
-
Adware Tipo de software para mostrar publicidade, especialmente certos aplicativos executáveis cujo objetivo principal é fornecer conteúdo de publicidade de uma forma ou com um contexto que os usuários não esperam ou desejam. Muitos aplicativos de adware também executam funções de rastreamento e, portanto, também podem ser classificadas como tecnologias de acompanhamento. Alguns consumidores podem desejar excluir o adware se ele incomoda-os para executar esse rastreamento, se não quiserem ver a publicidade originada pelo programa ou se eles não gostarem dos efeitos, eles têm sobre o desempenho do sistema. E, pelo contrário, alguns usuários podem querer manter certos programas de adware se com a presença deles o custo de um serviço ou produto desejado for subsidiado ou se fornecerem anúncios úteis ou desejados, como, por exemplo, anúncios competitivos com os quais O usuário está pesquisando ou complementado.
para obter mais informações, consulte o tema de malware na Wikipedia em http://en.wikipedia.org/wiki/Malware e tema. O que é malware? No Guia de Defesa de Profundidade de Antivírus em www.microsoft.com/technet/security/topics/serverscurity/avdind\_2.mspx\ (pode estar em inglês).
Considerações sobre comportamentos de malware
As diferentes características que cada categoria de malware pode apresentar são geralmente muito semelhantes. Por exemplo, é possível que tanto um vírus quanto um verme usam a rede como um mecanismo de transporte. No entanto, um vírus tentará infectar os arquivos enquanto um verme simplesmente tentará se copiar. Na próxima seção, breves explicações dos recursos de malware típicos são fornecidas.
Ambientes objetivos
Quando o malware tenta atacar um sistema host, é necessário um número específico de componentes para isso O ataque é bem sucedido. Os componentes a seguir são exemplos típicos dos componentes que o malware pode precisar iniciar um ataque em um host:
-
Dispositivos. Alguns malware se concentrarão especificamente em um tipo de dispositivo, por exemplo, PC, um computador Apple Macintosh ou até mesmo um assistente digital pessoal (PDA). Dispositivos portáteis, como telefones celulares, estão se tornando dispositivos de destino cada vez mais populares.
-
sistemas operacionais.Um sistema operacional específico pode ser necessário para que o malware seja eficaz. Por exemplo, o vírus Chernobyl ou CIH dos anos 90 só poderia atacar o equipamento com o Microsoft® Windows® 95 ou o Windows 98. Os sistemas operacionais mais atuais são mais seguros. Infelizmente, o malware também é cada vez mais sofisticado.
-
aplicativos. O malware pode precisar de um aplicativo específico instalado no computador de destino para fornecer sua carga ou replicar. Por exemplo, o vírus de 2002 LFM.926 só pode atacar se os arquivos do Shockwave Flash (.swf) poderiam ser executados no computador local.
portadores
Se o malware for um vírus, ele tentará alcançar um objeto transportador (também conhecido como host) para infectá-lo. O número e o tipo de objetos de transporte de destino varia muito entre as diferentes formas de malware. A lista a seguir fornece exemplos dos operadores de destino mais comuns:
-
arquivos executáveis. Esses operadores são os objetivos do tipo de vírus “clássico” que é substituído ao anexar a um programa de host. Além dos arquivos executáveis típicos que usam a extensão .exe, os arquivos com as seguintes extensões também podem ser usados com esse final: .com, .sys, .dll, .ovl, .ocx e .prg.
-
scripts. Ataques que usam scripts como operadores se concentram em arquivos que usam um idioma de script, como o script do Microsoft Visual Basic®, JavaScript, AppleScript ou script Perl. Entre as extensões de arquivo deste tipo incluem: .vbs, .js, .wsh e .prl.
-
macros. Esses operadores são arquivos que suportam uma linguagem de script macro de um aplicativo específico, como, por exemplo, um aplicativo de processador de texto, planilhas ou banco de dados. Por exemplo, vírus que usam linguagens de macro no Microsoft Word e Lotus AMI Pro para produzir uma série de efeitos incluem as brincadeiras (alterar a ordem das palavras em um documento ou alterar as cores) para o malware (formatar o disco rígido Equipamento).
Mecanismos de transporte
Um ataque pode usar um dos muitos métodos diferentes para tentar replicar entre os sistemas de computador. Esta seção fornece informações sobre alguns dos mecanismos de transporte mais comuns usados por um malware.
-
mídia removível. O transmissor de vírus de computador e outro malware original e provavelmente mais prolífico corresponde à transferência de arquivos (pelo menos até recentemente). Esse mecanismo começou com disquetes e, em seguida, mudou-se para redes e, no momento, está procurando novas mídias como dispositivos USB (Universal Series Bus) e FireWire. O índice de infecção não é tão rápido quanto com o malware que usa a rede, embora a ameaça ainda esteja presente e seja difícil de erradicar completamente devido à necessidade de trocar dados entre os sistemas.
-
Recursos de rede compartilhados. Quando um mecanismo foi fornecido para que as equipes se conectem diretamente através de uma rede, os criadores de malware encontraram outro mecanismo de transporte que tinha o potencial de superar as capacidades da mídia removível, a fim de propagar um código malicioso. Um sistema de segurança implementado incorretamente em compartilhamentos de rede produz um ambiente em que o malware pode ser replicado em um grande número de equipamentos conectados à rede. Este método substituiu uma grande parte do método manual de usar meios removíveis.
-
Networks ponto-a-ponto (P2P). Para produzir transferências de arquivos P2P, um usuário deve instalar um componente cliente do aplicativo P2P que você vai usar a rede.
para informações adicionais, consulte a seção “Malware características “do Guia de Defesa de Profundidade de Antivírus em www.microsoft.com/technet/security/topics/serversecurity/avdind 2.mspx \\ eqaac (pode ser em inglês).
O que não está incluído em A definição de malware
Há uma ameaça que não é considerada malware porque não são programas de computador criados com má intenção. No entanto, essas ameaças podem ter implicações financeiras e de segurança para médias empresas. A lista a seguir descreve alguns dos exemplos mais freqüentes de ameaças que poderiam ser levadas em consideração e compreensão quando uma estratégia de segurança completa é desenvolvida.
