Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Estratégias de gerenciamento de riscos de malware

Publicado em: 18 de agosto de 2006

Nesta página

Introdução
Definição
Desafios
Soluções
Resumo
Apêndice A: ativos comuns de sistemas de informações
Apêndice B: ameaças comuns
Apêndice C: vulnerabilidades
Referências

Introdução

Bem-vindo a este documento da coleção Orientações de segurança para empresas de médio porte. A Microsoft espera que as informações a seguir sejam úteis para a criação de um ambiente de computação mais seguro e produtivo.

Sinopse

As tecnologias de software e hardware que ajudam a evitar ameaças e ataques de malware acompanham a evolução e sofisticação desses softwares mal-intencionados.

As ameaças de malware têm sido dispendiosas para as empresas de médio porte, no que diz respeito a tecnologias e operações de resposta e defesa contra os ataques. A Internet provocou um aumento significativo no perfil de ameaças externas aos ambientes corporativos de médio porte, ao mesmo tempo em que algumas das maiores ameaças ainda persistem, como os ataques internos.

Os ataques internos responsáveis pelo maior potencial de danos são resultantes de atividades de pessoas de dentro da empresa que ocupam cargos de confiança, como os administradores de rede. As pessoas de dentro da empresa envolvidas em atividades mal-intencionadas costumam ter metas e objetivos específicos, como implantar um cavalo de Tróia ou acessar um sistema de arquivos não autorizado mantendo, ao mesmo tempo, acesso legítimo aos sistemas. Geralmente, as pessoas de dentro da empresa não estão mal-intencionadas, mas podem implantar um malware ao conectarem, de forma involuntária, sistemas ou dispositivos infectados a uma rede interna, comprometendo a integridade/confidencialidade do sistema ou afetando seu desempenho, sua disponibilidade e/ou sua capacidade de armazenamento.

A análise das ameaças internas e externas levou muitas empresas de médio porte a avaliarem os sistemas que ajudam a monitorar as redes e a detectar ataques, incluindo recursos que ajudam a gerenciar os riscos de malware em tempo real.

Visão geral

Este documento fornece informações sobre estratégias que ajudam a gerenciar os riscos de malware em empresas de médio porte. Ele divide-se em quatro seções principais: Introdução, Definição, Desafios e Soluções.

Definição

Esta seção explica o que é malware (e também o que não é malware), suas características e o gerenciamento de riscos.

Desafios

Esta seção descreve os desafios que as empresas de médio porte costumam enfrentar em relação ao gerenciamento de riscos de malware, incluindo:

  • ativos comuns de sistemas de informações

  • ameaças comuns

  • vulnerabilidades

  • instrução dos usuários finais e explicação de diretivas

  • equilíbrio entre o gerenciamento de riscos e as necessidades da empresa

Soluções

Esta seção fornece informações adicionais sobre diretivas, abordagens e estratégias, incluindo:

  • diretivas físicas e lógicas

  • abordagens reativas e proativas em relação ao malware e à prevenção de vírus

  • estratégias para ajudar a reduzir o malware

A avaliação e o gerenciamento de riscos de malware também são abordados nesta seção como parte das estratégias que ajudam a evitar as ameaças de malware. Esta seção também fornecerá informações sobre as ferramentas de monitoramento e relatório que ajudam a verificar, detectar e relatar as atividades de malware.

Quem deve ler este guia

Este guia destina-se principalmente às equipes de gerenciamento e de TI de empresas de médio porte para que possam entender melhor as ameaças de malware, saber como se defender dessas ameaças e como responder rápida e adequadamente quando ocorrerem ataques de malware.

Definição

O termo malware é uma abreviatura da expressão "malicious software" (software mal-intencionado). É um substantivo coletivo para se referir a vírus, worms e cavalos de Tróia que executam deliberadamente ações mal-intencionadas em um sistema de computador. Tecnicamente, malware é um código mal-intencionado.

Entendendo os diferentes tipos de malware

As subseções a seguir descrevem diferentes categorias de malware.

Ocultação
  • Cavalo de Tróia. Um programa que parece útil ou inofensivo, mas que contém códigos ocultos desenvolvidos para explorar ou danificar o sistema no qual é executado. Os cavalos de Tróia (também chamados de código de Tróia) geralmente chegam aos usuários através de mensagens de email que disfarçam a finalidade e a função do programa. Os cavalos de Tróia fazem isso entregando uma carga ou executando uma tarefa mal-intencionada quando são executados.

Malware infectante
  • Verme. Um verme usa um código mal-intencionado autopropagável que pode se distribuir automaticamente de um computador para outro através das conexões de rede. Um worm pode desempenhar ações nocivas, como consumir recursos da rede ou do sistema local, possivelmente causando um ataque de negação de serviço. Alguns worms podem ser executados e podem se alastrar sem a intervenção do usuário, enquanto outros exigem que os usuários executem diretamente o código dos worms para que eles se alastrem. Os worms também podem entregar uma carga além de se replicarem.

  • Vírus. Um vírus usa um código desenvolvido com a expressa intenção de se replicar. Um vírus tenta se alastrar de computador para computador se incorporando a um programa hospedeiro. Ele pode danificar o hardware, o software ou os dados. Quando o hospedeiro é executado, o código do vírus também é executado, infectando outros hospedeiros e, às vezes, entregando uma carga adicional.

Malware para tirar proveito
  • Spyware. Às vezes, esse tipo de software é chamado de spybot ou de software de rastreamento. O spyware usa outras formas de software e de programas fraudulentos que executam algumas atividades em um computador sem obter autorização apropriada do usuário. Essas atividades podem incluir a obtenção de informações pessoais e a modificação das definições da configuração do navegador da Internet. Além de ser uma amolação, o spyware causa vários problemas que variam da degradação do desempenho geral do computador até a violação da privacidade pessoal.

    Os sites que distribuem spyware usam vários truques para persuadir os usuários a fazerem o download e a instalarem o spyware nos seus computadores. Esses truques incluem a criação de experiências de usuários falsas e a inclusão secreta do spyware em outro software que os usuários desejam, como em software grátis de compartilhamento de arquivos.

  • Adware. Um tipo de software que exibe anúncios, mais especificamente, determinados aplicativos executáveis cujo principal propósito é fornecer anúncios em massa de uma maneira ou em um contexto que possa ser inesperado e indesejado por parte dos usuários. Muitos aplicativos adware também executam funções de rastreamento e, portanto, também podem ser classificados como tecnologias de rastreamento. Alguns clientes podem querer remover o adware caso desaprovem tal rastreamento, não queiram visualizar o anúncio gerado pelo programa ou estejam frustrados com os efeitos causados no desempenho do sistema. Por outro lado, alguns usuários podem preferir manter adwares específicos caso a presença deles reduza o custo de um produto ou serviço desejado, ou caso eles forneçam um tipo de anúncio útil ou desejado, como anúncios competitivos ou complementares relacionados ao que o usuário está avaliando ou pesquisando.

Para obter mais informações, consulte o tópico Malware (em inglês) da Wikipedia em http://en.wikipedia.org/wiki/Malware e o tópico O que é Malware? no Guia de Defesa Profunda com Antivírus em http://www.microsoft.com/brasil/security/guidance/recent/avdind_0.mspx.

Entendendo os comportamentos do malware

As diferentes características que cada categoria de malware pode apresentar geralmente são muito parecidas. Por exemplo, um vírus e um worm podem usar a rede como um mecanismo de transporte. Entretanto, o vírus procurará arquivos para infectar, enquanto o worm simplesmente tentará se replicar. A seção a seguir explica de forma resumida as características típicas dos malware.

Ambientes-alvo

Quando um malware tenta atacar um sistema hospedeiro, pode haver alguns componentes específicos de que ele necessite antes que o ataque possa ser bem-sucedido. Os seguintes componentes são exemplos típicos do que o malware pode precisar para iniciar um ataque contra o hospedeiro:

  • Dispositivos. Alguns malware terão como alvo um tipo de dispositivo específico, como um computador, um computador Apple Macintosh ou até mesmo um PDA (assistente digital pessoal). Os dispositivos móveis, como telefones celulares, estão se tornando alvos mais populares.

