Strategii pentru administrarea riscurilor malware

Posted on by admin
  • 10/11/2017
  • Timp de citire: 53 minute
    • b
pe acest Pagina

Introducere
Definiția provocărilor
Soluții
Rezumat
Apendicele A: Activele comune ale sistemului informatic
Apendicele B: Amenințări comune
Apendice C vulnerabilități
Referințe

Introducere

Bine ați venit la acest document din ghidurile de securitate pentru întreprinderile mijlocii. Microsoft se așteaptă ca aceste informații să vă ajute să creați un mediu computerist mai sigur și mai productiv.

Rezumat

ca software malware sau rău intenționat evoluează și devine mai sofisticat, trebuie să dezvolte și software și hardware Tehnologii pentru a evita atacurile și amenințările malware.

Amenințările malware au fost foarte scumpe pentru întreprinderile mijlocii, atât în domeniul tehnologiilor de răspuns, cât și în domeniul apărării. Internetul a ridicat foarte mult profilul amenințărilor externe destinate companiilor mijlocii, în timp ce amenințările mari continuă să fie, de exemplu, atacuri interne.

atacuri interne care au cel mai mare potențial rău pe care îl derivă din activități a personalului intern care ocupă pozițiile de cea mai mare încredere, cum ar fi administratorii de rețea. Este foarte posibil ca acest personal implicat în activități dăunătoare să aibă obiective și obiective specifice, cum ar fi plasarea unui cal troian sau explorarea sistemelor de fișiere neautorizate și, în același timp, un acces legitim la sisteme. În general, personalul intern nu are intenții rău intenționate, ci ar putea plasa un software rău intenționat prin sisteme sau dispozitive de conectare involuntar infectate cu o rețea internă, care ar pune în pericol integritatea / confidențialitatea sistemului sau ar putea afecta performanța, disponibilitatea și / o stocarea Capacitatea sistemului.

Analizele amenințărilor interne și externe au condus multe companii mijlocii să investigheze sistemele care ajută la supravegherea rețelelor și să detecteze atacuri, inclusiv resursele pentru a contribui la administrarea riscurilor malware în timp real.

Informații generale

Acest document oferă informații despre strategii care ajută la gestionarea riscurilor malware în companiile mijlocii. Documentul este împărțit în patru secțiuni principale: introducere, definiție, provocări și soluții.

Definiție

În această secțiune este destinată să clarifice ceea ce este un malware (și, de asemenea, ceea ce nu este ), caracteristicile sale și gestionarea riscurilor.

Prezenta secțiune descrie multe dintre cele mai frecvente provocări cu care se confruntă companiile mijlocii în legătură cu gestionarea riscurilor malware, inclusiv: /p>

  • Activele comune ale sistemului informatic

  • mai frecvente amenințări

  • vulnerabilități

  • Formarea finală și directivă

  • Balanța între gestionarea riscurilor și nevoile de afaceri

Soluții

Această secțiune oferă informații suplimentare despre directive, abordări și strategii dintre care sunt incluse:

  • directive fizice și logice

    • rac abordări TIVOS și proactiv pentru prevenirea virusului și a malware-ului

  • Strategii de reducere a malware-ului

În această secțiune este adresată și Administrația și evaluarea riscurilor malware ca parte a strategiilor de prevenire a amenințărilor din malware. Informațiile sunt furnizate și pe instrumentele de monitorizare și raportare menite să exploreze, să detecteze și să elaboreze rapoarte privind activitățile rău intenționate.

Cine ar trebui să citească acest ghid

Acest document vizează în principal personalul IT și Administrarea companiilor mijlocii, în scopul de a le ajuta să înțeleagă amenințările dăunătoare, să se apere de astfel de amenințări și să răspundă rapid și în mod adecvat atunci când apar atacuri malware.

PRINCIPIUL PAGINIIUI

Definiție

Malware este abrevierea termenilor în limba engleză „software rău intenționat” (software rău intenționat). Este un nume colectiv care include viruși, viermi și cai troieni care îndeplinesc în mod expres sarcini rău intenționate într-un sistem informatic. Din punct de vedere tehnic, un malware este un cod rău intenționat.

Considerații privind diferite tipuri de malware

în următoarele subsecțiuni descriu diferitele categorii de malware.

ascunzând
  • cal trojan. Program care pare utile sau inofensiv, dar conține un cod ascuns conceput pentru a profita sau a deteriora sistemul pe care este executat. Caii lui Troy (numiți și coduri trojan), vin de obicei la utilizator prin mesaje de e-mail care provoacă o reprezentare greșită a funcționalității și scopului programului. Caii lui Troy efectuează această operație care furnizează o sarcină sau o sarcină rău intenționată atunci când sunt executate.
malware infecțios

  • vierme. Un vierme folosește un cod rău intenționat, care poate fi distribuit automat de la un computer la altul prin conexiunile de rețea. Un vierme poate produce daune ca consum de sistem local sau resurse de rețea care ar putea provoca un atac de serviciu de negare. Unele viermi pot fi executate și propagate fără intervenția utilizatorului, în timp ce altele au nevoie de utilizator să execute direct codul de vierme pentru a se putea răspândi. Viermii pot furniza, de asemenea, o sarcină în plus față de replicare.

  • virus. Un virus utilizează un cod scris cu intenția exprimată de auto-înregistrare. Un virus încearcă să se răspândească de la o echipă la altul atașând automat la un program gazdă. Poate dăunează hardware-ului, software-ului sau datelor. La executarea gazdei, codul virusului este, de asemenea, executat, infectând noua gazdă și, uneori, furnizând o sarcină suplimentară.

malware pentru beneficii

  • spyware. Uneori, acest tip de software este cunoscut sub numele de software spybot sau de urmărire. Spyware utilizează alte forme de programe și software de înșelăciune care efectuează anumite activități pe un computer fără a avea consimțământul corespunzător al utilizatorului. Aceste activități includ colectarea de informații personale și schimbarea parametrilor de configurare ai Internet Explorer. În plus față de faptul că a fost o neplăcere, spyware-ul provine o varietate de probleme de la degradarea performanței globale a echipei la încălcarea personală a confidențialității.

    site-uri web care distribuie spyware-ul utilizează diferite trucuri pentru a le descurca și să le instalați pe computerele lor. Aceste trucuri includ crearea de experiențe de utilizator înșelătoare și încorporarea spyware deghizată cu alte programe pe care le pot dori utilizatorii, cum ar fi software-ul de schimb de fișiere gratuite

  • adware Tipul de software pentru a afișa publicitatea, în special anumite aplicații executabile al căror scop principal este de a furniza conținut publicitar într-un fel sau cu un context pe care utilizatorii nu le așteaptă sau nu doresc. Multe aplicații adware efectuează, de asemenea, funcții de urmărire și, prin urmare, pot fi, de asemenea, clasificate ca tehnologii de urmărire. Unii consumatori ar putea dori să ștergă adware-ul dacă le deranjează să efectueze o astfel de urmărire, dacă nu doresc să vadă publicitatea origată de program sau dacă nu-i plac efectele pe care le au despre performanța sistemului. Iar, dimpotrivă, unii utilizatori pot dori să mențină anumite programe adware dacă, cu prezența lor, costul unui serviciu sau produs dorit este subvenționat sau dacă oferă publicitate utilă sau dorită, cum ar fi, de exemplu, reclamele care sunt competitive cu care Utilizatorul este căutat sau complementat.

Pentru mai multe informații, consultați Tema Malware pe Wikipedia în http://en.wikipedia.org/wiki/Malware și temă. Ce este malware-ul? În Ghidul de apărare a adâncimii antivirus la adresa www.microsoft.com/technet/security/topics/serversecurity/aVdindl /2.mspx „(poate fi în limba engleză).