-
software de vírus. Aplicativos de simulação de vírus são projetados para causar um sorriso ou, no máximo, para fazer alguém perder tempo. Esses aplicativos existem desde que as pessoas começaram a usar as equipes.Como eles não foram desenvolvidos com má intenção e são claramente identificados como uma piada, eles não foram considerados malwares para os propósitos deste guia. Há muitos exemplos de aplicativos de simulação de vírus que causam tudo, desde efeitos de tela interessantes a jogos ou animações divertidas.
-
falsos. Um exemplo de falsificação seria uma mensagem enganosa que adverte de um vírus que não existe realmente. Como outras formas de malware, falsificações usam engenharia social com a finalidade de tentar enganar os usuários da equipe para realizar um certo ato. No entanto, não há código que seja executado em contrafacção; A falsificação normalmente tenta enganar a vítima. Um exemplo comum de falsificação é uma mensagem de e-mail ou uma cadeia de mensagens de email que alerta que um novo tipo de vírus foi descoberto e solicita que a mensagem seja encaminhada para notificar os amigos. Esses tipos de mensagens falsas tornam o tempo de resíduos de tempo, ocupam recursos de servidores de e-mail e consomem a largura de banda da rede. No entanto, a falsificação pode causar danos se eles solicitarem que o usuário altere as configurações do computador (por exemplo, que exclua as teclas de registro ou os arquivos do sistema).
-
SCAMs. Um exemplo comum de SCAM é uma mensagem de email que tenta enganar o destinatário para revelar informações pessoais importantes que podem ser usadas para fins ilegais (por exemplo, informações da conta bancária). Há um tipo específico de fraude que é conhecido como suplemento de identidade (phishing) e que também é conhecido como uma representação marca ou carding.
-
e-mail indesejado. E-mail indesejado é e-mail não solicitado que é gerado para anunciar um serviço ou produto. Normalmente, esse fenômeno é irritante, mas não é um malware. No entanto, o aumento drástico em e-mails indesejados que é enviado é um problema para a infraestrutura da Internet. E-mail indesejado também causa uma perda de produtividade dos funcionários que são forçados a ver essas mensagens e apagá-las todos os dias.
-
Internet cookies. Cookies da Internet são arquivos de texto que colocam no computador de um usuário os sites que esta visita. Os cookies contêm e fornecem informações identificáveis sobre o usuário para os sites que os colocam em seu computador, junto com qualquer informação que os sites desejam manter sobre a visita do usuário.
Os cookies são ferramentas legítimas que usam muitos sites para rastrear informações do visitante. Infelizmente, sabe-se que alguns desenvolvedores de sites usam cookies para coletar informações sem que o usuário soubesse. É possível que alguns usuários enganam ou ignorem suas diretivas. Por exemplo, você pode acompanhar os hábitos de exploração na web em muitos sites diferentes sem informar o usuário. Desta forma, os desenvolvedores de sites podem usar essas informações para personalizar os anúncios que o usuário vê em um site, que é considerado uma invasão de privacidade.
para informações mais detalhadas sobre Malware e recursos, consulte o Guia de Defesa de Profundidade de Antivírus no Microsoft TechNet em www.microsoft.com/technet/security/topics/serverscurity/avdindn_0.mspx (você pode estar em inglês).
considerações sobre A administração de riscos e malware
Microsoft define o gerenciamento de risco como processo pelo qual os riscos são identificados e seu impacto é determinado.
O fato de tentar lançar um plano de gerenciamento de risco de segurança pode ser uma sobrecarga para empresas de médio porte. Os possíveis fatores incluem a falta de experiência interna, recursos orçamentários ou instruções para subcontratação.
A administração de riscos de segurança fornece uma abordagem proativa que pode ajudar as empresas de médio porte planejam suas estratégias contra ameaças.
Um processo de gerenciamento de risco de segurança formal permite que as empresas de médio porte trabalhem mais lucrativamente com um nível conhecido e aceitável de risco comercial. Ele também fornece uma rota clara e coerente para organizar e priorizar recursos limitados para gerenciar riscos.
Para facilitar as tarefas de gerenciamento de risco, a Microsoft desenvolveu o guia de segurança de gerenciamento de risco, que fornece instruções sobre os seguintes processos :
-
Avaliação de risco. Identificar e estabelecer a prioridade dos riscos para a empresa.
-
suporte para tomada de decisão. Identifique e avalie as soluções de controle baseadas em um processo de análise da relação de custo-benefício definido.
-
implementação de controles. Implementar e operar soluções de controle para ajudar a reduzir os riscos de empresas.
-
quantificação da eficácia do programa. Analizar el proceso de administración de riesgos en relación con la eficacia y comprobar que los controles proporcionan el grado de protección esperado.
La información detallada sobre este tema queda fuera del objetivo de este artigo. No entanto, é essencial entender o conceito e os processos, a fim de planejar, desenvolver e implementar uma estratégia de solução voltada para os riscos de malware. A figura a seguir mostra os quatro principais processos de gerenciamento de riscos.
Figura 1. Os 4 principais processos de gerenciamento de risco
Para obter mais informações sobre o gerenciamento de riscos, consulte o Guia de Administração de Segurança do Microsoft TechNet em http://go.microsoft.com/fwlink/?linkid=30794 (pode ser em inglês).
princípio da página
Desafios
Os ataques de malware podem ser montados através de diferentes vetores ou métodos de ataque em um ponto fraco específico. Recomenda-se que as empresas de médio porte executem uma avaliação de risco que não apenas determinem seus perfis de vulnerabilidade, mas também ajudam a determinar o nível de risco aceitável para uma determinada empresa. As empresas de médio porte precisam desenvolver estratégias que ajudam a reduzir os riscos de malware.
Entre os desafios para reduzir os riscos de malware em uma empresa de médio porte incluem o seguinte:
Ativos comuns do sistema de informação
Treinamento do usuário
Balanço entre o gerenciamento de riscos e as necessidades de negócios
Ativos comuns do sistema
A segurança dos sistemas de informação fornece as informações fundamentais para ajudar a gerenciar a segurança das médias empresas. Os ativos comuns do sistema de informação referem-se aos aspectos lógicos e físicos da empresa. Eles podem ser servidores, estações de trabalho, software e licenças.