  • Sistemas operacionais. O malware pode precisar de um determinado sistema operacional para entrar em operação. Por exemplo, o CIH ou vírus Chernobyl do final dos anos 90 só podia atacar computadores que executavam o Microsoft® Windows® 95 ou Windows 98. Os sistemas operacionais mais novos são mais seguros. Mas, infelizmente, o malware também está ficando cada vez mais sofisticado.

  • Aplicativos. O malware pode precisar de um determinado aplicativo para se instalar no computador-alvo antes de poder entregar uma carga ou de se replicar. Por exemplo, o vírus LFM.926 de 2002 podia atacar somente se arquivos Shockwave Flash (.swf) pudessem ser executados no computador local.

Objetos portadores

Se o malware for um vírus, tentará atingir um objeto portador, também conhecido como hospedeiro, para infectá-lo. O número e tipo de objetos portadores que são alvos variam amplamente entre as várias formas de malware, mas a seguinte lista fornece exemplos dos portadores-alvo mais comuns:

  • Arquivos executáveis. Esses portadores são os alvos do tipo de vírus "clássico" que é replicado se anexando a um programa hospedeiro. Além dos arquivos executáveis típicos que usam a extensão .exe, arquivos com as seguintes extensões também podem ser usados com essa finalidade: .com, .sys, .dll, .ovl, .ocx e .prg.

  • Scripts. Os ataques que usam scripts como portadores têm como alvo arquivos que usam uma linguagem de script, como Microsoft Visual Basic® Script, JavaScript, AppleScript ou Perl Script. As extensões dos arquivos desse tipo são: .vbs, .js, .wsh e .prl.

  • Macros. Esses portadores são arquivos que suportam uma linguagem script de macro de um aplicativo específico, como um processador de texto, uma planilha eletrônica ou um aplicativo de banco de dados. Por exemplo, os vírus podem usar as linguagens de macro no Microsoft Word e no Lotus Ami Pro para causar vários efeitos, que podem variar de prejudiciais, como trocar palavras ou mudar as cores em um documento, a mal-intencionados, como formatar o disco rígido do computador.

Mecanismos de transporte

Um ataque pode usar um ou muitos métodos diferentes para tentar se replicar entre sistemas de computadores. Esta seção fornece informações sobre alguns dos mecanismos de transporte mais comuns usados pelos malware.

  • Mídia removível. O meio original de transmissão de vírus e de outros malware e provavelmente o mais prolífero, pelo menos até recentemente, é a transferência de arquivos. Esse mecanismo começou com os disquetes, depois mudou para as redes e hoje encontra novos meios como os dispositivos Universal Serial Bus (USB) e o Firewire. A velocidade de infecção não é tão rápida como a do malware de rede, mas mesmo assim a ameaça está sempre presente e é difícil ser erradicada completamente, por causa da necessidade da troca de dados entre sistemas.

  • Compartilhamentos de rede. Quando os computadores passaram a usar um mecanismo que os conecta entre si diretamente por uma rede, os criadores de malware foram presenteados com outro mecanismo de transporte que tem o potencial de ultrapassar a agilidade das mídias removíveis na propagação de códigos mal-intencionados. Uma segurança insuficientemente implementada em compartilhamentos de rede origina um ambiente em que um malware pode se replicar em muitos computadores conectados à rede. Esse método substituiu amplamente o método manual que usava mídias removíveis.

  • Redes de compartilhamento (P2P). Para ocorrerem transferências de arquivos P2P, um usuário deve primeiramente instalar um componente cliente do aplicativo P2P que usará a rede.

Para obter informações adicionais, consulte a seção "Características do malware" do Guia de Defesa Profunda com Antivírus em http://www.microsoft.com/brasil/security/guidance/recent/avdind_0.mspx.

O que não é malware

Há uma variedade de ameaças que não são consideradas malware porque não são programas de computador criados com má intenção. Entretanto, essas ameaças ainda podem causar implicações financeiras e de segurança em empresas de médio porte. A lista a seguir descreve alguns exemplos comuns de ameaças que devem ser consideradas e compreendidas durante o desenvolvimento de uma estratégia abrangente de segurança.

  • Software de gozação. Os aplicativos de gozação são desenvolvidos para provocar sorrisos ou, na pior das hipóteses, fazer alguém perder tempo. Esses aplicativos existem desde que as pessoas começaram a usar computadores. Como não são desenvolvidos de forma mal-intencionada e são claramente identificados como brincadeiras, eles não são considerados malware neste guia. Há vários exemplos de aplicativos de gozação que provocam desde efeitos interessantes na tela até animações ou jogos divertidos.

  • Engodos. Uma mensagem alertando sobre um vírus que na verdade não existe é um exemplo de engodo. Como algumas outras formas de malware, um engodo usa a engenharia social para tentar persuadir usuários de computador a executar uma ação. Entretanto, no caso de um engodo não existe um código para ser executado; o criador do engodo geralmente apenas tenta enganar a vítima. Um exemplo comum é uma mensagem de email ou corrente que afirma que um novo tipo de vírus foi descoberto e recomenda que todos os seus amigos sejam avisados pelo reenvio da mensagem. Esse tipo de engodo faz as pessoas perderem tempo, consome recursos do servidor de emails e largura de banda da rede. Porém, os engodos também podem causar danos caso instruam os usuários a alterarem configurações do computador (por exemplo, excluir chaves de registro ou arquivos do sistema).

  • Golpes. Um exemplo comum é uma mensagem de email que tenta convencer o destinatário a revelar suas informações pessoais, como informações sobre a conta bancária, que depois podem ser usadas com propósitos ilegais. Um tipo de golpe específico se tornou conhecido como phishing, pronunciado "fishing", e também é chamado de falsificação de marca ou fraude de cartão.

  • Spam. O spam é o email não solicitado gerado para anunciar um serviço ou produto. Esse fenômeno geralmente é considerado um aborrecimento, mas spam não é malware. Entretanto, o dramático aumento do número de mensagens de spam que são enviadas é um problema para a infra-estrutura da Internet. Além de diminuir também a produtividade dos funcionários que são obrigados a passar por essas mensagens e excluí-las todos os dias.

  • Cookies da Internet. Os cookies da Internet são arquivos de texto armazenados no computador do usuário por sites que o usuário visita. Os cookies têm e fornecem informações de identificação sobre o usuário aos sites que os armazenam no computador do usuário, juntamente com todas as informações que esses sites desejam guardar sobre a visita do usuário.

    Os cookies são ferramentas legais que muitos sites usam para rastrear as informações dos visitantes. Infelizmente, é sabido que alguns desenvolvedores de sites usam cookies para reunir informações sem o conhecimento dos usuários. Alguns deles podem enganar os usuários e omitir as suas políticas. Por exemplo, eles podem rastrear os hábitos de navegação na Web pelos muitos sites diferentes visitados sem informar ao usuário. Os desenvolvedores de sites podem usar essas informações para personalizar as propagandas que o usuário vê em um determinado site, considerado uma invasão de privacidade.

Para obter mais informações detalhadas sobre o malware e suas características, consulte o Guia de Defesa Profunda com Antivírus no Microsoft TechNet em http://www.microsoft.com/brasil/security/guidance/recent/avdind_0.mspx.

Entendendo o gerenciamento de riscos e o malware

A Microsoft define o gerenciamento de riscos como o processo pelo qual os riscos são identificados e o impacto desses riscos é determinado.

A tarefa de implementar um plano de gerenciamento de riscos de segurança pode parecer assustadora para as empresas de médio porte. E isso talvez se deva ao fato de não contarem com os conhecimentos necessários, orçamento suficiente ou diretrizes para terceirizar essa tarefa.

O gerenciamento de riscos de segurança proporciona uma abordagem proativa que pode ajudar as empresas de médio porte a planejarem suas estratégias contra as ameaças de malware .

Um processo formal de gerenciamento de riscos de segurança permite que as empresas de médio porte operem da maneira mais eficiente em termos de custo/benefício com um nível conhecido e aceitável de riscos para os negócios. E também proporciona às empresas um caminho claro e coerente para organizar e priorizar recursos limitados a fim de gerenciar os riscos.

Para facilitar as tarefas de gerenciamento de riscos, a Microsoft desenvolveu o Guia de Gerenciamento de Riscos de Segurança, que fornece orientações sobre os quatro processos a seguir:

  1. Avaliação de riscos. Identificar e priorizar riscos para a empresa.

  2. Suporte às decisões. Identificar e avaliar soluções de controle baseadas em um processo de análise da relação custo-benefício.

