- 10/11/2017
- Temps de lecture: 53 minutes
-
- B
Publié: 08/18/2006
sur cette Page
Introduction
Définition des défis
Solutions
Sommaire
Annexe A: Actifs communs du système d’information
Annexe B: Menaces communes
ANNEXE C Vulnérabilités
Références
Introduction
Bienvenue dans ce document à partir des guides de sécurité de la collecte pour les entreprises moyennes. Microsoft s’attend à ce que ces informations vous aident à créer un environnement informatique plus sûr et plus productif.
Résumé
comme un logiciel malveillant ou un logiciel malveillant évolue et devient plus sophistiqué, ils doivent également développer des logiciels et du matériel Technologies afin d’éviter les attaques et les menaces malveillants.
Les menaces malveillants ont été très coûteuses pour les entreprises de taille moyenne, tant dans les technologies de la réponse que de la défense des attaques et des opérations. Internet a grandement augmenté le profil des menaces externes visant à des entreprises de taille moyenne, tandis que de grandes menaces continuent d’être, par exemple, des attaques internes.
attaques internes qui ont le plus grand potentiel de préjudice qu’ils dérivent des activités du personnel interne qui occupe les positions de la plus grande confiance, tels que les administrateurs de réseau. Il est très possible que ce personnel impliqué dans des activités malveillantes ait des objectifs et des objectifs spécifiques, tels que placer un cheval de Troie ou explorer des systèmes de fichiers non autorisés et à la fois un accès légitime aux systèmes. En général, le personnel interne n’a pas d’intention malveillante mais pourrait placer un logiciel malveillant en connectant involontairement des systèmes ou des dispositifs infectés par un réseau interne, qui mettrait en danger l’intégrité / la confidentialité du système ou pourrait affecter les performances, la disponibilité et / /. Capacité du système.
Les analyses de menaces internes et externes ont conduit de nombreuses entreprises de taille moyenne à enquêter sur des systèmes qui aident à superviser les réseaux et à détecter les attaques, y compris des ressources pour aider à administrer les risques de logiciels malveillants en temps réel.
Informations générales
Ce document fournit des informations sur les stratégies permettant de gérer les risques de logiciels malveillants dans des entreprises de taille moyenne. Le document est divisé en quatre sections principales: Introduction, Définition, défis et solutions.
Définition
Dans cette section, il est destiné à clarifier ce qui est un logiciel malveillant (et aussi ce qui n’est pas ), ses caractéristiques et sa gestion des risques.
Défis
Cette section décrit de nombreux défis les plus fréquents rencontrés par les entreprises de taille moyenne liées à la gestion des programmes malveillants, notamment:
-
actifs communs du système d’information
-
Menaces plus fréquentes
-
vulnérabilités
-
Formation utilisateur finale et directive
-
équilibre entre la gestion des risques et les besoins professionnels
Solutions
Cette section fournit des informations supplémentaires sur les directives, les approches et les stratégies parmi lesquelles sont inclus:
-
Directives physiques et logiques
-
RAC approche Tivos et proactif pour la prévention du virus et des logiciels malveillants
-
stratégies pour réduire les logiciels malveillants
dans cette section, il est également adressé L’administration et l’évaluation des programmes malveillants risquent dans le cadre des stratégies visant à prévenir les menaces de malware. Des informations sont également fournies sur les outils de surveillance et de reporting conçus pour explorer, détecter et élaborer des rapports sur des activités malveillantes.
qui devrait lire ce guide
Ce document est principalement destiné au personnel informatique et Administration de sociétés de taille moyenne, dans le but de les aider à comprendre des menaces malveillantes, se défendre de telles menaces et réagir rapidement et de manière adéquate lorsque les attaques de logiciels malveillants se produisent.
principe de la page
Définition
Malware est l’abréviation des termes de «logiciels malveillants» (logiciels malveillants). C’est un nom collectif comprenant des virus, des vers et des chevaux de Troie qui effectuent expressément des tâches malveillantes dans un système informatique. Techniquement, un malware est un code malveillant.
Considérations sur différents types de logiciels malveillants
dans les sous-sections suivantes décrivent les différentes catégories de logiciels malveillants.
Cachée
- Cheval de Troie. Programme qui semble utile ou inoffensif mais contient un code caché conçu pour tirer parti ou endommager le système sur lequel il est exécuté. Les chevaux de Troy (également appelés codes de Trojan), se rendent généralement à l’utilisateur par des courriels qui provoquent une mauvaise représentation des fonctionnalités et des objectifs du programme. Les chevaux de Troy effectuent cette opération fournissant une tâche ou une charge malveillante lorsqu’elles sont exécutées.
Malware infectieux
-
virus. Un virus utilise un code écrit avec l’intention exprimée d’auto-enregistrement. Un virus tente de se propager d’une équipe à une autre attacher automatiquement à un programme hôte. Il peut endommager le matériel, le logiciel ou les données. Lors de l’exécution de l’hôte, le code de virus est également exécuté, infectant un nouvel hôte et, parfois, fournissant une charge supplémentaire.
ver. Un ver utilise un code d’auto-paiement malveillant pouvant être automatiquement distribué d’un ordinateur à un autre via les connexions réseau. Un ver peut produire des dégâts comme la consommation de systèmes locaux ou de ressources réseau susceptibles de provoquer une attaque de service de déni. Certains vers peuvent être exécutés et propagés sans l’intervention de l’utilisateur, tandis que d’autres ont besoin de l’utilisateur pour exécuter le code Worm directement pour pouvoir se propager. Les vers peuvent également fournir une charge en plus de la réplication.
malware pour avantages
-
logiciel espion. Parfois, ce type de logiciel est appelé Spybot ou logiciel de suivi. Spyware utilise d’autres formes de programmes trompeurs et de logiciels qui effectuent certaines activités sur un ordinateur sans avoir le consentement de l’utilisateur correspondant. Ces activités incluent la collecte d’informations personnelles et la modification des paramètres de configuration de l’Explorateur Internet. En plus d’être une nuisance, les logiciels espions proviennent une variété de problèmes allant de la dégradation de la performance globale de l’équipe à une infraction à la vie privée personnelle.
Sites Web qui distribuent des logiciels espions utilisent des astuces différentes pour obtenir que les utilisateurs les téléchargent et installez-les sur leurs ordinateurs. Ces astuces incluent la création d’expériences d’utilisateurs trompeurs et de l’incorporation des logiciels espions déguisés avec d’autres programmes que les utilisateurs souhaiteraient peut-être que les utilisateurs peuvent souhaiter, tels que les logiciels d’échange de fichiers gratuits.
-
adware Type de logiciel Pour afficher la publicité, en particulier certaines applications exécutables dont le but principal est de fournir du contenu publicitaire d’une manière ou d’un contexte que les utilisateurs ne s’attendent ni ne souhaitent. De nombreuses applications publicitaires effectuent également des fonctions de suivi et peuvent également être classées comme technologies de suivi. Certains consommateurs peuvent vouloir supprimer le logiciel publicitaire si cela les dérange à effectuer un tel suivi, s’ils ne veulent pas voir la publicité provenant du programme ou si elles n’aiment pas les effets dont ils ont sur la performance du système. Et au contraire, certains utilisateurs peuvent vouloir garder certains programmes de logiciels publicitaires si avec leur présence, le coût d’un service ou d’un produit souhaité est subventionné ou s’il fournit une publicité utile ou désirée, telle que, par exemple, des publicités compétitives avec lesquelles L’utilisateur est la recherche ou complétée.
Pour plus d’informations, voir le thème des logiciels malveillants sur Wikipedia dans http://en.wikipedia.org/wiki/Malware et thème. Qu’est-ce que les logiciels malveillants? Dans le Guide de défense de profondeur antivirus à l’adresse www.microsoft.com/technet/security/topics/servorscurity/avdind\_2.mspx\\owelf (peut être en anglais).
Considérations sur les comportements de logiciels malveillants
Les différentes caractéristiques que chaque catégorie de logiciels malveillants peut présenter sont généralement très similaires. Par exemple, il est possible qu’un virus et un ver utilisent le réseau comme mécanisme de transport. Cependant, un virus essaiera d’infecter les fichiers pendant qu’un ver essaiera simplement de se copier. Dans la section suivante, de brefs explications sur les caractéristiques de logiciels malveillants typiques sont fournies.
environnements objectifs
Lorsque les logiciels malveillants essaient d’attaquer un système hôte, un nombre spécifique de composants est requis pour cela. L’attaque réussit. Les composants suivants sont des exemples typiques des composants que les logiciels malveillants peuvent nécessiter une attaque sur un hôte:
-
systèmes d’exploitation.Un système d’exploitation spécifique peut être nécessaire pour que les logiciels malveillants soient efficaces. Par exemple, le virus Tchernobyl ou CIH des années 90 ne pouvait attaquer que l’équipement avec Microsoft® Windows® 95 ou Windows 98. Les systèmes d’exploitation les plus courants sont plus sûrs. Malheureusement, les logiciels malveillants sont également de plus en plus sophistiqués.
-
applications. Les logiciels malveillants peuvent avoir besoin d’une application spécifique installée sur l’ordinateur cible pour alimenter votre charge ou répliquer. Par exemple, le virus LFM.926 de 2002 ne pouvait attaquer que si des fichiers Flash Washwave (.swf) ne pouvaient être exécutés sur l’ordinateur local.
périphériques. Certains logiciels malveillants se concentreront spécifiquement sur un type de périphérique, par exemple PC, un ordinateur Apple Macintosh ou même un assistant numérique personnel (PDA). Les périphériques portables, tels que les téléphones mobiles, deviennent de plus en plus populaires périphériques cibles.
supports
> Si les logiciels malveillants sont un virus, il essaiera d’atteindre un objet porteur (également appelé hôte) pour l’infecter. Le nombre et le type d’objets de transport cible varient considérablement entre les différentes formes de logiciels malveillants. La liste suivante fournit des exemples des opérateurs cibles les plus courants:
-
fichiers exécutables. Ces opérateurs sont les objectifs du type de virus « classique » qui est remplacé lors de la fixation d’un programme hôte. Outre les fichiers exécutables typiques utilisant l’extension .exe, les fichiers avec les extensions suivantes peuvent également être utilisés avec cette fin: .com, .sys, .dll, .ovl, .ocx et .prg.
-
scripts. Des attaques utilisant des scripts en tant qu’opérateurs se concentrent sur des fichiers qui utilisent une langue de script, tels que Microsoft Visual Basic® Script, JavaScript, AppleScript ou Perl Script. Parmi les extensions de fichier de ce type, citons: .vbs, .js, .wsh and .pr.
-
macros. Ces opérateurs sont des fichiers prenant en charge une langue de script macro à partir d’une application spécifique telle que, par exemple, une application de processeur de texte, des feuilles de calcul ou une base de données. Par exemple, les virus qui utilisent des langues de macro dans Microsoft Word et Lotus AMI Pro pour produire une série d’effets incluent à partir des farces (modifier l’ordre des mots dans un document ou modifier les couleurs) au logiciel malveillant (format du disque dur Equipement).
Mécanismes de transport
Une attaque peut utiliser l’une des nombreuses méthodes différentes pour essayer de répliquer entre les systèmes informatiques. Cette section fournit des informations sur certains des mécanismes de transport les plus courants utilisés par un logiciel malveillant.
-
supports amovibles. L’émetteur de virus informatiques et d’autres logiciels malveillants d’origine et probablement plus prolifique correspond au transfert de fichiers (au moins jusqu’à récemment). Ce mécanisme a commencé avec des disquettes, puis déplacé vers des réseaux et, à l’heure actuelle, est à la recherche de nouveaux médias en tant que périphériques USB (bus universel de la série) et Firewire. L’indice d’infection n’est pas aussi rapide que possible avec les logiciels malveillants qui utilisent le réseau, bien que la menace soit toujours présente et qu’il soit difficile d’éradiquer complètement en raison de la nécessité d’échanger des données entre systèmes.
-
Ressources réseau partagées. Lorsqu’un mécanisme a été fourni de manière à ce que les équipes se connectent directement via un réseau, les créateurs de logiciels malveillants ont trouvé un autre mécanisme de transport susceptible de surmonter les capacités des supports amovibles afin de propager un code malveillant. Un système de sécurité mis en œuvre de manière incorrecte dans les actions réseau produit un environnement dans lequel les logiciels malveillants peuvent être répliqués dans un grand nombre d’équipements connectés au réseau. Cette méthode a substitué une grande partie de la méthode manuelle d’utilisation de moyens amovibles.
-
Networks point à point (P2P). Pour produire des transferts de fichiers P2P, un utilisateur doit installer un composant client de l’application P2P que vous allez utiliser le réseau.
Pour plus d’informations, voir la section « Malware » caractéristiques « du Guide de défense de profondeur antivirus à www.microsoft.com/technet/security/topics/serversecurity/avdind 2.mspx \\ eqaac (peut être en anglais).
Ce qui n’est pas inclus dans La définition des logiciels malveillants
Il existe une menace qui n’est pas considérée comme un logiciel malveillant car ils ne sont pas des programmes informatiques créés avec une mauvaise intention. Cependant, ces menaces peuvent avoir des implications financières et de sécurité pour les entreprises moyennes. La liste suivante décrit certains des exemples les plus fréquents de menaces qui pourraient être prises en compte et la compréhension lorsqu’une stratégie de sécurité complète est développée.
-
logiciel de virus. Les applications de simulation de virus sont conçues pour provoquer un sourire ou, au plus, pour faire perdre du temps à perdre du temps. Ces applications existent depuis que les gens ont commencé à utiliser les équipes.Comme ils n’ont pas été développés avec une mauvaise intention et sont clairement identifiés comme une blague, ils n’ont pas été considérés comme des logiciels malveillants aux fins de ce guide. Il existe de nombreux exemples d’applications de simulation de virus qui entraînent tout d’effets d’écran intéressants aux jeux ou à des animations amusants.
-
faille. Un exemple de falsification serait un message trompeur qui met en garde contre un virus qui n’existe pas vraiment. Comme d’autres formes de logiciels malveillants, les falsifications utilisent l’ingénierie sociale dans le but d’essayer de tromper les utilisateurs de l’équipe à effectuer un certain acte. Cependant, aucun code n’est exécuté dans la contrefaçon; La contrefaçon tente normalement de tromper la victime. Un exemple courant de contrefaçon est un message électronique ou une chaîne de messagerie qui alerte qu’un nouveau type de virus a été découvert et demande que le message soit envoyé pour notifier des amis. Ces types de faux messages font des gaspilles de temps, occupent des ressources des serveurs de messagerie et consomment la bande passante du réseau. Cependant, la contrefaçon peut causer des dommages si elles commandent à l’utilisateur de modifier les paramètres de l’ordinateur (par exemple, qui suppriment les touches d’enregistrement ou les fichiers système).
-
arnaque. Un exemple courant d’escroquerie est un message électronique qui essaie de tromper le destinataire pour révéler des informations personnelles importantes pouvant être utilisées à des fins illégales (par exemple, les informations de compte bancaire). Il existe un type spécifique d’arnaque connu sous le nom de supplément d’identité (phishing) et qui est également appelé impersonnation de marque ou de carding.
-
Email non désiré. Le courrier électronique indésirable est un courrier électronique non sollicité qui est généré pour annoncer un service ou un produit. Habituellement, ce phénomène est ennuyeux, mais ce n’est pas un logiciel malveillant. Cependant, l’augmentation drastique du courrier indésirable qui est envoyée est un problème pour l’infrastructure Internet. Les courriels indésirables provoquent également une perte de productivité des employés qui sont obligés de voir ces messages et de les effacer tous les jours.
-
cookies Internet. Les cookies Internet sont des fichiers texte qui portent sur l’ordinateur d’un utilisateur les sites Web que cette visite. Les cookies contiennent et fournissent des informations identifiables sur l’utilisateur sur les sites Web qui les placent sur leur ordinateur, ainsi que toutes les informations que les sites souhaitent conserver la visite de l’utilisateur.
Les cookies sont des outils légitimes qu’ils utilisent de nombreux sites Web suivre les informations sur les visiteurs. Malheureusement, il est connu que certains développeurs de sites Web utilisent des cookies pour collecter des informations sans que l’utilisateur sache. Il est possible que certains utilisateurs trompent ou ignorent leurs directives. Par exemple, vous pouvez suivre une trace des habitudes d’exploration sur le Web sur de nombreux sites Web différents sans informer l’utilisateur. De cette manière, les développeurs de sites peuvent utiliser ces informations pour personnaliser les annonces que l’utilisateur voit sur un site Web, qui est considérée comme une invasion de la vie privée.
Pour plus d’informations sur Malware et fonctionnalités, voir le Guide de défense de profondeur antivirus sur Microsoft Techet à l’adresse www.microsoft.com/technet/security/topics/serverscurity/avdind\_0.mspx (vous pouvez être en anglais).
Considérations sur L’administration des risques et des logiciels malveillants
Microsoft définit la gestion des risques comme le processus par lequel les risques sont identifiés et que son impact est déterminé.
Le fait d’essayer de lancer un plan de gestion des risques de sécurité peut être une surcharge pour les entreprises de taille moyenne. Les facteurs possibles incluent le manque d’expérience interne, des ressources budgétaires ou des instructions de sous-traitance.
L’administration des risques de sécurité fournit une approche proactive pouvant aider les entreprises de taille moyenne à planifier leurs stratégies contre les menaces.
Un processus de gestion des risques de sécurité formelle permet aux entreprises de taille moyenne de travailler plus de renouvellement avec un niveau de risque d’entreprise connu et acceptable. Il fournit également une voie claire et cohérente à organiser et à hiérarchiser des ressources limitées afin de gérer les risques.
pour faciliter les tâches de gestion des risques, Microsoft a mis au point le guide de gestion des risques, qui fournit des instructions sur les processus suivants. :
-
évaluation des risques. Identifier et établir la priorité des risques pour la société.
-
Soutien à la prise de décision. Identifiez et évaluez les solutions de contrôle basées sur un processus d’analyse du rapport coûts-avantages défini.
-
Mise en œuvre des contrôles. Mettre en œuvre et exploiter des solutions de contrôle pour aider à réduire les risques des entreprises.
-
Quantification de l’efficacité du programme. Analizar el proceso de administración de riesgos en relación con la eficacia y comprobar que los controles proporcionan el grado de protección esperado.
La información detallada sobre este tema queda fuera del objetivo de cet article. Cependant, il est essentiel de comprendre le concept et les processus afin de planifier, de développer et de mettre en œuvre une stratégie de solution destinée aux risques de logiciels malveillants. La figure suivante montre les quatre processus principaux de gestion des risques.
figure 1. Les 4 principaux processus de gestion des risques
Pour plus d’informations sur la gestion des risques, voir le Guide d’administration de la sécurité Microsoft Techet de http://go.microsoft.com/fwlink/?linkid=30794 (peut être en anglais).
Principe de la page
Les défis
Les attaques de logiciels malveillants peuvent être montées à travers différents vecteurs ou méthodes d’attaque à un point faible spécifique. Il est recommandé que les entreprises de taille moyenne effectuent une évaluation des risques qui déterminent non seulement leurs profils de vulnérabilité, mais contribuent également à déterminer le niveau de risque acceptable pour une certaine entreprise. Les entreprises de taille moyenne doivent développer des stratégies qui contribuent à réduire les risques de logiciels malveillants.
Parmi les défis visant à réduire les risques de logiciels malveillants dans une entreprise de taille moyenne comprend les éléments suivants:
-
menaces communes
-
vulnérabilités
-
Formation des utilisateurs
-
Balance entre la gestion des risques et les besoins professionnels
Actifs communs du système d’information
Informations d’actifs du système communes
La sécurité des systèmes d’information fournit les informations fondamentales pour aider à gérer la sécurité des entreprises moyennes. Les actifs communs du système d’information font référence à la fois aux aspects logiques et physiques de la société. Ils peuvent être des serveurs, des postes de travail, des logiciels et des licences.
Les actifs communs du système d’information sont des données de contact commerciale des employés, des équipements portables, des routeurs, des données de ressources humaines, des plans stratégiques, des sites Web internes et des mots de passe des employés. Une liste étendue est fournie dans « l’annexe A: actifs commun du système d’information » à la fin de ce document.
menaces communes
Certaines méthodes permettant aux logiciels malveillants pour mettre en danger La société médiane s’appelle parfois des vecteurs de menaces et représente les domaines nécessitant une plus grande attention lors de la conception d’une solution efficace pour aider à réduire les risques de logiciels malveillants. Parmi les menaces les plus fréquentes, citons les catastrophes naturelles, les erreurs mécaniques, les personnes malveillantes, les utilisateurs mal informés, l’ingénierie sociale, le code des appareils mobiles malveillants et des employés insatisfaits. Ce large éventail de menaces constitue un défi non seulement pour les entreprises de taille moyenne, mais aussi pour les entreprises de toute dimension.
dans « Annexe B: menaces communes » à la fin de ce document, une liste large est fournie. . des menaces qui affectent éventuellement des entreprises de taille moyenne.
vulnérabilités
Les vulnérabilités représentent des lacunes dans les systèmes informatiques et les procédures de sécurité, les contrôles administratifs, les conceptions physiques et autres domaines pouvant tirer parti de menaces d’obtenir un accès non autorisé à l’information ou à une pause dans des processus critiques. Les vulnérabilités sont à la fois physique et logique. Ils comprennent des catastrophes naturelles, des erreurs mécaniques, des configurations de logiciels incorrectes et des erreurs humaines. Dans « Annexe C: Vulnérabilités » à la fin de ce document, une large liste de vulnérabilités qui affectent éventuellement des entreprises de taille moyenne.
Formation utilisateur
Concernant la sécurité des informations logiques et physiques, la plus grande vulnérabilité ne réside pas nécessairement dans des problèmes de logiciels ou d’équipements, mais sur les utilisateurs des équipes. Les employés effectuent des erreurs terribles, telles que la notation de leurs mots de passe dans des endroits visibles, le téléchargement et l’ouverture des pièces jointes de messagerie pouvant contenir des virus et laisser l’équipement la nuit.Étant donné que les actions humaines peuvent sérieusement affecter la sécurité de l’équipe, la formation des employés, le personnel informatique et l’administration devrait être une priorité. Il est tout aussi important que le personnel développe de bonnes habitudes de sécurité. Ces approches sont tout simplement plus rentables pour les entreprises à long terme. La formation devrait offrir aux recommandations des utilisateurs pour éviter les activités malveillantes et les éduquer en ce qui concerne les menaces possibles et comment les éviter. Les pratiques de sécurité que les utilisateurs doivent prendre en compte incluent les éléments suivants:
-
Ne répondez jamais à un courrier électronique dans lequel des informations personnelles ou financières sont demandées.
-
ne fournissez jamais de mots de passe.
-
ne pas ouvrir les pièces jointes des messages électroniques suspects.
-
ne répondez pas à aucun non désiré ou email suspect.
-
n’installez pas d’applications non autorisées.
-
verrouille l’équipement lorsque vous n’utilisez pas de mot de passe qui protège L’économiseur d’écran ou à l’aide de la boîte de dialogue Ctrl-Alt-Suppr-Suppr-Suppr.
-
Activez un pare-feu.
-
Utilisez des mots de passe sécurisés sur Ordinateurs distants.
directives
directives écrites et procédures acceptées Ils sont nécessaires pour renforcer les pratiques de sécurité. Pour être efficace, toutes les directives informatiques doivent inclure le soutien des membres de l’équipe exécutive et fournir un mécanisme d’application, un moyen d’informer les utilisateurs et d’une façon de les former. Des exemples de directives peuvent aborder les sujets suivants:
-
Comment détecter les logiciels malveillants sur un ordinateur.
-
Comment signaler des infections suspectes.
-
Ce que les utilisateurs peuvent faire pour aider les contrôleurs d’incident, tels qu’un utilisateur effectué avant l’infection du système.
-
Processus et Procédures pour résoudre les vulnérabilités du système d’exploitation et des applications que les logiciels malveillants peuvent utiliser.
-
Gestion de la révision, guides de configuration de la sécurité de la sécurité et liste de contrôle.
équilibre entre la gestion des risques et les besoins professionnels.
Investissement dans les processus de gestion des risques Il aide à préparer les sociétés de taille moyenne à articuler les priorités, planifiez la solution de menaces et traiter la prochaine menace ou la vulnérabilité de la société. .
Limitations budgétaires Ils peuvent stipuler les dépenses de sécurité informatiques, mais une méthodologie de gestion des risques bien structuré, si elle est utilisée efficacement, peut aider l’équipe exécutive à identifier de manière adéquate les contrôles pour fournir les capacités de sécurité des missions fondamentales.
Les entreprises de taille moyenne doivent Évaluer le solde délicat qui existe entre la gestion des risques et les besoins commerciaux. Les questions suivantes peuvent être utiles lors de la balance des besoins de gestion des risques et des besoins professionnels:
-
Si la société configure vos systèmes ou faire le fournisseur ou le logiciel matériel? Quel serait le coût?
-
Si l’équilibre de la charge ou une organisation de cluster soit utilisé pour garantir une disponibilité élevée d’applications? Ce qui est nécessaire pour démarrer ces mécanismes?
-
est un système d’alarme nécessaire à la salle serveur?
-
boîte de clé électronique être utilisé pour le bâtiment ou la salle du serveur?
-
Quel est le budget de la société pour les systèmes informatiques?
-
Quel est le Budget de la société pour la maintenance et le support technologique?
-
Quelle quantité d’argent calcule la société dans des systèmes informatiques (maintenance matérielle / logicielle) au cours de la dernière année?
-
Combien d’équipes y a-t-il dans le département principal de la société? Avez-vous un inventaire logiciel et un matériel informatique?
-
Est-ce votre ancien système suffisamment puissant pour exécuter la plupart des programmes que vous devez exécuter?
-
Combien d’équipements nouveaux ou mis à jour calcule de quoi auriez-vous besoin? Combien de personnes serait optimale?
-
Peut que chaque utilisateur a besoin d’une imprimante?
Pour plus d’informations sur l’administration des risques Voir le Guide de gestion des risques de sécurité dans http://go.microsoft.com/fwlink/?linkid=30794 (peut être en anglais).
page de page
Solutions
Cette section explique les différentes stratégies visant à gérer les risques de logiciels malveillants parmi lesquels des approches proactives sont incluses et des réactifs pour logiques, physiques et directives de logiciels malveillants. Les méthodes de validation, telles que les outils de reporting et la supervision, seront également abordées.
Développement de stratégies pour réduire les logiciels malveillants
Lors de l’élaboration de stratégies pour réduire les logiciels malveillants, il est important de définir la clé de la clé nécessaire points dans lesquels la détection de prévention et / ou de logiciels malveillants peut être mise en œuvre. En ce qui concerne la gestion des risques de logiciels malveillants ne dépendra que sur un seul appareil ou une technologie en tant que seule ligne de défense. Les méthodes privilégiées doivent inclure une approche de niveau via des mécanismes proactifs et de réactifs via le réseau. Les logiciels antivirus jouent un rôle fondamental dans ce sujet; Bien qu’ils ne soient pas le seul instrument utilisé pour déterminer les attaques de logiciels malveillants. Pour plus d’informations sur les approches de niveau, voir la section « Focus sur la défense du logiciel malware » dans le Guide de défense de profondeur antivirus à l’adresse www.microsoft.com/technet/security/topics/serverscurity/avdind \ _3.mspx \ e1f (peut être en anglais) .
Les points de clé de fonctionnement suivants seront traités en détail ci-dessous:
-
évaluation des risques malveillants
-
Sécurité physique
-
sécurité logique
-
Procédures et directives proactives versus réactives
-
Mise en œuvre et administration
Évaluation des risques de logiciels malveillants
Pour évaluer les risques de logiciels malveillants, les entreprises de taille moyenne doivent être au courant des types d’attaques les plus vulnérables aux menaces. Comment et dans quelle mesure sont-ils protégés? Les questions suivantes doivent être prises en compte:
-
La société a-t-elle installé un pare-feu?
Les pare-feu sont une partie importante du périmètre de la défense. Un pare-feu réseau sert normalement de première ligne de défense contre des menaces externes destinées aux systèmes informatiques, aux réseaux et à des informations importantes d’une entreprise. Les entreprises de taille moyenne doivent avoir un type de pare-feu implémenté, que ce soit des pare-feu logiciels ou matériels,
-
la société a-t-elle une fonction d’analyse de vulnérabilité interne ou externe? Comment les informations détectées sont-elles analysées?
Il est recommandé d’utiliser un outil tel que Microsoft Baseline Security Analyzer (MBSA) pour détecter des vulnérabilités ou des configurations incorrectes. Il est également possible de sous-traiter le processus d’analyse de la vulnérabilité de sécurité en recrutant des fournisseurs externes afin d’évaluer l’environnement de sécurité et de fournir des suggestions pour améliorer ce qui est considéré comme nécessaire.
Note MBSA est un outil simple conçu pour les professionnels de celui-ci. qui contribuent aux petites et moyennes entreprises pour déterminer leur statut de sécurité conformément aux recommandations de sécurité de Microsoft. Il propose également des instructions de réparation spécifiques. Améliorez les processus de gestion de la sécurité à l’aide de MBSA pour détecter les paramètres de sécurité incorrects les plus courants et les mises à jour de sécurité manquantes sur le système informatique.
-
est un plan en cours de l’évaluation de la récupération et des copies de sauvegarde?
Assurez-vous qu’il existe des plans de sauvegarde et que le serveur de sauvegarde fonctionne efficacement.
-
Combien de types de logiciels antivirus l’entreprise a-t-elle? L’antivirus a-t-il été installé sur tous les systèmes?
réserve Une seule plate-forme antivirus peut exposer la société à des risques, car chaque colis a ses propres forces et faiblesses.
/li>
-
La société a-t-elle un réseau sans fil implémenté? Si tel est le cas, est-il configuré correctement et activé la sécurité du réseau sans fil?
Même si un câble avec câbles est complètement sécurisé, un réseau sans fil non sécurisé peut entrer un niveau de risque non acceptable dans un environnement qui, autrement, serait en sécurité. Les anciennes normes sur les systèmes sans fil, telles que WEP, sont facilement en danger, une enquête doit donc être effectuée pour que la solution de sécurité sans fil la plus appropriée ait été lancée.
-
a Les employés ont reçu une formation sur la manière d’éviter les logiciels malveillants? Avez-vous reçu une formation sur le sujet des risques de logiciels malveillants?
La forme la plus courante de propagation de logiciels malveillants implique un type d’ingénierie sociale; Et la défense la plus efficace contre les menaces pour l’ingénierie sociale est la formation.
-
existe une directive écrite sur la manière de prévenir ou de gérer des menaces malveillants?Combien coûte cette directive? S’applique? Le personnel est-il conforme à la directive?
Assurez-vous que les utilisateurs reçoivent une formation sur la manière d’éviter les menaces et la prévention des logiciels malveillants. Il est très important de disposer de toutes ces informations documentées. Il doit y avoir une directive écrite pertinente concernant les procédures et les informations précédentes. Les examens de la présente directive doivent être effectués lorsque des modifications sont produites afin de garantir l’efficacité et la validité des directives indiquées.
Sécurité physique
Le La sécurité physique implique la restriction de l’accès aux équipes afin d’éviter les modifications, les vols et les vols, les erreurs humaines et les temps d’arrêt ultérieurs causant ces actions.
Bien que la sécurité physique soit plutôt un problème de sécurité général qu’un problème de logiciels malveillants spécifique est impossible Pour protéger contre les logiciels malveillants sans un plan de défense physique efficace pour tous les dispositifs clients, serveurs et réseaux dans l’infrastructure d’une organisation.
Dans la liste suivante, les éléments les plus importants à prendre en compte sont inclus pour Obtenir un plan de défense physique efficace:
-
Sécurité de la construction. Qui a accès au bâtiment?
-
Sécurité du personnel. Quelles sont les restrictions du droit d’accès d’un employé?
-
points d’accès aux réseaux. Qui a accès à l’équipement de réseau?
-
équipement de serveur. Qui a des droits d’accès aux serveurs?
-
Équipement du poste de travail. Qui a des droits d’accès aux stations de travail?
Si l’un de ces éléments est en danger, un logiciel malware coule des limites de défense internes et externes pour infecter un hôte de réseau. La protection de l’accès aux installations et aux systèmes informatiques devrait être un élément fondamental des stratégies de sécurité.
Pour des informations plus détaillées, voir l’article « Conseiller en sécurité en 5 minutes: sécurité physique de base » dans Microsoft Techet à l’adresse www. microsoft.com/technet/archive/community/columns/security/5min/5min-203.mspx (peut être en anglais).
Sécurité logique
Mesures de protection du logiciel pour moyens- Les systèmes d’information sur la taille comprennent l’accès par mot de passe et identifiant d’utilisateur, droits d’authentification et d’accès; Tout cela est crucial pour l’administration de risques de logiciels malveillants. Ces mesures de protection contribuent à garantir que seuls les utilisateurs autorisés peuvent effectuer des actions ou avoir accès à des informations provenant d’un poste de travail ou d’un serveur particulier sur le réseau. Les administrateurs doivent s’assurer que les systèmes sont systématiquement configurés avec la fonction de travail utilisateur de l’ordinateur. La configuration de ces mesures de protection peut prendre en compte les éléments suivants:
-
limitation des programmes ou des utilitaires uniquement pour ceux qui en ont besoin pour leur position.
-
Augmente le contrôle des répertoires de clé système.
-
Augmentation des niveaux d’audit.
-
Utilisation des politiques mineures.
-
limitation de l’utilisation de supports amovibles, tels que des disquettes.
-
Qui va-tu accorder des droits administratifs pour la sauvegarde serveur, serveurs de messagerie et serveurs de fichiers?
-
Qui devrait avoir accès aux dossiers de ressources humaines?
-
Quel droit de privilège Être donné aux dossiers interministériels?
-
allez-vous utiliser le même poste de travail différents utilisateurs? Si oui, quel niveau d’accès allez-vous donner? Les utilisateurs sont-ils autorisés à installer des applications logicielles dans leurs postes de travail?
ID utilisateur, ID de connexion ou comptes et noms des utilisateurs sont des identifiants personnels uniques d’utilisateurs d’un réseau ou d’un programme informatique à dont plus d’un utilisateur peut avoir accès. L’authentification est le processus de vérification si une entité ou un objet est celui qui dit être ou ce qu’il prétend être. Les exemples incluent la confirmation de la source et de l’intégrité des informations, telles que la vérification d’une signature numérique d’un utilisateur ou d’un équipement. Pour améliorer la sécurité, il est recommandé que tous les comptes de connexion disposent de données d’authentification par mot de passe Secret utilisées pour contrôler l’accès à une ressource ou à un ordinateur. Une fois que l’utilisateur peut se connecter au réseau, les droits d’accès adéquats doivent être définis. Par exemple, un certain utilisateur peut accéder à un dossier de ressources humaines, mais il n’aura qu’un accès en lecture et ne peut apporter aucune modification.
D’autres sujets de sécurité logique incluent:
-
instructions sur les mots de passe, tels que la complexité ou l’expiration des mots de passe.
-
Sauvegarde logicielle et données.
-
Informations confidentielles / Données importantes: Utilisation de cryptage si nécessaire.
Autorisation adéquate et les fonctions d’authentification doivent être fournies, correspondant à un niveau de risque acceptable et à une utilisation adéquate. L’attention devrait se concentrer sur les deux serveurs et les postes de travail. Tous les éléments de sécurité logiques susmentionnés doivent être rédigés de manière claire, ils doivent être appliqués et doivent être disponibles pour toute la société en tant que points de référence.
Procédures et directives proactives versus réactives
Deux approches de base sont utilisés pour aider à gérer le risque de logiciel malveillant: proactif et réactif. Les approches proactives incluent toutes les mesures prises dans le but de prévenir les attaques de la mise en réseau ou de l’hôte pour obtenir des systèmes menacés. Les approches de réactif sont ces procédures utilisées par les sociétés de taille moyenne une fois qu’ils découvrent que leurs systèmes ont été mis en œuvre en raison d’un programme d’attaque ou d’un intrus comme troy ou autre cheval de logiciels malveillants.
approche de réactif
Si la sécurité d’un système ou d’un réseau a été mise en danger, un processus de réponse à l’incident est nécessaire. Une réponse à l’incident est la méthode de recherche d’un problème, d’analyse de la cause, de minimisation de l’impact, de solution du problème et de la documentation de chaque étape de la réponse pour une référence ultérieure.
Comme toutes les entreprises prennent des mesures Pour éviter les futures pertes d’entreprise, ils sont également en cours de prévoir ces pertes dans le cas où des mesures proactives n’étaient pas efficaces ou n’existaient pas. Les méthodes réactives comprennent les plans de récupération des catastrophes, la réinstallation des systèmes d’exploitation et des applications dans les systèmes en voie de disparition et de changement de systèmes alternatifs dans d’autres emplacements. Avoir un ensemble de réponses réactives appropriées préparées et prêtes à mettre en œuvre est aussi importante que d’avoir des mesures proactives en cours.
dans le diagramme hiérarchique suivant de la réponse réactive, les étapes pour gérer les incidents de logiciels malveillants sont présentés. Dans le texte suivant, des informations supplémentaires sont fournies sur ces étapes.
Figure 2. Hiérarchie des réponses réactives
-
Protection de la vie humaine et la sécurité des personnes. Si les équipes concernées incluent des systèmes de maintenance de la vie, il peut être désactivé non une option. Peut-être que lesdits systèmes du réseau pouvaient être isolés logiquement, modifiant la configuration des routeurs et des commutateurs sans interrompre la capacité d’aider les patients.
-
Confiant. Le confinement des dommages causés par une attaque aide à limiter les dommages supplémentaires. Protection immédiate du matériel, des logiciels et des données importantes.
-
Évaluation des dommages. Effectuez immédiatement un duplicata des disques durs d’un serveur qui a été attaqué et mettez ces serveurs séparés pour une analyse de la recherche ultérieure. Notez ensuite les dégâts.
-
Détermination de la cause des dommages. Pour déterminer l’origine de l’attaque, il est nécessaire de connaître les ressources auxquelles l’attaque et les vulnérabilités utilisées pour obtenir un accès ou interrompre les services étaient nécessaires. Vérifiez la configuration du système, le niveau de révision, les enregistrements système, les enregistrements d’audit et les pistes d’audit dans les systèmes directement affectés, ainsi que sur les périphériques réseau qui acheminent le trafic.
-
Réparation des dégâts. Il est très important que les dommages soient réparés le plus rapidement possible pour restaurer les opérations commerciales habituelles et récupérer toutes les données perdues lors de l’attaque.
-
Examen des directives de Mise à jour et réponse. Une fois que les phases de récupération et de documentation, les stratégies de mise à jour et de réponse doivent être complètement examinées.
Que doit être fait si les systèmes du réseau sont infectés par le virus? Dans la liste suivante, citons des exemples d’une approche réactive:
-
Assurez-vous que le pare-feu fonctionne. Obtenez un contrôle positif sur le trafic entrant et sortant des systèmes de réseau.
-
Traitez le premier suspect en premier. Nettoyez les menaces malveillantes les plus courantes, puis vérifiez s’il y a des menaces inconnues.
-
isolait le système infecté. Laissez-le hors du réseau et Internet. Empêcher l’infection de se propager à d’autres systèmes de réseau pendant le processus de nettoyage.
-
étudier des techniques de nettoyage et de contrôle de la pousse.
-
Téléchargez les dernières définitions de virus des fournisseurs de logiciels antivirus.
-
Assurez-vous que les systèmes antivirus ont été configurés pour explorer tous les fichiers.
-
exécutez une analyse complète du système.
-
restaurer des données endommagées ou perdues.
-
Supprimer ou nettoyer les fichiers infectés.
-
Confirmez que Les systèmes informatiques ne contiennent pas de logiciels malveillants.
-
reconnectez les systèmes informatiques sur le réseau.
note qu’il est important de veiller à ce que c’est important Tous les systèmes informatiques exécutent un logiciel antivirus récent et que les processus automatisés sont exécutés pour mettre à jour régulièrement les définitions de virus. Il est particulièrement important de mettre à jour le logiciel antivirus sur des équipements portables que les travailleurs mobiles utilisent.
Maintenir une base de données ou un enregistrement qui suit les révisions appliquées aux systèmes les plus importants de la société: systèmes accessibles d’Internet, pare-feu, routeurs internes, Bases de données et serveurs de bureau.
approches proactives
Une approche proactive de la gestion des risques présente de nombreux avantages sur l’approche réactive. Au lieu d’attendre des problèmes de survie et de réagir postérieur, vous pouvez minimiser la possibilité de se produire. Les plans doivent être faits pour protéger les actifs importants de l’organisation grâce à la mise en œuvre de contrôles qui réduisent le risque que les logicios malveillants utilisent des vulnérabilités.
Une approche efficace proactive peut aider les entreprises de taille moyenne à réduire les incidents de sécurité qui se posent à l’avenir, bien que ces problèmes ne soient pas susceptibles de disparaître complètement. Par conséquent, ils devraient continuer à améliorer les processus d’intervention des incidents tout en développant des approches proactives à long terme. La liste suivante comprend quelques exemples de mesures proactives pouvant aider à gérer les risques de logiciels malveillants.
-
Appliquez le dernier micrologiciel aux systèmes et aux routeurs matériels que les fournisseurs recommandent.
-
Appliquez les dernières critiques de sécurité pour les applications de serveur ou d’autres applications.
-
S’abonner aux listes de messagerie des fournisseurs concernant la sécurité et l’application des évaluations à titre recommandé.
-
Assurez-vous que tous les systèmes informatiques Microsoft exécutent un logiciel antivirus récent.
-
Assurez-vous que les processus automatisés fonctionnant régulièrement les définitions de virus.
note Il est particulièrement important de mettre à jour le logiciel antivirus sur des ordinateurs portables que les travailleurs mobiles utilisent.
-
Maintenir une base de données qui suit des critiques qui ont été appliquées Ado.
-
examine les enregistrements de sécurité.
-
Activez des pare-feu à base d’hôtes ou un périmètre.
-
Utilisez un scanner de vulnérabilité telle que Microsoft Baseline Security Analyzer pour détecter les paramètres de sécurité incorrects les plus courants et les mises à jour de sécurité manquantes sur les systèmes informatiques.
-
Utilisez moins de privilège Comptes d’utilisateurs (LUA). Si des processus privilégiés plus faibles sont en voie de disparition, ils causeront moins de dégâts que les processus privilégiés les plus élevés. Par conséquent, si un compte administrateur est utilisé à la place d’un administrateur lorsque les tâches quotidiennes sont terminées, une protection supplémentaire est offerte à l’utilisateur par rapport à une infection par un hospitalier malveillant, des attaques de sécurité internes ou externes, des modifications intéressantes ou accidentelles de la configuration et de l’installation dans la configuration et l’installation. du système et un accès intentionnel ou accidentel à des documents ou à des programmes confidentiels.
-
Appliquez des stratégies de mot de passe sécurisées. Les mots de passe sécurisés réduisent la probabilité qu’un attaquant qui utilise Brute Force acquiert plus de privilèges. Les mots de passe normalement sécurisés ont les caractéristiques suivantes:
-
15 caractères ou plus.
-
ne contient jamais de noms de compte, de noms de vrais ou de noms de sociétés en aucun cas.
-
ne contient jamais de mot complet, jargon ou autre terme pouvant être facilement recherché.
- ils sont N’ayez pas considérablement différent dans le contenu des mots de passe antérieurs et ne sont pas augmentés.
-
Utilisez au moins trois des types de caractères suivants:
majuscule (a, b, c …)
-
minuscule (a, b, c …)
-
NUMÉROS (0, 1, 2 …)
-
symboles non alphanumériques (@, &, $ ..)
-
caractères unicode (€, ƒ, λ …)
-
Pour plus d’informations sur les stratégies de mot de passe, consultez la rubrique « Pratiques recommandées pour les mots de passe » dans Microsoft TechNet dans (peut être en anglais).
Défense en profondeur
Une approche proactive pour la gestion des programmes malveillants dans un moyen- L’environnement de la taille devrait inclure l’utilisation d’une approche de défense approfondie à des niveaux afin de protéger les ressources des menaces externes et internes. La défense de profondeur (parfois connue sous la forme de la sécurité en profondeur ou à la sécurité multi-niveaux), il utilise pour décrire la distribution par niveaux de sécurité des contre-mesures pour former un environnement de sécurité unifié sans un seul point d’erreur. Les niveaux de sécurité qui forment la stratégie de défense approfondie devraient inclure la mise en œuvre de mesures proactives des routeurs externes jusqu’à l’emplacement des ressources et de tous. Points intermédiaires. La mise en œuvre de plusieurs niveaux de sécurité aide à garantir que si un niveau est en danger, le reste des niveaux fournira la sécurité nécessaire pour protéger les ressources.
Cette section aborde le modèle de sécurité de la défense en profondeur qu’il est Un excellent point de départ pour comprendre ce concept. Ce modèle identifie sept niveaux de défense de sécurité conçus pour garantir que toute tentative de mettre en danger la sécurité des entreprises de taille moyenne fonctionnera dans un ensemble solide de défenses. Chaque ensemble peut aider à détecter les attaques à des niveaux très différents.
Vous pouvez modifier les définitions détaillées de chaque niveau en fonction des différentes exigences et des priorités de sécurité des entreprises. La figure suivante montre les différents niveaux du modèle de défense en profondeur.
Figure 3. Modèle de sécurité de la défense en profondeur
-
données. Les risques du niveau de données découlent des vulnérabilités qu’un attaquant aurait pu être utilisé pour accéder aux données de configuration, les données de l’organisation ou toutes les données exclusives d’un périphérique utilisant l’organisation.
-
application. Les risques au niveau de la demande proviennent des vulnérabilités qu’un attaquant aurait pu être utilisé pour accéder aux applications exécutées. Tout code exécutable qu’un créateur de logiciels malveillants peut emballer en dehors du système d’exploitation pourrait servir à attaquer un système.
-
hôte. Normalement, ce niveau est l’objectif des fournisseurs qui fournissent des packages de services et de révisions visant à gérer les menaces malveillants. Les risques à ce niveau proviennent des assaillants qui utilisent les vulnérabilités des services offerts par l’appareil ou l’hôte.
-
Réseau interne. Les risques dans les réseaux internes des entreprises affectent des données largement transmises via des réseaux de ce type. Les exigences de connectivité des postes de travail des clients dans ces réseaux internes impliquent une série de risques.
-
réseau de périmètre. Les risques associés au niveau de réseau de périmètre surviennent, car un attaquant obtient l’accès à des réseaux de surface étendus (WAN) et les niveaux de rouge qui se connectent.
-
Sécurité physique. Les risques au niveau physique surviennent parce qu’un attaquant obtient un accès physique à un actif physique.
-
directives, procédures et sensibilisation. Les entreprises de taille moyenne doivent démarrer des procédures et des directives autour de tous les niveaux du modèle de sécurité afin de répondre aux besoins de chaque niveau.
niveaux de données, application et hôte peut être Combiné dans deux stratégies de défense pour aider à protéger les clients et les serveurs d’entreprises. Bien que ces défenses partagent une série de stratégies communes, il existe suffisamment de différences lors de la mise en œuvre des défenses de serveur et des clients pour assurer une approche de défense unique pour chacune d’elles.
Le niveau de périmètre et le réseau interne peuvent également être combinés dans Une stratégie de défenses de réseau commun car les technologies impliquées sont les mêmes pour les deux niveaux. Les détails de la mise en œuvre varieront à chaque niveau en fonction de la position des périphériques et des technologies de l’infrastructure de l’organisation. Pour plus d’informations sur le modèle de défense en profondeur, voir « Chapitre 2: Menaces de logiciels malveillants » du Guide de défense de profondeur antivirus dans http://go.microsoft.com/fwlink/?LinkId=50964 (peut être en anglais).
Mise en œuvre et administration
Stratégies de gestion des risques de logiciels malveillants peut couvrir toutes les technologies et approches abordées dans ce document.Il est recommandé de mettre en œuvre des logiciels antivirus adéquats et fiables sur tous les systèmes. Windows Defender, un outil Microsoft qui vous aide à continuer à être productif en protégeant l’équipement contre les éléments contextuels, les menaces de sécurité et la réduction des performances causées par des logiciels espions ou d’autres logiciels potentiellement indésirables, doivent être utilisés avec des logiciels antivirus. En fait, ils devraient être mis en œuvre dès que possible après l’installation du système d’exploitation. Les derniers logiciels antivirus doivent être appliqués immédiatement et doivent être configurés pour maintenir l’efficacité en matière de détection et d’arrêt de logiciels malveillants. Comme il n’est pas conseillé de dépendre d’une seule approche en tant que solution de sécurité totale, les pare-feu, les portes de liaison, les détections d’intrusion et autres technologies de solutions de sécurité qui ont été discutées dans des sections précédentes doivent être consolidées en association avec des logiciels antivirus.
Cette section abordera la validation, la supervision et la préparation des rapports et des technologies disponibles.
Validation
Une fois les approches et les approches et les technologies précédemment identifiées pour l’administration. des risques de logiciels malveillants, comment peut-il être garanti qu’ils sont mis en œuvre efficacement?
Pour valider une solution proposée, utilisez les outils suivants qui aident à valider l’environnement système et réseau:
-
antivirus. Explorez tous les systèmes de virus à l’aide de logiciels antivirus avec les définitions de fichiers fermes les plus récentes.
-
défenseur Windows. Grâce à Windows Defender, explorez tous les systèmes à la recherche de logiciels espions et autres logiciels éventuellement indésirables.
-
analyseur de sécurité de base Microsoft (MBSA). Explorez tous les systèmes avec MBSA pour identifier les erreurs de configuration de sécurité les plus fréquentes. Vous pouvez obtenir plus d’informations sur le site Web de Microsoft Baseline Security Analyzer sur http://go.microsoft.com/fwlink/?linkid=17809 (peut être en anglais).
-
Détection d’intrusion de réseau (NID). Étant donné que le réseau de périmètre est une partie extrêmement exposée du réseau, il est d’une importance vitale que les systèmes d’administration du réseau peuvent détecter des attaques et réagir dès que possible.
-
Analyseur de sécurité Microsoft Baseline ( MBSA) améliore les processus de gestion de la sécurité avec la MBSA pour détecter les paramètres de sécurité incorrects les plus courants et les mises à jour de sécurité manquantes sur les systèmes informatiques.
-
scanner des signatures antivirus. Actuellement, la plupart des programmes de logiciels antivirus utilisent cette technique, qui implique la recherche de l’objectif (équipement hôte, lecteur de disque ou fichiers) d’un motif pouvant représenter un logiciel malveillant.
-
scanners de passerelle SMTP. Ces solutions d’examen de courriel SMTP sont généralement appelées solutions d’Antivirus Gateway. Ils ont l’avantage de travailler avec tous les serveurs de messagerie SMTP au lieu d’être liés à un produit spécifique du serveur de messagerie.
-
fichiers journaux. Fichiers répertoriés par les détails des accès aux fichiers stockés et enregistrés sur un serveur. L’analyse des fichiers d’enregistrement peut révéler des données utiles sur le trafic de site Web.
-
Viewer d’événement. Outil administratif qui informe les erreurs et autres événements, tels que, par exemple, des erreurs de contrôleur, des erreurs de fichiers, des connexions et des fermetures de session.
-
Microsoft Windows Defender. Programme qui aide à protéger l’équipement contre les éléments contextuels, à la réduction des performances et les menaces de sécurité causées par des logiciels espions ou d’autres logiciels indésirables. Il offre une protection en temps réel, un système de supervision qui recommande des actions contre des logiciels espions lorsqu’il la détecte et une nouvelle interface optimisée qui minimise les interruptions et aide les utilisateurs à maintenir leur productivité.
-
Utilisez le Internet Dynamic Safety Protection of Internet Explorer 7.
-
Microsoft Windows Server Update Server Services (WSUS) fournit une solution globale pour les mises à jour d’administration dans le réseau d’entreprises moyennes.
-
Microsoft Systems Management Server 2003 SP 1 fournit une solution globale Pour les modifications de la gestion de la configuration et de la plate-forme Microsoft, permettant aux organisations de fournir des mises à jour et des logiciels importants aux utilisateurs rapidement et de manière rentable.
Aussi Les comptes récemment créés doivent être vérifiés et vérifiés avec des autorisations d’accès adéquates pour s’assurer qu’ils fonctionnent correctement.
Une fois que les stratégies et technologies mises en œuvre ont été validées, les logiciels et les examens matériels doivent être appliqués lorsqu’il est nécessaire de réaliser en continu. Efficacité de la sécurité. Les utilisateurs, et surtout le personnel informatique, devraient toujours être à jour avec les dernières mises à jour.
Supervision et rapports
La supervision continue des périphériques réseau est l’arrêt fondamental de détecter les attaques de logiciels malveillants. La supervision peut être un processus complexe. Nécessite une collection d’informations provenant de nombreuses sources (par exemple des pare-feu, des routeurs, des commutateurs et des utilisateurs) pour collecter une ligne de comportement «normale» pouvant être utilisée pour identifier un comportement anormal.
stratégies de supervision et de préparation de logiciels malveillants Les rapports dans des environnements de taille moyenne devraient inclure des technologies et une formation utilisateur.
par Technologies Nous nous référons à des technologies matérielles et logicielles qui aident les entreprises de taille moyenne à superviser et à effectuer des rapports sur des activités malveillantes et répondent en conséquence. En formation, nous vous référons à des programmes de sensibilisation qui incluent des instructions pour les utilisateurs sur la prévention des incidents malveillants, la capacité de les éluiser et de préparer correctement les rapports.
Technologies
Il est possible d’automatiser une surveillance d’alerte Système de sorte que vous puissiez signaler une suspicion d’infection par logiciels malveillants à un emplacement central ou un point de contact approprié qui, à son tour, peut informer les utilisateurs sur la manière d’agir. Un système d’alerte automatisé minimiserait le temps d’attente entre une alerte initiale et le moment où les utilisateurs sont conscients de la menace des logiciels malveillants, mais le problème de cette approche est qu’il peut générer des alertes «fausses positives». Si personne ne filtre les alertes et examine une liste de contrôle d’activités inhabituelles, il est probable que les alertes sont notées à partir de logiciels malveillants inexistants. Cette situation peut conduire à la complaisance, car les utilisateurs seront rapidement désensibilisés aux alertes générées trop souvent.
Il peut être utile de céder des membres de l’équipe d’administration du réseau la responsabilité de recevoir toutes les alertes automatisées de logiciels malveillants de tous. Forfaits logiciels d’antivirus ou de surveillance du système utilisés par la société. L’équipe ou l’individu responsable peut filtrer les falles alertes positives des systèmes automatisés avant d’envoyer les alertes aux utilisateurs.
Il est recommandé d’examiner et de mettre à jour constamment les alertes de solutions malveillantes. Tous les aspects de la protection des logiciels malveillants sont importants, à partir des simples téléchargements de signatures automatisés de virus jusqu’à modification de la directive sur les opérations. Bien que certains des outils suivants aient déjà été mentionnés, ils sont essentiels à l’administration de la sécurité, à la surveillance et à la déclaration:
Parmi les outils supplémentaires recommandés qui aident à explorer et à appliquer les dernières mises à jour ou solutions incluent:
envisager d’abonner à tout nouvel examen qui s’applique à votre organisation. Pour recevoir ces notifications automatiquement, vous pouvez vous abonner à Microsoft Security Bulletins dans http://go.microsoft.com/fwlink/?LinkId=21723.
Formation de l’utilisateur, comme déjà mentionné dans une section antérieure de ce document, Tous les utilisateurs doivent recevoir une formation sur des logiciels malveillants et leurs caractéristiques, la gravité de leurs menaces potentielles, de leurs techniques d’évasion et de leurs formes de propagation de logiciels malveillants et de risques qu’elles impliquent. La formation des utilisateurs devrait également inclure la prise de conscience de la directive et des procédures qui s’appliquent à l’administration d’incidents de logiciels malveillants, telles que la manière de détecter les logiciels malveillants sur un ordinateur, comment signaler des infections suspectes et ce que les utilisateurs peuvent faire pour aider les administrateurs d’incident. Les entreprises de taille moyenne devraient mener des sessions de formation sur des stratégies visant à administrer les risques de logiciums de logiciels malveillants visés dans le personnel informatique impliqué dans la prévention des incidents de logiciels malveillants.
principe de la page
Résumé
Malware est une zone de technologie informatique complexe et constante en évolution constante. De tous les problèmes qui ont été trouvés en vous, peu sont aussi fréquents et constants que des attaques de logiciels malveillants et des coûts associés à la lutte contre les combattants. S’il est compris comment ils travaillent, comment ils évoluent avec le temps et les types d’attaques qu’ils utilisent, il est possible d’aider les entreprises de taille moyenne à traiter le problème de manière proactive et de créer des processus réactifs plus efficaces et plus efficaces.Les logiciels malveillants utilisent autant de techniques conçues pour créer, distribuer et utiliser des systèmes informatiques difficiles à comprendre comment un système peut être suffisamment sûr pour résister à de telles attaques. Toutefois, le fait de comprendre les défis et d’appliquer des stratégies pour administrer les risques de logiciels malveillants permet aux entreprises de taille moyenne d’administrer leurs systèmes et des infrastructures de réseau afin que la possibilité d’une attaque soit réduite.
TOP de la page
Annexe A: Actifs communs du
Dans cette annexe, les actifs du système d’information sont répertoriés généralement dans des entreprises de taille moyenne de différents types. Il n’a pas l’intention d’être exhaustif et, probablement, cette liste ne représente pas tous les actifs présents dans l’environnement exclusif d’une organisation. Il est fourni en tant que liste de référence et point de départ pour aider les entreprises de taille moyenne à démarrer.
Tableau A.1. Liste des actifs communs du système d’information
> Description du niveau le plus élevé de l’actif | Définition du niveau suivant (si nécessaire) | Valeur d’actifs (5 est le plus élevé) | ||
---|---|---|---|---|
tangible | infrastructure physique | Données de centres | 5 | |
tangible | infrastructure physique | serveurs | 3 | |
tangible | infrastructure physique | équipement de bureau | 1 | |
tangible | infrastructure physique | équipement portable | 3 | |
tangible | Infrastructure physique | PDA | 1 | |
tangible | Infrastructure physique | Téléphones mobiles | 1 | |
tangible | infrastructure physique | doux Ware of Server Application | 1 | |
tangible | infrastructure physique | Logiciel d’application utilisateur final | 1 | |
tangible | infrastructure physique | outils de développement | 3 | |
tangible | infrastructure physique | routeurs | 3 | |
Tangible | infrastructure physique | commutateurs de réseau | 3 | |
tangible | physique Infrastructure | Dispositifs de fax | 1 | |
tangible | Infrastructure physique | PBX | 3 | |
tangible | infrastructure physique | supports amovibles (bandes, disquettes, CD-ROM, DVD, disques durs portables, périphériques de stockage de cartes PC, périphériques de stockage USB, etc.) | 1 | |
tangible | infrastructure physique | systèmes d’alimentation. | 3 | |
tangible | infrastructure physique | systèmes d’alimentation ininterrompue | 3 | |
tangible | infrastructure physique | systèmes d’extinction de feu | 3 | |
tangible | Infrastructure physique | Systèmes de climatisation | 3 | |
tangible | Infrastructure physique | Systèmes de filtration d’air | 1 | |
tangible | Infrastructure physique | Autres systèmes de contrôle de l’environnement | 3 | |
tangible | Data Intranet | Code source | 5 | |
tangible | Data Intranet | Données de ressources humaines | 5 | |
tangible | Data Intranet | Données financières | 5 | |
tangible | Data de Intranet | Données marketing | 5 | |
tangible | d Intranet atos | mots de passe de l’employé | 5 | |
tangible | données intranet | Touches cryptographiques privées des employés | 5 | |
tangible | Data Intranet | Touches picturales du système informatique | 5 | |
tangible | données intranet | cartes à puce | 5 | |
tangible | Données de propriété intellectuelle | 5 | ||
tangible | Data de Intranet | Données pour les exigences réglementaires (GLBA, HIPAA, CA SB1386, Directive pour la protection des informations de l’Union européenne, etc. |