Os ativos comuns do sistema de informação são dados de contato comercial dos funcionários, equipamentos portáteis, roteadores, dados de recursos humanos, planos estratégicos, sites internos e senhas de funcionários. Uma lista extensa é fornecida no “Apêndice A: Ativos Comuns do Sistema de Informação” no final deste documento.
Ameaças comuns
Alguns métodos através do qual o malware pode ser para pôr em risco A empresa mediana às vezes são chamadas de vetores de ameaças e representam as áreas que exigem mais atenção ao projetar uma solução eficaz para ajudar a reduzir os riscos de malware. Entre as ameaças mais frequentes incluem desastres naturais, erros mecânicos, pessoas maliciosas, usuários mal informados, engenharia social, código para dispositivos móveis maliciosos e funcionários insatisfeitos. Esta ampla gama de ameaças constitui um desafio não apenas para empresas de médio porte, mas também para empresas de qualquer dimensão.
em “Apêndice B: ameaças comuns” no final deste documento, uma lista ampla é fornecida . das ameaças que possivelmente afetam as vulnerabilidades de médio porte.
As vulnerabilidades representam deficiências em sistemas de TI e procedimentos de segurança, controles administrativos, desenhos físicos e outras áreas que podem aproveitar Ameaças para obter acesso não autorizado a informações ou quebrar em processos críticos. Vulnerabilidades são físicas e lógicas. Eles incluem desastres naturais, erros mecânicos, configurações de software incorretas e erros humanos. Em “Apêndice C: Vulnerabilidades” no final deste documento, uma ampla lista de vulnerabilidades que possivelmente afetam as empresas de médio porte.
Formación de usuarios
Con respecto a la seguridad de la información lógica y física, la mayor vulnerabilidad no reside necesariamente en los problemas de software o de los equipos, sino en los usuarios de As equipes. Os funcionários fazem erros terríveis, como marcar suas senhas em locais visíveis, baixando e abrindo anexos de e-mail que podem conter vírus e deixar o equipamento à noite.Como as ações humanas podem afetar seriamente a segurança da equipe, a formação de funcionários, o pessoal e a administração de TI devem ser uma prioridade. Igualmente importante é que a equipe desenvolvem bons hábitos de segurança. Essas abordagens são simplesmente mais lucrativas para empresas de longo prazo. O treinamento deve oferecer recomendações de usuários para evitar atividades maliciosas e educar-as em relação a possíveis ameaças e como evitá-las. Práticas de segurança que os usuários devem levar em conta incluem o seguinte:
-
nunca responder a um e-mail em que informações pessoais ou financeiras são solicitadas.
-
Nunca forneça senhas.
-
Não abra arquivos suspeitos Suspeito e-mail
-
Não responda a nenhum email indesejado ou suspeito.
-
Não instale aplicativos não autorizados.
-
Bloquear o equipamento quando não estiver usando uma senha que protege o protetor de tela ou usando o CTRL-Alt- Excluir caixa de diálogo.
-
permite um firewall.
-
Use senhas seguras em computadores remotos.
diretivas
Procedivos escritos e procedimentos aceitos são necessários para ajudar a reforçar as práticas de segurança. Para ser eficaz, todas as diretivas de TI devem incluir o apoio dos membros da equipe executiva e fornecer um mecanismo de aplicação, uma maneira de informar os usuários e uma maneira de formá-los. Exemplos de diretivas podem abordar os seguintes tópicos:
-
Como detectar malware em um computador.
-
Como relatar infecções suspeitas.
-
O que os usuários podem fazer para ajudar os controladores incidentes, como um usuário realizado antes do sistema ser infectado.
-
processos e Procedimentos para resolver as vulnerabilidades do sistema operacional e aplicativos que o malware pode usar.
-
Guias de configuração de segurança de aplicativos e listas de verificação de segurança.
Equilíbrio entre o gerenciamento de risco e as necessidades de negócios.
Processos de gerenciamento de risco Ajuda a preparar as empresas de médio porte para articular as prioridades, planejar a solução de ameaças e tratar a próxima ameaça ou vulnerabilidade da empresa .
Limitações orçamentais Eles podem estipular as despesas de segurança, mas uma metodologia de gerenciamento de risco bem estruturada, se usada de forma eficaz, pode ajudar a equipe executiva a identificar adequadamente os controles a fornecer as capacidades de segurança para missões fundamentais.
As empresas de médio porte devem Avalie o equilíbrio delicado que existe entre o gerenciamento de riscos e as necessidades de negócios. As seguintes perguntas podem ser úteis ao fazer um saldo de gerenciamento de riscos e necessidades de negócios:
-
A empresa deve configurar seus sistemas ou fazer o fornecedor ou software de hardware? Qual seria o custo?
-
deve o saldo de carga ou uma organização de cluster ser usada para garantir alta disponibilidade de aplicativos? O que é necessário para iniciar esses mecanismos?
-
é um sistema de alarme necessário para a sala do servidor?
-
pode sistemas de chave eletrônica ser usado para o edifício ou a sala do servidor?
-
Qual é o orçamento da empresa para sistemas de computador?
-
Qual é o Orçamento da empresa para manutenção e suporte tecnológico?
-
Qual quantidade de dinheiro calcula que foi gasto a empresa em sistemas informáticos (manutenção de hardware / software) durante o último ano?
-
Quantas equipes existem no principal departamento da empresa? Você tem um inventário de software e hardware de computador?
-
é o seu sistema antigo poderoso o suficiente para executar a maioria dos programas que você precisa para executar?
-
Quantos equipamentos novos ou atualizados calcula o que você precisaria? Quantos seriam ideais?
-
Pode uma impressora?
Para mais informações sobre a administração de riscos Veja o guia de gerenciamento de risco de segurança em http://go.microsoft.com/fwlink/?linkid=30794 (pode ser em inglês).
página da página
Soluções
Esta seção explica as diferentes estratégias para ajudar a gerenciar os riscos de malware entre quais abordagens proativas são incluídas e reagentes para lógico, e diretivas de malware. Métodos de validação, como ferramentas e supervisão de relatórios, também serão abordados.