  3. Implementação de controles. Implantar e operar soluções de controle para ajudar a reduzir o risco à empresa.

  4. Análise da eficácia do programa. Analisar o processo de gerenciamento de riscos quanto à sua eficácia e verificar os controles quanto ao grau de proteção esperado.

Informações detalhadas sobre esse tópico estão além do escopo deste documento. Porém, é essencial entender o conceito e os processos a fim de ajudar a planejar, implantar e implementar uma estratégia de solução para o risco de malware. A figura a seguir mostra os quatro principais processos do gerenciamento de riscos.

Cc875818.SFMMR1(pt-br,TechNet.10).gif

Figura 1. Os 4 principais processos do gerenciamento de riscos

Para obter mais informações sobre o gerenciamento de riscos, consulte o Guia de Gerenciamento de Riscos de Segurança no site da Microsoft TechNet em http://go.microsoft.com/fwlink/?linkid=30794.

Desafios

Os ataques de malware podem ser montados por meio de diferentes vetores ou métodos de ataque em um ponto fraco específico. É recomendável que as empresas de médio porte realizem avaliações de riscos que não determinem apenas os perfis de vulnerabilidade, mas também ajudem a determinar o nível de risco aceitável para a empresa em questão. As empresas de médio porte precisam desenvolver estratégias que ajudem a reduzir os riscos de malware.

Os desafios para a redução de riscos de malware em um ambiente corporativo de médio porte incluem:

  • ativos comuns de sistemas de informações

  • ameaças comuns

  • vulnerabilidades

  • instrução dos usuários

  • equilíbrio entre o gerenciamento de riscos e as necessidades da empresa.

Ativos comuns de sistemas de informações

A segurança dos sistemas de informações oferece informações essenciais que ajudam a gerenciar a segurança das empresas de médio porte. Os ativos comuns de sistemas de informações referem-se tanto aos aspectos físicos quanto aos aspectos lógicos de uma empresa. Podem incluir licenças de servidores, estações de trabalho, software e usuário.

Dados de contato comercial dos funcionários, computadores móveis, roteadores, dados de recursos humanos, planejamentos estratégicos, sites internos e senhas de funcionários são ativos comuns de sistemas de informações. Você pode obter uma lista mais abrangente no "Apêndice A: ativos comuns de sistemas de informações", no fim deste documento.

Ameaças comuns

Os métodos por meio dos quais o malware pode comprometer as empresas de médio porte, às vezes, são chamados de vetores de ameaça e representam as áreas que requerem mais atenção durante o projeto de uma solução eficiente que ajude a reduzir os riscos de malware. As ameaças comuns incluem desastres naturais, falhas mecânicas, pessoas mal-intencionadas, usuários desinformados, engenharia social, código de comunicação móvel mal-intencionado e funcionários descontentes. Essa grande variedade de ameaças representa desafios não apenas para empresas de médio porte, e sim para empresas de todos os portes.

O "Apêndice B: ameaças comuns", no fim deste documento, fornece uma lista abrangente das prováveis ameaças a empresas de médio porte.

Vulnerabilidades

As vulnerabilidades representam pontos fracos nos procedimentos e diretivas de segurança do sistema de TI, nos controles administrativos, no layout físico, nos controles internos e em outras áreas que possam ser exploradas por uma ameaça para obter acesso não autorizado a informações ou para interromper processos críticos.  As vulnerabilidades são físicas e lógicas. Incluem desastres naturais, falhas mecânicas, configurações erradas de software, software sem patches e falhas humanas. O "Apêndice C: vulnerabilidades", no fim deste documento, fornece uma lista abrangente das prováveis vulnerabilidades de empresas de médio porte.  

Instrução dos usuários

No que diz respeito à segurança física e lógica das informações, a maior vulnerabilidade não está necessariamente relacionada a falhas de software ou aos computadores, e sim aos usuários dos computadores. Os funcionários cometem erros graves, como digitar suas senhas em lugares que outros podem vê-las, baixar e abrir anexos de emails que contêm vírus e deixar seus computadores ligados durante a noite. Como as ações dos usuários podem causar um grande impacto na segurança do computador, o treinamento dos funcionários, da equipe de TI e da administração deve ser considerado uma prioridade. Igualmente importante é a necessidade de que todos os funcionários desenvolvam bons hábitos de segurança. Essas abordagens simples são mais eficientes em termos de custo/benefício para a empresa, a longo prazo. O treinamento deve fornecer aos usuários recomendações sobre como evitar atividades mal-intencionadas e deve explicar as possíveis ameaças e como evitá-las. Os usuários devem estar cientes das seguintes práticas de segurança:

  • Nunca responder a emails que solicitem informações financeiras ou pessoais.

  • Nunca revelar senhas.

  • Não abrir arquivos anexos de emails suspeitos.

  • Não responder a emails suspeitos ou indesejados.

  • Não instalar aplicativos não autorizados.

  • Bloquear o computador quando não estiver em uso com proteção de tela protegida por senha ou usando CTRL-ALT-DELETE.

  • Ativar um firewall.

  • Usar senhas de alta segurança nos computadores remotos.

Diretivas

É preciso elaborar documentos por escrito que informem as diretivas e os procedimentos aceitáveis para ajudar a aplicar as práticas de segurança. Para que sejam eficazes, as diretivas de TI devem ser adotadas também nos cargos superiores e devem fornecer um mecanismo de aplicação, uma maneira de instruir e treinar os usuários. As diretivas padrão podem abordar os seguintes tópicos:

  • Como detectar malware em um computador.

  • Como relatar suspeitas de infecção.

  • O que os usuários podem fazer para ajudar no caso de incidentes como a última ação de um usuário antes do sistema ficar infectado.

  • Processos e procedimentos para atenuar as vulnerabilidades do sistema operacional e dos aplicativos que podem ser exploradas por malware.

  • Gerenciamento de patches, aplicação de guias de configuração de segurança e listas de verificação.

Equilíbrio entre o gerenciamento de riscos e as necessidades da empresa

Investir em um processo de gerenciamento de riscos ajuda a preparar as empresas de médio porte para que possam determinar suas prioridades, planejar a atenuação das ameaças e lidar com a próxima ameaça ou vulnerabilidade.

Restrições orçamentárias podem determinar os gastos com segurança de TI, mas uma metodologia de gerenciamento de riscos bem estruturada, quando usada de forma eficiente, pode ajudar a administração a identificar os controles apropriados para fornecer os recursos essenciais de segurança.

As empresas de médio porte devem alcançar um equilíbrio perfeito entre o gerenciamento de riscos e as necessidades da empresa. As questões a seguir podem ser úteis para o equilíbrio entre o gerenciamento de riscos e as necessidades da empresa:

  • A própria empresa terá que configurar os sistemas ou esse serviço será feito pelo fornecedor de hardware/software? Qual seria o custo?

  • Será preciso usar balanceamento de carga de rede ou clusters como mecanismos para garantir um alto nível de disponibilidade dos aplicativos? O que é preciso para implementar esses mecanismos?

  • A sala do servidor precisa de um alarme do sistema?

  • Será preciso usar sistemas de chave eletrônica para as instalações ou para a sala do servidor?

  • Qual é o orçamento da empresa para os sistemas de computadores?

  • Qual é o orçamento da empresa para suporte técnico e manutenção?

  • Qual é a estimativa de gasto da empresa com sistemas de computadores (manutenção de hardware/software) no último ano?

  • A sede da empresa tem quantos computadores? Existe um inventário de hardware e software dos computadores?

  • Os sistemas mais antigos são suficientemente avançados para executarem a maioria dos softwares que precisam ser executados?

  • Qual é a estimativa de computadores novos ou atualizados necessários? Quantos teriam um desempenho ideal?

  • É preciso ter uma impressora para cada usuário?

Para obter mais detalhes sobre o gerenciamento de riscos, consulte o Guia de Gerenciamento de Riscos de Segurança em http://go.microsoft.com/fwlink/?linkid=30794.

Soluções

Esta seção explica as diferentes estratégias de gerenciamento de riscos de malware, incluindo abordagens reativas e proativas em relação ao malware e diretivas físicas e lógicas. Os métodos de validação, como ferramentas de relatório e monitoramento, também serão abordados.

Desenvolvendo estratégias para a redução de malware

Ao desenvolver estratégias para a redução de malware, é importante definir os pontos-chave operacionais necessários onde a detecção e/ou prevenção de malware possa ser implementada. No caso de gerenciamento de riscos de malware, não é possível confiar isoladamente em apenas um dispositivo ou uma tecnologia como linha de defesa. Os métodos preferenciais devem incluir uma abordagem em camadas que use mecanismos proativos e reativos em toda a rede. O software antivírus desempenha um papel fundamental nessa área; porém, não deve ser o único instrumento usado para determinar os ataques de malware. Para obter informações detalhadas sobre a abordagem em camadas, consulte a seção intitulada "A abordagem de defesa do malware" no Guia de Defesa Profunda com Antivírus em http://www.microsoft.com/brasil/security/guidance/recent/avdind_0.mspx.

Os seguintes pontos-chave operacionais são abordados em detalhes mais adiante:

  • avaliação de riscos de malware

  • segurança física

  • segurança lógica

  • diretivas e procedimentos proativos versus reativos

  • Implantação e gerenciamento

Avaliação de riscos de malware

Ao avaliar os riscos de malware, as empresas de médio porte precisam estar atentas aos vetores de ataque que são mais vulneráveis a ameaças. Como eles estão protegidos e em que proporção? As seguintes questões deverão ser consideradas:

  • A empresa tem um firewall instalado?

    Os firewalls são uma parte importante da defesa de perímetro. Um firewall de rede geralmente atua como a principal linha de defesa contra ameaças externas para os sistemas de computadores, as redes e as informações críticas de uma empresa. As empresas de médio porte devem ter algum tipo de firewall, físico ou de software, implementado.

  • A empresa tem algum recurso de verificação de vulnerabilidade interna ou externa? Como as informações verificadas são analisadas?

    Recomenda-se o uso de uma ferramenta como o MBSA (Microsoft Baseline Security Analyzer) para verificação de configurações erradas ou vulnerabilidades. Também é possível terceirizar o processo de teste de vulnerabilidade de segurança contratando fornecedores externos que avaliem o ambiente de segurança e forneçam sugestões de aperfeiçoamento conforme necessário.

    Observação   O MBSA é uma ferramenta fácil de usar, destinada a profissionais de TI que ajudam as empresas de médio porte a determinarem seus estados de segurança de acordo com as recomendações de segurança da Microsoft. Também oferece medidas de correção específicas. Aperfeiçoe o processo de gerenciamento de segurança usando o MBSA para detectar problemas comuns de configuração de segurança e atualizações de segurança pendentes nos sistemas de computadores.

  • Há um plano de avaliação de backup e recuperação em vigor?

    Verifique se existem planos de backup e se o servidor de backup está funcionando perfeitamente.

  • Quantos tipos de software antivírus a empresa tem? O software antivírus está instalado em todos os sistemas?

    Confiar em uma única plataforma antivírus pode expor a empresa a riscos, porque toda solução tem seus próprios pontos fortes e fracos.

  • A empresa tem uma rede sem fio implementada? Em caso positivo, a segurança da rede sem fio está ativada e devidamente configurada?

    Mesmo que uma rede sem fio esteja completamente protegida, uma rede sem fio não protegida poderá introduzir um nível inaceitável de risco em um outro ambiente seguro. Os padrões antigos de comunicação sem fio, como WEP, são facilmente comprometidos, portanto, é preciso fazer uma pesquisa para garantir que a solução de segurança sem fio mais apropriada esteja em vigor.

  • Os funcionários foram treinados sobre os procedimentos de prevenção de malware? Eles receberam instruções sobre o tópico de riscos de malware?

    A forma mais comum de propagação de malware envolve alguma forma de engenharia social, e a defesa mais eficiente contra as ameaças de engenharia social é a instrução.

  • Foi divulgada, por escrito, alguma diretiva sobre como lidar com as ameaças de malware? Com que freqüência a diretiva é revisada? Ela é aplicada? Qual o grau de adesão da equipe a essa diretiva?

    Verifique se os usuários foram treinados sobre como evitar as ameaças de malware e sobre os procedimentos de prevenção de malware. É muito importante que todas essas informações sejam documentadas; uma diretiva divulgada por escrito pertinente às informações e aos procedimentos anteriores deve existir e ser reforçada. A fim de garantir sua eficiência e validade, essa diretiva deve ser revisada sempre que ocorrerem alterações.

Segurança física

A segurança física engloba a restrição de acesso aos equipamentos com o propósito de evitar violação, roubo, falha humana e tempo de inatividade subseqüente causado por essas ações.

Embora a segurança física seja mais uma questão geral de segurança do que um problema de malware específico, é impossível proteger-se contra malware sem um plano eficiente de defesa física para todos os dispositivos de cliente, servidor e rede da infra-estrutura de uma organização.

A lista a seguir inclui os elementos críticos a serem considerados em um plano de defesa física eficiente:

  • Segurança das instalações. Quem tem acesso às instalações?

  • Segurança pessoal. Qual é o grau de restrição do direito de acesso dos funcionários?

  • Pontos de acesso à rede. Quem tem acesso aos equipamentos da rede?

  • Servidores. Quem tem direitos de acesso aos servidores?

  • Estações de trabalho. Quem tem direitos de acesso às estações de trabalho?

Se algum desses elementos for comprometido, haverá mais risco de um malware ultrapassar os limites externos e internos de defesa para infectar um host da rede. A proteção do acesso às instalações e aos sistemas de computadores deve ser um elemento fundamental das estratégias de segurança.

Para obter informações mais detalhadas, consulte o artigo "Consultor de segurança em 5 minutos - Segurança física básica" (a página pode estar em inglês) no Microsoft TechNet em www.microsoft.com/technet/archive/community/columns/security/5min/5min-203.mspx

Segurança lógica

As medidas de segurança de software dos sistemas de informação em empresas de médio porte incluem a identificação do usuário e o acesso por senha, autenticação e direitos de acesso, sendo que todos são fundamentais para o gerenciamento de riscos de malware. Essas medidas de segurança ajudam a garantir que apenas usuários autorizados possam executar ações ou acessar informações em um determinado servidor ou estação de trabalho na rede. Os administradores devem garantir que os sistemas estejam configurados de forma compatível com a função do usuário do computador. A configuração dessas medidas de segurança deve considerar o seguinte:

  • limitação de programas ou utilitários disponíveis apenas aos usuários que precisam usá-los, de acordo com a função.

  • aumento do controle dos principais diretórios do sistema

  • aprimoramento do nível de auditoria

  • uso de diretivas com privilégios mínimos

  • limitação do uso de mídia removível, como disquetes

  • A quem deve ser concedido o direito Administrativo para os servidores de backup, de email e de arquivos?

  • Quem deve ter acesso às pastas de recursos humanos?

  • Quais privilégios devem ser concedidos às pastas interdepartamentais?

  • Diferentes usuários devem usar uma mesma estação de trabalho? Em caso positivo, qual nível de acesso deve ser concedido? Os usuários estão autorizados a instalarem aplicativos de software nas estações de trabalho?

Identificações de usuário, identificações de logon ou contas e nomes de usuário são identificadores pessoais exclusivos dos usuários de um programa de computador ou rede que seja acessível por mais de um usuário. A autenticação é o processo de verificação de que uma entidade ou um objeto é quem ou o que ele alega ser. Exemplos incluem a confirmação da origem e da integridade das informações, como a verificação de uma assinatura digital ou da identidade de um usuário ou computador. Para aprimorar a segurança, é altamente recomendável que cada conta de logon tenha uma senha — dados de autenticação secreta que são usados para controlar o acesso a um recurso ou computador. Depois que um usuário pode fazer logon na rede, devem ser definidos direitos de acesso apropriados. Por exemplo, um determinado usuário pode acessar uma pasta de recursos humanos, mas tem apenas acesso de leitura e não pode fazer alterações.

Outras questões de segurança lógica incluem:

  • Diretrizes de senha, como validade e complexidade.

  • Backup de dados e de software.

  • Informações sigilosas/dados confidenciais: use criptografia onde apropriado.

Funções apropriadas de autenticação e autorização devem ser fornecidas, de acordo com o uso adequado e o nível de risco aceitável. A atenção deve ser concentrada nos servidores e nas estações de trabalho. Todos os elementos de segurança lógica anteriormente citados devem ser claramente comunicados por escrito, reforçados e disponibilizados em toda a empresa como pontos de referência.

Diretivas e procedimentos proativos versus reativos

São usadas duas abordagens básicas para ajudar no gerenciamento de riscos de malware: proativas e reativas. As abordagens proativas incluem todas as medidas que são tomadas com o objetivo de evitar que ataques baseados no host ou na rede consigam comprometer os sistemas. As abordagens reativas correspondem aos procedimentos adotados pelas empresas de médio porte após descobrirem que alguns dos seus sistemas foram comprometidos por um invasor ou ataque, como um cavalo de Tróia ou outro tipo de malware.

Abordagens reativas

Se a segurança de um sistema ou de uma rede tiver sido comprometida, será necessário um processo de resposta a incidente. A resposta a um incidente corresponde ao método que investiga um problema, analisa sua causa, minimiza seu impacto, encontra sua solução e documenta cada etapa da resposta para referência futura.

Assim como as empresas tomam algumas medidas para evitarem perdas futuras de dados comerciais, elas também têm planos já implantados para responderem a tais perdas quando as medidas proativas não forem eficientes ou não existirem. Os métodos reativos incluem planos de recuperação de desastres, reinstalação de sistemas operacionais e aplicativos em sistemas comprometidos e mudança para sistemas alternativos em outros locais. Ter um conjunto apropriado de respostas reativas preparadas e prontas para serem implementadas é tão importante quanto manter as medidas proativas em vigor.

O diagrama de hierarquia de respostas reativas a seguir mostra as etapas de solução de incidentes de malware. O texto a seguir fornece informações adicionais sobre essas etapas.

Cc875818.SFMMR2(pt-br,TechNet.10).gif

Figura 2. Hierarquia de respostas reativas
  • Proteger a vida e garantir a segurança das pessoas. Se entre os computadores afetados estiverem sistemas de suporte à vida, desligá-los não será uma opção. Talvez você possa isolar logicamente esses sistemas na rede, reconfigurando roteadores e comutadores, sem prejudicar sua capacidade de ajudar os pacientes.

  • Conter os danos. A contenção dos danos causados pelo ataque pode ajudar a limitar danos adicionais. Proteger dados, software e hardware importantes.

  • Avaliar os danos. Assim que puder, faça uma cópia dos discos rígidos dos servidores que tenham sido atacados e guarde-os para perícia posterior. Em seguida, avalie os danos.

  • Determinar a causa dos danos. A fim de determinar a origem do ataque, é necessário saber que recursos foram alvos do ataque e que vulnerabilidades foram exploradas para obter acesso ou interromper os serviços. Analise a configuração do sistema, o nível de patches, os logs de auditoria e as trilhas de auditoria nos sistemas que foram afetados diretamente e nos dispositivos da rede que encaminham o tráfego até eles.

  • Corrigir os danos. É muito importante que os danos sejam corrigidos o mais rapidamente possível a fim de restaurar as operações normais da empresa e os dados que tenham sido perdidos durante o ataque.

  • Analisar a resposta e atualizar as diretivas. Uma vez concluídas as fases de documentação e recuperação, você deve revisar as diretivas de resposta e atualização.

O que deverá ser feito se os sistemas na rede estiverem infectados com vírus? A lista a seguir inclui exemplos de uma abordagem reativa:

  • Verifique se o firewall está funcionando perfeitamente. Tenha um controle eficiente sobre o tráfego de entrada e de saída nos sistemas e na rede.

  • Solucione primeiro as suspeitas mais prováveis. Elimine as ameaças de malware mais comuns e, depois, procure por ameaças desconhecidas.

  • Isole o sistema infectado. Retire-o da rede e da Internet. Impeça que a infecção se espalhe para os outros sistemas na rede durante o professo de limpeza.

  • Pesquise as técnicas de controle e limpeza de epidemia.

  • Baixe as definições de vírus mais recentes dos fabricantes de software antivírus.

  • Verifique se os sistemas antivírus estão configurados para examinarem todos os arquivos.

  • Execute uma verificação completa do sistema.

  • Restaure os dados que faltam ou que estejam corrompidos.

  • Remova ou limpe os arquivos infectados.

  • Verifique se os sistemas de computadores estão livres de malware.

  • Reconecte os sistemas de computadores limpos à rede.

Observação   É importante garantir que todos os sistemas de computadores estejam executando softwares antivírus atualizados e que os processos automatizados estejam configurados para regularmente atualizarem as definições de vírus. É especialmente importante que o software antivírus seja regularmente atualizado nos computadores portáteis usados por profissionais móveis.
Mantenha um controle, em banco de dados ou log, dos patches que foram aplicados aos sistemas mais importantes da organização: sistemas acessíveis pela Internet, firewalls, roteadores internos, bancos de dados e servidores administrativos.

Abordagens proativas

A abordagem proativa de gerenciamento de riscos apresenta diversas vantagens em relação à abordagem reativa. Em vez de esperar que eventos prejudiciais aconteçam para então agir, você ajuda a minimizar a possibilidade de ocorrência de tais eventos. Isso envolve fazer planos para proteger os ativos importantes da sua organização, implementando controles capazes de reduzir o risco de exploração de vulnerabilidades por malware.

Uma abordagem proativa eficaz pode ajudar as empresa de médio porte a reduzirem significativamente o número de incidentes de segurança futuros; contudo, é improvável que tais incidentes nunca mais ocorram. Sendo assim, essas empresas devem continuar a aprimorar seus processos de resposta a incidentes, ao mesmo tempo em que desenvolvem abordagens proativas de longo prazo. A lista a seguir inclui alguns exemplos de medidas proativas que podem ajudar a gerenciar os riscos de malware.

  • Aplique o firmware mais recente aos sistemas de hardware e roteadores, conforme as recomendações dos fornecedores.

  • Aplique os patches de segurança mais recentes aos aplicativos do servidor e aos demais aplicativos.

  • Participe de listas de email criadas pelos fornecedores, que sejam relacionadas à segurança, e aplique os patches quando recomendado.

  • Verifique se todos os sistemas de computadores da Microsoft estão executando softwares antivírus atualizados.

  • Verifique se os processos automatizados estão configurados para regularmente atualizarem as definições de vírus.

    Observação   É especialmente importante que o software antivírus seja regularmente atualizado nos computadores portáteis usados por profissionais móveis.

  • Mantenha um controle no banco de dados sobre os patches que foram aplicados.

  • Revise os logs de segurança.

  • Ative firewalls baseados em host ou de perímetro.

  • Use um programa de verificação de vulnerabilidades, como o Microsoft Baseline Security Analyzer, para detectar problemas comuns de configuração de segurança e atualizações de segurança pendentes nos sistemas de computadores.

  • Use contas do tipo LUA (conta de usuário limitada). Se processos com privilégios inferiores forem comprometidos, eles causarão menos danos do que se isso ocorrer com processos com privilégios superiores. Conseqüentemente, o uso de uma conta que não seja de administrador em vez de uma conta de administrador, durante a execução de tarefas diárias, oferece proteção adicional ao usuário contra infecção de um host por malware, ataques de segurança internos ou externos, modificações acidentais ou intencionais na instalação e configuração do sistema e acesso acidental ou intencional a programas ou documentos confidenciais.

  • Aplicar diretivas de senhas de alta segurança. Senhas de alta segurança reduzem a probabilidade de um invasor usar um ataque de força bruta para aumentar privilégios. As senhas de alta segurança geralmente possuem as seguintes características:

    • 15 ou mais caracteres.

    • Nunca contêm nomes de conta, nomes reais ou o nome da empresa de jeito nenhum.

    • Nunca contêm uma palavra inteira, gíria ou outro termo que possa ser facilmente pesquisável.

    • Em termos de conteúdo, são significativamente diferentes das senhas anteriores e não são incrementadas.

    • Use, pelo menos, três dos seguintes tipos de caractere:

      - Letras maiúsculas (A, B, C...)

      - Letras minúsculas (a, b, c...)

      - Números (0, 1, 2...)

      - Símbolos não alfanuméricos (@, &, $...)

      - Caracteres Unicode (€, ƒ, λ...)

Para obter mais informações sobre diretivas de senha, consulte o tópico “Práticas recomendadas para senhas” (a página pode estar em inglês) no Microsoft TechNet em http://technet2.microsoft.com/WindowsServer/en/Library/e903f7a2-4def-4f5f-9480-41de6010fd291033.mspx?mfr=true.

Defesa profunda

Uma abordagem proativa de gerenciamento de riscos de malware em um ambiente corporativo de médio porte inclui o uso de uma abordagem de defesa profunda em camadas para ajudar a proteger os recursos contra ameaças internas e externas. O conceito de defesa profunda (às vezes chamado de segurança em profundidade ou segurança em camadas) é usado para descrever a organização em camadas das medidas preventivas de segurança que formam um ambiente de segurança coeso sem pontos de falha. As camadas de segurança que formam a estratégia de defesa profunda incluem a implantação de medidas de proteção contra roteadores externos em todo o caminho até o local dos recursos e em todos os pontos durante esse caminho. A implantação de várias camadas de segurança pode ajudar a garantir que, se uma camada for comprometida, as outras camadas fornecerão a segurança necessária para proteger os recursos.

Esta seção descreve o modelo de segurança de defesa profunda, que é um excelente ponto de partida para compreensão do conceito. Esse modelo identifica sete níveis de defesas de segurança que foram projetados para garantir que as tentativas feitas para comprometer a segurança de uma empresa de médio porte sejam enfrentadas por um robusto conjunto de defesas. Cada conjunto é capaz de ajudar a desviar ataques em muitos níveis diferentes.

Você pode modificar as definições detalhadas de cada camada com base nas necessidades e prioridades de segurança das diferentes organizações. A figura a seguir representa as camadas do modelo de defesa profunda.

Cc875818.SFMMR3(pt-br,TechNet.10).gif

Figura 3. Modelo de segurança de defesa profunda
  • Dados. Riscos na camada de dados surgem das vulnerabilidades que um invasor poderá explorar para obter acesso a dados de configuração, dados da organização ou quaisquer dados que sejam exclusivos de um dispositivo usado pela organização.

  • Aplicativo. Riscos na camada de aplicativo surgem das vulnerabilidades que um invasor pode explorar para acessar aplicativos em execução. Qualquer código executável para o qual um criador de malware cria um pacote fora de um sistema operacional pode ser usado para atacar o sistema.

  • Host. Geralmente, esta camada é o alvo de fornecedores que oferecem service packs e hotfixes para solucionar ameaças de malware. Riscos nesta camada surgem da exploração de vulnerabilidades nos serviços oferecidos pelo host ou pelo dispositivo.

  • Rede interna. Os riscos às redes internas corporativas envolvem os dados confidenciais transmitidos por redes desse tipo. Os requisitos de conectividade de estações de trabalho clientes nessas redes internas também apresentam alguns riscos associados a eles.

  • Rede de perímetro. Os riscos associados à camada de rede de perímetro surgem quando um invasor obtém acesso a WANs (redes remotas) e às camadas de rede que essas redes conectam.

  • Segurança física. Riscos na camada física surgem quando um invasor obtém acesso físico a um ativo físico.

  • Diretivas, procedimentos e conscientização. Ao redor de todas as camadas do modelo de segurança estão as diretivas e os procedimentos de que a empresa de médio porte precisa para atender e oferecer suporte aos requisitos de cada nível.

As camadas Dados, Aplicativo e Host podem ser combinadas em duas estratégias de defesa para proteger os clientes e os servidores da empresa. Embora essas defesas compartilhem algumas estratégias, as diferenças na implementação de defesas de cliente e servidor são suficientes para garantir uma abordagem única para cada uma delas.

As camadas Rede interna e Perímetro também podem ser combinadas em uma estratégia de Defesas de Rede, pois as tecnologias envolvidas são as mesmas para ambas as camadas. Os detalhes de implementação serão diferentes para cada camada, dependendo da posição dos dispositivos e das tecnologias na infra-estrutura da organização. Para obter mais informações sobre defesa profunda, consulte o "Capítulo 2: Ameaças de malware" do Guia de Defesa Profunda com Antivírus em http://go.microsoft.com/fwlink/?LinkId=50964.

Implantação e gerenciamento

As estratégias de gerenciamento de riscos de malware abrangem todas as tecnologias e abordagens descritas até aqui neste documento. É recomendável que um software antivírus confiável e satisfatório seja implantado em todos os sistemas. O Windows Defender, uma ferramenta da Microsoft que o ajuda a manter a sua produtividade ao proteger o computador contra janelas pop-ups, baixo desempenho e ameaças à segurança causados por spyware e outros softwares indesejados, deve ser usado em conjunto com um software antivírus. Na verdade, eles devem ser implantados logo após a instalação do sistema operacional. Os patches mais recentes de software antivírus devem ser aplicados imediatamente e configurados para manter a eficiência na detecção e interrupção do malware. Como nenhuma abordagem isolada deve ser considerada uma solução totalmente segura, firewall, gateway, detecção de invasão e outras tecnologias de solução de segurança descritas nas seções anteriores devem ser utilizadas em conjunto com um software antivírus.

Esta seção explicará as etapas de validação, monitoramento e relatório, além das tecnologias disponíveis.

Validação

Como é possível garantir que as abordagens e tecnologias de gerenciamento de riscos de malware, identificadas anteriormente, foram implantadas de forma eficiente após terem sido estudadas e implementadas?

Para validar uma solução proposta, use as seguintes ferramentas de validação do ambiente do sistema e da rede:

  • Antivírus. Verifique se há vírus em todos os sistemas, usando um software antivírus com as definições mais recentes de arquivo de assinatura

  • Windows Defender. Verifique todos os sistemas usando o Windows Defender para localizar spyware e outros softwares potencialmente indesejados

  • MBSA (Microsoft Baseline Security Analyzer). Verifique todos os sistemas usando o MBSA para ajudar a identificar problemas comuns de configuração de segurança. Você pode obter mais informações sobre o MBSA (Microsoft Baseline Security Analyzer) (a página pode estar em inglês) no site http://go.microsoft.com/fwlink/?linkid=17809.

Além disso, quaisquer contas recém-criadas com permissões apropriadas de acesso devem ser testadas e verificadas para garantir que estejam funcionando corretamente.

Durante a validação de estratégias e tecnologias implementadas, os patches de software e hardware devem ser aplicados conforme necessário, a fim de manter a eficiência da segurança. Os usuários, e especialmente a equipe de TI, devem estar sempre com as atualizações mais recentes em vigor.

Monitoramento e relatórios

O monitoramento constante de todos os dispositivos da rede é fundamental para a detecção de ataques de malware. O monitoramento pode ser um processo complexo. Ele requer a coleta de informações de várias fontes (como logs de firewalls, roteadores, switches e usuários) para a compilação de uma linha de base de comportamento "normal" que possa ser usada para identificar comportamentos anormais.

As estratégias de monitoramento e relatório de malware em ambientes corporativos de médio porte devem incluir tecnologias e instrução do usuário.

As tecnologias são referentes ao hardware e software devidamente implantados e implementados que podem ajudar as empresas de médio porte a monitorarem e a relatarem as atividades de malware e a encontrarem as respostas apropriadas. A instrução do usuário refere-se aos programas de conscientização que incluem orientações aos usuários sobre os procedimentos de prevenção e eliminação de malware e como relatar os incidentes apropriadamente.

Tecnologias

É possível automatizar um sistema de monitoramento de alertas para que ele possa relatar suspeitas de infecção por malware a um local central ou a um ponto de contato apropriado que possa informar aos usuários como eles devem reagir. Um sistema de alerta automatizado minimizará o intervalo entre o alerta inicial e a percepção dos usuários em relação à ameaça de malware, mas o problema dessa abordagem é que ela pode gerar alertas "falsos positivos". Se ninguém estiver filtrando os alertas e revisando a lista de verificação de relatórios de atividades incomuns, é provável que os alertas avisem sobre malwares que não existem. Essa situação pode levar à complacência, já que os usuários logo passarão a não dar importância aos alertas gerados com muita freqüência.

É recomendável que a responsabilidade de receber todos os alertas de malware automatizados provenientes de todos os softwares de monitoramento do sistema ou de pacotes de antivírus utilizados pela empresa seja designada a membros da equipe de administração da rede. Assim, o responsável individual ou a equipe poderá filtrar os alertas falsos provenientes dos sistemas automatizados antes de emitir alertas aos usuários.

É recomendável também que as soluções de malware sejam constantemente revisadas e atualizadas. Todos os aspectos da proteção contra malware são importantes, desde os simples downloads automatizados de assinaturas de vírus até as alterações completas da diretiva operacional. Embora algumas das ferramentas a seguir já tenham sido mencionadas, elas são essenciais para o gerenciamento, monitoramento e relatório de segurança:

  • Sistema NID (detecção de invasões de rede). Como a rede de perímetro é uma parte altamente exposta da rede, é extremamente importante que os sistemas de gerenciamento de rede sejam capazes de detectar e reportar um ataque o mais cedo possível.

  • MBSA (Microsoft Baseline Security Analyzer). Aperfeiçoe o processo de gerenciamento de segurança usando o MBSA para detectar problemas comuns de configuração de segurança e atualizações de segurança pendentes nos sistemas de computadores.

  • Verificação de assinaturas de antivírus. A maioria dos programas de software antivírus atualmente usa essa técnica, que envolve o exame de um alvo (computador host, unidade de disco ou arquivos) em busca de um padrão que possa representar um malware.

  • Verificadores de gateway SMTP. Geralmente, essas soluções de email baseadas em SMTP são chamadas de soluções antivírus de "gateway". Elas têm a vantagem de funcionar com todos os serviços de email SMTP, em vez de serem vinculadas a um produto de servidor de email específico.

  • Arquivos de log. Arquivos que listam detalhes sobre acessos a arquivos que são armazenados e mantidos em um servidor. A análise dos arquivos de log pode revelar dados úteis sobre o tráfego do site.

  • Visualizar eventos. A ferramenta administrativa que relata erros e outros eventos, como falhas de drivers, erros de arquivos, logons e logoffs.

  • Microsoft Windows Defender. Um programa que ajuda você a proteger seu computador contra pop-ups, baixo desempenho e ameaças à segurança causadas por spywares e outros softwares indesejados. Possui proteção em tempo real, um sistema de monitoramento que recomenda as ações a serem tomadas quando um spyware é detectado e uma nova interface otimizada que reduz interrupções e ajuda os usuários a manterem a produtividade.

  • Use a proteção dinâmica de segurança no Internet Explorer 7.

Ferramentas adicionais recomendadas que podem ajudar a verificar e a aplicar as atualizações ou correções mais recentes incluem:

  • O WSUS (Windows Server Update Services) da Microsoft fornece uma solução abrangente para o gerenciamento de atualizações na rede de uma empresa de médio porte.

  • O Microsoft Systems Management Server 2003 SP 1 fornece uma solução abrangente para o gerenciamento de alterações e de configuração para a plataforma Microsoft, permitindo que as organizações forneçam software e atualizações relevantes aos usuários de forma rápida e econômica.

Considere a possibilidade de inscrição em todos os novos patches aplicáveis à sua organização. Para receber essas notificações automaticamente, você pode assinar os boletins de segurança da Microsoft em http://go.microsoft.com/fwlink/?LinkId=21723.

Instrução dos usuários

Conforme mencionado em uma seção anterior deste documento, todos os usuários devem receber instruções sobre malware e suas características, a severidade das ameaças potenciais, as técnicas de prevenção, as maneiras pelas quais o malware se espalha e os riscos que o malware representa. A instrução dos usuários deve incluir também uma conscientização sobre as diretivas e os procedimentos que se aplicam aos incidentes de malware, incluindo como detectar malware em um computador, como relatar a suspeita de infecções e o que os próprios usuários podem fazer para ajudar no caso de incidentes. As empresas de médio porte devem realizar sessões de treinamento sobre as estratégias de gerenciamento de riscos de malware para os membros da equipe de TI envolvidos na prevenção de incidentes de malware.

Resumo

O malware é um segmento complexo e em constante evolução da tecnologia de computadores. De todos os problemas encontrados na TI, poucos são tão predominantes e dispendiosos como os ataques de malware e os custos associados à forma de lidar com eles. Entender como funcionam, como evoluem com o tempo e os vetores de ataque que eles exploram pode ajudar as empresas de médio porte a lidarem com o problema de forma proativa e a criarem processos reativos mais eficientes e eficazes. O malware usa tantas técnicas de criação, propagação e exploração de sistemas de computadores, que pode ser difícil entender como um sistema pode ser suficientemente seguro para resistir a esses ataques. No entanto, conhecendo os desafios e tendo estratégias vigentes de gerenciamento de riscos de malware, as empresas de médio porte poderão gerenciar seus sistemas e suas infra-estruturas de rede de forma a reduzirem a probabilidade de um ataque bem-sucedido.

Apêndice A: ativos comuns de sistemas de informações

Este apêndice relaciona os ativos de sistemas de informações comumente encontrados em empresas de médio porte de vários tipos. Ele não pretende apresentar uma lista exaustiva, e é provável que essa lista não represente todos os ativos no ambiente exclusivo de sua organização. Ela é fornecida apenas como referência e serve de ponto inicial para auxiliar no começo do processo das empresas de médio porte.

Tabela A.1. Lista de ativos comuns de sistemas de informações

Classe do ativo

Descrição resumida do seu ativo

Definição mais detalhada (se necessária)

Classificação do valor do ativo (5 é o maior valor)

Tangível

Infra-estrutura física

Centrais de dados

5

Tangível

Infra-estrutura física

Servidores

3

Tangível

Infra-estrutura física

Computadores desktop

1

Tangível

Infra-estrutura física

Computadores móveis

3

Tangível

Infra-estrutura física

PDAs

1

Tangível

Infra-estrutura física

Telefones celulares

1

Tangível

Infra-estrutura física

Aplicativo de software de servidor

1

Tangível

Infra-estrutura física

Aplicativo de software de usuário final

1

Tangível

Infra-estrutura física

Ferramentas de desenvolvimento

3

Tangível

Infra-estrutura física

Roteadores

3

Tangível

Infra-estrutura física

Comutadores de rede

3

Tangível

Infra-estrutura física

Máquinas de fax

1

Tangível

Infra-estrutura física

Sistemas de telefonia PBX

3

Tangível

Infra-estrutura física

Mídia removível (por exemplo, fitas, disquetes, CD-ROMs, DVDs, unidades de disco rígido portáteis, dispositivos de armazenamento de placa PC, dispositivos de armazenamento USB, etc.)

1

Tangível

Infra-estrutura física

Fontes de alimentação

3

Tangível

Infra-estrutura física

Sistema de alimentação ininterrupta (no-break)

3

Tangível

Infra-estrutura física

Sistemas de combate a incêndio

3

Tangível

Infra-estrutura física

Sistemas de ar condicionado

3

Tangível

Infra-estrutura física

Sistemas de filtragem de ar

1

Tangível

Infra-estrutura física

Outros sistemas de controle ambiental

3

Tangível

Dados de intranet

Código-fonte

5

Tangível

Dados de intranet

Dados de recursos humanos

5

Tangível

Dados de intranet

Dados financeiros

5

Tangível

Dados de intranet

Dados de marketing

5

Tangível

Dados de intranet

Senhas de funcionários

5

Tangível

Dados de intranet

Chaves de criptografia privadas de funcionários

5

Tangível

Dados de intranet

Chaves de criptografia de sistema de computador

5

Tangível

Dados de intranet

Cartões inteligentes

5

Tangível

Dados de intranet

Propriedade intelectual

5

Tangível

Dados de intranet

Dados de requisitos de regulamentação (GLBA, HIPAA, CA SB1386, Diretiva de proteção de dados da UE, etc.)

5

Tangível

Dados de intranet

Números da previdência social de funcionários dos EUA

5

Tangível

Dados de intranet

Números do documento de identificação dos funcionários

5

Tangível

Dados de intranet

Planos estratégicos

3

Tangível

Dados de intranet

Relatórios de crédito de consumo do cliente

5

Tangível

Dados de intranet

Registros médicos do cliente

5

Tangível

Dados de intranet

Identificadores biométricos dos funcionários

5

Tangível

Dados de intranet

Dados de contatos de negócios dos funcionários

1

Tangível

Dados de intranet

Dados de contatos pessoais dos funcionários

3

Tangível

Dados de intranet

Dados de pedidos de compra

5

Tangível

Dados de intranet

Projeto da infra-estrutura de rede

3

Tangível

Dados de intranet

Sites internos

3

Tangível

Dados de intranet

Dados etnográficos dos funcionários

3

Tangível

Dados de extranet

Dados de contrato de parceiros

5

Tangível

Dados de extranet

Dados financeiros de parceiros

5

Tangível

Dados de extranet

Dados de contato de parceiros

3

Tangível

Dados de extranet

Solicitação de colaboração de parceiros

3

Tangível

Dados de extranet

Chaves de criptografia de parceiros

5

Tangível

Dados de extranet

Relatórios de crédito de parceiros

3

Tangível

Dados de extranet

Dados de pedidos de compra de parceiros

3

Tangível

Dados de extranet

Dados de contrato de fornecedores

5

Tangível

Dados de extranet

Dados financeiros de fornecedores

5

Tangível

Dados de extranet

Dados de contato de fornecedores

3

Tangível

Dados de extranet

Solicitação de colaboração de fornecedores

3

Tangível

Dados de extranet

Chaves de criptografia de fornecedores

5

Tangível

Dados de extranet

Relatórios de crédito de fornecedores

3

Tangível

Dados de extranet

Dados de pedidos de compra de fornecedores

3

Tangível

Dados de Internet

Aplicativo de vendas na Web

5

Tangível

Dados de Internet

Dados de marketing do site

3

Tangível

Dados de Internet

Dados de cartão de crédito de clientes

5

Tangível

Dados de Internet

Dados de contato de clientes

3

Tangível

Dados de Internet

Chaves de criptografia públicas

1

Tangível

Dados de Internet

Comunicados à imprensa

1

Tangível

Dados de Internet

Documentos oficiais

1

Tangível

Dados de Internet

Documentação do produto

1

Tangível

Dados de Internet

Materiais de treinamento

3

Intangível

Reputação

 

5

Intangível

Credibilidade pública

 

3

Intangível

Moral dos funcionários

 

3

Intangível

Produtividade dos funcionários

 

3

Serviços de TI

Envio de mensagens

Email/agendamento (por exemplo, o Microsoft Exchange)

3

Serviços de TI

Envio de mensagens

Mensagens instantâneas

1

Serviços de TI

Envio de mensagens

Microsoft Outlook® Web Access (OWA)

1

Serviços de TI

Infra-estrutura principal

Serviço de diretório do Active Directory®

3

Serviços de TI

Infra-estrutura principal

Sistema de nomes de domínio (DNS)

3

Serviços de TI

Infra-estrutura principal

DHCP

3

Serviços de TI

Infra-estrutura principal

Ferramentas de gerenciamento empresarial

3

Serviços de TI

Infra-estrutura principal

Compartilhamento de arquivos

3

Serviços de TI

Infra-estrutura principal

Armazenamento

3

Serviços de TI

Infra-estrutura principal

Acesso dial-up remoto

3

Serviços de TI

Infra-estrutura principal

Telefonia

3

Serviços de TI

Infra-estrutura principal

Acesso VPN (rede virtual privada)

3

Serviços de TI

Infra-estrutura principal

Microsoft WINS (Windows® Internet Naming Service)

1

Serviços de TI

Outra infra-estrutura

Serviços de colaboração (por exemplo, o Microsoft SharePoint®)

 

Apêndice B: ameaças comuns

Este apêndice lista as prováveis ameaças a empresas de médio porte. Essa lista não é exaustiva e, por ser estática, poderá ficar desatualizada. Ela é fornecida apenas como referência e serve de ponto inicial para auxiliar no começo do processo em sua organização.

Tabela B.1. Lista de ameaças comuns

Descrição resumida da ameaça

Exemplo específico

Incidente catastrófico

Incêndio

Incidente catastrófico

Inundação

Incidente catastrófico

Terremoto

Incidente catastrófico

Forte tempestade

Incidente catastrófico

Ataque terrorista

Incidente catastrófico

Tumultos/agitações públicas

Incidente catastrófico

Deslizamentos de terra

Incidente catastrófico

Avalanche

Incidente catastrófico

Acidente industrial

Falha mecânica

Interrupção na energia elétrica

Falha mecânica

Falha de hardware

Falha mecânica

Falhas da rede

Falha mecânica

Falha nos controles ambientais

Falha mecânica

Acidente de construção

Pessoa bem-intencionada

Funcionário desinformado

Pessoa bem-intencionada

Usuário desinformado

Pessoa mal-intencionada

Hacker, cracker

Pessoa mal-intencionada

Criminoso cibernético

Pessoa mal-intencionada

Espionagem industrial

Pessoa mal-intencionada

Espionagem patrocinada pelo governo

Pessoa mal-intencionada

Engenharia social

Pessoa mal-intencionada

Funcionário atual descontente

Pessoa mal-intencionada

Antigo funcionário descontente

Pessoa mal-intencionada

Terrorista

Pessoa mal-intencionada

Funcionário negligente

Pessoa mal-intencionada

Funcionário desonesto (subornado ou vítima de chantagem)

Pessoa mal-intencionada

Código de comunicação móvel mal-intencionado

Apêndice C: vulnerabilidades

Este apêndice lista as prováveis vulnerabilidades das empresas de médio porte. Essa lista não é exaustiva e, por ser estática, poderá ficar desatualizada. É fornecida apenas como referência e serve de ponto inicial para auxiliar no começo do processo em sua organização.

Tabela C.1. Lista de vulnerabilidades

Classe de vulnerabilidade resumida

Breve descrição da vulnerabilidade

Exemplo específico (se aplicável)

Física

Portas destrancadas

 

Física

Acesso desprotegido às salas de computador

 

Física

Sistemas de combate a incêndio insuficientes

 

Física

Edifícios mal projetados

 

Física

Edifícios mal construídos

 

Física

Materiais inflamáveis usados na construção

 

Física

Materiais inflamáveis usados no acabamento

 

Física

Janelas destrancadas

 

Física

Paredes suscetíveis a um ataque físico

 

Física

As paredes internas não vedam totalmente o cômodo no teto e no chão

 

Natural

Prédio construído sobre uma falha geológica

 

Natural

Prédio localizado em uma zona de inundação

 

Natural

Prédio localizado em uma área de avalanche

 

Hardware

Patches ausentes

 

Hardware

Firmware desatualizado

 

Hardware

Sistemas mal configurados

 

Hardware

Sistemas sem segurança física

 

Hardware

Protocolos de gerenciamento permitidos através de interfaces públicas

 

Software

Software antivírus desatualizado

 

Software

Patches ausentes

 

Software

Aplicativos mal escritos

CSS (Cross site scripting)

Software

Aplicativos mal escritos

Inclusão de código SQL

Software

Aplicativos mal escritos

Pontos fracos do código, como estouros de buffer

Software

Pontos fracos intencionais

Portas dos fundos do fornecedor destinadas ao gerenciamento ou recuperação do sistema

Software

Pontos fracos intencionais

Spyware, como programas de registro de teclas

Software

Pontos fracos intencionais

Cavalos de Tróia

Software

Pontos fracos intencionais

 

Software

Erros de configuração

Processos manuais resultantes em configurações inconsistentes

Software

Erros de configuração

Sistemas sem proteção avançada

Software

Erros de configuração

Sistemas sem auditoria

Software

Erros de configuração

Sistemas sem monitoração

Mídia

Interferência elétrica

 

Comunicações

Protocolos de rede não criptografados

 

Comunicações

Conexões a redes múltiplas

 

Comunicações

Protocolos desnecessários permitidos

 

Comunicações

Falta de filtragem entre segmentos da rede

 

Humanas

Procedimentos mal definidos

Falta de preparo para responder aos incidentes

Humanas

Procedimentos mal definidos

Processos manuais

Humanas

Procedimentos mal definidos

Falta de planos de recuperação de desastres

Humanas

Procedimentos mal definidos

Testes dos sistemas de produção

Humanas

Procedimentos mal definidos

Violações não comunicadas

Humanas

Procedimentos mal definidos

Controle de alteração mal executado

Humanas

Roubo de credenciais

 

Referências


Download

Obtenha o documento Estratégias de gerenciamento de riscos de malware


Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft