Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Publicado: 18/08/2006
En esta página
Introducción
Definición
Desafíos
Soluciones
Resumen
Apéndice A: Activos comunes del sistema de información
Apéndice B: Amenazas comunes
Apéndice C Vulnerabilidades
Referencias
Introducción
Bienvenido a este documento de la colección Guías de seguridad para medianas empresas. Microsoft espera que esta información le ayude a crear un entorno informático más seguro y productivo.
Resumen ejecutivo
A medida que el malware o software malintencionado evoluciona y se vuelve más sofisticado, también deben desarrollarse las tecnologías de software y hardware a fin de evitar los ataques y las amenazas de malware.
Las amenazas de malware han resultado muy costosas para las medianas empresas, tanto en las tecnologías de respuesta y defensa de ataques como en las operaciones. Internet ha elevado considerablemente el perfil de las amenazas externas dirigidas a las medianas empresas, al tiempo que las grandes amenazas aún continúan como, por ejemplo, los ataques internos.
Los ataques internos que tienen el mayor potencial de daño se derivan de las actividades del personal interno que ocupan los puestos de mayor confianza, como los administradores de red. Es muy posible que este personal implicado en actividades malintencionadas tengan metas y objetivos específicos, como colocar un caballo de Troya o explorar sin autorización los sistemas de archivos y conservar a la vez un acceso legítimo a los sistemas. Por lo general, el personal interno no tiene intenciones malintencionadas pero podría colocar un software malintencionado al conectar involuntariamente sistemas o dispositivos infectados a una red interna, lo que pondría en peligro la integridad/confidencialidad del sistema o podría afectar al rendimiento, la disponibilidad y/o la capacidad de almacenamiento del sistema.
Los análisis de las amenazas internas y externas han llevado a muchas medianas empresas a investigar sistemas que ayuden a supervisar las redes y a detectar ataques, entre los que se incluyen recursos para ayudar a administrar los riesgos de malware en tiempo real.
Información general
En este documento se proporciona información sobre las estrategias que ayudan a administrar los riesgos de malware en las medianas empresas. El documento se divide en cuatro secciones principales: Introducción, Definición, Desafíos y Soluciones.
Definición
En esta sección se pretende aclarar lo que es un malware (y también lo que no es), sus características y la administración de riesgos.
Desafíos
En esta sección se describen muchos de los desafíos más frecuentes a que se enfrentan las medianas empresas en relación a la administración de riesgos de malware, entre los que se incluyen:
Activos comunes del sistema de información
Amenazas más frecuentes
Vulnerabilidades
Formación de usuarios finales y directivas
Equilibrio entre la administración de riesgos y las necesidades empresariales
Soluciones
En esta sección se proporciona información adicional sobre directivas, enfoques y estrategias entre las que se incluyen:
Directivas físicas y lógicas
Enfoques reactivos y proactivos para la prevención de virus y malware
Estrategias para reducir el malware
En esta sección también se aborda la administración y evaluación de riesgos de malware como parte de las estrategias para prevenir las amenazas de malware. Se proporciona también información sobre las herramientas de supervisión y elaboración de informes diseñadas para explorar, detectar y elaborar informes sobre actividades malintencionadas.
Quién debería leer esta guía
Este documento está dirigido principalmente al personal de TI y administración de las medianas empresas, con la finalidad de ayudarles a comprender las amenazas malintencionadas, a defenderse de dichas amenazas y a responder de forma rápida y adecuada cuando se producen ataques de malware.
Definición
Malware es la abreviación de los términos en inglés "malicious software" (software malintencionado). Se trata de un nombre colectivo que incluye virus, gusanos y caballos de Troya que realizan expresamente tareas malintencionadas en un sistema informático. Técnicamente, un malware es un código malintencionado.
Consideraciones acerca de los diferentes tipos de malware
En las siguientes subsecciones se describen las diferentes categorías de malware.
Ocultación
- Caballo de Troya. Programa que parece útil o inofensivo pero que contiene un código oculto diseñado para aprovechar o dañar el sistema en el que se ejecuta. Los caballos de Troya (también denominados códigos troyanos), por lo general, llegan al usuario a través de mensajes de correo electrónico que provocan una representación equivocada de la funcionalidad y finalidad del programa. Los caballos de Troya realizan esta operación suministrando una tarea o carga malintencionada cuando se ejecutan.
Malware infeccioso
Gusano. Un gusano utiliza un código malintencionado de autopropagación que se puede distribuir automáticamente de un equipo a otro a través de las conexiones de red. Un gusano puede producir daños como el consumo de recursos del sistema local o de la red que posiblemente provoquen un ataque de denegación de servicio. Algunos gusanos se pueden ejecutar y propagar sin la intervención del usuario, mientras que otros necesitan que el usuario ejecute el código de gusano directamente para poder propagarse. Los gusanos también pueden suministrar una carga además de la replicación.
Virus. Un virus utiliza un código escrito con la intención expresa de autorreplicarse. Un virus intenta propagarse de un equipo a otro adjuntándose automáticamente a un programa host. Puede dañar el hardware, el software o los datos. Al ejecutar el host, también se ejecuta el código del virus, infectando nuevos host y, a veces, suministrando una carga adicional.
Malware para beneficios
Spyware. A veces, este tipo de software se conoce como spybot o software de seguimiento. El spyware utiliza otras formas de programas y software engañosos que realizan determinadas actividades en un equipo sin tener el correspondiente consentimiento del usuario. Entre estas actividades se incluyen la recopilación de información personal y el cambio de los parámetros de configuración del explorador de Internet. Además de ser una molestia, el spyware origina una variedad de problemas que van desde la degradación del rendimiento general del equipo a la infracción de la privacidad personal.
Los sitios web que distribuyen spyware utilizan distintos trucos para conseguir que los usuarios los descarguen e instalen en sus equipos. Entre estos trucos se incluye la creación de experiencias de usuario engañosas y la incorporación encubierta de spyware con otros programas que puedan desear los usuarios, como un software de intercambio de archivos gratuito.
Adware. Tipo de software para mostrar publicidad, en especial, determinadas aplicaciones ejecutables cuyo principal propósito es suministrar contenido publicitario de un modo o con un contexto que los usuarios no esperen o deseen. Muchas aplicaciones adware también realizan funciones de seguimiento y, por tanto, también se pueden clasificar como tecnologías de seguimiento. Puede que algunos consumidores deseen eliminar los adware si les molesta realizar tal seguimiento, si no desean ver la publicidad originada por el programa o si no les gustan los efectos que tienen sobre el rendimiento del sistema. Y al contrario, puede que algunos usuarios deseen conservar determinados programas de adware si con su presencia se subvenciona el coste de un servicio o producto deseado o bien si proporcionan una publicidad útil o deseada como, por ejemplo, anuncios que sean competitivos con el que el usuario está buscando o lo complementen.
Para obtener más información, consulte el tema Malware en Wikipedia en http://en.wikipedia.org/wiki/Malware y el tema ¿Qué es Malware? en la Guía de defensa en profundidad antivirus en www.microsoft.com/technet/security/topics/serversecurity/avdind\_2.mspx\#ELF (pueden estar en inglés).
Consideraciones sobre los comportamientos de Malware
Las distintas características que cada categoría de malware puede presentar suelen ser muy similares. Por ejemplo, es posible que tanto un virus como un gusano utilicen la red como mecanismo de transporte. Sin embargo, un virus intentará infectar los archivos mientras que un gusano simplemente intentará copiarse a sí mismo. En la siguiente sección se proporcionan unas breves explicaciones de las características típicas de malware.
Entornos objetivo
Cuando el malware intenta atacar a un sistema host, se requiere un número específico de componentes para que el ataque tenga éxito. Los siguientes componentes son ejemplos típicos de los componentes que puede necesitar el malware para lanzar un ataque contra un host:
Dispositivos. Algunos malware se centrarán específicamente en un tipo de dispositivo, por ejemplo PC, un equipo Apple Macintosh o incluso un asistente digital personal (PDA). Los dispositivos portátiles, como los teléfonos móviles, se están convirtiendo en dispositivos objetivo cada vez más populares.
Sistemas operativos. Puede que se requiera un sistema operativo específico para que el malware sea efectivo. Por ejemplo, el virus Chernobyl o CIH de finales de los 90 sólo podía atacar a equipos con Microsoft® Windows® 95 o Windows 98. Los sistemas operativos más actuales son más seguros. Desgraciadamente, el malware también es cada vez más sofisticado.
Aplicaciones. Puede que malware necesite que haya una aplicación específica instalada en el equipo objetivo para suministrar su carga o replicarse. Por ejemplo, el virus LFM.926 de 2002 sólo podía atacar si podían ejecutarse archivos Shockwave Flash (.swf) en el equipo local.
Objetos portadores
Si el malware es un virus, intentará alcanzar un objeto portador (también conocido como host) para infectarlo. El número y tipo de los objetos portadores objetivo varía mucho entre las diferentes formas de malware. En la siguiente lista se proporcionan ejemplos de los operadores objetivo más comunes:
Archivos ejecutables. Estos operadores son los objetivos del tipo de virus "clásico" que se replica al adjuntarse a un programa host. Además de los archivos ejecutables típicos que utilizan la extensión .exe, los archivos con las siguientes extensiones también se pueden utilizar con dicho fin: .com, .sys, .dll, .ovl, .ocx y .prg.
Scripts. Los ataques que utilizan scripts como operadores se centran en archivos que utilizan un lenguaje de scripting como, por ejemplo, Microsoft Visual Basic® Script, JavaScript, AppleScript o Perl Script. Entre las extensiones de archivos de este tipo se incluyen: .vbs, .js, .wsh y .prl.
Macros. Estos operadores son archivos que admiten un lenguaje de scripting de macros de una aplicación específica como, por ejemplo, una aplicación de procesador de texto, hojas de cálculo o base de datos. Por ejemplo, los virus que utilizan lenguajes de macro en Microsoft Word y Lotus Ami Pro para producir una serie de efectos incluyen desde las travesuras (cambiar el orden de las palabras en un documento o cambiar los colores) hasta los malware (dar formato al disco duro del equipo).
Mecanismos de transporte
Un ataque puede utilizar uno de los muchos métodos diferentes para intentar replicarse entre sistemas informáticos. En esta sección se proporciona información sobre algunos de los mecanismos de transporte más comunes utilizados por un malware.
Medios extraíbles. El trasmisor de virus informáticos y otros malware original y probablemente más prolífico corresponde a la transferencia de archivos (al menos hasta hace poco). Este mecanismo comenzó con los disquetes, después se trasladó a las redes y, en la actualidad, está buscando nuevos medios como los dispositivos USB (bus serie universal) y Firewire. El índice de infección no es tan rápida como con los malware que utilizan la red, aunque la amenaza sigue presente y es difícil de erradicar por completo debido a la necesidad de intercambiar datos entre sistemas.
Recursos compartidos de red. Cuando se proporcionó un mecanismo para que los equipos se conectaran entre sí directamente a través de una red, los creadores de malware encontraron otro mecanismo de transporte que tenía potencial para superar las capacidades de los medios extraíbles a fin de propagar un código malintencionado. Un sistema de seguridad implementado de forma incorrecta en los recursos compartidos de red produce un entorno donde los malware se pueden replicar en un gran número de equipos conectados a la red. Este método ha sustituido en buena parte al método manual de utilizar medios extraíbles.
Redes punto a punto (P2P). Para que se produzcan transferencias de archivos P2P, un usuario debe instalar un componente cliente de la aplicación P2P que vas a utilizar la red.
Para obtener información adicional, consulte la sección "Características de malware" de la Guía de defensa en profundidad antivirus en www.microsoft.com/technet/security/topics/serversecurity/avdind\_2.mspx\#EQAAC (puede estar en inglés).
Lo que no se incluye en la definición de malware
Existe una de amenaza que no se considera malware porque no son programas informáticos creados con mala intención. Sin embargo, estas amenazas sí que pueden tener implicaciones financieras y de seguridad para las medianas empresas. En la siguiente lista se describen algunos de los ejemplos más frecuentes de amenazas que podrían tomarse en consideración y entender cuándo se desarrolla una estrategia de seguridad completa.
Software de virus. Las aplicaciones de simulación de virus están diseñadas para provocar una sonrisa o, a lo sumo, para hacerle perder el tiempo a alguien. Estas aplicaciones existen desde que la gente comenzó a utilizar los equipos. Puesto que no se han desarrollado con mala intención y se identifican claramente como una broma, no se han considerado como malware a los efectos de esta guía. Existen muchos ejemplos de aplicaciones de simulación de virus que provocan de todo, desde interesantes efectos de pantalla hasta divertidos juegos o animaciones.
Falsificaciones. Un ejemplo de falsificación sería un mensaje engañoso que advierte de un virus que en realidad no existe. Al igual que otras formas de malware, las falsificaciones utilizan ingeniería social con la finalidad de intentar engañar a los usuarios de los equipos para que lleven a cabo un determinado acto. Sin embargo, no existe ningún código que ejecutar en la falsificación; el falsificador normalmente sólo intenta engañar a la víctima. Un ejemplo común de falsificación es un mensaje de correo electrónico o una cadena de mensajes de correo que avisa de que se ha descubierto un nuevo tipo de virus y pide que se reenvíe el mensaje para avisar a los amigos. Este tipo de mensajes falsos hace perder el tiempo a la gente, ocupa recursos de servidores de correo electrónico y consume el ancho de banda de la red. Sin embargo, las falsificaciones pueden provocar daños si ordenan al usuario que cambie la configuración del equipo (por ejemplo, que elimine las claves de Registro o los archivos del sistema).
Estafas. Un ejemplo común de estafa es un mensaje de correo electrónico que intenta engañar al destinatario para que revele información personal importante que pueda utilizarse con fines ilegales (por ejemplo, información de cuentas bancarias). Existe un tipo específico de estafa que se conoce como suplantación de identidad (phishing) y que también se conoce como suplantación de marca o carding.
Correo electrónico no deseado. El correo electrónico no deseado es correo electrónico no solicitado que se genera para anunciar algún servicio o producto. Por lo general, este fenómeno resulta molesto, pero no es un malware. No obstante, el drástico aumento del correo no deseado que se envía constituye un problema para la infraestructura de Internet. El correo electrónico no deseado también provoca una pérdida de productividad de los empleados que se ven obligados a ver esos mensajes y a borrarlos todos los días.
Cookies de Internet. Las cookies de Internet son archivos de texto que colocan en el equipo de un usuario los sitios web que éste visita. Las cookies contienen y proporcionan información identificable sobre el usuario a los sitios web que las colocan en su equipo, junto con cualquier información que los sitios deseen retener sobre la visita del usuario.
Las cookies son herramientas legítimas que utilizan muchos sitios web para realizar un seguimiento de la información del visitante. Desgraciadamente, es sabido que algunos desarrolladores de sitios web utilizan las cookies para recopilar información sin que el usuario lo sepa. Es posible que algunos engañen a los usuarios o hagan caso omiso de sus directivas. Por ejemplo, puede que realicen un seguimiento de los hábitos de exploración en la Web en muchos sitios web diferentes sin informar al usuario. De este modo, los desarrolladores de sitios pueden utilizar esta información para personalizar los anuncios que el usuario ve en un sitio web, lo que se considera una invasión de la privacidad.
Para obtener información más detallada sobre los malware y sus características, consulte la Guía de defensa en profundidad antivirus en Microsoft TechNet en www.microsoft.com/technet/security/topics/serversecurity/avdind\_0.mspx (puede estar en inglés).
Consideraciones acerca de la administración de riesgos y malware
Microsoft define la administración de riesgos como el proceso mediante el cual se identifican los riesgos y se determina su impacto.
El hecho de intentar poner en marcha un plan de administración de riesgos de seguridad puede ser una sobrecarga para las medianas empresas. Entre los posibles factores se incluyen la falta de experiencia interna, recursos presupuestarios o instrucciones para subcontratar.
La administración de riesgos de seguridad proporciona un enfoque proactivo que puede ayudar a las medianas empresas a planear sus estrategias contra las amenazas de malware.
Un proceso formal de administración de riesgos de seguridad permite que las medianas empresas trabajen del modo más rentable con un nivel conocido y aceptable de riesgo empresarial. También proporciona una ruta clara y coherente para organizar y dar prioridad a los recursos limitados con el fin de administrar los riesgos.
Para facilitar las tareas de administración de riesgos, Microsoft ha desarrollado la Guía de administración de riesgos de seguridad, que proporciona instrucciones acerca de los siguientes procesos:
Valoración de riesgos. Identificar y establecer la prioridad de los riesgos para la empresa.
Soporte para la toma de decisiones. Identificar y evaluar las soluciones de control que se basan en un proceso de análisis de la relación coste-beneficio definido.
Implementación de controles. Implementar y operar las soluciones de control para ayudar a reducir los riesgos de las empresas.
Cuantificación de la efectividad del programa. Analizar el proceso de administración de riesgos en relación con la eficacia y comprobar que los controles proporcionan el grado de protección esperado.
La información detallada sobre este tema queda fuera del objetivo de este artículo. No obstante, es fundamental comprender el concepto y los procesos para poder planear, desarrollar e implementar una estrategia de solución dirigida a los riesgos de malware. En la siguiente figura se muestran los cuatro procesos principales de la administración de riesgos.
.gif)
Figura 1. Los 4 procesos principales de administración de riesgos
Para obtener más información sobre la administración de riesgos, consulte la Guía de administración de riesgos de seguridad en Microsoft TechNet en http://go.microsoft.com/fwlink/?linkid=30794 (puede estar en inglés).
Desafíos
Los ataques de malware se pueden montar a través de diferentes vectores o métodos de ataque en un punto débil específico. Es recomendable que la medianas empresas realicen una valoración de riesgos que no sólo determine sus perfiles de vulnerabilidad, sino que también ayude a determinar el nivel de riesgo aceptable para una determinada compañía. Las medianas empresas necesitan desarrollar estrategias que ayuden a reducir los riesgos de malware.
Entre los desafíos para reducir los riesgos de malware en una mediana empresa se incluyen los siguientes:
Activos comunes del sistema de información
Amenazas comunes
Vulnerabilidades
Formación de usuarios
Equilibrio entre la administración de riesgos y las necesidades empresariales
Activos comunes del sistema de información
La seguridad de los sistemas de información proporciona la información fundamental para ayudar a administrar la seguridad de las medianas empresas. Los activos comunes del sistema de información se refieren tanto a los aspectos lógicos como físicos de la compañía. Pueden ser servidores, estaciones de trabajo, software y licencias.
Los activos comunes del sistema de información son los datos de contacto empresarial de los empleados, los equipos portátiles, los enrutadores, los datos de recursos humanos, los planes estratégicos, los sitios web internos y las contraseñas de los empleados. Se proporciona una lista extensa en el "Apéndice A: Activos comunes del sistema de información" al final de este documento.
Amenazas comunes
Algunos métodos a través de los cuales el malware puede poner en peligro a la mediana empresa a veces se denominan vectores de amenaza y representan las áreas que requieren más atención a la hora de diseñar una solución efectiva para ayudar a reducir los riesgos de malware. Entre las amenazas más frecuentes se incluyen los desastres naturales, los errores mecánicos, las personas malintencionadas, los usuarios desinformados, la ingeniería social, el código para dispositivos móviles malintencionado y los empleados descontentos. Este amplio abanico de amenazas constituyen un desafío no sólo para las medianas empresas, sino también para las empresas de cualquier dimensión.
En el "Apéndice B: Amenazas comunes" al final de este documento se proporciona una amplia lista de las amenazas que posiblemente afecten a las medianas empresas.
Vulnerabilidades
Las vulnerabilidades representan las deficiencias en las directivas y procedimientos de seguridad de los sistemas de TI, controles administrativos, diseños físicos y otras áreas que pudieran aprovechar las amenazas para obtener acceso no autorizado a la información o irrumpir en los procesos críticos. Las vulnerabilidades son tanto físicas como lógicas. Incluyen los desastres naturales, los errores mecánicos, las configuraciones incorrectas de software y los errores humanos. En el "Apéndice C: Vulnerabilidades" al final de este documento se proporciona una amplia lista de las vulnerabilidades que posiblemente afecten a las medianas empresas.
Formación de usuarios
Con respecto a la seguridad de la información lógica y física, la mayor vulnerabilidad no reside necesariamente en los problemas de software o de los equipos, sino en los usuarios de los equipos. Los empleados cometen errores terribles, como anotar sus contraseñas en lugares visibles, descargar y abrir datos adjuntos de correo electrónico que pueden contener virus y dejar el equipo encendido por la noche. Puesto que las acciones humanas pueden afectar seriamente la seguridad del equipo, la formación de los empleados, el personal de TI y la administración debería ser una prioridad. Igualmente importante es que el personal desarrolle buenos hábitos de seguridad. Estos enfoques son sencillamente más rentables para las empresas a largo plazo. La formación debería ofrecer a los usuarios recomendaciones para evitar actividades malintencionadas y educarlos en relación con las posibles amenazas y el modo de evitarlas. Entre las prácticas de seguridad que los usuarios deberían tener en cuenta se incluyen las siguientes:
No responder nunca a un correo electrónico en el que se solicite información personal o financiera.
No proporcionar nunca las contraseñas.
No abrir archivos adjuntos de mensajes de correo electrónico sospechosos.
No responder a ningún correo electrónico no deseado o sospechoso.
No instalar aplicaciones no autorizadas.
Bloquear los equipos cuando no se estén utilizando mediante una contraseña que proteja el protector de pantalla o mediante el cuadro de diálogo CTRL-ALT-SUPR.
Habilitar un firewall.
Utilizar contraseñas seguras en los equipos remotos.
Directivas
Las directivas escritas y los procedimientos aceptados son necesarios para ayudar a reforzar las prácticas de seguridad. Para que sean eficaces, todas las directivas de TI deberían incluir el apoyo de los miembros del equipo ejecutivo y proporcionar un mecanismo de aplicación, una manera de informar a los usuarios y un modo de formarlos. Los ejemplos de directivas pueden tratar los siguientes temas:
Cómo detectar malware en un equipo.
Cómo informar sobre infecciones sospechosas.
Lo que los usuarios pueden hacer para ayudar a los controladores de incidentes como, por ejemplo, la última acción que realizó un usuario antes de que se infectara el sistema.
Procesos y procedimientos para solucionar el sistema operativo y las vulnerabilidades de las aplicaciones que el malware pueda utilizar.
Administración de revisiones, aplicación de guías de configuración de seguridad y listas de comprobación.
Equilibrio entre administración de riesgos y necesidades empresariales.
La inversión en procesos de administración de riesgos ayuda a preparar a las medianas empresas para articular las prioridades, planear la solución de amenazas y tratar la próxima amenaza o vulnerabilidad de la empresa.
Las limitaciones presupuestarias pueden estipular los gastos en seguridad de TI, pero una metodología de administración de riesgos bien estructurada, si se utiliza de forma eficaz, puede ayudar al equipo ejecutivo a identificar de forma adecuada los controles para proporcionar las capacidades de seguridad para misiones fundamentales.
Las medianas empresas deben valorar el delicado equilibrio que existe entre la administración de riesgos y las necesidades empresariales. Las siguientes preguntas pueden resultar útiles a la hora de realizar un balance de la administración de riesgos y las necesidades empresariales:
¿Debe la compañía configurar sus sistemas o debe hacerlo el proveedor de hardware o software? ¿Cuál sería el coste?
¿Se debe utilizar equilibrio de carga o una organización por clústeres para garantizar una alta disponibilidad de las aplicaciones? ¿Qué se necesita para poner en marcha estos mecanismos?
¿Es necesario un sistema de alarma para la sala del servidor?
¿Se deben utilizar sistemas de clave electrónica para el edificio o la sala del servidor?
¿Cuál es el presupuesto de la compañía para los sistemas informáticos?
¿Cuál es el presupuesto de la compañía para el mantenimiento y el soporte tecnológico?
¿Qué cantidad de dinero calcula que se ha gastado la compañía en sistemas informáticos (mantenimiento de hardware/software) durante el último año?
¿Cuántos equipos hay en el departamento principal de la compañía? ¿Tiene un inventario del software y hardware informático?
¿Es su antiguo sistema lo suficientemente potente como para ejecutar la mayoría de los programas que necesita ejecutar?
¿Cuántos equipos nuevos o actualizados calcula que necesitaría? ¿Cuántos sería lo óptimo?
¿Cada usuario necesita una impresora?
Para obtener más información sobre la administración de riesgos, consulte la Guía de administración de riesgos de seguridad en http://go.microsoft.com/fwlink/?linkid=30794 (puede estar en inglés).
Soluciones
En esta sección se explican las diferentes estrategias para ayudar a administrar los riesgos de malware entre los que se incluyen los enfoques proactivos y reactivos para directivas lógicas, físicas y malware. También se abordarán los métodos de validación, como las herramientas de elaboración de informes y la supervisión.
Desarrollo de estrategias para reducir el malware
A la hora de desarrollar estrategias para reducir el malware es importante definir los puntos clave operativos necesarios en que se puede implementar la prevención y/o detección de malware. Cuando se trata de administrar riesgos de malware no se dependerá únicamente de un sólo dispositivo o tecnología como única línea de defensa. Los métodos preferidos deberían incluir un enfoque de niveles mediante mecanismos proactivos y reactivos a través de la red. Los software antivirus desempeñan un papel fundamental en este tema; aunque no deberían ser el único instrumento utilizado para determinar los ataques de malware. Para obtener más información sobre los enfoques de niveles, consulte la sección "Enfoque de la defensa de malware" en la Guía de defensa en profundidad antivirus en www.microsoft.com/technet/security/topics/serversecurity/avdind\_3.mspx\#E1F (puede estar en inglés).
Más adelante se abordarán en detalle los siguientes puntos clave operativos:
Valoración de riesgos de malware
Seguridad física
Seguridad lógica
Procedimientos y directivas proactivas frente a reactivas
Implementación y administración
Valoración de riesgos de malware
Para valorar los riesgos de malware, las medianas empresas tienen que ser conscientes de los tipos de ataques más vulnerables ante las amenazas. ¿Cómo y en qué medida están protegidos? Deberían tenerse en cuenta las siguientes preguntas:
¿Tiene la compañía un firewall instalado?
Los firewalls son una parte importante del perímetro de defensa. Un firewall de red normalmente sirve como primera línea de defensa frente a las amenazas externas dirigidas a los sistemas informáticos, redes e información importante de una compañía. Las medianas empresas deben tener algún tipo de firewall implementado, ya sean firewalls de software o hardware.
¿Dispone la compañía de una función de análisis de detección de vulnerabilidad interna o externa? ¿Cómo se analiza la información detectada?
Se recomienda utilizar una herramienta como Microsoft Baseline Security Analyzer (MBSA) para detectar las vulnerabilidades o configuraciones incorrectas. También es posible subcontratar el proceso de análisis de vulnerabilidad de seguridad mediante la contratación de proveedores externos a fin de valorar el entorno de seguridad y proporcionar sugerencias para mejorar lo que se considere necesario.
Nota MBSA es una herramienta sencilla diseñada para los profesionales de TI que contribuyen a que las pequeñas y medianas empresas determinen su estado de seguridad conforme a las recomendaciones de seguridad de Microsoft. También ofrece instrucciones específicas de reparación. Mejore los procesos de administración de seguridad mediante MBSA para detectar las configuraciones incorrectas de seguridad más comunes y las actualizaciones de seguridad que faltan en el sistema informático.
¿Hay en marcha algún plan de la evaluación de recuperación y copias de seguridad?
Asegúrese de que existen planes de copia de seguridad y de que el servidor de copia de seguridad funciona de forma eficaz.
¿Cuántos tipos de software antivirus tiene la compañía? ¿Se ha instalado el antivirus en todos los sistemas?
Depender de una única plataforma antivirus puede exponer a la compañía a riesgos, ya que cada paquete tiene sus propios puntos fuertes y débiles.
¿La compañía dispone de una red inalámbrica implementada? Si es así, ¿se ha configurado correctamente y habilitado la seguridad en la red inalámbrica?
Incluso si una red con cables es completamente segura, una red inalámbrica insegura puede introducir un nivel de riesgo no aceptable en un entorno que, de lo contrario, sería seguro. Los antiguos estándares sobre sistemas inalámbricos, como WEP, se ponen en peligro fácilmente, por lo que debe realizarse una investigación para garantizar que se ha puesto en marcha la solución de seguridad inalámbrica más apropiada.
¿Los empleados han recibido formación sobre cómo evitar los malware? ¿Han recibido formación sobre el tema de riesgos de malware?
La forma más común de propagación de malware implica algún tipo de ingeniería social; y la defensa más eficaz contra las amenazas a la ingeniería social es la formación.
¿Existe alguna directiva escrita sobre cómo impedir o gestionar las amenazas de malware? ¿Cada cuánto se revisa esa directiva? ¿Se aplica? ¿El personal cumple con la directiva?
Asegúrese de que los usuarios reciben formación sobre cómo evitar las amenazas y sobre la prevención de malware. Es muy importante tener toda esta información documentada. Debe existir y reforzarse una directiva escrita pertinente respecto a los procedimientos y la información anterior. Se deben realizar revisiones de esta directiva cuando se producen cambios a fin de garantizar la eficacia y la validez de las directivas indicadas.
Seguridad física
La seguridad física conlleva la restricción del acceso a los equipos con la finalidad de evitar alteraciones, robos, errores humanos y los subsiguientes tiempos de inactividad que provocan estas acciones.
Aunque la seguridad física es más bien un tema de seguridad general que un problema específico de malware, es imposible protegerse contra el malware sin un plan de defensa física eficaz para todos los dispositivos de clientes, servidores y redes dentro de la infraestructura de una organización.
En la siguiente lista se incluyen los elementos más importantes que hay que tener en cuenta para lograr un plan de defensa física eficaz:
Seguridad del edificio. ¿Quién tiene acceso al edificio?
Seguridad del personal. ¿Cuáles son las restricciones del derecho de acceso de un empleado?
Puntos de acceso a redes. ¿Quién tiene acceso a los equipos en red?
Equipos del servidor. ¿Quién tiene derechos de acceso a los servidores?
Equipos de la estación de trabajo. ¿Quién tiene derechos de acceso a las estaciones de trabajo?
Si cualquiera de estos elementos está en peligro, hay más riesgo de que un malware eluda los límites de defensa interna y externa para infectar un host de la red. La protección del acceso a las instalaciones y a los sistemas informáticos debería ser un elemento fundamental de las estrategias de seguridad.
Para obtener información más detallada, consulte el artículo "Asesor de seguridad en 5 minutos: seguridad física básica" en Microsoft TechNet en www.microsoft.com/technet/archive/community/columns/security/5min/5min-203.mspx (puede estar en inglés).
Seguridad lógica
Las medidas de protección de software para sistemas de información en medianas empresas incluyen el acceso mediante contraseña e Id. de usuario, la autenticación y los derechos de acceso; todo ello es crucial para la administración de riesgos de malware. Estas medidas de protección ayudan a garantizar que sólo los usuarios autorizados pueden realizar acciones o tener acceso a información de una particular estación de trabajo o servidor en la red. Los administradores deben garantizar que los sistemas están configurados de forma coherente con la función de trabajo del usuario del equipo. La configuración de estas medidas de protección puede tener en cuenta lo siguiente:
Limitación de programas o utilidades sólo para aquellos que lo necesiten por su puesto.
Aumento de controles en directorios claves del sistema.
Aumento de los niveles de auditoría.
Uso de directivas de menor privilegio.
Limitación del uso de medios extraíbles, como los disquetes.
¿A quién se le concederán derechos administrativos para el servidor de copia de seguridad, los servidores de correo y los servidores de archivos?
¿Quién deberá tener acceso a las carpetas de recursos humanos?
¿Qué derecho de privilegio se dará a las carpetas interdepartamentales?
¿Van a utilizar una misma estación de trabajo diferentes usuarios? Si es así, ¿qué nivel de acceso se les va a dar? ¿Los usuarios están autorizados para instalar aplicaciones de software en sus estaciones de trabajo?
Los Id. de usuario, los Id. de inicio de sesión o cuentas y los nombres de usuarios son identificadores personales únicos de los usuarios de una red o programa informático al que puede tener acceso más de un usuario. La autenticación es el proceso para comprobar si una entidad u objeto es quien dice ser o lo que dice ser. Los ejemplos incluyen la confirmación de la fuente e integridad de la información como, por ejemplo, la comprobación de una firma digital de un usuario o equipo. Para mejorar la seguridad, se recomienda que todas las cuentas de inicio de sesión tengan datos de autenticación de contraseña secreta empleadas para controlar el acceso a un recurso o un equipo. Una vez que el usuario pueda iniciar sesión en la red, se deben definir los derechos de acceso adecuados. Por ejemplo, un determinado usuario puede tener acceso a una carpeta de recursos humanos, pero sólo tendrá acceso de lectura y no podrá realizar ningún cambio.
Otros temas de seguridad lógica incluyen:
Instrucciones sobre contraseñas, como la complejidad o el vencimiento de contraseñas.
Copia de seguridad de software y datos.
Información confidencial/datos importantes: uso de cifrado donde sea necesario.
Se deben proporcionar funciones de autorización y autenticación adecuadas, correspondientes a un nivel de riesgo aceptable y un uso adecuado. La atención se debe centrar tanto en los servidores como en las estaciones de trabajo. Todos los elementos de seguridad lógica anteriormente mencionados deberán estar redactados con claridad, se deberán aplicar y deberán estar disponibles para toda la compañía como puntos de referencias.
Procedimientos y directivas proactivas frente a reactivas
Se utilizan dos enfoques básicos para ayudar a administrar el riesgo de malware: proactivo y reactivo. Los enfoques proactivos incluyen todas la medidas que se toman con el objetivo de evitar que los ataques que se basan en redes o host consigan poner en peligro a los sistemas. Los enfoques reactivos son aquellos procedimientos que utilizan las medianas empresas una vez que descubren que sus sistemas se han puesto en peligro debido a un programa de ataque o un intruso como el caballo de Troya u otro malware.
Enfoques reactivos
Si se ha puesto en peligro la seguridad de un sistema o red, es necesario un proceso de respuesta a incidentes. Una respuesta a incidentes es el método de investigación de un problema, análisis de la causa, minimización del impacto, solución del problema y documentación de cada paso de la respuesta para referencia posterior.
Al igual que todas las compañías toman medidas para evitar futuras pérdidas empresariales, también tienen en marcha planes para responder a dichas pérdidas en caso de que las medidas proactivas no fueran eficaces o no existieran. Los métodos reactivos incluyen los planes de recuperación de desastres, la reinstalación de sistemas operativos y aplicaciones en los sistemas en peligro y el cambio a sistemas alternativos en otras ubicaciones. Tener un conjunto de respuestas reactivas adecuadas preparadas y listas para implementar es tan importante como tener en marcha medidas proactivas.
En el siguiente diagrama jerárquico de respuestas reactivas se muestran los pasos para gestionar los incidentes de malware. En el siguiente texto se proporciona información adicional sobre estos pasos.
.gif)
Figura 2. Jerarquía de respuestas reactivas
Protección de la vida humana y de la seguridad de las personas. Si los equipos afectados incluyen sistemas de mantenimiento de vida, puede que apagarlos no sea una opción. Quizá se podrían aislar lógicamente dichos sistemas en la red, cambiando la configuración de los enrutadores y conmutadores sin interrumpir la capacidad de asistir a los pacientes.
Contención del daño. La contención del daño causado por el ataque ayuda a limitar los daños adicionales. Protección inmediata de hardware, software y datos importantes.
Valoración del daño. Realice inmediatamente un duplicado de los discos duros de cualquier servidor que haya sido atacado y ponga dichos servidores aparte para un posterior análisis de investigación. A continuación valore el daño.
Determinación de la causa del daño. Para determinar el origen del ataque es necesario conocer los recursos a los que iba dirigido el ataque y las vulnerabilidades que se utilizaron para obtener acceso o interrumpir los servicios. Revise la configuración del sistema, el nivel de revisión, los registros del sistema, los registros de auditorías y las pistas de auditorías en los sistemas directamente afectados, así como en los dispositivos de redes que enrutan el tráfico.
Reparación del daño. Es muy importante que se repare el daño tan rápidamente como sea posible para restablecer las operaciones empresariales habituales y recuperar cualquier dato que se haya perdido durante el ataque.
Revisión de las directivas de actualización y respuesta. Una vez finalizadas las fases de recuperación y documentación, las directivas de actualización y respuesta deberían revisarse por completo.
¿Qué se debe hacer si los sistemas de la red están infectados con virus? En la siguiente lista se incluyen ejemplos de un enfoque reactivo:
Asegurarse de que el firewall funciona. Obtener un control positivo sobre el trafico entrante y saliente de los sistemas de la red.
Tratar primero los más sospechosos. Limpiar las amenazas de malware más comunes y, a continuación, comprobar si hay amenazas desconocidas.
Aislar el sistema infectado. Dejarlo fuera de la red y de Internet. Impedir que la infección se propague a otros sistemas de la red durante el proceso de limpieza.
Investigar técnicas de limpieza y control de brotes.
Descargar las últimas definiciones de virus de los proveedores de software antivirus.
Garantizar que los sistemas de antivirus se han configurado para explorar todos los archivos.
Ejecutar una exploración completa del sistema.
Restaurar los datos dañados o perdidos.
Eliminar o limpiar los archivos infectados.
Confirmar que los sistemas informáticos no contienen malware.
Volver a conectar los sistemas informáticos a la red.
Nota es importante garantizar que todos los sistemas informáticos ejecutan software antivirus recientes y que se ejecutan procesos automatizados para actualizar regularmente las definiciones de virus. Es especialmente importante actualizar el software antivirus en los equipos portátiles que utilicen los trabajadores móviles.
Mantener una base de datos o registro que realice un seguimiento de las revisiones que se han aplicado a los sistemas más importantes de la compañía: sistemas accesibles desde Internet, firewalls, enrutadores internos, bases de datos y servidores de la oficina.
Enfoques proactivos
Un enfoque proactivo para la administración de riesgos presenta muchas ventajas con respecto al enfoque reactivo. En vez de esperar a que surjan los problemas y reaccionar a posteriori, se puede minimizar la posibilidad de que ocurran. Se deben realizar planes para proteger los activos importantes de la organización mediante la implementación de controles que reduzcan el riesgo de que el malware utilice las vulnerabilidades.
Un enfoque proactivo eficaz puede ayudar a que las medianas empresas reduzcan el número de incidentes de seguridad que surjan en el futuro, aunque no es probable que estos problemas desaparezcan por completo. Por lo tanto, deben continuar mejorando los procesos de respuesta a incidentes a la vez que se desarrollan enfoques proactivos a largo plazo. En la siguiente lista se incluyen algunos ejemplos de medidas proactivas que pueden ayudar a administrar los riesgos de malware.
Aplicar los últimos firmware a sistemas de hardware y enrutadores según recomiendan los proveedores.
Aplicar las últimas revisiones de seguridad a las aplicaciones de servidor u otras aplicaciones.
Suscribirse a las listas de correo electrónico de proveedores relativas a la seguridad y aplicar las revisiones cuando se recomienden.
Asegurarse de que todos los sistemas informáticos de Microsoft ejecutan software antivirus recientes.
Asegurarse de que los procesos automatizados que se ejecutan actualizan regularmente las definiciones de virus.
Nota Es especialmente importante actualizar el software antivirus en los equipos portátiles que utilicen los trabajadores móviles.
Mantener una base de datos que realice un seguimiento de las revisiones que se han aplicado.
Revisar los registros de seguridad.
Habilitar firewalls basados en host o perímetro.
Utilizar un escáner de vulnerabilidad como Microsoft Baseline Security Analyzer para detectar las configuraciones incorrectas de seguridad más comunes y las actualizaciones de seguridad que faltan en los sistemas informáticos.
Utilizar cuentas de usuario de menor privilegio (LUA). Si se ponen en peligro los procesos de menor privilegios, causarán menos daño que los procesos de mayor privilegio. Por consiguiente, si se utiliza una cuenta que no es de administrador en lugar de una de administrador cuando se completan las tareas diarias, se ofrece una protección adicional al usuario frente a una infección desde un host de malware, ataques de seguridad internos o externos, modificaciones intencionadas o accidentales en la configuración e instalación del sistema y acceso intencionado o accidental a los documentos o programas confidenciales.
Aplicar directivas de contraseña segura. Las contraseñas seguras reducen la probabilidad de que un atacante que utiliza la fuerza bruta adquiera más privilegios. Normalmente las contraseñas seguras tienen las siguientes características:
15 o más caracteres.
Nunca contienen nombres de cuentas, nombres reales o nombres de compañía de ninguna forma.
Nunca contienen una palabra completa, jerga u otro término que se pueda buscar fácilmente.
Son considerablemente diferentes en contenido a contraseñas anteriores y no están incrementadas.
Utilizan por lo menos tres de los siguientes tipos de caracteres:
Mayúsculas (A, B, C...)
Minúsculas (a, b, c...)
Números (0, 1, 2...)
Símbolos no alfanuméricos (@, &, $...)
Caracteres Unicode (€, ƒ, λ...)
Para obtener más información sobre las directivas de contraseñas, consulte el tema “Prácticas recomendadas para contraseñas” en Microsoft TechNet en http://technet2.microsoft.com/WindowsServer/en/Library/e903f7a2-4def-4f5f-9480-41de6010fd291033.mspx?mfr=true (puede estar en inglés).
Defensa en profundidad
Un enfoque proactivo para la administración de riesgos de malware en un entorno de mediana empresa debería incluir el uso de un enfoque de defensa en profundidad en niveles para ayudar a proteger los recursos de las amenazas externas e internas. La defensa en profundidad (a veces conocida como seguridad en profundidad o seguridad multinivel) se utiliza para describir la distribución por niveles de las contramedidas de seguridad para formar un entorno de seguridad unificado sin un solo punto de error. Los niveles de seguridad que forman la estrategia de defensa en profundidad deben incluir la implementación de medidas proactivas desde los enrutadores externos hasta la ubicación de los recursos y a todos los puntos intermedios. La implementación de varios niveles de seguridad ayuda a garantizar que si un nivel está en peligro, el resto de niveles proporcionará la seguridad necesaria para proteger los recursos.
Esta sección aborda el modelo de seguridad de defensa en profundidad que es un excelente punto de partida para comprender este concepto. Este modelo identifica siete niveles de defensa de seguridad diseñados para garantizar que cualquier intento de poner en peligro la seguridad de las medianas empresas se topará con un sólido conjunto de defensas. Cada conjunto puede ayudar a detectar los ataques en niveles muy distintos.
Se pueden modificar las definiciones detalladas de cada nivel en función de los diferentes requisitos y prioridades de seguridad de las compañías. En la siguiente figura se presentan los distintos niveles del modelo de defensa en profundidad.
.gif)
Figura 3. Modelo de seguridad de defensa en profundidad
Datos. Los riesgos en el nivel de datos surgen por las vulnerabilidades que un atacante pudiera haber utilizado para obtener acceso a los datos de configuración, datos de la organización o cualquier dato exclusivo de un dispositivo que utilice la organización.
Aplicación. Los riesgos en el nivel de aplicación surgen por las vulnerabilidades que un atacante pudiera haber utilizado para obtener acceso a las aplicaciones que se ejecutan. Cualquier código ejecutable que un creador de malware pueda empaquetar fuera del sistema operativo podría servir para atacar un sistema.
Host. Normalmente este nivel es el objetivo de los proveedores que proporcionan paquetes de servicios y revisiones para hacer frente a las amenazas de malware. Los riesgos en este nivel surgen por los atacantes que utilizan las vulnerabilidades de los servicios que ofrece el dispositivo o host.
Red interna. Los riesgos en las redes internas de las empresas afectan en buena parte a los datos importantes transmitidos a través de redes de este tipo. Los requisitos de conectividad para las estaciones de trabajo de los clientes en estas redes internas conllevan una serie de riesgos.
Red perimetral. Los riesgos asociados al nivel de red perimetral surgen porque un atacante obtiene acceso a las redes de área extensa (WAN) y los niveles de rede que conectan.
Seguridad física. Los riesgos en el nivel físico surgen porque un atacante obtiene acceso físico a un activo físico.
Directivas, procedimientos y concienciación. Las medianas empresas necesitan poner en marcha procedimientos y directivas en torno a todos los niveles del modelo de seguridad para cumplir y mantener los requisitos de cada nivel.
Los niveles de datos, aplicación y host se pueden combinar en dos estrategias de defensa para ayudar a proteger a los clientes y servidores de las compañías. Aunque estas defensas comparten una serie de estrategias comunes, existe suficientes diferencias a la hora de implementar las defensas de servidores y clientes como para garantizar un enfoque de defensa único para cada una de ellas.
El nivel perimetral y el de red interna también se pueden combinar en una estrategia de defensas de red común porque las tecnologías implicadas son las mismas para los dos niveles. Los detalles de implementación variarán en cada nivel en función de la posición de los dispositivos y las tecnologías en la infraestructura de la organización. Para obtener más información sobre el modelo de defensa en profundidad, consulte el "Capítulo 2: Amenazas de malware" de la Guía de defensa en profundidad antivirus en http://go.microsoft.com/fwlink/?LinkId=50964 (puede estar en inglés).
Implementación y administración
Las estrategias para la administración de riesgos de malware pueden abarcar todas las tecnologías y enfoques abordados hasta ahora en este documento. Se recomienda implementar un software antivirus adecuado y fiable en todos los sistemas. Windows Defender, una herramienta de Microsoft que le ayuda a seguir siendo productivo mediante la protección del equipo contra los elementos emergentes, las amenazas de seguridad y la reducción de rendimiento causadas por spyware u otro software potencialmente no deseado, debe utilizarse junto con un software antivirus. De hecho, deberían implementarse tan pronto como sea posible después de instalar el sistema operativo. Se deben aplicar las últimas revisiones de software antivirus inmediatamente y se deben configurar para mantener la eficacia a la hora de detectar y detener los malware. Puesto que no es aconsejable depender de un único enfoque como solución de seguridad total, los firewalls, puertas de enlace, detecciones de intrusión y otras tecnologías de soluciones de seguridad de las que se han hablado en secciones anteriores deberían consolidarse en combinación con el software antivirus.
En esta sección se abordará la validación, supervisión y elaboración de informes y las tecnologías disponibles.
Validación
Una vez estudiados e implementados los enfoques y las tecnologías que se han identificado anteriormente para la administración de riesgos de malware, ¿de qué modo se puede garantizar que se están implementando de forma eficaz?
Para validar una solución propuesta, utilice las siguientes herramientas que ayudan a validar el entorno del sistema y de la red:
Antivirus. Explore todos los sistemas en busca de virus mediante un software antivirus con las definiciones de archivos de firmas más recientes.
Windows Defender. A través de Windows Defender, explore todos los sistemas en busca de spyware y otros software posiblemente no deseados.
Microsoft Baseline Security Analyzer (MBSA). Explore todos los sistemas con MBSA para identificar los errores de configuración de seguridad más frecuentes. Puede obtener más información en el sitio web de Microsoft Baseline Security Analyzer en http://go.microsoft.com/fwlink/?linkid=17809 (puede estar en inglés).
Además, se deben comprobar y verificar todas la cuentas creadas recientemente con permisos de acceso adecuado para garantizar que funcionan correctamente.
Una vez que se han validado las estrategias y las tecnologías implementadas, se deben aplicar revisiones de software y hardware cuando sea necesario para lograr una eficacia de seguridad continua. Los usuarios, y especialmente el personal de TI, deben siempre estar al día de las últimas actualizaciones.
Supervisión y elaboración de informes
La supervisión continua de los dispositivos de la red es fundamental parar ayudar a detectar los ataques de malware. La supervisión puede ser un proceso complejo. Requiere una recopilación de información de numerosas fuentes (por ejemplo registros de firewalls, enrutadores, conmutadores y usuarios) para recopilar una línea base de comportamiento "normal" que pueda utilizarse para identificar un comportamiento anormal.
Las estrategias de supervisión y elaboración de informes de malware en entornos de mediana empresa deben incluir tecnologías y formación de usuarios.
Por tecnologías nos referimos a las tecnologías de hardware y software que ayudan a que las medianas empresas supervisen y realicen informes sobre actividades malintencionadas y respondan en consecuencia. Por formación nos referimos a los programas de concienciación que incluyen instrucciones para los usuarios acerca de la prevención de incidentes malintencionados, la capacidad para eludirlos y el modo de elaborar informes correctamente.
Tecnologías
Es posible automatizar un sistema de supervisión de alerta de manera que se pueda informar de una sospecha de infección de malware a una ubicación central o punto de contacto adecuado que, a su vez, pueda informar a los usuarios sobre cómo actuar. Un sistema de alerta automatizado minimizaría el tiempo de espera entre una alerta inicial y el momento en que los usuarios toman conciencia de la amenaza de malware, pero el problema con este enfoque es que puede generar alertas "positivas falsas". Si nadie filtra las alertas y revisa una lista de comprobación de informes de actividades inusuales, es probable que las alertas adviertan de un malware inexistente. Esta situación puede conducir a la autocomplacencia, ya que los usuarios se insensibilizarán rápidamente a las alertas que se generen con demasiada frecuencia.
Puede resultar útil asignar a miembros del equipo de administración de red la responsabilidad de recibir todas las alertas de malware automatizadas procedentes de todos los paquetes de antivirus o de software de supervisión del sistema que utiliza la compañía. El equipo o individuo responsable podrá filtrar las alertas positivas falsas de los sistemas automatizados antes de enviar las alertas a los usuarios.
Se recomienda revisar y actualizar constantemente las alertas de soluciones de malware. Todos los aspectos de protección de malware son importantes, desde las simples descargas de firmas de virus automatizadas hasta realizar cambios en la directiva de operaciones. Aunque ya se han mencionado algunas de las siguientes herramientas, resultan esenciales para la administración de seguridad, supervisión y elaboración de informes:
Network Intrusion Detection (NID). Debido a que la red perimetral es una parte altamente expuesta de la red, es de vital importancia que los sistemas de administración de red puedan detectar los ataques y responder lo antes posible.
Microsoft Baseline Security Analyzer (MBSA) Mejore los procesos de administración de seguridad con MBSA para detectar las configuraciones de seguridad incorrectas más comunes y las actualizaciones de seguridad que faltan en los sistemas informáticos.
Escáner de firmas de antivirus. Actualmente la mayoría de los programas de software antivirus utilizan esta técnica, lo que implica buscar el objetivo (equipo host, unidad de disco o archivos) de un patrón que pueda representar el malware.
Escáneres de puertas de enlace SMTP. Estas soluciones de examen de correo electrónico basadas en SMTP (protocolo simple de transferencia de correo) se suelen conocer como soluciones de puertas de enlace de antivirus. Tienen la ventaja de trabajar con todos los servidores de correo electrónico SMTP en lugar de estar atado a un producto de servidor de correo electrónico específico.
Archivos de registro. Archivos que enumeran los detalles de los accesos a archivos que se almacenan y guardan en un servidor. El análisis de los archivos de registro puede revelar datos útiles sobre el tráfico del sitio web.
Visor de sucesos. Herramienta administrativa que informa de errores y otros sucesos como, por ejemplo, errores del controlador, errores de archivo, inicios de sesión y cierres de sesión.
Microsoft Windows Defender. Programa que ayuda a proteger el equipo frente a los elementos emergentes, la reducción del rendimiento y las amenazas de seguridad causadas por spyware u otro software no deseado. Ofrece protección en tiempo real, un sistema de supervisión que recomienda acciones frente a spyware cuando lo detecta y una nueva interfaz optimizada que minimiza las interrupciones y ayuda a los usuarios a mantener su productividad.
Utilice la protección de seguridad dinámica de Internet Explorer 7.
Entre las herramientas adicionales recomendadas que ayudan a explorar y aplicar las últimas actualizaciones o soluciones se incluyen:
Microsoft Windows Server Update Services (WSUS) proporciona una solución global para las actualizaciones de administración en la red de las medianas empresas.
Microsoft Systems Management Server 2003 SP 1 proporciona una solución global para la administración de la configuración y los cambios de la plataforma Microsoft, posibilitando que las organizaciones proporcionen actualizaciones y software significativos a los usuarios de forma rápida y rentable.
Considere suscribirse a cualquier revisión nueva que se aplique a su organización. Para recibir estas notificaciones de forma automática, puede suscribirse a los boletines de seguridad de Microsoft en http://go.microsoft.com/fwlink/?LinkId=21723.
Formación de usuarios
Como ya se ha mencionado en una sección anterior de este documento, todos los usuarios deben recibir formación acerca de los malware y sus características, la gravedad de sus amenazas potenciales, las técnicas de evasión y la formas de propagación de los malware y los riesgos que éstos conllevan. La formación de usuarios también debe incluir la concienciación de las directiva y procedimientos que se aplican a la administración de incidentes de malware como, por ejemplo, cómo detectar un malware en un equipo, cómo informar de infecciones sospechosas y lo que pueden hacer los propios usuarios para ayudar a los administradores de incidentes. Las medianas empresas deberían realizar sesiones de formación sobre estrategias para administrar los riesgos de malware dirigidas al personal de TI implicado en la prevención de incidentes de malware.
Resumen
El malware es un área compleja y en constante evolución de la tecnología informática. De todos los problemas que se han encontrado en la TI, pocos son tan frecuentes y constantes como los ataques de malware y los costes asociados a combatirlos. Si se comprende cómo funcionan, cómo evolucionan en el tiempo y los tipos de ataques que utilizan, es posible ayudar a las medianas empresas a tratar el problema de forma proactiva y crear procesos reactivos más eficaces y eficientes. El malware utiliza tantas técnicas diseñadas para crear, distribuir y utilizar sistemas informáticos que resulta difícil entender cómo un sistema puede estar lo suficientemente seguro como para resistir tales ataques. Sin embargo, el hecho de comprender los desafíos y aplicar estrategias para administrar los riesgos de malware posibilita que las medianas empresas administren sus sistemas e infraestructura de redes de manera que se reduzca la posibilidad de un ataque tenga éxito.
Apéndice A: Activos comunes del sistema de información
En este apéndice se enumeran los activos del sistema de información que habitualmente se encuentran en las medianas empresas de distintos tipos. No pretende ser exhaustiva y, probablemente, esta lista no represente todos los activos presentes en el entorno exclusivo de una organización. Se proporciona como lista de referencia y punto de partida para ayudar a la medianas empresas a ponerse en marcha.
Tabla A.1. Lista de los activos comunes del sistema de información
| Clase de activo | Descripción del nivel más alto del activo | Definición del siguiente nivel (si es necesario) | Valor del activo (5 es el más alto) |
|---|---|---|---|
| Tangible | Infraestructura física | Centros de datos | 5 |
| Tangible | Infraestructura física | Servidores | 3 |
| Tangible | Infraestructura física | Equipos de escritorio | 1 |
| Tangible | Infraestructura física | Equipos portátiles | 3 |
| Tangible | Infraestructura física | PDA | 1 |
| Tangible | Infraestructura física | Teléfonos móviles | 1 |
| Tangible | Infraestructura física | Software de aplicación de servidor | 1 |
| Tangible | Infraestructura física | Software de aplicación de usuario final | 1 |
| Tangible | Infraestructura física | Herramientas de desarrollo | 3 |
| Tangible | Infraestructura física | Enrutadores | 3 |
| Tangible | Infraestructura física | Conmutadores de redes | 3 |
| Tangible | Infraestructura física | Aparatos de fax | 1 |
| Tangible | Infraestructura física | PBX | 3 |
| Tangible | Infraestructura física | Medios extraíbles (cintas, disquetes, CD-ROM, DVD, discos duros portátiles, dispositivos de almacenamiento PC Card, dispositivos de almacenamiento USB, etc.) | 1 |
| Tangible | Infraestructura física | Sistemas de alimentación. | 3 |
| Tangible | Infraestructura física | Sistemas de alimentación ininterrumpida | 3 |
| Tangible | Infraestructura física | Sistemas de extinción de incendios | 3 |
| Tangible | Infraestructura física | Sistemas de aire acondicionado | 3 |
| Tangible | Infraestructura física | Sistemas de filtración de aire | 1 |
| Tangible | Infraestructura física | Otros sistemas de control medioambientales | 3 |
| Tangible | Datos de intranet | Código fuente | 5 |
| Tangible | Datos de intranet | Datos de recursos humanos | 5 |
| Tangible | Datos de intranet | Datos financieros | 5 |
| Tangible | Datos de intranet | Datos de marketing | 5 |
| Tangible | Datos de intranet | Contraseñas de los empleados | 5 |
| Tangible | Datos de intranet | Claves criptográficas privadas de los empleados | 5 |
| Tangible | Datos de intranet | Claves pictográficas del sistema informático | 5 |
| Tangible | Datos de intranet | Tarjetas inteligentes | 5 |
| Tangible | Datos de intranet | Propiedad intelectual | 5 |
| Tangible | Datos de intranet | Datos para los requisitos normativos (GLBA, HIPAA, CA SB1386, Directiva de protección de la información de la Unión Europea, etc.) | 5 |
| Tangible | Datos de intranet | Números de la seguridad social de los empleados de Estados Unidos | 5 |
| Tangible | Datos de intranet | Números de los carné de conducir de los empleados | 5 |
| Tangible | Datos de intranet | Planes estratégicos | 3 |
| Tangible | Datos de intranet | Informes de crédito al consumo de los clientes | 5 |
| Tangible | Datos de intranet | Registros médicos de los clientes | 5 |
| Tangible | Datos de intranet | Identificadores biométricos de los empleados | 5 |
| Tangible | Datos de intranet | Datos de contacto empresarial de los empleados | 1 |
| Tangible | Datos de intranet | Datos de contacto personales de los empleados | 3 |
| Tangible | Datos de intranet | Datos de pedidos | 5 |
| Tangible | Datos de intranet | Diseño de la infraestructura de la red | 3 |
| Tangible | Datos de intranet | Sitos web internos | 3 |
| Tangible | Datos de intranet | Datos etnográficos de los empleados | 3 |
| Tangible | Datos de extranet | Datos de contrato con socios | 5 |
| Tangible | Datos de extranet | Datos financieros de los socios | 5 |
| Tangible | Datos de extranet | Datos de contacto de los socios | 3 |
| Tangible | Datos de extranet | Solicitud de colaboración de los socios | 3 |
| Tangible | Datos de extranet | Claves criptográficas de los socios | 5 |
| Tangible | Datos de extranet | Informes de crédito de los socios | 3 |
| Tangible | Datos de extranet | Datos de pedidos de los socios | 3 |
| Tangible | Datos de extranet | Datos de contrato de proveedores | 5 |
| Tangible | Datos de extranet | Datos financieros de los proveedores | 5 |
| Tangible | Datos de extranet | Datos de contacto de los proveedores | 3 |
| Tangible | Datos de extranet | Solicitud de colaboración de proveedores | 3 |
| Tangible | Datos de extranet | Claves criptográficas de los proveedores | 5 |
| Tangible | Datos de extranet | Informes de crédito de los proveedores | 3 |
| Tangible | Datos de extranet | Datos de pedidos de los proveedores | 3 |
| Tangible | Datos de Internet | Aplicación de ventas de sitio web | 5 |
| Tangible | Datos de Internet | Datos de marketing de sitio web | 3 |
| Tangible | Datos de Internet | Datos de la tarjeta de crédito del cliente | 5 |
| Tangible | Datos de Internet | Datos de contacto del cliente | 3 |
| Tangible | Datos de Internet | Claves criptográficas públicas | 1 |
| Tangible | Datos de Internet | Notas de prensa | 1 |
| Tangible | Datos de Internet | Notas del producto | 1 |
| Tangible | Datos de Internet | Documentación del producto | 1 |
| Tangible | Datos de Internet | Materiales de formación | 3 |
| Intangible | Reputación | 5 | |
| Intangible | Buena voluntad | 3 | |
| Intangible | Moral del empleado | 3 | |
| Intangible | Productividad del empleado | 3 | |
| Servicios de TI | Mensajería | Correo electrónico/programación (por ejemplo, Microsoft Exchange) | 3 |
| Servicios de TI | Mensajería | Mensajería instantánea | 1 |
| Servicios de TI | Mensajería | Microsoft Outlook® Web Access (OWA) | 1 |
| Servicios de TI | Infraestructura básica | Servicio de directorio Active Directory® | 3 |
| Servicios de TI | Infraestructura básica | Sistema de nombres de dominio (DNS) | 3 |
| Servicios de TI | Infraestructura básica | Protocolo de configuración dinámica de host (DHCP) | 3 |
| Servicios de TI | Infraestructura básica | Herramientas de administración empresarial | 3 |
| Servicios de TI | Infraestructura básica | Intercambio de archivos | 3 |
| Servicios de TI | Infraestructura básica | Almacenamiento | 3 |
| Servicios de TI | Infraestructura básica | Acceso remoto telefónico | 3 |
| Servicios de TI | Infraestructura básica | Telefonía | 3 |
| Servicios de TI | Infraestructura básica | Acceso a la red privada virtual (VPN) | 3 |
| Servicios de TI | Infraestructura básica | Servicio de nombres de Internet de Windows® de Microsoft (WINS) | 1 |
| Servicios de TI | Otra infraestructura | Servicios de colaboración (por ejemplo, Microsoft SharePoint®) |
| Descripción del nivel alto de la amenaza | Ejemplo específico |
|---|---|
| Incidente catastrófico | Incendio |
| Incidente catastrófico | Inundación |
| Incidente catastrófico | Terremoto |
| Incidente catastrófico | Tormenta severa |
| Incidente catastrófico | Ataque terrorista |
| Incidente catastrófico | Altercados/malestar social |
| Incidente catastrófico | Derrumbamiento |
| Incidente catastrófico | Avalancha |
| Incidente catastrófico | Accidente industrial |
| Error mecánico | Corte del suministro eléctrico |
| Error mecánico | Error de hardware |
| Error mecánico | Interrupción de la red |
| Error mecánico | Error de controles medioambientales |
| Error mecánico | Accidente de construcción |
| Persona bienintencionada | Empleado desinformado |
| Persona bienintencionada | Usuario desinformado |
| Persona malintencionada | Pirata informático |
| Persona malintencionada | Delincuente informático |
| Persona malintencionada | Espionaje industrial |
| Persona malintencionada | Espionaje respaldado por el Gobierno |
| Persona malintencionada | Ingeniería social |
| Persona malintencionada | Empleado actual descontento |
| Persona malintencionada | Empleado anterior descontento |
| Persona malintencionada | Terrorista |
| Persona malintencionada | Empleado negligente |
| Persona malintencionada | Empleado deshonesto (sobornado o víctima de chantaje) |
| Persona malintencionada | Código móvil malintencionado |
| Clase de vulnerabilidad de nivel alto | Breve descripción de la vulnerabilidad | Ejemplo específico (si se aplica) |
|---|---|---|
| Físico | Puertas desbloqueadas | |
| Físico | Acceso desprotegido a las instalaciones informáticas | |
| Físico | Sistema de extinción de incendios insuficiente | |
| Físico | Diseño deficiente de edificios | |
| Físico | Construcción deficiente de edificios | |
| Físico | Materiales inflamables utilizados en la construcción | |
| Físico | Materiales inflamables utilizados en el acabado | |
| Físico | Ventanas desprotegidas | |
| Físico | Muros que se pueden asaltar físicamente | |
| Físico | Paredes interiores que no quedan completamente selladas con el techo y el suelo | |
| Natural | Instalación ubicada en una falla | |
| Natural | Instalación ubicada en una zona de inundación | |
| Natural | Instalación ubicada en una área de avalanchas | |
| Hardware | Falta de revisiones | |
| Hardware | Firmware obsoleto | |
| Hardware | Sistemas con configuración errónea | |
| Hardware | Sistemas inseguros físicamente | |
| Hardware | Protocolos de administración permitidos en interfaces públicas | |
| Software | Software antivirus no actualizado | |
| Software | Faltan revisiones | |
| Software | Aplicaciones escritas deficientemente | Scripts que implican a varios sitios |
| Software | Aplicaciones escritas deficientemente | Inserción SQL |
| Software | Aplicaciones escritas deficientemente | Puntos débiles de los códigos como saturación de un búfer |
| Software | Puntos débiles colocados de forma intencionada | Puertas traseras de los proveedores para la administración o recuperación de sistemas |
| Software | Puntos débiles colocados de forma intencionada | Spyware como los registradores de claves |
| Software | Puntos débiles colocados de forma intencionada | Caballos de Troya |
| Software | Puntos débiles colocados de forma intencionada | |
| Software | Errores de configuración | Aprovisionamiento manual que provoca configuraciones inconsistentes |
| Software | Errores de configuración | Sistemas no protegidos |
| Software | Errores de configuración | Sistemas no auditados |
| Software | Errores de configuración | Sistemas no supervisados |
| Medios | Interferencia eléctrica | |
| Comunicaciones | Protocolos de red no cifrados | |
| Comunicaciones | Conexiones a varias redes | |
| Comunicaciones | Protocolos innecesarios permitidos | |
| Comunicaciones | Sin filtrado entre segmentos de red | |
| Humano | Procedimientos mal definidos | Preparación de respuesta a incidentes insuficiente |
| Humano | Procedimientos definidos deficientemente | Aprovisionamiento manual |
| Humano | Procedimientos definidos deficientemente | Planes de recuperación de desastres insuficientes |
| Humano | Procedimientos definidos deficientemente | Pruebas en los sistemas de producción |
| Humano | Procedimientos definidos deficientemente | Infracciones no notificadas |
| Humano | Procedimientos definidos deficientemente | Control de cambios deficiente |
| Humano | Credenciales robadas |