Desenvolvimento de estratégias para reduzir o malware
Ao desenvolver estratégias para reduzir o malware, é importante definir a chave operacional necessária pontos em que a detecção de prevenção e / ou malware pode ser implementada. Quando se trata de gerenciar os riscos de malware não dependerá apenas de um único dispositivo ou tecnologia como a única linha de defesa. Os métodos preferidos devem incluir uma abordagem de nível através de mecanismos proativos e reagentes através da rede. O software antivírus desempenha um papel fundamental neste tópico; Embora eles não devam ser o único instrumento usado para determinar ataques de malware. Para mais informações sobre abordagens de nível, consulte a seção “Malware Defense Foco” no Guia de Defesa de Profundidade de Antivírus em www.microsoft.com/technet/security/topics/serverscurity/avdind \ _3.mspx \ # E1F (pode ser em inglês) .
Os seguintes pontos de chave operacionais serão endereçados em detalhes abaixo:
-
Avaliação de riscos de malware
-
Segurança física
-
Procedimentos proativos e diretivas versus reactivo
-
Administração
Avaliação de riscos de malware
Para avaliar os riscos de malware, as empresas de médio porte devem estar cientes dos tipos de ataques mais vulneráveis a ameaças. Como e em que medida eles são protegidos? As seguintes perguntas devem ser levadas em conta:
-
A empresa tem um firewall instalado?
Os firewalls são uma parte importante do perímetro de defesa. Um firewall de rede normalmente serve como primeira linha de defesa contra ameaças externas voltadas para sistemas de computadores, redes e informações importantes de uma empresa. As empresas de médio porte devem ter algum tipo de firewall implementado, se o software ou firewalls de hardware,
-
A empresa possui uma função de análise de vulnerabilidade interna ou externa? Como é analisada as informações detectadas?
Recomenda-se usar uma ferramenta como o Microsoft Baseline Security Analyzer (MBSA) para detectar vulnerabilidades ou configurações incorretas. Também é possível subcontratar o processo de análise de vulnerabilidade de segurança, contratando provedores externos para avaliar o ambiente de segurança e fornecer sugestões para melhorar o que é considerado necessário.
Nota MBSA é uma ferramenta simples projetada para profissionais de TI que contribuem para pequenas e médias empresas para determinar seu status de segurança de acordo com as recomendações de segurança da Microsoft. Também oferece instruções específicas de reparo. Melhorar os processos de gerenciamento de segurança usando o MBSA para detectar as configurações de segurança incorretas mais comuns e atualizações de segurança ausentes no sistema de computador.
-
é algum plano em andamento das cópias de avaliação e backup de recuperação?
Certifique-se de que existem planos de backup e que o servidor de backup funciona de forma eficaz.
-
Quantos tipos de software antivírus a empresa tem? O antivírus foi instalado em todos os sistemas?
Reserve uma única plataforma antivírus pode expor a empresa a riscos, já que cada pacote tem seus próprios pontos fortes e fracos.
-
A empresa possui uma rede sem fio implementada? Em caso afirmativo, é configurado corretamente e habilitou a segurança de rede sem fio?
Mesmo que um cabo com cabos seja completamente seguro, uma rede sem fio insegura pode inserir um nível de risco não aceitável em um ambiente que, caso contrário, seria seguro. Os antigos padrões em sistemas sem fio, como WEP, são facilmente ameaçados, portanto, uma investigação deve ser realizada para garantir que a solução de segurança sem fio mais apropriada tenha sido lançada.
-
Os funcionários receberam treinamento sobre como evitar malware? Você recebeu treinamento sobre o tema dos riscos de malware?
A forma mais comum de propagação de malware implica algum tipo de engenharia social; E a defesa mais eficaz contra ameaças à engenharia social é o treinamento.
-
Existe uma diretiva escrita sobre como impedir ou gerenciar ameaças de malware?Quanto custa essa directiva? Você se aplica? A equipe está em conformidade com a diretiva?
Certifique-se de que os usuários recebam treinamento sobre como evitar ameaças e prevenção de malware. É muito importante ter todas essas informações documentadas. Deve haver uma diretiva escrita pertinente sobre os procedimentos e informações anteriores. As revisões da presente directiva devem ser realizadas quando as alterações são produzidas para garantir a eficácia e a validade das directivas indicadas.
segurança física
Segurança física implica a restrição de acesso a equipes, a fim de evitar alterações, roubos, erros humanos e subseqüente tempo de inatividade que causam essas ações.
Embora a segurança física seja um problema de segurança geral que um problema de malware específico é impossível Para proteger contra malware sem um plano efetivo de defesa física para todos os dispositivos, servidores e redes do cliente dentro da infraestrutura de uma organização.
Na lista a seguir, os elementos mais importantes que precisam ser tidos em conta estão incluídos Alcance um plano de defesa física eficaz:
-
Building Security. Quem tem acesso ao prédio?
-
segurança da equipe. Quais são as restrições do direito de acesso de um funcionário?
-
pontos de acesso para redes. Quem tem acesso a equipamentos de rede?
-
Equipamento do servidor. Quem tem direitos de acesso aos servidores?
-
Equipamento da estação de trabalho. Quem tem direitos de acesso a estações de trabalho?
Se algum desses elementos estiverem em perigo, há mais risco de que um cotovelo de malware limites internos de defesa e externos para infectar um host de rede. A proteção do acesso a instalações e sistemas de informática deve ser um elemento fundamental de estratégias de segurança.
Para obter informações mais detalhadas, consulte o artigo “Consultor de segurança em 5 minutos: segurança física básica” no Microsoft TechNet em WWW. microsoft.com/technet/arcebive/community/columns/security/5min/5min-203.min/5min-203.mspx (pode ser em inglês).
segurança lógica
Medidas de proteção de software para média Sistemas de informação de tamanho incluem acesso por senha e ID do usuário, autenticação e direitos de acesso; Tudo isso é crucial para a administração de riscos de malware. Essas medidas de proteção ajudam a garantir que apenas os usuários autorizados possam executar ações ou ter acesso a informações de uma determinada estação de trabalho ou servidor na rede. Os administradores devem garantir que os sistemas sejam configurados consistentemente com a função de trabalho do usuário do computador. A configuração dessas medidas de proteção pode levar em conta o seguinte:
-
Limitação de programas ou utilitários apenas para aqueles que precisam para sua posição.
-
Aumentar o controle nos diretórios-chave do sistema.
-
Uso de políticas menores.
-
Limitação do uso de mídia removível, como disquetes.
-
Quem é que você vai conceder direitos administrativos para o backup Servidor, servidores de correio e servidores de arquivos?
-
Quem deve ter acesso a pastas de recursos humanos?
-
Qual o direito de privilégio Ser dado às pastas interdepartamentais?
-
Você vai usar os mesmos usuários diferentes de estação de trabalho? Se sim, que nível de acesso você vai dar? Os usuários são autorizados a instalar aplicativos de software em suas estações de trabalho?
IDs de usuário, IDs de login ou contas e nomes dos usuários são identificadores pessoais exclusivos de usuários de um programa de rede ou computador para que mais de um usuário pode ter acesso. A autenticação é o processo para verificar se uma entidade ou objeto é aquele que diz ser ou o que afirma ser. Exemplos incluem a confirmação da origem e integridade das informações, como verificar uma assinatura digital de um usuário ou equipamento. Para melhorar a segurança, recomenda-se que todas as contas de login tenham dados de autenticação de senha secretas empregados para controlar o acesso a um recurso ou um computador. Depois que o usuário puder fazer login na rede, os direitos de acesso adequados devem ser definidos. Por exemplo, um determinado usuário pode acessar uma pasta de recursos humanos, mas só terá acesso de leitura e não poderá fazer nenhuma alteração.
Outros tópicos de segurança lógicos incluem:
-
As instruções sobre senhas, como a complexidade ou o vencimento das senhas.
-
Backup e dados de software.
-
dados confidenciais / dados importantes: Uso de criptografia quando necessário.
Autorização adequada e as funções de autenticação devem ser fornecidas, correspondendo a um nível aceitável de risco e uso adequado. A atenção deve se concentrar em servidores e estações de trabalho. Todos os elementos de segurança lógicos acima mencionados devem ser elaborados claramente, devem ser aplicados e devem estar disponíveis para toda a empresa como pontos de referência.
Procedimentos proativos e diretivas versus reativa
duas abordagens básicas são usados para ajudar a gerenciar o risco de malware: proativo e reativo. As abordagens proativas incluem todas as medidas tomadas com o objetivo de impedir ataques de redes ou hospedeiros para obter sistemas ameaçados de extinção. Abordagens de reagentes são aqueles procedimentos usados por empresas de médio porte, uma vez que descobrem que seus sistemas foram implementados devido a um programa de ataque ou de um intruso como troy ou outro cavalo de malware.
Abordagens de reagente
P> Se a segurança de um sistema ou rede tiver sido ameaçada, um processo de resposta ao incidente é necessário. Uma resposta ao incidente é o método de pesquisar um problema, análise da causa, minimização do impacto, solução do problema e documentação de cada etapa da resposta para referência posterior.
Como todas as empresas Para evitar futuras perdas comerciais, eles também estão em termos de planos para responder a essas perdas no caso de as medidas proativas não serem eficazes ou não existiam. Os métodos reativos incluem planos de recuperação de desastres, reinstalação de sistemas operacionais e aplicações em sistemas ameaçados e mudam para sistemas alternativos em outros locais. Ter um conjunto de respostas reativas apropriadas preparadas e prontas para implementar é tão importante quanto ter medidas proativas em andamento.
No diagrama hierárquico seguinte da resposta reativa, as etapas para gerenciar incidentes de malware são mostradas. No texto a seguir, informações adicionais são fornecidas nestas etapas.
Figura 2. Hierarquia de respostas reativas
-
Proteção da vida humana e a segurança das pessoas. Se as equipes afetadas incluirem sistemas de manutenção de vida, ele poderá ser desligado não é uma opção. Talvez os sistemas na rede possam ser logicamente isolados, alterando a configuração de roteadores e interruptores sem interromper a capacidade de auxiliar os pacientes.
-
Contenção de dano. A contenção de danos causada pelo ataque ajuda a limitar danos adicionais. Proteção imediata de hardware, software e dados importantes.
-
valor do dano. Execute imediatamente uma duplicata dos discos rígidos de qualquer servidor que tenha sido atacado e coloque esses servidores separados para uma análise subseqüente de pesquisa. Em seguida, avalie o dano.
-
Determinação da causa do dano. Para determinar a origem do ataque, é necessário conhecer os recursos para os quais o ataque e vulnerabilidades que foram usados para obter acesso ou interrompido os serviços foram necessários. Verifique a configuração do sistema, o nível de revisão, os registros do sistema, os registros de auditoria e as faixas de auditoria nos sistemas diretamente afetados, bem como nos dispositivos de rede que encaminham o tráfego.
-
Reparação do dano. É muito importante que o dano seja reparado o mais rápido possível para restaurar as operações comerciais usuais e recuperar quaisquer dados que sejam perdidos durante o ataque.
-
Revisão das diretivas de Atualização e resposta. Uma vez que as fases de recuperação e documentação, as políticas de atualização e resposta devem ser completamente revisadas.
O que deve ser feito se os sistemas da rede estiverem infectados com vírus? Na lista a seguir, inclui exemplos de uma abordagem reativa:
-
Certifique-se de que o firewall funcione. Obtenha um controle positivo sobre o tráfego de entrada e saída dos sistemas de rede.
-
Tratar o primeiro suspeito primeiro. Limpe as ameaças de malware mais comuns e, em seguida, verifique se há ameaças desconhecidas.
-
isolar o sistema infectado. Deixe-o da rede e da Internet. Impedir que a infecção se espalhe para outros sistemas de rede durante o processo de limpeza.
-
Investigue técnicas de limpeza e controle da brota.
-
Baixe as últimas definições de vírus dos provedores de software antivírus.
-
verifique se os sistemas antivírus foram configurados para explorar todos os arquivos.
-
Execute uma varredura completa do sistema.
-
Restaurar dados danificados ou perdidos.
-
Excluir ou limpar os arquivos infectados.
-
Confirme que sistemas de computador não contêm malware.
-
Reconecte os sistemas de computador para a rede.
Nota É importante garantir que Todos os sistemas de computador executaram o software antivírus recente e que os processos automatizados são executados para atualizar regularmente as definições de vírus. É especialmente importante atualizar o software antivírus no equipamento portátil que os trabalhadores móveis usam. Manter um banco de dados ou registro que acompanha as revisões que foram aplicadas aos sistemas mais importantes da empresa: sistemas acessíveis a partir da Internet, firewalls, roteadores internos, Bancos de dados e servidores de escritório.
abordagens proativas
Uma abordagem proativa para o gerenciamento de risco apresenta muitas vantagens sobre a abordagem reativa. Em vez de esperar por problemas para surgir e reagir um posterior, você pode minimizar a possibilidade de ocorrer. Devem ser feitos para proteger os ativos importantes da organização através da implementação de controles que reduzem o risco de usar vulnerabilidades de malware.
Uma abordagem efetiva proativa pode ajudar as empresas de médio porte reduzir os incidentes de segurança que surgem No futuro, embora esses problemas não sejam susceptíveis de desaparecer completamente. Portanto, eles devem continuar a melhorar os processos de resposta a incidentes durante o desenvolvimento de abordagens proativas de longo prazo. A lista a seguir inclui alguns exemplos de medidas proativas que podem ajudar a gerenciar riscos de malware.
-
Aplicar o firmware mais recente a sistemas e roteadores de hardware como fornecedores recomendam.
-
Aplique as revisões de segurança mais recentes para aplicativos de servidor ou outros aplicativos.
-
Inscreva-se nas listas de e-mail de fornecedores em segurança e aplicação de revisões quando recomendado.
-
Certifique-se de que todos os sistemas de computação Microsoft executem o software antivírus recente.
-
Assegure-se de que os processos automatizados em execução regularmente atualizem as definições de vírus.
Observação É especialmente importante atualizar o software antivírus em computadores portáteis que os trabalhadores móveis usam.
-
Mantenha um banco de dados que segue os comentários que foram aplicados ADO.
-
Revise os registros de segurança.
-
Ativar firewalls ou perímetro baseados em host.
-
Use um scanner de vulnerabilidade, como o Microsoft Baseline Security Analyzer para detectar as configurações de segurança incorretas mais comuns e atualizações de segurança ausentes em sistemas de computador.
-
Use menos privilegiado Contas de usuário (LUA). Se processos privilegiados mais baixos estiverem ameaçados, eles causarão menos danos do que os mais altos processos privilegiados. Portanto, se uma conta de administrador for usada em vez de um administrador quando as tarefas diárias forem concluídas, a proteção adicional será oferecida ao usuário em comparação com uma infecção de um host de malware, ataques internos ou externos de segurança, modificações interessadas ou acidentais na configuração e na instalação do sistema e acesso intencional ou acidental a documentos ou programas confidenciais.
-
Aplicar políticas de senha seguras. Senhas seguras reduzem a probabilidade de um invasor que usa força bruta adquire mais privilégios. As senhas normalmente seguras têm os seguintes recursos:
-
15 ou mais caracteres.
-
Nunca contenha nomes de conta, nomes reais ou nomes das empresas de forma alguma.
-
nunca contenha uma palavra completa, jargão ou outro termo que pode ser facilmente pesquisado.
-
eles são consideravelmente diferente em conteúdo para senhas anteriores e não são aumentados.
-
Use pelo menos três dos seguintes tipos de caracteres:
-
maiúsculas (a, b, c …)
-
minúsculo (a, b, c …)
-
Números (0, 1, 2 …)
-
não-alfanumérico símbolos (@, , $ ..)
-
Unicode caracteres (€, ƒ …
-
-
Para obter mais informações sobre as políticas de senha, consulte a “Práticas recomendadas para senhas” na Microsoft TechNet em http://technet2.microsoft.com/WindowsServer/en/Library/e903f7a2-4def-4f5f-9480-41de6010fd291033.mspx?mfr=true (pode ser em inglês).
defesa em profundidade
Uma abordagem proativa para o gerenciamento de risco de malware em um meio O ambiente de tamanho deve incluir o uso de uma abordagem de defesa aprofundada em níveis para ajudar a proteger os recursos de ameaças externas e internas. Defesa de profundidade (às vezes conhecida como segurança em profundidade ou segurança multi-nível) utiliza para descrever a distribuição por níveis de segurança contramedidas para formar um ambiente de segurança unificado sem um único ponto de erro. Níveis de segurança que formam a estratégia de defesa aprofundada devem incluir a implementação de medidas proativas de roteadores externos até a localização dos recursos e Pontos intermediários. A implementação de vários níveis de segurança ajuda a garantir que, se um nível estiver em perigo, o restante dos níveis fornecerá a segurança necessária para proteger os recursos.
Esta seção aborda o modelo de segurança de defesa em profundidade que é Um excelente ponto de partida para entender este conceito. Este modelo identifica sete níveis de defesa de segurança destinados a garantir que qualquer tentativa de colocar em risco a segurança das empresas de médio porte se encontre em um conjunto sólido de defesas. Cada conjunto pode ajudar a detectar ataques em níveis muito diferentes.
Você pode modificar as definições detalhadas de cada nível, dependendo dos diferentes requisitos e prioridades de segurança das empresas. A figura a seguir mostra os diferentes níveis do modelo de defesa em profundidade.
Figura 3. Modelo de segurança de defesa em profundidade
-
dados. Os riscos no nível de dados surgem pelas vulnerabilidades que um invasor poderia ter usado para obter acesso aos dados de configuração, dados da organização ou quaisquer dados exclusivos de um dispositivo que usa a organização.
-
Aplicação. Riscos no nível de aplicação surgem das vulnerabilidades que um invasor poderia ter usado para obter acesso aos aplicativos executados. Qualquer código executável que um criador de malware pode embalar fora do sistema operacional pode servir para atacar um sistema.
-
host. Normalmente, este nível é o objetivo dos fornecedores que fornecem pacotes de serviços e revisões de lidar com ameaças de malware. Os riscos nesse nível surgem pelos atacantes que usam as vulnerabilidades dos serviços oferecidos pelo dispositivo ou host.
-
rede interna. Os riscos nas redes internas de empresas afetam dados transmitidos em grande parte por meio de redes desse tipo. Requisitos de conectividade para estações de trabalho do cliente nessas redes internas envolvem uma série de riscos.
-
Perímetro da rede. Os riscos associados ao nível de rede de perímetro surgem porque um invasor obtém acesso a redes extensas de área (WAN) e os níveis de rede que se conectam.
-
segurança física. Os riscos no nível físico surgem porque um atacante obtém acesso físico a um ativo físico.
-
diretivas, procedimentos e conscientização. As empresas de médio porte precisam iniciar procedimentos e diretivas em torno de todos os níveis do modelo de segurança para atender e manter os requisitos de cada nível.
Níveis de dados, Aplicativo e host podem ser combinado em duas estratégias de defesa para ajudar a proteger os clientes e servidores de empresas. Embora essas defesas compartilhem uma série de estratégias comuns, há diferenças suficientes ao implementar o servidor e as defesas do cliente para garantir uma abordagem de defesa única para cada um deles.
O nível de perímetro e a rede interna também podem ser combinadas Uma estratégia de defesa de rede comum porque as tecnologias envolvidas são as mesmas para ambos os níveis. Os detalhes da implementação variarão em cada nível, dependendo da posição dos dispositivos e tecnologias na infraestrutura da organização. Para mais informações sobre o modelo de defesa em profundidade, consulte “Capítulo 2: Ameaças de Malware” do Guia de Defesa de Profundidade de Antivírus em http://go.microsoft.com/fwlink/?LinkId=50964 (pode ser em inglês).
Implementação e administração
As estratégias para a administração de riscos de malware podem abranger todas as tecnologias e abordagens abordadas até agora neste documento.Recomenda-se implementar software antivírus adequado e confiável em todos os sistemas. O Windows Defender, uma ferramenta da Microsoft que ajuda você a continuar a ser produtiva, protegendo o equipamento contra elementos pop-up, ameaças de segurança e redução de desempenho causada por spyware ou outro software potencialmente indesejado, deve ser usado em conjunto com o software antivírus. De fato, eles devem ser implementados o mais rápido possível após a instalação do sistema operacional. As revisões de software antivírus mais recentes devem ser aplicadas imediatamente e devem ser configuradas para manter a eficiência quando se trata de detectar e parar o malware. Como não é aconselhável depender de uma abordagem única como uma solução de segurança total, os firewalls, as portas de links, as detecções de intrusão e outras tecnologias de soluções de segurança que foram discutidas nas seções anteriores devem ser consolidadas em combinação com o software antivírus.
Esta seção abordará a validação, supervisão e elaboração de relatórios e tecnologias disponíveis.
Validação
Uma vez as abordagens e as abordagens e as tecnologias que tiverem identificado anteriormente para a administração de riscos de malware, como pode ser garantido que eles estão sendo implementados de forma eficaz?
Para validar uma solução proposta, use as seguintes ferramentas que ajudam a validar o ambiente do sistema e da rede:
-
antivírus. Explore todos os sistemas para vírus usando o software antivírus com as definições de arquivos firmes mais recentes.
-
Windows Defender. Através do Windows Defender, explore todos os sistemas em busca de spyware e outro software possivelmente indesejado.
-
Microsoft Baseline Security Analyzer (MBSA). Explore todos os sistemas com o MBSA para identificar os erros de configuração de segurança mais frequentes. Você pode obter mais informações sobre o site do Microsoft Baseline Security Analyzer em http://go.microsoft.com/fwlink/?linkid=17809 (pode ser em inglês).
também, tudo Contas recentemente criadas devem ser verificadas e verificadas com permissões de acesso adequadas para garantir que elas funcionem corretamente.
Uma vez que as estratégias e tecnologias implementadas foram validadas, as revisões de software e hardware devem ser aplicadas quando for necessário alcançar contínua eficiência de segurança. Os usuários, e especialmente funcionários de TI, devem sempre estar atualizados com as últimas atualizações.
Supervisão e relatórios
Contínua A supervisão de dispositivos de rede é fundamental Stop Help Detectar ataques de malware. A supervisão pode ser um processo complexo. Requer uma coleção de informações de inúmeras fontes (por exemplo, firewalls, roteadores, switches e usuários) para coletar uma linha de comportamento “normal” que pode ser usada para identificar o comportamento anormal.
Estratégias de supervisão e preparação de malware Os relatórios em ambientes de tamanho médio devem incluir tecnologias e treinamento de usuários.
Por tecnologias que nos referimos a tecnologias de hardware e software que ajudam as empresas de médio porte a supervisionar e executar relatórios sobre atividades maliciosas e responder de acordo. Por treinamento, nos referimos a programas de conscientização que incluem instruções para usuários sobre a prevenção de incidentes maliciosos, a capacidade de eludos e como preparar relatórios corretamente.
tecnologias é possível automatizar um monitoramento de alerta Sistema para que você possa relatar uma suspeita de infecção de malware em uma localização central ou ponto de contato apropriado que, por sua vez, pode informar os usuários sobre como agir. Um sistema de alerta automatizado minimizaria o tempo de espera entre um alerta inicial e o momento em que os usuários se tornam conscientes da ameaça de malware, mas o problema com essa abordagem é que ele pode gerar alertas “falsos positivos”. Se ninguém filter os alertas e revê uma lista de atividades incomuns, é provável que os alertas sejam anotados contra malware inexistente. Esta situação pode levar à complacência, uma vez que os usuários serão rapidamente dessensibilizados a alertas que são gerados com muita frequência.
Pode ser útil atribuir membros da equipe de administração de rede A responsabilidade de receber todos os alertas automatizados de malware de todos os antivírus ou monitoramento de sistemas pacotes de software usados pela empresa. A equipe ou indivíduo responsável pode filtrar os falsos alertas positivos de sistemas automatizados antes de enviar os alertas para os usuários.
Recomenda-se revisar e atualizar constantemente os alertas de soluções de malware. Todos os aspectos da proteção de malware são importantes, desde os downloads simples de assinaturas automatizadas de vírus até fazer alterações na Diretiva Operacional. Embora algumas das seguintes ferramentas já tenham sido mencionadas, elas são essenciais para administração de segurança, monitoramento e relatório:
-
Detecção de intrusão de rede (NID). Como a rede de perímetro é uma parte altamente exposta da rede, é de importância digital que os sistemas de administração de rede podem detectar ataques e responder o mais rápido possível.
-
Microsoft Baseline Security Analyzer ( O MBSA) melhora os processos de gerenciamento de segurança com o MBSA para detectar as configurações de segurança incorretas mais comuns e atualizações de segurança ausentes em sistemas de computador.
-
scanner de assinaturas antivírus. Atualmente, a maioria dos programas de software antivírus usa essa técnica, que envolve a pesquisa na lente (equipamento de host, unidade de disco ou arquivos) de um padrão que pode representar malware.
-
scanners de gateway smtp. Essas soluções de exame de e-mail baseadas em SMTP são geralmente conhecidas como soluções de gateway antivírus. Eles têm a vantagem de trabalhar com todos os servidores de email SMTP em vez de serem vinculados a um produto de servidor de e-mail específico.
-
arquivos de log. Arquivos listados pelos detalhes dos acessos a arquivos armazenados e salvos em um servidor. A análise dos arquivos de registro pode revelar dados úteis no tráfego do site.
-
Visualizador de eventos. Ferramenta administrativa que informa erros e outros eventos, como, por exemplo, erros do controlador, erros de arquivo, logins e fechamentos de sessão.
-
Microsoft Windows Defender. Programa que ajuda a proteger o equipamento contra elementos pop-up, redução de desempenho e ameaças de segurança causadas por spyware ou outro software indesejado. Oferece proteção em tempo real, um sistema de supervisão que recomenda ações contra o spyware quando detecta e uma nova interface otimizada que minimiza as interrupções e ajuda os usuários a manter sua produtividade.
-
Use o Internet Proteção de segurança dinâmica do Internet Explorer 7.
Entre as ferramentas adicionais recomendadas que ajudam a explorar e aplicar as atualizações ou soluções mais recentes incluem:
-
Microsoft Windows Server Update Services (WSUS) fornece uma solução global para atualizações de administração na rede de médias empresas.
-
Microsoft Systems Management Server 2003 SP 1 fornece uma solução global Para alterações de gerenciamento de configuração e Microsoft Platform, permitindo que as organizações forneçam atualizações e softwares significativos para os usuários de forma rápida e lucrativa.
Considere se inscrever para qualquer novo comentário que se aplique à sua organização. Para receber essas notificações automaticamente, você pode se inscrever no Microsoft Security Bulletins em http://go.microsoft.com/fwlink/?LinkId=21723.
treinamento do usuário
como já mencionado em uma seção anterior deste documento, Todos os usuários devem receber treinamento em malware e suas características, a gravidade de suas potenciais ameaças, técnicas de evasão e as formas de propagação de malware e riscos que implicam. O treinamento de usuários também deve incluir a conscientização da diretiva e procedimentos que se aplicam à administração de incidentes de malware, como como detectar malware em um computador, como relatar infecções suspeitas e quais usuários podem fazer para ajudar os administradores de incidentes. As empresas de médio porte devem conduzir sessões de treinamento sobre estratégias para administrar os riscos de malware destinados a um pessoal de TI envolvidos na prevenção de incidentes de malware.
Princípio da página
Resumo
Malware é uma área complexa e em constante evolução da tecnologia da computação. De todos os problemas que foram encontrados em você, poucos são tão frequentes e constantes quanto os ataques de malware e os custos associados ao combatê-los. Se for entendido como eles funcionam, como eles evoluem ao longo do tempo e tipos de ataques que usam, é possível ajudar as empresas de médio porte a tratar o problema proativamente e criar processos reativos mais eficazes e eficientes.Malware usa quantas técnicas projetadas para criar, distribuir e usar sistemas de computador que é difícil de entender como um sistema pode ser seguro o suficiente para resistir a tais ataques. No entanto, o fato de entender os desafios e aplicar estratégias para administrar os riscos de malware, possibilitam que as empresas de médio porte administre seus sistemas e infraestrutura de rede, para que a possibilidade de um ataque seja reduzida.
Top de página
Apêndice A: Ativos comuns do
neste apêndice Os ativos do sistema de informação são listados que são geralmente encontrados em empresas de médio porte de diferentes tipos. Não pretende ser exaustivo e, provavelmente, esta lista não representa todos os ativos presentes no ambiente exclusivo de uma organização. É fornecido como uma lista de referência e ponto de partida para ajudar as empresas de médio porte.
tabela A.1. Lista de ativos comuns do sistema de informação
classe ativa | Descrição do nível mais alto do ativo | Definição do próximo nível (se necessário) | valor de ativo (5 é o mais alto) |
---|---|---|---|
infraestrutura física | centros de dados | 5 | |
infraestrutura física | servidores | 3 | |
tangível | infraestrutura física | equipamento de desktop | 1 |
tangível | infraestrutura física | equipamento portátil | 3 |
tangível | Infraestrutura física | PDA | 1 |
tangível | infraestrutura física | Telefones celulares | 1 |
tangível | infraestrutura física | macio Ware of server application | 1 |
tangível | infraestrutura física | software de aplicativo do usuário final | 1 |
infraestrutura física | ferramentas de desenvolvimento | 3 | tangível | infraestrutura física | roteadores | 3 |
Tangível | infraestrutura física | switches de rede | 3 |
tangível | física infraestrutura | dispositivos de fax | 1 |
tangível | infraestrutura física | pbx | 3 |
infraestrutura física | mídia removível (fitas, disquetes, cd-rom, DVD, discos rígidos portáteis, dispositivos de armazenamento de placa de PC, dispositivos de armazenamento USB, etc.) | 1 | |
tangível | infraestrutura física | sistemas de energia. | 3 | tangível | infraestrutura física | sistemas de energia ininterrupta | 3 |
tangível | infraestrutura física | sistemas de extinção de incêndio | 3 |
tangível | Infraestrutura física | sistemas de ar condicionado | 3 |
tangível | infraestrutura física | Sistemas de filtragem de ar | 1 |
tangível | infraestrutura física | outros sistemas de controle ambiental | 3 |
tangble | dados de intranet | código fonte | 5 |
tangble | dados de intranet | dados de recursos humanos | 5 |
tangble | dados de intranet | dados financeiros | 5 |
tangível | dados da intranet | dados de marketing | 5 |
tangível | d Intranet ATOS | Senhas de funcionário | 5 |
tangble | dados de intranet | 5 | |
tangble | dados de intranet | teclas pictográficas do sistema de computador | 5 |
tangble | dados de intranet | cartões inteligentes td | 5 | dados de propriedade intelectual | 5 | dados de intranet | dados para os requisitos regulamentares (GLBA, HIPAA, CA SB1386, directiva para a protecção da informação da União Europeia, etc. |