sesión 2: defensa profunda contra código dañino estrategias de antivirus eduardo rivadeneira...
TRANSCRIPT
Sesión 2: Defensa profunda contra
código dañinoEstrategias de Antivirus
Eduardo Rivadeneira Romero
IT Pro Evangelist
Microsoft Mexico
Prerrequisitos de la sesión
Experiencia práctica con Microsoft Windows Server y Active Directory
Comprensión básica de los aspectos fundamentales de la seguridad de la red
Comprensión básica de los conceptos relacionados con el código dañino
Nivel 200
Descripción general de la sesión
Comprender las características del software dañino
Defensa profunda contra el código dañino
Defensa contra el código dañino para PCs cliente
Defensa contra el código dañino para servidores
Defensa basada en la red contra código dañino
Control y recuperación de un brote de código dañino
Comprender las características del software dañino
Comprender las características del software dañino
Defensa profunda contra el código dañino
Defensa contra el código dañino para PCs cliente
Defensa contra el código dañino para servidores
Defensa basada en la red contra código dañino
Control y recuperación de un brote de código dañino
Código dañino: Identificar los desafíos para una organización
Código dañino: Una recopilación de software desarrollado para realizar intencionalmente tareas dañinas en un sistema de cómputoCódigo dañino: Una recopilación de software desarrollado para realizar intencionalmente tareas dañinas en un sistema de cómputo
La retroalimentación de los profesionales de informática y de seguridad incluye:La retroalimentación de los profesionales de informática y de seguridad incluye:
“Los usuarios ejecutaron el archivo adjunto desde su correo electrónico a pesar de que les indicamos en repetidas ocasiones que no deberían hacerlo.”
“El software antiviurs debió haber detectado esto, pero la firma de este virus no se había instalado aún.”
“No sabíamos que nuestros servidores tenían que actualizarse.”
“Esto nunca debió haber pasado a través de nuestro servidor de seguridad; no sabíamos que sus puertos podían ser atacados.”
“Los usuarios ejecutaron el archivo adjunto desde su correo electrónico a pesar de que les indicamos en repetidas ocasiones que no deberían hacerlo.”
“El software antiviurs debió haber detectado esto, pero la firma de este virus no se había instalado aún.”
“No sabíamos que nuestros servidores tenían que actualizarse.”
“Esto nunca debió haber pasado a través de nuestro servidor de seguridad; no sabíamos que sus puertos podían ser atacados.”
Comprender las técnicas de ataque del código dañino
Las técnicas comunes de ataque del código dañino incluyen:Las técnicas comunes de ataque del código dañino incluyen:
Ingeniería social
Creación de una puerta trasera
Robo de direcciones de correo electrónico
Motores de correo electrónico incrustados
Explotar las vulnerabilidades del producto
Explotar las nuevas tecnologías de Internet
Ingeniería social
Creación de una puerta trasera
Robo de direcciones de correo electrónico
Motores de correo electrónico incrustados
Explotar las vulnerabilidades del producto
Explotar las nuevas tecnologías de Internet
Comprender la línea de tiempo de la vulnerabilidad
Producto Producto enviadoenviado
VulnerabilidadVulnerabilidaddescubiertadescubierta
Actualización Actualización disponibledisponible
Actualización Actualización implementadaimplementadapor el clientepor el cliente
VulnerabilidadVulnerabilidaddivulgadadivulgada
La mayoría de los ataques ocurren aquí
Comprender la línea de tiempo de la explosión
ProductoProductoenviadoenviado
VulnerabilidadVulnerabilidaddescubiertadescubierta
ActualizacónActualizacóndisponibledisponible
ActualizacónActualizacónAplicada porAplicada por
el clienteel cliente
VulnerabilidadVulnerabilidaddivulgadadivulgada
Explotar
Se reduce el número de días entre la
actualización y la explotación
Ataque de codigo dañino
Días entre actualización y explotación
Nimda 331
SQL Slammer 180
Welchia/Nachi 151
Blaster 25
Sasser 14
Productoenviado
Vulnerabilidaddescubierta
Vulnerabilidaddivulgada
Actualizacóndisponible
ActualizacónAplicada porel cliente
Ataque de codigo dañino
Días entre actualización y explotación
Nimda
SQL Slammer
Welchia/Nachi
Blaster
Sasser
Se reduce el número de días entre la
actualización y la explotación
ExplotarExplotar
Identificar los métodos comunes de defensa contra el código dañino
Instalar la actualización de seguridad más reciente Incrementar la seguridad de la zona en la Máquina local en Internet ExplorerEliminar cualquier infección relacionada con IIS
Download.Ject
Instalar la actualización de seguridad más reciente Bloquear el puerto UDP 1434 SQL Slammer
Instalar la actualización de seguridad más recienteBloquear los puertos TCP 135, 139, 445 y 593 y los puertos UDP 135, 137 y 138, y además bloquear los puertos UDP 69 (TFTP) y TCP 4444 para shell de comando remoto Actualizar las firmas antivirus
Blaster
Bloquear el puerto 1034 Actualizar las firmas antivirus Implementar aplicaciones de seguridad
Mydoom
Bloquear los puertos 445, 5554 y 9996Instalar la actualización de seguridad más recienteSasser
Método de defensaAtaque contra código dañino
Defensa contra el código dañino: Mejores prácticas
Manténgase informadoManténgase informado
Implemente la seguridad de la aplicación Implemente la seguridad de la aplicación
Restrinja los derechos locales de administraciónRestrinja los derechos locales de administración
Implemente la administración de actualizaciones de seguridad y antivirus Implemente la administración de actualizaciones de seguridad y antivirus
Implemente la protección del servidor de seguridad
Implemente la protección del servidor de seguridad
Defensa profunda contra el código dañino
Comprender las características del software dañino
Defensa profunda contra el código dañino
Defensa contra el código dañino para PCs cliente
Defensa contra el código dañino para servidores
Defensa basada en la red contra código dañino
Control y recuperación de un brote de código dañino
¿Qué es la defensa profunda?
Utilizar un enfoque por nivel:Eleva el riesgo de detección de un atacante Reduce la oportunidad de que tenga éxito el atacante
Políticas de seguridad, procedimientos e instrucciónPolíticas, procedimientos y conocimientoPolíticas, procedimientos y conocimiento
Protecciones, candados, dispositivos de rastreo
Seguridad físicaSeguridad física
Fortalecimiento de la aplicaciónAplicación
Fortalecimiento del sistema operativo, autenticación, administración de actualizaciones, actualizaciones de antivirus, auditoría
Host
Segmentos de red, IPSec, NIDSRed interna
Servidores de seguridad, enrutadores internos, VPNs con procedimientos de cuarentena
Perímetro
Contraseñas sólidas, ACLs, encriptación, EFS, estrategia de respaldo y restauración
Datos
Aplicar Defensa profunda a la defensa contra código dañino
Políticas, procedimientos y conocimientoPolíticas, procedimientos y conocimiento
Seguridad físicaSeguridad física
Perímetro
Red interna
Defensas de la red
Host
Aplicación
Datos
Defensas del cliente
Defensas del cliente
Host
Aplicación
Datos
Implementar Políticas de protección del host, procedimientos y conocimientos
Las políticas y procedimientos recomendadas incluyen:Las políticas y procedimientos recomendadas incluyen:
Políticas de defensa de protección del host:
Políticas de análisis Políticas de actualización de
firmas Política de aplicación permitida
Políticas de defensa de protección del host:
Políticas de análisis Políticas de actualización de
firmas Política de aplicación permitida
Política de defensa de red: Control de cambios Supervisión de la red Detección del ataque Acceso al PC principal Acceso al visitante Política de red
inalámbrica
Política de defensa de red: Control de cambios Supervisión de la red Detección del ataque Acceso al PC principal Acceso al visitante Política de red
inalámbrica Política de actualización de seguridad:
1. Evaluar el entorno a actualizar
2. Identificar nuevas actualizaciones3. Evaluar y planear la implementación
de la actualización4. Implementar las actualizaciones
Política de actualización de seguridad:
1. Evaluar el entorno a actualizar
2. Identificar nuevas actualizaciones3. Evaluar y planear la implementación
de la actualización4. Implementar las actualizaciones
Implementar la seguridad física y la defensa antivirus
Los elementos de un plan de defensa física eficaz incluyen:Los elementos de un plan de defensa física eficaz incluyen:
PCs de servidor PCs de servidor
Puntos de acceso de redPuntos de acceso de red
Seguridad de los permisos Seguridad de los permisos
Seguridad del personalSeguridad del personal
PCs y dispositivos móvilesPCs y dispositivos móviles
PCs de estación de trabajoPCs de estación de trabajo
Defensa contra el código dañino para PCs cliente
Comprender las características del software dañino
Defensa profunda contra el código dañino
Defensa contra el código dañino para PCs cliente
Defensa contra el código dañino para servidores
Defensa basada en la red contra código dañino
Control y recuperación de un brote de código dañino
Proteger los PCs cliente: ¿Cuáles son los desafíos?
Los desafíos relacionados con la protección de los PCs cliente incluyen:Los desafíos relacionados con la protección de los PCs cliente incluyen:
• Implementar políticas de almacén de datos• Implementar seguridad de datos• Cumplimiento regulatorio
• Implementar políticas de almacén de datos• Implementar seguridad de datos• Cumplimiento regulatorio
Desafíos de los datos
• Controlar el uso de las aplicaciones• Asegurar las configuraciones de la aplicación• Mantener las actualizaciones de seguridad de la aplicación
• Controlar el uso de las aplicaciones• Asegurar las configuraciones de la aplicación• Mantener las actualizaciones de seguridad de la aplicación
Desafío de la aplicación
• Mantener las actualizaciones de seguridad• Mantener el software antivirus
• Implementar un servidor de seguridad personal
• Mantener las actualizaciones de seguridad• Mantener el software antivirus
• Implementar un servidor de seguridad personal
Desafíos del host
Implementar una defensa contra código dañino basado en el cliente
Pasos para implementar una defensa basada en el cliente incluyen:Pasos para implementar una defensa basada en el cliente incluyen:
Reducir la superficie de ataqueReducir la superficie de ataque11
Instalar software antivirus Instalar software antivirus 44
Habilitar el servidor de seguridad basado en el host Habilitar el servidor de seguridad basado en el host 33
Probar los análisis de la configuraciónProbar los análisis de la configuración55
Utilizar las políticas con menos privilegiosUtilizar las políticas con menos privilegios66
Aplicar las actualizaciones de seguridadAplicar las actualizaciones de seguridad22
Restringir las aplicaciones no autorizadasRestringir las aplicaciones no autorizadas77
Elegir una solución de administración de actualizaciones para defensa contra código dañino
MBSA y SUSDesea una solución de administración de actualizaciones con un nivel básico de control que actualice Windows 2000 y las versiones más nuevas de Windows
Windows UpdateNo cuenta con servidores Windows
Pequeña empresa
Desea una solución de administración de actualizaciones flexible con un nivel ampliado de control para actualizar y distribuir todo el software
Por lo menos un Windows 2000o servidores más nuevos y un administrador de informática
Todos los escenarios
Escenario
Empresas medianas o grandes
Consumidor
Tipo de cliente Solución
SMS
Windows Update
MBSA y SUS
Comprender los Beneficios de los servicios de actualización de software
Proporciona a los administradores un control básico de la administración de actualizaciones
Los administradores pueden revisar, probar y aprobar las actualizaciones antes de su implementación
Simplifica y automatiza los aspectos clave del proceso de administración de actualizaciones
Se puede utilizar con la Política de grupo; sin embargo, no se requiere la Política de grupo para utilizar SUS
Fácil de implementar Herramienta gratuita de Microsoft
Proporciona a los administradores un control básico de la administración de actualizaciones
Los administradores pueden revisar, probar y aprobar las actualizaciones antes de su implementación
Simplifica y automatiza los aspectos clave del proceso de administración de actualizaciones
Se puede utilizar con la Política de grupo; sin embargo, no se requiere la Política de grupo para utilizar SUS
Fácil de implementar Herramienta gratuita de Microsoft
SUS - Cómo funciona
Servidor SUS
primario
Actualización de Windows
Servidor SUS secundario
Internet
PCs cliente
PCs cliente
Demo 1: Configure los Servicios de actualización de software para implementar actualizaciones de seguridad
Configure los Servicios de actualización de software para implementar las actualizaciones de seguridad
Internal Network10.10.0.0/16
Internet
London.nwtraders.msftDomain Controller
Exchange Server 2003IIS 6.0 Server
Software Update ServicesDNS Server
Enterprise CA Server10.10.0.2/16
Vancouver.nwtraders.msftISA Server 2004
10.10.0.1/16131.107.0.1/16
Denver.nwtraders.msftWindows XP SP2
Office 2003131.107.0.1/16
Glasgow.nwtraders.msftMIIS Server
ADAM Server10.10.0.3
131.107.0.8
Denver.nwtraders.msftWindows XP SP2
Office 200310.10.0.10/16
Brisbane.northwindtraders.msftDomain Controller
IIS 6.0 Server10.10.0.20
Configurar las aplicaciones para proteger los PCs cliente
Las aplicaciones que pueden ser objetivo del código dañino incluyen:Las aplicaciones que pueden ser objetivo del código dañino incluyen:
Aplicaciones del cliente de correo electrónicoAplicaciones del cliente de correo electrónico
Aplicaciones de escritorioAplicaciones de escritorio
Aplicaciones de mensajes instantáneosAplicaciones de mensajes instantáneos
Exploradores WebExploradores Web
Aplicaciones de igual a igualAplicaciones de igual a igual
Administrar la seguridad del Explorador de Internet
Control administrativo para la función de la zona de seguridad del control
Configuraciones de la Política de grupo
Detección de MIME Elevación de la seguridad Restricción de Windows
Función de las configuraciones de la Zona de seguridad de control
Habilidad para controlar la seguridad en la zona de la máquina local
Zona de la máquina local
Verificaciones de consistencia Reglas más estrictas
Mejoras a la seguridad de MIME
Control de los complementos y funciones de administraciónMejores indicadoresNuevas restricciones de ventanas iniciadas con secuencias de comando
Mejor administración de la seguridad
DescripciónFunción de seguridad
Demo 2: Configurar las aplicaciones basadas en el cliente
Configurar las aplicaciones cliente para protegerse contra código dañino
Internal Network10.10.0.0/16
Internet
London.nwtraders.msftDomain Controller
Exchange Server 2003IIS 6.0 Server
Software Update ServicesDNS Server
Enterprise CA Server10.10.0.2/16
Vancouver.nwtraders.msftISA Server 2004
10.10.0.1/16131.107.0.1/16
Denver.nwtraders.msftWindows XP SP2
Office 2003131.107.0.1/16
Glasgow.nwtraders.msftMIIS Server
ADAM Server10.10.0.3
131.107.0.8
Denver.nwtraders.msftWindows XP SP2
Office 200310.10.0.10/16
Brisbane.northwindtraders.msftDomain Controller
IIS 6.0 Server10.10.0.20
Bloquear las aplicaciones no autorizadas con las Políticas de restricción de software
Políticas de restricción de software:Políticas de restricción de software:
Se pueden establecer como:
No restringidar
Deshabilitadas
Se pueden establecer como:
No restringidar
Deshabilitadas
Se puede aplicar a las siguientes reglas:
Análisis
Certificado
Ruta
Zona
Se puede aplicar a las siguientes reglas:
Análisis
Certificado
Ruta
Zona
Se pueden utilizar para:
Luchar contra virus
Descargas de Control ActiveX
Ejecutar únicamente las secuencias de comandos firmadas
Asegurar que se instale el software aprobado
Desbloquear un PC
Se pueden utilizar para:
Luchar contra virus
Descargas de Control ActiveX
Ejecutar únicamente las secuencias de comandos firmadas
Asegurar que se instale el software aprobado
Desbloquear un PC
Demo 3: Usar las políticas para restricción de software
Cree y pruebe una política de restricción de software
Internal Network10.10.0.0/16
Internet
London.nwtraders.msftDomain Controller
Exchange Server 2003IIS 6.0 Server
Software Update ServicesDNS Server
Enterprise CA Server10.10.0.2/16
Vancouver.nwtraders.msftISA Server 2004
10.10.0.1/16131.107.0.1/16
Denver.nwtraders.msftWindows XP SP2
Office 2003131.107.0.1/16
Glasgow.nwtraders.msftMIIS Server
ADAM Server10.10.0.3
131.107.0.8
Denver.nwtraders.msftWindows XP SP2
Office 200310.10.0.10/16
Brisbane.northwindtraders.msftDomain Controller
IIS 6.0 Server10.10.0.20
Nuevas funciones de seguridad del Firewall de Windows
Activado por predeterminaciónActivado por predeterminación
Seguridad en el tiempo de inicio Seguridad en el tiempo de inicio
Configuración global y opciones predeterminadas de restauración
Configuración global y opciones predeterminadas de restauración
Restricción de la subred localRestricción de la subred local
Soporte de línea de comandoSoporte de línea de comando
Activado sin excepcionesActivado sin excepciones
Lista de excepciones de Firewall de WindowsLista de excepciones de Firewall de Windows
Perfiles múltiplesPerfiles múltiples
Soporte RPCSoporte RPC
Soporte a instalación no asistidaSoporte a instalación no asistida
Configurar Firewall de Windows para la defensa antivirus
Proteger los PCs cliente: Mejores prácticas
Identifique las amenazas en los nivles de host, las aplicaciones y los datos de la estrategia de defensa profunda
Identifique las amenazas en los nivles de host, las aplicaciones y los datos de la estrategia de defensa profunda
Implemente políticas de restricción de software para controlar las aplicaciones Implemente políticas de restricción de software para controlar las aplicaciones
Implemente una política efectiva de administración de actualización de seguridad
Implemente una política efectiva de administración de actualización de seguridad
Implemente una política efectiva de administración antivirus Implemente una política efectiva de administración antivirus
Utilice la Política de grupo de Active Directory para administrar los requisitos de la seguridad de la aplicación
Utilice la Política de grupo de Active Directory para administrar los requisitos de la seguridad de la aplicación
Defensa contra el código dañino para servidores
Comprender las características del software dañino
Defensa profunda contra el código dañino
Defensa contra el código dañino para PCs cliente
Defensa contra el código dañino para servidores
Defensa basada en la red contra código dañino
Control y recuperación de un brote de código dañino
Proteger los servidores: ¿Cuáles son los desafíos?
Los desafíos para proteger los servidores incluyen:Los desafíos para proteger los servidores incluyen:
Mantener la confiabilidad y el rendimiento
Mantener las actualizaciones de seguridad
Mantener las actualizaciones del antivirus
Aplicar soluciones especializadas de defensa basadas en el rol del servidor
Mantener la confiabilidad y el rendimiento
Mantener las actualizaciones de seguridad
Mantener las actualizaciones del antivirus
Aplicar soluciones especializadas de defensa basadas en el rol del servidor
¿Qué es la Defensa contra código dañino basada en el servidor?
Pasos básicos para proteger a los servidores contra el código dañino incluyen:Pasos básicos para proteger a los servidores contra el código dañino incluyen:
Reducir la superficie de ataqueReducir la superficie de ataque
Analizar el uso de los análisis de la configuraciónAnalizar el uso de los análisis de la configuración
Habilitar el servidor de seguridad basado en el host Habilitar el servidor de seguridad basado en el host
Aplicar las actualizaciones de seguridadAplicar las actualizaciones de seguridad
Analizar la información del puertoAnalizar la información del puerto
Implementar el software de protección del host basado en el servidor
Las consideraciones al implementar un software antivirus basado en el servidor incluyen:Las consideraciones al implementar un software antivirus basado en el servidor incluyen:
Uso de la CPU durante el análisis
Confiabilidad de la aplicación
Sobrecarga de la administración
Interoperabilidad de la aplicación
Uso de la CPU durante el análisis
Confiabilidad de la aplicación
Sobrecarga de la administración
Interoperabilidad de la aplicación
Proteger las aplicaciones basadas en el servidor
Las aplicaciones que por lo general cuentan con implementaciones de protección especializada del host incluyen:
Las aplicaciones que por lo general cuentan con implementaciones de protección especializada del host incluyen:
Microsoft SharePoint Portal Server 2003Servidores de colaboración
Microsoft SQL Server 2000Servidores de base de datos
Internet Information Services (IIS)Servidores Web
Microsoft Exchange 2003Servidores de mensajes
EjemploAplicación
Demo 4: Utilizar el Filtro de mensajes SMTP de ISA Server 2004
Implementar el filtro de mensajes SMTP
Internal Network10.10.0.0/16
Internet
London.nwtraders.msftDomain Controller
Exchange Server 2003IIS 6.0 ServerDNS Server
Enterprise CA Server10.10.0.2/16
Vancouver.nwtraders.msftISA Server 2004
10.10.0.1/16131.107.0.1/16
Denver.nwtraders.msftWindows XP SP2
Office 2003131.107.0.1/16
Glasgow.nwtraders.msftMIIS Server
ADAM Server10.10.0.3
131.107.0.8
Denver.nwtraders.msftWindows XP SP2
Office 200310.10.0.10/16
Brisbane.northwindtraders.msftDomain Controller
IIS 6.0 Server10.10.0.20
Proteger los servidores: Mejores prácticas
Considere cada error de servidor implementado en su organización para implementar soluciones específicas de protección del host
Considere cada error de servidor implementado en su organización para implementar soluciones específicas de protección del host
Organice todas las actualizaciones a través de un entorno de pruebas antes de lanzarlo a producción Organice todas las actualizaciones a través de un entorno de pruebas antes de lanzarlo a producción
Implemente actualizaciones de seguridad y antivirus frecuentes conforme se requieraImplemente actualizaciones de seguridad y antivirus frecuentes conforme se requiera
Implemente una solución de protección del host de autoadministración para reducir los costos de administración
Implemente una solución de protección del host de autoadministración para reducir los costos de administración
Defensa basada en la red contra código dañino
Comprender las características del software dañino
Defensa profunda contra el código dañino
Defensa contra el código dañino para PCs cliente
Defensa contra el código dañino para servidores
Defensa basada en la red contra código dañino
Control y recuperación de un brote de código dañino
Proteger la red: ¿Cuáles son los desafíos?
Los desafíos relacionados con proteger el nivel de red incluyen:Los desafíos relacionados con proteger el nivel de red incluyen:
Equilibrio entre la seguridad y capacidad de uso
Ausencia de detección o supervisión basada en la red para ataques
Equilibrio entre la seguridad y capacidad de uso
Ausencia de detección o supervisión basada en la red para ataques
Implementar sistemas de detección de intrusiones basados en la red
Puntos importantes qué observar:Puntos importantes qué observar:
Los sistemas de detección de intrusiones basados en la red, únicamente son tan buenos como el proceso que se sigue una vez que se detecta una intrusión
ISA Server 2004 proporciona habilidades de detección de intrusiones basadas en la red
Los sistemas de detección de intrusiones basados en la red, únicamente son tan buenos como el proceso que se sigue una vez que se detecta una intrusión
ISA Server 2004 proporciona habilidades de detección de intrusiones basadas en la red
Proporciona una rápida detección y generación de informes de los ataques externos de código dañino
Proporciona una rápida detección y generación de informes de los ataques externos de código dañino
Sistema de detección e intrusiones basado en la red
Sistema de detección e intrusiones basado en la red
Implementar filtro de niveles de la aplicación
La aplicación de filtros de niveles incluyen lo siguiente:La aplicación de filtros de niveles incluyen lo siguiente:
La exploración del Web y del correo electrónico se puede analizar para asegurar que el contenido específico para cada uno no contenga información ilegítima
La exploración del Web y del correo electrónico se puede analizar para asegurar que el contenido específico para cada uno no contenga información ilegítima
Los análisis profundos de contenido, incluyendo la capacidad de detectar, inspeccionar y validar el tráfico, utilizan cualquier puerto y protocolo
Los análisis profundos de contenido, incluyendo la capacidad de detectar, inspeccionar y validar el tráfico, utilizan cualquier puerto y protocolo
Demo 5: Implementar el Filtro con ISA Server 2004
Implementar el filtro con ISA Server 2004
Internal Network10.10.0.0/16
Internet
London.nwtraders.msftDomain Controller
Exchange Server 2003IIS 6.0 ServerDNS Server
Enterprise CA Server10.10.0.2/16
Vancouver.nwtraders.msftISA Server 2004
10.10.0.1/16131.107.0.1/16
Denver.nwtraders.msftWindows XP SP2
Office 2003131.107.0.1/16
Glasgow.nwtraders.msftMIIS Server
ADAM Server10.10.0.3
131.107.0.8
Denver.nwtraders.msftWindows XP SP2
Office 200310.10.0.10/16
Brisbane.northwindtraders.msftDomain Controller
IIS 6.0 Server10.10.0.20
Comprender las redes de cuarentena
Las funciones estándar de una red de cuarentena incluyen:Las funciones estándar de una red de cuarentena incluyen:
Por lo general está restringida o bloqueada para tener acceso a los recursos internos Por lo general está restringida o bloqueada para tener acceso a los recursos internos
Proporciona un nivel de conectividad que permite a los PCs del visitante temporal funcionar de manera productiva sin poner en riesgo la seguridad de la red interna
Proporciona un nivel de conectividad que permite a los PCs del visitante temporal funcionar de manera productiva sin poner en riesgo la seguridad de la red interna
Actualmente está disponible únicamente para soluciones de acceso remoto VPNActualmente está disponible únicamente para soluciones de acceso remoto VPN
Proteger la red: Mejores prácticas
Haga que un equipo de respuesta antivirus proactivo supervise los sitios de alerta temprana, tales como los de proveedores antivirus
Haga que un equipo de respuesta antivirus proactivo supervise los sitios de alerta temprana, tales como los de proveedores antivirus
Formule un plan de respuesta a incidentesFormule un plan de respuesta a incidentes
Implemente políticas de supervisión y reportes automatizadosImplemente políticas de supervisión y reportes automatizados
Implemente ISA Server 2004 para proporcionar capacidades de detección de intrusionesImplemente ISA Server 2004 para proporcionar capacidades de detección de intrusiones
Control y recuperación de un brote de código dañino
Comprender las características del software dañino
Defensa profunda contra el código dañino
Defensa contra el código dañino para PCs cliente
Defensa contra el código dañino para servidores
Defensa basada en la red contra código dañino
Control y recuperación de un brote de código dañino
Cómo confirmar el brote de un código dañino
El proceso de confirmación de infección incluye:El proceso de confirmación de infección incluye:
Generación de informes de actividades inusuales
Recopilar la información básica
Evaluar la información
Recopilar los detalles
Responder a las actividades inusuales
¿Falsa alarma?
¿Es una broma?
¿Infección conocida?
¿Nueva infección?
Generación de informes de actividades inusuales
Recopilar la información básica
Evaluar la información
Recopilar los detalles
Responder a las actividades inusuales
¿Falsa alarma?
¿Es una broma?
¿Infección conocida?
¿Nueva infección?
Cómo responder a un brote de código dañino
Las tareas del mecanismo para controlar los brotes incluyen:Las tareas del mecanismo para controlar los brotes incluyen:
Desconectar los sistemas que corren riesgo de la red
Aislar las redes que contienen hosts infectados
Desconectar la red de todas las redes externas
Buscar controles de estallidos y técnicas de limpieza
Desconectar los sistemas que corren riesgo de la red
Aislar las redes que contienen hosts infectados
Desconectar la red de todas las redes externas
Buscar controles de estallidos y técnicas de limpieza
Los ejemplos de las metas de recuperación incluyen:Los ejemplos de las metas de recuperación incluyen:
Mínima interrupción a las operaciones de la organización
Tiempo de recuperación más rápido posible
La captura de información para respaldar el proceso
La captura de información para permitir que todas las medidas de seguridad adicionales se desarrollen
Prevención de ataques futuros de este tipo
Mínima interrupción a las operaciones de la organización
Tiempo de recuperación más rápido posible
La captura de información para respaldar el proceso
La captura de información para permitir que todas las medidas de seguridad adicionales se desarrollen
Prevención de ataques futuros de este tipo
Cómo analizar el brote de código dañino
Las siguientes tareas de análisis le ayudan a comprender la naturaleza de los brotes:
Las siguientes tareas de análisis le ayudan a comprender la naturaleza de los brotes:
Verificar los procesos y servicios activos
Verificar las metas de inicio
Verificar las aplicaciones programadas
Analizar el registro local
Revisar los archivos dañados
Revisar los usuarios y grupos
Revisar las carpetas compartidas
Revisar los puertos de red abiertos
Revisar y exportar los registros de eventos del sistema
Ejecutar MSCONFIG
Verificar los procesos y servicios activos
Verificar las metas de inicio
Verificar las aplicaciones programadas
Analizar el registro local
Revisar los archivos dañados
Revisar los usuarios y grupos
Revisar las carpetas compartidas
Revisar los puertos de red abiertos
Revisar y exportar los registros de eventos del sistema
Ejecutar MSCONFIG
Cómo recuperarse de un brote del código dañino
Utilice el siguiente proceso para recuperarse de un brote de virus:
Utilice el siguiente proceso para recuperarse de un brote de virus:
Restaure los datos extraviados o dañadosRestaure los datos extraviados o dañados
Elimine o limpie los archivos infectadosElimine o limpie los archivos infectados
Vuelva a conectar sus sistemas de PC a la redVuelva a conectar sus sistemas de PC a la red
Confirme que su sistema de cómputo no tenga código dañinoConfirme que su sistema de cómputo no tenga código dañino
11
33
44
22
Cómo revisar un Análisis posterior a la recuperación
Los pasos para el análisis posteriores de la recuperación incluyen lo siguiente:Los pasos para el análisis posteriores de la recuperación incluyen lo siguiente:
Reunión de revisión posterior al ataqueReunión de revisión posterior al ataque
Actualizaciones posteriores al ataqueActualizaciones posteriores al ataque
Resumen de la sesión
Comprenda que el código dañino le ayudará a implementar una defensa eficaz contra los ataques este tipo de código Comprenda que el código dañino le ayudará a implementar una defensa eficaz contra los ataques este tipo de código
Utilice un enfoque de defensa profunda para protegerse contra el código dañinoUtilice un enfoque de defensa profunda para protegerse contra el código dañino
Fortalezca los PCs cliente al aplicar actualizaciones de seguridad, instalar y mantener una estrategia de software antivirus y restringir los PCs que utilizan la Política de grupo
Fortalezca los PCs cliente al aplicar actualizaciones de seguridad, instalar y mantener una estrategia de software antivirus y restringir los PCs que utilizan la Política de grupo
Organice todas las actualizaciones a través del servidor de prueba antes de implementarlo en producción, para minimizar la interrupción
Organice todas las actualizaciones a través del servidor de prueba antes de implementarlo en producción, para minimizar la interrupción
ISA Server 2004 se puede utilizar para implementar defensas de red, como filtro a nivel de aplicación, filtro de mensajes y cuarentena de la red
ISA Server 2004 se puede utilizar para implementar defensas de red, como filtro a nivel de aplicación, filtro de mensajes y cuarentena de la red
Un plan eficaz de respuesta de recuperación asegurará que si ocurre un ataque de código dañino, su organización puede recuperarse con rapidez con una interrupción mínima
Un plan eficaz de respuesta de recuperación asegurará que si ocurre un ataque de código dañino, su organización puede recuperarse con rapidez con una interrupción mínima
Pasos a seguir
Encuentre eventos adicionales de capacitación sobre seguridad:
http://www.microsoft.com/latam/technet/video/webcast.asp
Inscríbase para recibir comunicados de seguridad:
http://www.microsoft.com/latam/technet/boletin/default.asp
Solicite el kit de orientación de seguridad:
http://www.microsoft.com/security/guidance/order/default.mspx
Obtenga las herramientas y contenido adicional de seguridad:
http://www.microsoft.com/latam/technet/home.asp
Preguntas y respuestas