Considerații privind comportamentele malware

Caracteristicile diferite pe care fiecare categorie de malware le poate prezenta sunt de obicei foarte asemănătoare. De exemplu, este posibil ca atât un virus cât și un vierme să utilizeze rețeaua ca mecanism de transport. Cu toate acestea, un virus va încerca să infecteze fișierele în timp ce un vierme va încerca pur și simplu să se copieze. În secțiunea următoare, sunt furnizate scurte explicații ale caracteristicilor tipice de malware.

medii obiective

Când malware-ul încearcă să atace un sistem gazdă, este necesar un număr specific de componente pentru asta Atacul are succes. Următoarele componente sunt exemple tipice ale componentelor pe care malware-ul le poate necesita un atac asupra unei gazde:

  • dispozitive. Unele programe malware se vor concentra în mod specific pe un tip de dispozitiv, de exemplu PC, un computer Macintosh Apple sau chiar un asistent digital personal (PDA). Dispozitive portabile, cum ar fi telefoanele mobile, devin din ce în ce mai populare dispozitive țintă.

  • Sisteme de operare.Poate fi necesar un sistem de operare specific, astfel încât malware-ul să fie eficient. De exemplu, virusul Cernobîl sau CIH al anilor ’90 ar putea ataca numai echipamentul cu Microsoft® Windows® 95 sau Windows 98. Cele mai actuale sisteme de operare sunt mai sigure. Din păcate, malware-ul este, de asemenea, din ce în ce mai sofisticat.

  • Aplicații. Malware-ul poate necesita o aplicație specifică instalată pe computerul țintă pentru a furniza sarcina sau replicarea dvs. De exemplu, virusul LFM.926 din 2002 ar putea ataca numai dacă fișierele Flash Shockwave (.swf) ar putea fi executate pe computerul local.

Purtători

Dacă malware-ul este un virus, acesta va încerca să ajungă la un obiect purtător (cunoscut și ca gazdă) să-l infecteze. Numărul și tipul de obiecte care transportă țintă variază foarte mult între diferitele forme de malware. Următoarea listă oferă exemple de operatori țintă cei mai frecvenți:

  • Fișiere executabile. Acești operatori sunt obiectivele tipului de virus „clasic” care se înlocuiește la atașarea unui program gazdă. În plus față de fișierele executabile tipice care utilizează extensia .exe, fișierele cu următoarele extensii pot fi de asemenea utilizate cu acest scop: .com, .sys, .dll, .ovl, .ocx și .prg.

  • scripturi. Atacurile care utilizează scripturi ca operatori se concentrează pe fișierele care utilizează un limbaj de scripting, cum ar fi scriptul Microsoft Visual Basic®, JavaScript, AppleScript sau Perl Script. Printre prelungirile de fișiere de acest tip includ: .vbs, .js, .wsh și .prl.

  • Macrocomenzile. Acești operatori sunt fișiere care susțin un limbaj de scripting macro de la o aplicație specifică, cum ar fi, de exemplu, o aplicație de procesoare de text, foile de calcul sau o bază de date. De exemplu, virușii care utilizează limbi macro în Microsoft Word și Lotus Ami Pro pentru a produce o serie de efecte includ de la pranks (modificați ordinea cuvintelor într-un document sau schimbați culorile) la malware (formatați discul greu Echipamente).

Mecanisme de transport

Un atac poate utiliza una dintre numeroasele metode diferite pentru a încerca să replicați între sistemele informatice. Această secțiune oferă informații despre unele dintre cele mai frecvente mecanisme de transport utilizate de un malware.

  • Medii amovibile. Transmițătorul de viruși de calculator și alte programe malware originale și probabil mai prolific corespund transferului de fișiere (cel puțin până de curând). Acest mecanism a început cu dischete, apoi sa mutat în rețele și, în prezent, caută noi medii ca dispozitive USB (autobuzul de serie Universal) și Firewire. Indicele infecției nu este la fel de rapid ca și în malware care utilizează rețeaua, deși amenințarea este încă prezentă și este dificil de eradicat complet datorită necesității de a face schimb de date între sisteme.

  • Resurse de rețea partajate. Atunci când a fost prevăzut un mecanism, astfel încât echipele să se conecteze direct printr-o rețea, creatorii malware au găsit un alt mecanism de transport care a avut potențialul de a depăși capacitățile mass-media amovibile pentru a propaga un cod rău intenționat. Un sistem de securitate implementat incorect în acțiunile de rețea produce un mediu în care programele malware pot fi reproduse într-un număr mare de echipamente conectate la rețea. Această metodă a înlocuit o mare parte a metodei manuale de utilizare a mijloacelor detașabile.

  • rețele punct-la-punct (P2P). Pentru a produce transferuri de fișiere P2P, un utilizator trebuie să instaleze o componentă client a aplicației P2P pe care o veți utiliza rețeaua.

Pentru informații suplimentare, consultați secțiunea „Malware Caracteristici „din Ghidul de apărare a adâncimii antivirus la adresa www.microsoft.com/technet/security/topics/servercurity/avadind 2.mspx \\ eqaac (poate fi în limba engleză).

Ce nu este inclus în Definiția malware

Există o amenințare care nu este considerată malware, deoarece acestea nu sunt programe de calculator create cu intenție proastă. Cu toate acestea, aceste amenințări pot avea implicații financiare și de securitate pentru întreprinderile mijlocii. Următoarea listă descrie unele dintre cele mai frecvente exemple de amenințări care ar putea fi luate în considerare și înțelegând atunci când se dezvoltă o strategie de securitate completă.

  • software-ul virusului. Aplicațiile de simulare a virușilor sunt concepute pentru a provoca un zâmbet sau, cel mult, pentru a face pe cineva să piardă timpul. Aceste aplicații există de când oamenii au început să utilizeze echipele.Deoarece nu au fost dezvoltate cu intenție proastă și sunt clar identificate ca o glumă, acestea nu au fost considerate malware în scopul acestui ghid. Există multe exemple de aplicații de simulare a virușilor care provoacă totul de la efecte de ecran interesante la jocuri distractive sau animații.

  • falsuri. Un exemplu de falsificare ar fi un mesaj înșelător care avertizează de un virus care nu există cu adevărat. Ca și alte forme de malware, falsificările utilizează ingineria socială în scopul încercării de a înșela utilizatorii echipei de a efectua un anumit act. Cu toate acestea, nu există cod care execută în contrafacere; Contrafacerea încearcă în mod normal să înșele victima. Un exemplu comun de contrafacere este un mesaj de e-mail sau un șir de mesaje de poștă electronică care avertizează că un nou tip de virus a fost descoperit și cere ca mesajul să fie redirecționat pentru a notifica prietenii. Aceste tipuri de mesaje false fac deșeuri de timp, ocupă resurse de pe serverele de e-mail și consumă lățimea de bandă a rețelei. Cu toate acestea, contrafacerea poate provoca daune dacă comandați utilizatorului să schimbe setările computerului (de exemplu, care șterge cheile de înregistrare sau fișierele de sistem).

  • escrocheri. Un exemplu comun de înșelătorie este un mesaj de e-mail care încearcă să trișeze destinatarul să dezvăluie informații personale importante care pot fi utilizate în scopuri ilegale (de exemplu, informații despre contul bancar). Există un tip specific de înșelătorie care este cunoscut sub numele de suplimente de identitate (phishing) și care este, de asemenea, cunoscut sub numele de impersonație de marcă sau de carduri.

  • e-mail nedorit. E-mailul nedorit este un e-mail nesolicitat care este generat pentru a anunța un serviciu sau un produs. De obicei, acest fenomen este enervant, dar nu este un malware. Cu toate acestea, creșterea drastică a corespondenței nedorite care este trimisă este o problemă pentru infrastructura de internet. E-mailul nedorit provoacă, de asemenea, o pierdere de productivitate a angajaților care sunt forțați să vadă aceste mesaje și să le ștergă în fiecare zi.

  • cookie-uri pe Internet. Cookie-urile de Internet sunt fișiere text care pun pe computerul unui utilizator site-urile pe care această vizită. Cookie-urile conțin și furnizează informații identificabile despre utilizator pe site-urile web care le plasează pe computerul lor, împreună cu orice informație pe care site-urile doresc să o păstreze despre vizita utilizatorului.

    Cookie-urile sunt instrumente legitime pe care le folosesc multe site-uri web pentru a urmări informațiile despre vizitatori. Din păcate, se știe că unele dezvoltatori de site-uri web utilizează cookie-uri pentru a colecta informații fără ca utilizatorul să știe. Este posibil ca unii să înșele utilizatori sau să-i ignore directivele. De exemplu, puteți urmări obiceiurile de explorare pe web pe multe site-uri diferite fără a informa utilizatorul. În acest fel, dezvoltatorii de site-uri pot folosi aceste informații pentru a personaliza anunțurile pe care utilizatorul le vede pe un site web, care este considerat o invazie a vieții private.

Pentru informații mai detaliate despre Malware și caracteristici, consultați Ghidul de apărare a adâncimii antivirus la Microsoft TechNet la www.microsoft.com/technet/security/topics/serverSecurity/aVdindl_0.mspx (puteți fi în limba engleză).

Considerații despre Administrarea riscurilor și a malware-ului

Microsoft definește gestionarea riscurilor ca proces prin care se identifică riscurile și se determină impactul acestuia.

faptul de a încerca să lanseze un plan de management al riscului de securitate poate fi o supraîncărcare pentru companiile de dimensiuni medii. Factorii posibile includ lipsa experienței interne, a resurselor bugetare sau a instrucțiunilor de subcontractare.

Administrația riscurilor de securitate oferă o abordare proactivă care poate ajuta companiile mijlocii să-și planifice strategiile împotriva amenințărilor. Din malware.

Un proces formal de gestionare a riscurilor de securitate permite companiilor mijlocii să funcționeze mai profitabil cu un nivel de risc de afaceri cunoscut și acceptabil. De asemenea, oferă o cale clară și coerentă de organizare și prioritizare a resurselor limitate pentru a gestiona riscurile.

Pentru a facilita sarcinile de gestionare a riscurilor, Microsoft a dezvoltat Ghidul de gestionare a riscurilor de securitate, care oferă instrucțiuni privind următoarele procese :

  1. evaluarea riscului. Identificați și stabiliți prioritatea riscurilor pentru companie.

  2. Sprijin pentru luarea deciziilor. Identificați și evaluați soluțiile de control care se bazează pe un proces de analiză a raportului cost-beneficiu definit.

  3. Implementarea controalelor. Implementarea și operarea soluțiilor de control pentru a contribui la reducerea riscurilor companiilor.

  4. Cuantificarea eficacității programului. Analizați procesul de gestionare a riscurilor în raport cu eficacitatea și verificați dacă controalele furnizează gradul de protecție preconizată.

Informații detaliate despre acest subiect sunt în afara obiectivului acestui articol. Cu toate acestea, este esențial să se înțeleagă conceptul și procesele pentru a planifica, dezvolta și implementa o strategie de soluționare care vizează riscurile malware-ului. Figura următoare prezintă cele patru procese principale ale managementului riscului.

Figura 1. Cele 4 procese principale de gestionare a riscurilor

Pentru mai multe informații despre gestionarea riscurilor, consultați Ghidul de administrare a securității Microsoft TechNet din http://go.microsoft.com/fwlink/?linkid=30794 (poate fi în limba engleză).

Principiul paginii

Provocări

Atacurile malware pot fi montate pe diferite vectori sau metode de atac la un punct slab slab. Se recomandă ca societățile cu dimensiuni medii să efectueze o evaluare a riscurilor care nu numai că determină profilele lor de vulnerabilitate, ci ajută la determinarea nivelului de risc acceptabil pentru o anumită companie. Companiile de dimensiuni medii trebuie să dezvolte strategii care ajută la reducerea riscurilor malware.

Printre provocările de reducere a riscurilor malware într-o întreprindere de dimensiuni medii includ următoarele:

  • Active comune ale sistemului informatic

  • Amenințări comune

  • vulnerabilități

  • Training de utilizator

  • Balanța între managementul riscului și nevoile de afaceri

Active comune Informații

Securitatea sistemelor informatice oferă informațiile fundamentale pentru a ajuta la gestionarea siguranței întreprinderilor mijlocii. Activele comune ale sistemului informațional se referă atât la aspectele logice, cât și la aspectele fizice ale companiei. Acestea pot fi servere, stații de lucru, software și licențe.

Activele comune ale sistemului informatic sunt datele de contact ale afacerii, echipamentele portabile, routerele, datele privind resursele umane, planurile strategice, site-urile interne și parolele angajaților. O listă extinsă este furnizată în „Anexa A: active comune ale sistemului informatic” la sfârșitul acestui document.

Amenințări comune

Unele metode prin care malware poate fi în pericol Compania mediană sunt uneori numite vectori de amenințare și reprezintă zonele care necesită mai multă atenție atunci când elaborează o soluție eficientă pentru a ajuta la reducerea riscurilor malware. Printre cele mai frecvente amenințări includ catastrofele naturale, erorile mecanice, persoanele rău intenționate, utilizatorii dezinformați, ingineria socială, codul pentru dispozitive mobile rău intenționate și angajații nemulțumiți. Această gamă largă de amenințări constituie o provocare nu numai pentru companiile mijlocii, ci și pentru societățile de orice dimensiune.

în „Anexa B: amenințări comune” la sfârșitul acestui document este furnizată o listă largă . a amenințărilor care afectează eventual întreprinderile mijlocii.

vulnerabilități

vulnerabilități reprezintă deficiențe în sistemele informatice și procedurile de securitate, controalele administrative, desenele fizice și alte domenii care ar putea profita de Amenințări de obținere a accesului neautorizat la informații sau pauză în procesele critice. Vulnerabilitățile sunt atât fizice, cât și logice. Acestea includ catastrofele naturale, erorile mecanice, configurațiile software incorecte și erorile umane. În „Anexa C: vulnerabilități” la sfârșitul acestui document, o listă largă de vulnerabilități care afectează eventual companiile de dimensiuni medii.

Instruirea utilizatorilor

În ceea ce privește siguranța informațiilor logice și fizice, cea mai mare vulnerabilitate nu locuiește neapărat în problemele de software sau de echipament, ci și pe utilizatorii echipelor. Angajații fac erori teribile, cum ar fi notarea parolelor în locuri vizibile, descărcarea și deschiderea atașamentelor de e-mail care pot conține viruși și lăsați echipamentul pe timp de noapte.Deoarece acțiunile umane pot afecta serios siguranța echipei, formarea angajaților, personalul IT și administrația ar trebui să fie o prioritate. La fel de important este faptul că personalul dezvoltă obiceiuri de securitate bune. Aceste abordări sunt pur și simplu mai profitabile pentru companiile pe termen lung. Formarea ar trebui să ofere utilizatorilor recomandări pentru a evita activitățile rău intenționate și pentru a le educa în legătură cu posibilele amenințări și cum să le eviți. Practicile de siguranță pe care utilizatorii ar trebui să le ia în considerare includ următoarele:

  • Nu răspunde niciodată la un e-mail în care sunt solicitate informații personale sau financiare.

  • Nu furnizați niciodată parole.

  • Nu deschideți atașamente de la mesajele de e-mail suspecte.

  • Nu răspunde la nici un nedorit sau e-mail suspecte.

  • Nu instalați aplicații neautorizate.

  • blocați echipamentul atunci când nu utilizați o parolă care protejează Economia de ecran sau folosind caseta de dialog Ctrl-Alt-Ștergere.

  • Activați un firewall.

  • Utilizați parole sigure pe Calculatoare de la distanță.

Directive

Directive scrise și proceduri acceptate Sunt necesare pentru a ajuta la consolidarea practicilor de securitate. Pentru a fi eficient, toate directivele IT ar trebui să includă sprijinul membrilor echipei executive și să ofere un mecanism de aplicare, o modalitate de informare a utilizatorilor și de a le forma. Exemple de directive pot aborda următoarele subiecte:

  • Cum să detectați malware pe un computer.

  • Cum să raportați infecții suspecte.

  • Ce pot face utilizatorii pentru a ajuta controlorii incidentelor, cum ar fi un utilizator efectuat înainte de a fi infectat.

  • Procese și Proceduri de rezolvare a sistemului de operare și a aplicațiilor Vulnerabilitățile pe care malware le pot utiliza.

  • Managementul revizuirii, Ghiduri de configurare a aplicațiilor și liste de verificare.

Echilibrul dintre gestionarea riscurilor și nevoile de afaceri.

Investiții în procesele de gestionare a riscurilor A contribuie la pregătirea companiilor mijlocii pentru a articula prioritățile, a planifica soluția amenințărilor și a trata următoarea amenințare sau vulnerabilitate a companiei .

Limitări bugetare Aceștia pot prevedea cheltuielile de securitate IT, dar o metodologie bine structurată a riscului, dacă este utilizată în mod eficient, poate ajuta echipa executivă să identifice în mod adecvat controalele pentru a furniza capacitățile de siguranță pentru misiuni fundamentale.

Companiile de dimensiuni medii trebuie Evaluați echilibrul delicat care există între gestionarea riscurilor și nevoile de afaceri. Următoarele întrebări pot fi utile atunci când se efectuează un echilibru între gestionarea riscurilor și nevoile de afaceri:

  • Ar trebui compania să vă configureze sistemele sau să facă furnizorul sau software-ul hardware? Care ar fi costul

  • În cazul în care balanța de încărcare sau o organizație de cluster să fie utilizată pentru a garanta disponibilitatea ridicată a aplicațiilor? Ce este necesar pentru a începe aceste mecanisme?

  • este un sistem de alarmă necesar pentru camera de server?

  • pot sisteme cheie electronice Fiți folosit pentru clădirea sau camera de servere?

  • Care este bugetul companiei pentru sistemele informatice?

  • Ce este Bugetul companiei pentru întreținere și suport tehnologic?

  • Ce sumă de bani calculează care a fost cheltuită compania în sisteme informatice (întreținere hardware / software) în ultimul an?

  • Câte echipe există în departamentul principal al companiei? Aveți un inventar de software și hardware de calculator?

  • Este sistemul vechi suficient de puternic pentru a executa majoritatea programelor pe care trebuie să le rulați?

  • Câte echipamente noi sau actualizate calculează ce ai nevoie? Câți ar fi optimi?

  • poate fiecare utilizator să aibă nevoie de o imprimantă?

Pentru mai multe informații despre administrarea riscurilor , consultați Ghidul de gestionare a riscului de securitate din http://go.microsoft.com/fwlink/?linkid=30794 (poate fi în limba engleză).

pagina

Soluții

Această secțiune explică diferitele strategii pentru a ajuta la gestionarea riscurilor de malware prin intermediul cărora sunt incluse abordările proactive și reactivi pentru logică, fizică fizică și directivele malware. Validarea, cum ar fi instrumentele de raportare și supravegherea, vor fi de asemenea abordate Puncte în care pot fi implementate detectarea prevenirii și / sau malware. Când vine vorba de gestionarea riscurilor malware nu vor depinde doar de un singur dispozitiv sau tehnologie ca singura linie de apărare. Metodele preferate ar trebui să includă o abordare la nivel prin mecanisme proactive și reactivi prin rețea. Software-ul antivirus joacă un rol fundamental în acest subiect; Deși nu ar trebui să fie singurul instrument folosit pentru a determina atacurile malware. Pentru mai multe informații despre abordările la nivel, consultați secțiunea „Malware Apărare Focus” în Ghidul de apărare a adâncimii antivirus la adresa www.microsoft.com/technet/security/topics/serverScurity/aVdind \ _3.mspx \ # E1F (poate fi în limba engleză) .

Următoarele puncte cheie de operare vor fi abordate în detaliu mai jos:

  • Evaluarea riscurilor malware

  • Siguranță fizică

  • Siguranță logică

  • Proceduri proactive și directive față de reactiv

  • Implementare și administrare

Evaluarea riscurilor malware

Pentru a evalua riscurile malware, companiile mijlocii trebuie să fie conștienți de tipurile de atacuri cele mai vulnerabile la amenințări. Cum și în ce măsură sunt protejate? Următoarele întrebări trebuie luate în considerare:

  • Are compania un firewall instalat?

    firewall-uri reprezintă o parte importantă a perimetrului de apărare. Un firewall de rețea servește în mod normal ca o primă linie de apărare împotriva amenințărilor externe destinate sistemelor informatice, rețelelor și informații importante ale unei companii. Companiile de dimensiuni medii trebuie să aibă un anumit tip de firewall implementat, dacă software-ul sau firewall-urile hardware,

  • Compania are o funcție de analiză a vulnerabilității interne sau externe? Cum se analizează informațiile detectate?

    Se recomandă utilizarea unui instrument cum ar fi Microsoft Baseline Security Analyzer (MBSA) pentru a detecta vulnerabilități incorecte sau configurații. De asemenea, este posibil să se subcontracteze procesul de analiză a vulnerabilității securității prin angajarea furnizorilor externi pentru a evalua mediul de securitate și pentru a oferi sugestii pentru a îmbunătăți ceea ce este considerat necesar.

    Notă MBSA este un instrument simplu conceput pentru profesioniștii IT care contribuie la întreprinderile mici și mijlocii pentru a determina statutul de securitate în conformitate cu recomandările de securitate ale Microsoft. De asemenea, oferă instrucțiuni de reparare specifice. Îmbunătățiți procesele de gestionare a securității utilizând MBSA pentru a detecta cele mai frecvente setări de securitate incorecte și actualizări lipsă de siguranță pe sistemul informatic.

  • sunt unele planuri în curs de desfășurare a copiilor de recuperare și copiere de rezervă?

    Asigurați-vă că există planuri de rezervă și că serverul de backup funcționează eficient.

  • Câte tipuri de software antivirus are compania? Antivirusul a fost instalat pe toate sistemele?

    rezerva o singură platformă antivirus poate expune compania la riscuri, deoarece fiecare pachet are propriile sale puncte forte și puncte slabe.

  • Compania are o rețea wireless implementată? Dacă este cazul, este configurat corect și activat securitatea rețelei fără fir?

    Chiar dacă un cablu cu cabluri este complet sigur, o rețea fără fir nesigură poate introduce un nivel de risc care nu este acceptabil într-un mediu care, altfel, acesta ar fi în siguranță. Standardele vechi de pe sistemele wireless, cum ar fi WEP, sunt ușor de pus în pericol, astfel încât trebuie să se efectueze o investigație pentru a se asigura că a fost lansată cea mai potrivită soluție de siguranță fără fir.

  • au Angajații au primit instruire cu privire la modul de evitare a malware-ului? Ați primit instruire pe tema riscurilor malware?

    cea mai comună formă de propagare a malware-ului implică un anumit tip de inginerie socială; Și cea mai eficientă apărare împotriva amenințărilor la adresa ingineriei sociale este instruirea.

  • Există o directivă scrisă privind modul de prevenire sau gestionare a amenințărilor malware?Cât de mult este revizuirea directivei? Aplici? Personalul respectă directiva?

    Asigurați-vă că utilizatorii primesc instruire privind modul de evitare a amenințărilor și prevenirii malware-ului. Este foarte important să aveți toate aceste informații documentate. Trebuie să existe o directivă scrisă pertinentă privind procedurile și informațiile anterioare. Recenzii ale prezentei directive trebuie efectuate atunci când se produc modificări pentru a asigura eficacitatea și validitatea directivelor indicate.

Siguranță fizică

Securitatea fizică implică restricționarea accesului la echipe pentru a evita modificările, jafurile, erorile umane și timpul de nefuncționare ulterioară care determină aceste acțiuni.

Deși securitatea fizică este mai degrabă o problemă de securitate generală că o problemă specifică malware este imposibilă Pentru a proteja împotriva programelor malware fără un plan eficient de apărare fizică pentru toate dispozitivele clientului, serverele și rețelele din cadrul infrastructurii unei organizații.

În lista următoare, cele mai importante elemente care trebuie luate în considerare sunt incluse în considerare Realizați un plan eficient de apărare fizică:

  • Securitatea clădirilor. Cine are acces la clădire?

  • Securitatea personalului. Care sunt restricțiile dreptului de acces al unui angajat?

  • Puncte de acces la rețele. Cine are acces la echipamente de rețea?

  • Echipamente server. Cine are drepturi de acces la servere

  • Echipamentul stației de lucru. Cine are drepturi de acces la stațiile de lucru?

rotecția accesului la facilități și sisteme informatice ar trebui să fie un element fundamental al strategiilor de securitate.

Pentru informații mai detaliate, a se vedea articolul „Consilier de siguranță în 5 minute: Securitate fizică de bază” în Microsoft TechNet la www. Microsoft.com/technet/archive/community/columns/security/5min/5min-203.mspx (poate fi în limba engleză).

Siguranță logică

Măsuri de protecție software pentru mediu- Sistemele informatice de dimensiuni includ accesul prin parolă și ID-ul de utilizator, autentificarea și drepturile de acces; Toate acestea sunt esențiale pentru administrarea riscurilor malware. Aceste măsuri de protecție ajută la asigurarea numai a utilizatorilor autorizați să efectueze acțiuni sau să aibă acces la informații de la o anumită stație de lucru sau de la rețea. Administratorii trebuie să se asigure că sistemele sunt configurate în mod constant cu funcția de lucru a utilizatorului computerului. Configurarea acestor măsuri de protecție poate lua în considerare următoarele:

  • Limitarea programelor sau a utilităților numai pentru cei care au nevoie de ea pentru poziția lor.

  • Creșteți controlul în directoarele cheie ale sistemului.

  • Creșterea nivelurilor de audit.

  • Utilizarea politicilor minore.

  • LIMITAREA UTILIZĂRII MEDIULUI DETAPLABIL, cum ar fi dischetele.

  • Cine este vor acorda drepturi administrative pentru backup Server, servere de mail și servere de fișiere?

  • Cine ar trebui să aibă acces la folderele de resurse umane?

  • Ce drept de privilegiu va să fie administrat dosarelor interdepartamentale?

  • Ați folosi aceleași utilizatori diferiți pentru stația de lucru? Dacă da, ce nivel de acces veți da? Sunt utilizatorii autorizați să instaleze aplicații software în stațiile lor de lucru?

ID-urile utilizatorului, ID-urile de conectare sau conturile și numele utilizatorilor sunt identificatori personale unici ai utilizatorilor unui program de rețea sau de calculator care mai mult de un utilizator poate avea acces. Autentificarea este procesul de verificare dacă o entitate sau un obiect este cel care spune că este sau ce pretinde a fi. Exemplele includ confirmarea sursei și a integrității informațiilor, cum ar fi verificarea unei semnături digitale a unui utilizator sau a unui echipament. Pentru a îmbunătăți siguranța, se recomandă ca toate conturile de conectare să aibă date de autentificare a parolei secrete utilizate pentru a controla accesul la o resursă sau la un computer. Odată ce utilizatorul se poate conecta la rețea, trebuie definite drepturi de acces adecvate. De exemplu, un anumit utilizator poate accesa un folder de resurse umane, dar numai va avea accesul și nu poate face nicio modificare.

Alte subiecte de siguranță logice includ:

  • Instrucțiuni privind parole, cum ar fi complexitatea sau expirarea parolelor.

  • Backup și date software.

  • Informații confidențiale / Date importante: Utilizare de criptare, dacă este necesar.

Autorizare adecvată Trebuie furnizate funcțiile de autentificare, care corespund unui nivel acceptabil de risc și utilizării adecvate. Atenția ar trebui să se concentreze pe ambele servere și stații de lucru. Toate elementele de siguranță logice menționate mai sus trebuie elaborate în mod clar, trebuie să fie aplicate și ar trebui să fie disponibile pentru întreaga companie ca puncte de referință.

Proceduri proactive și directive față de reactiv

Două abordări de bază sunt folosite pentru a ajuta la gestionarea riscului de malware: proactiv și reactiv. Abordările proactive includ toate măsurile luate în scopul prevenirii atacurilor de la rețea sau gazdă pentru a obține sisteme pe cale de dispariție. Abordările reactivi sunt acele proceduri utilizate de companiile mijlocii odată ce descoperă că sistemele lor au fost puse în aplicare din cauza unui program de atac sau a unui intrus ca Troy sau alt cal malware.

Abordările reactivi

Dacă securitatea unui sistem sau a unei rețele a fost pusă în pericol, este necesar un proces de răspuns la incident. Un răspuns la incident este metoda de cercetare a unei probleme, analiza cauzei, minimizarea impactului, soluționarea problemei și documentația fiecărei etape a răspunsului pentru referințe ulterioare.

Ca toate companiile iau măsuri Pentru a evita pierderile viitoare de afaceri, ele sunt, de asemenea, în calea planurilor de a răspunde acestor pierderi în cazul în care măsurile proactive nu au fost eficiente sau nu au existat. Metodele reactive includ planuri de recuperare a dezastrelor, reinstalarea sistemelor de operare și a aplicațiilor în sistemele pe cale de dispariție și modificarea sistemelor alternative din alte locații. Având un set de răspunsuri reactive adecvate pregătite și gata de punere în aplicare este la fel de importantă ca având măsuri proactive.

În următoarea diagramă ierarhică a răspunsului reactiv, sunt prezentate etapele de gestionare a incidentelor malware. În textul următor, sunt furnizate informații suplimentare pe acești pași

  • Protecția vieții umane și a siguranței oamenilor. Dacă echipele afectate includ sisteme de întreținere a vieții, acesta poate fi dezactivat nu o opțiune. Poate că sistemele menționate în rețea ar putea fi izolate logic, schimbând configurația routerelor și comutatoarelor fără a întrerupe capacitatea de a ajuta pacienții.

  • Daune de izolare. Reținerea daunelor cauzate de atac ajută la limitarea daunelor suplimentare. Protecția imediată a hardware-ului, a software-ului și a datelor importante.

  • Evaluarea daunelor. Efectuați imediat un duplicat al hard disk-urilor oricărui server care a fost atacat și puneți aceste servere separate pentru o analiză ulterioară de cercetare. Apoi, evaluați daunele.

  • Determinarea cauzei deteriorării. Pentru a determina originea atacului, este necesar să se cunoască resursele la care atacul și vulnerabilitățile utilizate pentru obținerea accesului sau întreruperii serviciilor au fost necesare. Verificați configurația sistemului, nivelul de revizuire, înregistrările sistemului, înregistrările de audit și piesele de audit din sistemele afectate direct, precum și pe dispozitivele de rețea care tratează traficul.

  • repararea daunelor. Este foarte important ca daunele să fie reparate cât mai repede posibil pentru a restabili operațiunile obișnuite de afaceri și pentru a prelua orice date care au fost pierdute în timpul atacului.

  • Revizuirea directivelor de Actualizare și răspuns. Odată ce fazele de recuperare și documentare, politicile de actualizare și răspuns ar trebui revizuite complet.

Ce trebuie făcut dacă sistemele rețelei sunt infectate cu virusul? În lista următoare, includeți exemple de abordare reactivă:

  • Asigurați-vă că firewall-ul funcționează. Obțineți un control pozitiv asupra traficului de intrare și de ieșire al sistemelor de rețea.

  • tratați mai întâi cel mai suspect. Curățați cele mai comune amenințări malware, apoi verificați dacă există amenințări necunoscute.

  • izola sistemul infectat. Lăsați-o de pe rețea și pe internet. Împiedicați răspândirea infecției în alte sisteme de rețea în timpul procesului de curățare.

  • Investigați tehnici de curățare și control.

  • Descărcați cele mai recente definiții de virus de la furnizorii de software antivirus.

    • Asigurați-vă că sistemele antivirus au fost configurate pentru a explora toate fișierele.

  • Rulați o scanare completă a sistemului.

  • Restaurați datele deteriorate sau pierdute.

  • Ștergere sau curățare fișierele infectate.

  • confirmați acest lucru Sistemele informatice nu conțin malware.

  • Reconectați sistemele informatice la rețea.

Notă Este important să vă asigurați că Toate sistemele informatice execută software antivirus recent și că procesele automate sunt executate pentru a actualiza periodic definițiile virușilor. Este deosebit de important să se actualizeze software-ul antivirus pe echipamente portabile pe care le folosesc lucrătorii mobile.
să păstreze o bază de date sau o înregistrare care urmărește revizuirile care au fost aplicate cele mai importante sisteme accesibile de pe Internet, firewall-uri, routere interne, Baze de date și servere de birou.

Abordările proactive

O abordare proactivă a gestionării riscurilor prezintă multe avantaje față de abordarea reactivă. În loc să aștepte ca problemele să apară și să reacționeze la un posterior, puteți minimiza posibilitatea apariției. Planurile trebuie făcute pentru a proteja activele importante ale organizației prin implementarea controalelor care reduc riscul ca vulnerabilitățile de utilizare malware.

O abordare proactivă eficientă poate ajuta companiile mijlocii să reducă incidentele de siguranță ale numărului care apar În viitor, deși aceste probleme nu sunt susceptibile de a dispărea complet. Prin urmare, acestea ar trebui să continue să îmbunătățească procesele de răspuns incident în timp ce dezvoltă abordări proactive pe termen lung. Următoarea listă include câteva exemple de măsuri proactive care pot ajuta la gestionarea riscurilor malware.

  • Aplicați cele mai recente firmware pentru sistemele hardware și routerele pe măsură ce furnizorii recomandă.

  • Aplicați cele mai recente recenzii de securitate pentru aplicațiile de server sau alte aplicații.

  • Abonați-vă la listele de e-mail ale furnizorilor în ceea ce privește siguranța și aplicarea comentariilor atunci când este recomandat.

  • Asigurați-vă că toate sistemele de calculator Microsoft rulează software-ul antivirus recent.

  • Asigurați-vă că procesele automate care desfășoară în mod regulat definițiile de virușii. /p>

    Notă Este deosebit de important să actualizați software-ul antivirus pe computerele portabile pe care le folosesc lucrătorii de telefonie mobilă.

  • Menținerea unei baze de date care urmărește recenzii care au fost aplicate ADO.

  • Revedeți înregistrările de securitate.

  • Activați firewall-uri sau perimetru bazate pe gazdă.

  • Utilizați un scaner de vulnerabilitate, cum ar fi Microsoft Baseline Security Analyzer pentru a detecta cele mai frecvente setări de securitate incorecte și actualizări de securitate lipsă pe sisteme informatice.

  • Utilizare mai puțin privilegiat Conturi de utilizator (LUA). În cazul în care procesele privilegiate mai mici sunt pe cale de dispariție, acestea vor provoca mai puține daune decât cele mai înalte procese privilegiate. Prin urmare, dacă se utilizează un cont de administrator în locul unui administrator atunci când sarcinile zilnice sunt finalizate, este oferită o protecție suplimentară față de o infecție dintr-o gazdă de malware, atacuri de securitate internă sau externă, modificări interesante sau accidentale în configurație și instalare a sistemului și acces intenționat sau accidental la documente sau programe confidențiale.

  • Aplicați politici de parolă sigure. Parolele sigure reduc probabilitatea ca un atacator care folosește forța brută achiziționează mai multe privilegii. În mod normal, parolele sigure au următoarele caracteristici:

    • 15 sau mai multe caractere.

    • Nu conține niciodată nume de cont, nume reale sau nume de companii în nici un caz.

    • Nu conține niciodată un cuvânt complet, jargon sau alt termen care poate fi ușor căutat.

    • Sunt considerabil diferită în conținutul parolelor anterioare și nu sunt mărite.

    • Utilizați cel puțin trei dintre următoarele tipuri de caractere:

      • Superior (A, B, C …)

      • Tiny (A, B, C …)

      • Numere (0, 1, 2 …)

      • Simboluri non-alfanumerice (@, &, $ ..)

      • caractere Unicode (€, ƒ, λ …)

Pentru mai multe informații despre politicile de parolă, consultați subiectul „Practici recomandate pentru parole” În Microsoft TechNet în http://technet2.microsoft.com/WindowsServer/en/Library/e903f7a2-4def-4f5f-9480-41de6010fd291033.mspx?mfr=true (poate fi în limba engleză).

apărare în profunzime

o abordare proactivă pentru gestionarea riscului malware într-un mediu- Mediul de dimensiuni ar trebui să includă utilizarea unei abordări aprofundate de apărare la niveluri pentru a ajuta la protejarea resurselor din amenințările externe și interne. Apărarea profundă (uneori cunoscută sub numele de securitate în profunzime sau securitate pe mai multe niveluri) utilizează pentru a descrie distribuția pe niveluri de securitate contramăsuri pentru a forma un mediu de securitate unificat fără un singur punct de eroare. Nivelurile de securitate care formează strategia de apărare aprofundată ar trebui să includă punerea în aplicare a măsurilor proactive de la routerele externe până la localizarea resurselor și a tuturor Puncte intermediare. Implementarea mai multor niveluri de securitate ajută la asigurarea faptului că, dacă un nivel este în pericol, restul nivelului va oferi securitatea necesară pentru a proteja resursele.

Această secțiune abordează modelul de securitate al apărării în profunzime încât este un punct de plecare excelent pentru a înțelege acest concept. Acest model identifică șapte niveluri de apărare a securității menite să se asigure că orice încercare de a pune în pericol siguranța companiilor de dimensiuni medii va intra într-un set solid de apărare. Fiecare set poate ajuta la detectarea atacurilor la niveluri foarte diferite.

Puteți modifica definițiile detaliate ale fiecărui nivel, în funcție de cerințele și prioritățile de securitate ale companiilor. Următoarea figură prezintă diferitele niveluri ale modelului de apărare în profunzime.

Figura 3. Modelul de securitate al apărării în profunzime

  • date. Riscurile din nivelul datelor apar prin vulnerabilitățile pe care un atacator le-ar fi putut folosi accesul la datele de configurare, datele organizației sau la orice date exclusive ale unui dispozitiv care utilizează organizația.

  • aplicație. Riscurile la nivelul de aplicare provin din vulnerabilitățile pe care un atacator le-ar fi putut folosi accesul la aplicațiile care sunt executate. Orice cod executabil pe care un creator malware îl poate împacheta în afara sistemului de operare ar putea servi la atacul unui sistem.

  • gazdă. În mod normal, acest nivel este obiectivul furnizorilor care oferă pachete de servicii și revizuiri pentru a face față amenințărilor malware. Riscurile la acest nivel apar de către atacatori care utilizează vulnerabilitățile serviciilor oferite de dispozitiv sau gazdă.

  • rețea internă. Riscurile din rețelele interne ale companiilor afectează în mare măsură datele transmise prin intermediul rețelelor de acest tip. Cerințele de conectivitate pentru stațiile de lucru ale clienților din aceste rețele interne implică o serie de riscuri.

  • rețea perimetrală. Riscurile asociate cu nivelul rețelei perimetrului apar, deoarece un atacator obține accesul la rețele extinse ale zonei (WAN) și la nivelurile Redeg (/ P>

  • siguranța fizică. Riscurile la nivel fizic apar deoarece un atacator obține accesul fizic la un activ fizic.

  • directive, proceduri și conștientizare. Companiile mijlocii trebuie să înceapă procedurile și directivele în jurul tuturor nivelurilor modelului de securitate pentru a satisface și menține cerințele fiecărui nivel.

Nivelurile de date, aplicații și gazdă pot fi combinate în două strategii de apărare pentru a ajuta la protejarea clienților și a serverelor de la companii. Deși aceste apărare împărtășesc o serie de strategii comune, există suficiente diferențe atunci când implementează apărarea serverului și a clienților pentru a asigura o abordare unică de apărare pentru fiecare dintre ele.

nivelul perimetrului și rețeaua internă pot fi, de asemenea, combinate în O strategie comună de apărare a rețelei, deoarece tehnologiile implicate sunt aceleași pentru ambele nivele. Detaliile de implementare vor varia la fiecare nivel, în funcție de poziția dispozitivelor și a tehnologiilor din infrastructura organizației. Pentru mai multe informații despre modelul de apărare în profunzime, consultați „Capitolul 2: amenințările malware” ale Ghidului de apărare a adâncimii antivirus în http://go.microsoft.com/fwlink/?LinkId=50964 (poate fi în limba engleză).

Punerea în aplicare și administrarea

Strategiile de administrare a riscurilor malware pot acoperi toate tehnologiile și abordările adresate până în prezent în acest document.Se recomandă implementarea unui software antivirus adecvat și fiabil pe toate sistemele. Windows Defender, un instrument Microsoft care vă ajută să continuați să fiți productivi prin protejarea echipamentelor împotriva elementelor pop-up, amenințările de securitate și reducerea performanței cauzată de spyware sau de alte software potențial nedorite, ar trebui să fie utilizate împreună cu software-ul antivirus. De fapt, acestea ar trebui implementate cât mai curând posibil după instalarea sistemului de operare. Cele mai recente recenzii de software antivirus ar trebui să fie aplicate imediat și trebuie să fie configurate pentru a menține eficiența atunci când vine vorba de detectarea și oprirea malware-ului. Deoarece nu este recomandabil să depindem de o singură abordare ca o soluție totală de securitate, firewall-urile, ușile de legătură, detectările de intruziune și alte tehnologii de soluții de securitate care au fost discutate în secțiunile anterioare ar trebui consolidate în combinație cu software-ul antivirus.

Această secțiune va aborda validarea, supravegherea și pregătirea rapoartelor și tehnologiilor disponibile.

validare

odată ce abordările și abordările și tehnologiile identificate anterior pentru Administrație de riscuri malware, cum se poate garanta că acestea sunt implementate în mod eficient?

Pentru a valida o soluție propusă, utilizați următoarele instrumente care ajută la validarea sistemului și mediul de rețea:

  • antivirus. Explorați toate sistemele pentru viruși utilizând software antivirus cu cele mai recente definiții ale fișierelor firme.

  • Windows Defender. Prin Windows Defender, explorați toate sistemele în căutarea spyware și a altor software-uri eventual nedorite.

  • Microsoft Baseline Security Analyzer (MBSA). Explorați toate sistemele cu MBSA pentru a identifica cele mai frecvente erori de configurare a securității. Puteți obține mai multe informații despre site-ul Microsoft Baseline Security Analyzer la http://go.microsoft.com/fwlink/?linkid=17809 (poate fi în limba engleză).

De asemenea, toate Conturile create recent ar trebui să fie verificate și verificate cu permisiuni de acces adecvate pentru a se asigura că acestea funcționează corect.

Odată ce strategiile și tehnologiile implementate au fost validate, ar trebui aplicate comentarii software și hardware atunci când este necesar să se realizeze continuu eficiența securității. Utilizatorii și, în special, personalul IT, ar trebui să fie întotdeauna la curent cu cele mai recente actualizări.

Supravegherea și raportarea

Supravegherea continuă a dispozitivelor de rețea este oprirea fundamentală a ajutorului de detectare a atacurilor malware. Supravegherea poate fi un proces complex. Necesită o colecție de informații din numeroase surse (de exemplu, firewall-uri, routere, întrerupătoare și utilizatori) pentru a colecta o linie de comportament „normală” care poate fi utilizată pentru a identifica comportamentul anormal.

Strategii de supraveghere și pregătire a malware-ului Rapoartele în medii de dimensiuni medii ar trebui să includă tehnologii și formare de utilizare.

Prin tehnologii se referă la tehnologii hardware și software care ajută companiile mijlocii să supravegheze și să efectueze rapoarte privind activitățile rău intenționate și să răspundă în consecință. Prin instruire, ne referim la programe de conștientizare care includ instrucțiuni pentru utilizatorii despre prevenirea incidentelor rău intenționate, abilitatea de a le elibera și cum să pregătească corect rapoartele.

Tehnologii
Este posibilă automatizarea unei monitorizări de alertă Sistem astfel încât să puteți raporta o suspiciune de infecție malware la o locație centrală sau un punct de contact adecvat, care, la rândul său, poate informa utilizatorii despre cum să acționeze. Un sistem de alertă automatizat ar minimiza timpul de așteptare între o alertă inițială și momentul în care utilizatorii devin conștienți de amenințarea malware-ului, dar problema acestei abordări este că poate genera alerte „false pozitive”. Dacă nimeni nu filtrează alertele și revizuiește o listă de verificare a activităților neobișnuite, este probabil ca alertele să fie observate din malware inexistente. Această situație poate duce la satisfacție, deoarece utilizatorii vor fi rapid desensibilizați la alerte care sunt generate prea des.

Este posibil să fie utilă atribuirea membrilor echipei de administrare a rețelei responsabilitatea de a primi toate alertele automate de malware de la toate Antivirus sau pachete de software de monitorizare a sistemului utilizate de companie. Echipa sau individul responsabilă pot filtra alertele false pozitive ale sistemelor automatizate înainte de a trimite alertele utilizatorilor.

Este recomandat să revizuiți și să actualizați în mod constant alertele de soluții malware. Toate aspectele legate de protecția malware sunt importante, de la descărcările simple ale semnăturilor automate de virus până la efectuarea modificărilor în directiva privind operațiunile. Deși au fost deja menționate unele dintre următoarele instrumente, ele sunt esențiale pentru administrarea, monitorizarea și raportarea securității:

  • Detectarea de intruziune a rețelei (NID). Deoarece rețeaua perimetrală este o parte extrem de expusă a rețelei, este extrem de important ca sistemele de administrare a rețelei să poată detecta atacuri și să răspundă cât mai curând posibil.

  • Microsoft Baseline Security Analyzer ( MBSA) îmbunătățește procesele de gestionare a securității cu MBSA pentru a detecta cele mai frecvente setări de securitate incorecte și actualizări de siguranță lipsă pe sisteme informatice.

  • scanner de semnături antivirus. În prezent, cele mai multe programe software antivirus utilizează această tehnică, care implică căutarea obiectivului (echipamente gazdă, unitate de disc sau fișiere) a unui model care poate reprezenta malware.

  • Scanneri Gateway SMTP. Aceste soluții de examinare prin e-mail bazate pe SMTP sunt de obicei cunoscute sub numele de soluții de gateway antivirus. Acestea au avantajul de a lucra cu toate serverele de e-mail SMTP, în loc să fie legate de un produs server de e-mail specific.

  • fișiere jurnal. Fișiere afișate de detaliile acceselor la fișierele stocate și salvate pe un server. Analiza fișierelor de înregistrare poate dezvălui date utile pe traficul site-ului.

  • Vizualizator de evenimente. Instrument administrativ care informează erorile și alte evenimente, cum ar fi, de exemplu, erori de controler, erori de fișiere, logare și închideri de sesiune.

  • Microsoft Windows Defender. Programul care ajută la protejarea echipamentului împotriva elementelor pop-up, reducerea amenințărilor la performanță și de securitate cauzate de spyware sau alte software nedorite. Oferă o protecție în timp real, un sistem de supraveghere care recomandă acțiuni împotriva spyware atunci când îl detectează și o nouă interfață optimizată care minimizează întreruperile și ajută utilizatorii să-și mențină productivitatea.

  • Utilizați Internet Protecția dinamică de siguranță a Internet Explorer 7.

Printre instrumentele suplimentare recomandate care ajută la explorarea și aplicarea celor mai recente actualizări sau soluții includ:

  • Microsoft Windows Server Update Services (WSUS) oferă o soluție globală pentru actualizări de administrare în rețeaua Întreprinderilor Medium.

  • Microsoft Systems Management Server 2003 SP 1 oferă o soluție globală Pentru managementul de configurare și modificările platformei Microsoft, permițând organizațiilor să furnizeze actualizări și software-uri semnificative utilizatorilor rapid și profitabil.

Luați în considerare abonarea la orice recenzie nouă care se aplică organizației dvs. Pentru a primi automat aceste notificări, vă puteți abona la buletinele de securitate Microsoft din http://go.microsoft.com/fwlink/?LinkId=21723.

Instruirea utilizatorilor
așa cum sa menționat deja într-o secțiune anterioară a acestui document, Toți utilizatorii trebuie să primească instruire privind malware și caracteristicile acestora, severitatea amenințărilor potențiale, a tehnicilor de evaziune și a formelor de propagare a malware-ului și a riscurilor pe care le implică. Formarea utilizatorilor ar trebui să includă, de asemenea, conștientizarea directivei și procedurilor care se aplică administrației de incidente malware, cum ar fi modul de detectare a malware-ului pe un computer, cum să raportați infecții suspecte și ce pot face utilizatorii pentru a ajuta administratorii incidentelor. Companiile de dimensiuni medii ar trebui să desfășoare sesiuni de instruire privind strategiile de administrare a riscurilor malware care vizează personalul IT implicat în prevenirea incidentelor malware.

Principiul paginii

Rezumat

Malware este o zonă complexă și în continuă evoluție a tehnologiei informatice. Dintre toate problemele care au fost găsite în dvs., puțini sunt la fel de frecvente și constante ca atacuri malware și costurile asociate cu combaterea acestora. Dacă se înțelege cum funcționează, modul în care acestea evoluează în timp și tipurile de atacuri pe care le folosesc, este posibil să ajute companiile mijlocii să trateze problema proactiv și să creeze procese mai eficiente și mai eficiente.Malware-ul utilizează cât mai multe tehnici concepute pentru a crea, distribui și utiliza sisteme informatice dificil de înțeles modul în care un sistem poate fi suficient de sigur pentru a rezista unor astfel de atacuri. Cu toate acestea, faptul de a înțelege provocările și aplicarea strategiilor de administrare a riscurilor de malware face posibilă ca companiile de dimensiuni medii să își administreze sistemele și infrastructura de rețea, astfel încât posibilitatea unui atac să fie redusă.

top a paginii

Anexa A: Activele obișnuite ale

în prezentul apendice Activele sistemului informatic sunt enumerate care se găsesc de obicei în companiile de dimensiuni medii de diferite tipuri. Nu intenționează să fie exhaustivă și, probabil, această listă nu reprezintă toate activele prezente în mediul exclusiv al unei organizații. Acesta este furnizat ca o listă de referință și punct de plecare pentru a ajuta companiile de dimensiuni medii să înceapă.

Tabelul a.1. Lista de active comune ale sistemului informatic

clasa activă

TNGRABIL

Descrierea celui mai înalt nivel al activului Definiția următorului nivel (dacă este necesar) Valoarea activului (5 este cea mai mare)
Infrastructură fizică Centre Date 5
Tangibil Infrastructură fizică Servere 3
TANGLEBLE Infrastructură fizică Echipamente desktop 1
TANGIBLE Infrastructură fizică Echipamente portabile 3
Tangibil Infrastructură fizică PDA 1
Tangibil Infrastructură fizică Telefoane mobile 1
tangibil infrastructură fizică moale Produse de aplicație de server 1
tangibil infrastructură fizică software final de aplicație de utilizator 1
Tangibil Infrastructură fizică Instrumente de dezvoltare 3
tangibil infrastructură fizică routere 3
TANGIBLE Infrastructură fizică Întrerupătoarele de rețea 3
Tangibil fizic Infrastructură Dispozitive fax 1
tangibil infrastructură fizică pbx 3
Tangibil Infrastructură fizică Medii amovibile (benzi, dischete, CD-ROM, DVD, hard diskuri portabile, dispozitive de stocare a cardurilor PC, dispozitive de stocare USB etc.) 1
tangibil infrastructură fizică Sisteme de alimentare. 3
TANGLEBLE Infrastructură fizică Sisteme de alimentare neîntreruptibile 3
TANGIBLE Infrastructură fizică Sisteme de stingere a incendiilor 3
Tangible Infrastructură fizică Sisteme de condiționare a aerului 3
Tangibil Infrastructură fizică Sisteme de filtrare a aerului 1
Tangibil Infrastructură fizică Alte sisteme de control al mediului 3
TNGRAND Intranet Date Codul sursă 5
TANGLEBLE Intranet Date Date de resurse umane 5
TANGLEBLE INTRANET DATA Date financiare 5
Tagil Datele de la intranet Date de marketing 5
tangibil d Intranet ATOS Parole angajaților 5
TANGLEBLE Intranet Date Cheile criptografice private de la angajați 5
tangibil Intranet date chei pictografice a sistemului informatic 5
tangibil intranet date carduri inteligente 5
TANGLEBLE Date de proprietate intelectuală 5
Tagil Datele INTRANET Datele privind cerințele de reglementare (GLBA, HIPAA, CA SB1386, Directiva privind protecția informațiilor Uniunii Europene, etc.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *