Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
In questa pagina
Introduzione Definizione Sfide Soluzioni Riepilogo Appendice A: Risorse comuni del sistema informativo Appendice B: Minacce comuni Appendice C: Vulnerabilità Riferimenti
Introduzione
Questo documento è contenuto nella raccolta di indicazioni per la protezione delle aziende di medie dimensioni. Microsoft auspica che le seguenti informazioni risultino utili per la creazione di un ambiente informatico più sicuro e produttivo.
Riepilogo
Man mano che il software dannoso o malware si evolve e diventa sempre più sofisticato, le tecnologie software e hardware si adeguano facendo altrettanto per evitare minacce e attacchi da parte dei malware.
Le minacce malware sono costate molto alle medie imprese in termini di difesa dagli attacchi e tecnologie nonché di operazioni di risposta. Internet ha notevolmente innalzato il profilo delle minacce esterne per le medie imprese anche se restano alcune delle minacce più pericolose, come gli attacchi interni.
Gli attacchi interni con il massimo potenziale distruttivo derivano dalle attività dei dipendenti che occupano posizioni importanti godendo della massima fiducia di tutti, come, ad esempio, gli amministratori di rete. I dipendenti coinvolti in attività dannose hanno spesso obiettivi specifici, ad esempio la produzione di un Trojan horse o l'esplorazione del file system non autorizzata, avendo accesso ai sistemi. Più comunemente, questi dipendenti non hanno intenti dannosi ma possono creare malware collegando non intenzionalmente sistemi o dispositivi infetti alla rete interna compromettendo l'integrità e riservatezza del sistema o le prestazioni, la disponibilità e/o la capacità di archiviazione del sistema.
L'analisi delle minacce interne ed esterne ha portato numerose medie imprese ad esaminare i sistemi di monitoraggio delle reti e rilevamento degli attacchi, tra cui le risorse per la gestione dei rischi malware in tempo reale.
Panoramica
In questo documento vengono fornite le informazioni relative alle strategie da adottare per gestire i rischi malware nelle medie imprese. Il documento è suddiviso in quattro sezioni principali: Introduzione, Definizione, Sfide e Soluzioni.
Definizione
In questa sezione viene spiegato cos'è (e cosa non è) il malware, le relative caratteristiche e la gestione dei rischi che comporta.
Sfide
In questa sezione vengono descritte molte delle sfide più comuni che le medie imprese si trovano a dover affrontare in merito alla gestione dei rischi malware, tra cui:
Risorse comuni del sistema informativo
Minacce comuni
Vulnerabilità
Formazione degli utenti finali e criteri
Bilanciamento tra gestione dei rischi ed esigenze aziendali
Soluzioni
In questa sezione vengono fornite informazioni aggiuntive su criteri, approcci e strategie, tra cui:
Criteri fisici e logici
Approcci reattivi e proattivi per la prevenzione di malware e virus
Strategie per ridurre il malware
La valutazione dei rischi malware e la relativa gestione vengono discusse in questa sezione come parte delle strategie per prevenire le minacce malware. In questa sezione vengono anche fornite informazioni sugli strumenti di monitoraggio e registrazione utilizzati per esaminare, rilevare e registrare le attività malware.
Destinatari della guida
Il presente documento è indirizzato principalmente al personale addetto alla gestione e all'IT nelle medie imprese per consentire di aumentare la protezione contro le possibili minacce e provvedere rapidamente e in modo adeguato in caso di attacchi malware.
Definizione
Malware è l'abbreviazione dell'espressione inglese "malicious software" (software dannoso). È un nome collettivo per riferirsi a virus, worm e Trojan horse che intenzionalmente eseguono attività dannose su un sistema di computer. Tecnicamente, il malware è codice dannoso.
I diversi tipi di malware
Nelle seguenti sottosezioni vengono descritte le diverse categorie di malware.
Occultamento
- Trojan horse. Un programma che può sembrare utile o innocuo ma che contiene codice nascosto progettato per sfruttare o danneggiare il sistema sul quale viene eseguito. I programmi Trojan horse (anche definiti Trojan code) vengono distribuiti principalmente tramite messaggi di posta elettronica che nascondono lo scopo e la funzione del programma. I programmi Trojan horse funzionano distribuendo un payload o un'attività dannosa quando vengono eseguiti.
Malware da infezione
Worm. Un worm utilizza codice dannoso che si propaga autonomamente, in grado di distribuirsi automaticamente da un computer a un altro tramite le connessioni di rete. Un worm può eseguire una serie di attività dannose, come utilizzare le risorse della rete o del sistema locale, causando potenzialmente un attacco di tipo Denial of Service. Alcuni worm sono in grado di eseguirsi e diffondersi senza l'intervento dell'utente, mentre altri richiedono che l'utente esegua il codice dannoso direttamente per potersi diffondere. I worm possono distribuire un payload oltre a replicarsi.
Virus. Un virus utilizza codice scritto con l'esplicito intento di replicarsi e tenta di diffondersi da un computer all'altro associandosi a un programma host. Può danneggiare l'hardware, il software o i dati. Quando il programma host viene eseguito, viene eseguito anche il codice del virus, che infetta i nuovi host e a volte distribuisce un altro payload.
Malware a fini di lucro
Spyware. Questo tipo di software viene a volte definito spybot o software di rilevamento. Lo spyware utilizza altri software e programmi ingannevoli che eseguono determinate attività su un computer senza consenso da parte dell'utente. Queste attività possono prevedere la raccolta di informazioni personali e la modifica delle impostazioni di configurazione del browser Internet. Oltre a rappresentare un fastidioso inconveniente, lo spyware causa diversi problemi che vanno dal calo delle prestazioni generali del computer alla violazione della privacy.
I siti Web che distribuiscono lo spyware utilizzano diversi accorgimenti per indurre gli utenti a scaricarlo e installarlo sui computer. Tra questi accorgimenti vi è la creazione di esperienze utente false e la creazione di pacchetti comprendenti spyware e altro software richiesto dagli utenti, come software gratuito di condivisione dei file.
Adware. Un tipo di software che visualizza messaggi pubblicitari, in particolare alcune applicazioni eseguibili il cui scopo principale è diffondere contenuti pubblicitari in un modo e contesto tali da essere inaspettati o indesiderati dagli utenti. Molte applicazioni adware eseguono anche funzioni di traccia e possono quindi essere classificate come tecnologie di controllo. Alcuni clienti possono rimuovere l'adware se sono i destinatari di questo controllo, non desiderano visualizzare i messaggi pubblicitari causati dal programma o sono infastiditi dalle ripercussioni sulle prestazioni del sistema. Al contrario, alcuni utenti possono decidere di conservare determinati programmi se questi sovvenzionano il costo di un prodotto o servizio richiesto o se forniscono messaggi pubblicitari utili o richiesti, ad esempio competitivi e complementari a ciò che l'utente sta cercando o esaminando.
Per ulteriori informazioni, vedere la definizione di Malware in Wikipedia all'indirizzo http://en.wikipedia.org/wiki/Malware e l'argomento Definizione di software dannosonella Guida alla difesa antivirus a più livelli all'indirizzo technet.microsoft.com/it-it/library/dd536184.aspx#EFAA.
Caratteristiche del malware
Le varie caratteristiche che ciascuna categoria di malware mostra sono spesso molto simili. Ad esempio, un virus e un worm possono entrambi utilizzare la rete come meccanismo di trasporto. Tuttavia, un virus cercherà i file da infettare mentre il worm tenterà semplicemente di replicarsi. Nella seguente sezione sono illustrate le caratteristiche tipiche del malware.
Ambienti di destinazione
Quando un malware tenta di attaccare un sistema host, è possibile che esista un numero di componenti specifici richiesti prima che l'attacco possa riuscire. I seguenti componenti sono esempi comuni dei tipi di componenti richiesti dal malware per portare a termine un attacco a un host:
Periferiche. Alcuni malware sono indirizzati in particolare a un tipo di periferica, ad esempio un personal computer, un computer Apple Macintosh o un PDA (Personal Digital Assistant, Assistente digitale personale). Le periferiche mobili, ad esempio i telefoni cellulari, stanno diventando sempre più spesso gli obiettivi dei malware.
Sistemi operativi. Per riuscire nel suo intento, un malware può richiedere un determinato sistema operativo. Ad esempio, il virus CIH o Chernobyl, scoperto alla fine degli anni '90, poteva attaccare solo computer che eseguivano Microsoft® Windows® 95 o Windows 98. I sistemi operativi successivi sono più al sicuro. Sfortunatamente, i malware stanno diventando sempre più sofisticati.
Applicazioni. Il malware può richiedere che sia installata una determinata applicazione sul computer di destinazione per poter distribuire un payload o replicarsi. Ad esempio, il virus LFM.926 scoperto nel 2002 poteva attaccare solo se era possibile eseguire file .swf (Shockwave Flash) sul computer locale.
Oggetti vettori
Se il malware è un virus, tenterà di attaccare un oggetto vettore (definito anche host) per infettarlo. Il numero e il tipo di oggetti vettore obiettivo di attacchi varia notevolmente tra le diverse forme di malware, ma il seguente elenco fornisce alcuni esempi dei vettori obiettivi più comuni:
File eseguibili. Questi vettori sono gli obiettivi del tipo di virus "classico" che si replica allegandosi a un programma host. Oltre ai tipici file eseguibili che utilizzano l'estensione .exe, a questo scopo possono anche essere utilizzati file con le seguenti estensioni: .com, .sys, .dll, .ovl, .ocx e .prg.
Script. Attacchi che utilizzano script come file di destinazione vettore con un linguaggio di script, ad esempio Microsoft Visual Basic® Script, JavaScript, AppleScript o Perl Script. Le estensioni per i file di questo tipo comprendono: .vbs, .js, .wsh e .prl.
Macro. Questi vettori sono file che supportano un linguaggio di script macro di una determinata applicazione, ad esempio un elaboratore testo, fogli di calcolo o un'applicazione di database. Ad esempio, i virus possono utilizzare linguaggi macro in Microsoft Word e Lotus Ami Pro per produrre una serie di effetti, dal dispettoso (modifica della posizione delle parole all'interno di un documento o modifica dei colori) al dannoso (formattazione del disco rigido del computer).
Meccanismi di trasporto
Un attacco può utilizzare uno o più metodi differenti per tentare di replicarsi tra i sistemi di computer. Questa sezione fornisce informazioni su alcuni dei più comuni meccanismi di trasporto utilizzati dal malware.
Supporti rimovibili. Il mezzo di trasmissione originale e probabilmente più prolifico di virus informatici e altro malware (almeno fino a poco fa) è il trasferimento dei file. Questo meccanismo è iniziato con i dischi floppy, è passato alle reti e ora sta trovando nuovi supporti, ad esempio i dispositivi USB (Universal Serial Bus) e Firewire. La velocità dell'infezione non è pari alla velocità raggiunta dal malware basato sulla rete, tuttavia la minaccia è quanto mai presente e difficile da eliminare completamente a causa della necessità di scambiare dati tra diversi sistemi.
Condivisioni di rete. Quando i computer sono stati dotati di un meccanismo per connettersi gli uni agli altri direttamente tramite una rete, agli autori del malware è stato presentato un altro meccanismo di trasporto con potenzialità che superavano quelle dei supporti rimovibili per diffondere codice dannoso. Una protezione implementata in modo non adeguato sulle condivisioni di rete produce un ambiente in cui il malware può replicarsi su un gran numero di computer connessi alla rete. Questo metodo ha largamente sostituito il metodo manuale che prevedeva l'uso dei supporti rimovibili.
Reti P2P (Peer-to-Peer). Per effettuare trasferimenti di file P2P, è necessario che l'utente installi un componente client dell'applicazione P2P che utilizzerà la rete.
Per ulteriori informazioni, vedere la sezione "Caratteristiche del software dannoso"nella Guida alla difesa antivirus a più livelli all'indirizzo technet.microsoft.com/it-it/library/dd536184.aspx#EEAA.
Cosa non fa parte delle definizione di malware
Esistono numerose minacce che non sono considerate malware perché non sono programmi per il computer scritti con scopi pericolosi. Tuttavia, per le medie imprese queste minacce possono avere implicazioni economiche e di protezione. Nel seguente elenco vengono descritti alcuni esempi comuni di minacce da prendere in considerazione e conoscere bene quando si sviluppa una strategia di protezione.
Software Joke. Le applicazioni Joke (scherzi) sono progettate per far sorridere o, nel peggiore dei casi, per far perdere tempo agli utenti. Tali applicazioni esistono da quando si è iniziato a utilizzare il computer. Poiché non sono state sviluppate a scopo dannoso e sono chiaramente identificate come scherzi, non sono considerate malware in questa guida. Esistono numerosi esempi di applicazioni joke, con risultati che vanno da interessanti effetti video a divertenti animazioni o giochi.
Hoax. Un messaggio che avvisa che è stato scoperto un virus che non esiste è un esempio di hoax. Come altre forme di malware, gli hoax si basano sul social engineering per tentare di far eseguire agli utenti di computer determinate azioni. Tuttavia, in un'applicazione hoax non esiste codice da eseguire, l'unico scopo è quello di ingannare la vittima. Un esempio comune di hoax è un messaggio di posta elettronica semplice o a catena che avvisa che è stato scoperto un nuovo tipo di virus e consiglia di avvisare gli amici inoltrando loro il messaggio. Questo tipo di hoax fa perdere tempo, occupa risorse del server di posta elettronica e utilizza larghezza di banda della rete. Tuttavia, le applicazioni hoax possono anche avere effetti dannosi se inducono l'utente a modificare le configurazioni del computer (ad esempio, facendo eliminare chiavi del Registro di sistema o file di sistema).
Scam. Un messaggio di posta elettronica che tenta di ingannare il destinatario e di fargli rivelare informazioni personali che possono essere utilizzate per fini non legali (ad esempio informazioni sul conto in banca) è un esempio comune di scam. Un particolare tipo di scam è diventato noto come phishing (pesca) e viene indicato anche come spoofing di marchi o carding.
Spam. Il termine spam indica messaggi di posta elettronica non richiesti generati per pubblicizzare servizi o prodotti. Tale fenomeno è in genere considerato noioso, ma non si tratta di malware. Tuttavia, l'enorme crescita del numero di messaggi spam inviati rappresenta un problema per l'infrastruttura di Internet. I messaggi spam causano anche riduzione della produttività di utenti obbligati a destreggiarsi ed eliminare tali messaggi ogni giorno.
Cookie Internet. I cookie Internet sono file di testo collocati sul computer dell'utente dai siti Web visitati. I cookie contengono e forniscono informazioni di identificazione sull'utente ai siti Web che lo collocano sul computer dell'utente, insieme a eventuali informazioni che il sito desidera conservare sulla visita dell'utente.
I cookie sono strumenti legittimi utilizzati da molti siti Web per rilevare informazioni sui visitatori. Purtroppo è stato scoperto che alcuni sviluppatori di siti Web hanno utilizzato i cookie per raccogliere informazioni senza il consenso dell'utente. Alcuni possono ingannare gli utenti o omettere i criteri utilizzati. Ad esempio, possono rilevare i siti Web visitati abitualmente dall'utente senza informarlo. Gli sviluppatori di siti possono utilizzare queste informazioni per personalizzare gli annunci pubblicitari visualizzati dagli utenti su un sito Web, il che è considerato un'invasione della privacy.
Per ulteriori informazioni sul malware e sulle relative caratteristiche, consultare la Guida alla difesa antivirus a più livelli in Microsoft TechNet all'indirizzo technet.microsoft.com/it-it/library/cc162791. The Antivirus Defense-in-Depth Guide (in inglese) in Microsoft TechNet all'indirizzo www.microsoft.com/technet/security/topics/serversecurity/avdind\_0.mspx.
Gestione dei rischi e malware
Microsoft definisce la gestione dei rischi come il processo tramite il quale i rischi vengono identificati e il conseguente impatto.
Tentare di mettere in azione un piano per la gestione dei rischi relativi alla protezione può essere molto difficile per le medie imprese, a causa della mancanza di competenze interne, risorse per il budget o linee guida.
La gestione dei rischi relativi alla protezione fornisce un approccio previdente che consente alle medie imprese di pianificare le strategie adeguate per combattere le minacce malware.
Un processo formale di gestione dei rischi di protezione consente alle medie imprese di lavorare a costi minimi con un livello noto e accettabile di rischio aziendale. Inoltre, fornisce un percorso diretto e chiaro per organizzare e classificare in base alle priorità le risorse limitate per poter gestire al meglio i rischi.
Per semplificare le attività di gestione dei rischi, Microsoft ha sviluppato la Guida alla gestione dei rischi di protezione, che fornisce istruzioni utili sui quattro processi descritti di seguito:
Valutazione del rischio. Identificazione e classificazione in base alle priorità dei rischi per l'azienda.
Conduzione supporto decisionale. Identificazione e valutazione delle soluzioni di controllo in base a un processo di analisi costi/benefici.
Implementazione dei controlli. Distribuzione e utilizzo delle soluzioni di controllo per ridurre i rischi per l'azienda.
Misurazione efficacia del programma. Analisi del processo di gestione dei rischi per valutarne l'efficacia e verifica del livello di protezione fornito dai controlli.
Nel presente documento non verranno fornite ulteriori informazioni su questo argomento. Tuttavia, è essenziale comprendere il concetto e i processi per poter pianificare, distribuire e implementare una strategia adeguata per i rischi malware. Nella seguente figura vengono illustrati i quattro processi principali della gestione dei rischi.
.gif "Figura 1. I 4 processi principali della gestione dei rischi")
Figura 1. I 4 processi principali della gestione dei rischi
Per ulteriori informazioni sulla gestione dei rischi, vedere la Guida alla gestione dei rischi di protezione in Microsoft TechNet all'indirizzo http://technet.microsoft.com/it-it/library/cc163151.
Sfide
Gli attacchi malware possono avere luogo tramite diversi vettori o metodi di attacco su uno specifico punto debole. Si consiglia alle medie imprese di effettuare una valutazione dei rischi che determini non solo le vulnerabilità ma che consenta di stabilire il livello di rischio accettabile. Le medie imprese devono sviluppare strategie adatte per ridurre i rischi malware.
Alcune delle sfide che si presentano per la riduzione dei rischi malware in una media impresa comprendono:
Risorse comuni del sistema informativo
Minacce comuni
Vulnerabilità
Formazione utenti
Bilanciamento tra gestione dei rischi ed esigenze aziendali
Risorse comuni del sistema informativo
La protezione dei sistemi informativi fornisce informazioni essenziali per la gestione della protezione delle medie imprese. Le risorse comuni del sistema informativo si riferiscono all'aspetto fisico e logico dell'azienda. Possono comprendere server, workstation, software e licenze utente.
I dati di contatto aziendali dei dipendenti, i computer portatili, i router, i dati delle risorse umane, i piani strategici, i siti Web interni e le password dei dipendenti sono risorse comuni del sistema informativo. Un elenco completo di queste risorse è disponibile nella "Appendice A: Risorse comuni del sistema informativo" alla fine del presente documento.
Minacce comuni
Numerosi metodi tramite i quali il malware può danneggiare le medie imprese sono definiti a volte come vettori della minaccia e rappresentano le aree che richiedono maggiore attenzione nella progettazione di una soluzione efficace che consenta di ridurre i rischi malware. Le minacce comuni includono disastri naturali, errori meccanici, persone malintenzionate, utenti non informati, social engineering, codice Internet dannoso e dipendenti scontenti. Questa serie di minacce rappresentano una sfida non solo per le medie imprese ma per le organizzazioni di qualsiasi dimensione.
L'"Appendice B: Minacce comuni" alla fine del presente documento fornisce un elenco completo di minacce che possono interessare le medie imprese.
Vulnerabilità
Le vulnerabilità rappresentano i punti deboli delle procedure e dei criteri di protezione dei sistemi IT, dei controlli amministrativi, del layout fisico, dei controlli interni e altre aree che possono essere sfruttate da una minaccia per avere accesso non autorizzato alle informazioni o interrompere un processo critico. Le vulnerabilità possono essere fisiche e logiche e comprendono disastri naturali, errori meccanici, errori di configurazione software, software senza patch e errori umani. L'"Appendice C: Vulnerabilità" alla fine del presente documento fornisce un elenco completo delle vulnerabilità che possono interessare le medie imprese.
Formazione utenti
In relazione alla protezione delle informazioni fisiche e logiche, la principale vulnerabilità non è rappresentata necessariamente dai computer o dai difetti software ma dagli utenti. I dipendenti commettono alcuni errori grossolani, ad esempio inseriscono le proprie password consentendo ad altri di visualizzarle, scaricano e aprono allegati di posta elettronica contenenti virus e non spengono i computer la notte. Poiché le azioni umane possono influire notevolmente sulla protezione di un computer, un'adeguata formazione di dipendenti, staff IT e personale di gestione dovrebbero avere la priorità su tutto. Altrettanto importante è l'esigenza per tutto il personale di sviluppare buone abitudini in merito alla protezione. Questi approcci sono i più economici per l'azienda a lungo termine. La formazione dovrebbe fornire agli utenti utili consigli per evitare le attività dannose e dovrebbe istruire sulle potenziali minacce e su come evitarle. Le procedure per la protezione che gli utenti dovrebbero conoscere includono:
Non rispondere mai alle richieste di informazioni finanziarie o personali inviate per posta elettronica.
Non fornire mai la propria password.
Non aprire file allegati ai messaggi di posta elettronica sospetti.
Non rispondere a messaggi di posta elettronica sospetti o non richiesti.
Non installare applicazioni non autorizzate.
Bloccare i computer quando non li utilizzano con uno screen saver protetto da password o tramite la finestra di dialogo CTRL-ALT-CANC.
Attivare un firewall.
Utilizzare password complesse sui computer remoti.
Criteri
I criteri scritti e le procedure accettate rappresentano una vera necessità per rafforzare le procedure di sicurezza. Per essere efficaci, i criteri IT devono includere il supporto dei dirigenti superiori e fornire un meccanismo di applicazione, un modo per informare gli utenti e uno per istruirli. I criteri di esempio possono riguardare i seguenti argomenti:
Rilevamento di malware su un computer.
Segnalazione di infezioni sospette.
Azioni da intraprendere per aiutare i gestori di eventi, ad esempio l'ultima operazione eseguita da un utente prima dell'infezione del sistema.
Processi e procedure per ridurre le vulnerabilità del sistema operativo e dell'applicazione che il malware potrebbe sfruttare.
Guide ed elenchi di controllo per la gestione delle patch e l'applicazione della configurazione di protezione.
Bilanciamento tra gestione dei rischi ed esigenze aziendali
L'investimento in un processo di gestione dei rischi consente alle medie imprese di articolare le priorità, pianificare la riduzione delle minacce e risolvere la minaccia o vulnerabilità successiva per l'azienda.
I limiti di budget possono imporre la spesa per la protezione IT, ma una ben strutturata metodologia per la gestione dei rischi, se utilizzata adeguatamente, può consentire di identificare i controlli appropriati per fornire funzionalità di protezione essenziali.
Le medie imprese devono trovare il giusto equilibrio tra la gestione dei rischi e le esigenze aziendali. Le seguenti domande possono essere utili a tal fine:
È necessario che i sistemi vengano configurati dalla stessa società o dal fornitore hardware/software? Qual è il costo?
È necessario utilizzare il bilanciamento del carico o il clustering come meccanismi per garantire la disponibilità delle applicazioni? Quanto tempo è richiesto per mettere in funzione questi meccanismi?
È necessario un sistema di allarme per la stanza del server?
È necessario utilizzare i sistemi di codice elettronico per l'edificio o per la stanza del server?
Qual è il budget della società per i sistemi di computer?
Qual è il budget della società per il supporto tecnico e la gestione?
Quanto si ritiene che la società abbia speso per i sistemi di computer (gestione hardware e software) l'anno scorso?
Quanti sono i computer nella sede principale dell'azienda? Viene utilizzato un inventario per l'hardware e il software dei computer?
I computer meno recenti sono in grado di eseguire il software richiesto?
Quanti sono i computer nuovi o aggiornati necessari? Quale sarebbe il numero ideale?
È necessario che ciascun utente disponga di una stampante?
Per ulteriori informazioni sulla gestione dei rischi, fare riferimento alla Guida alla gestione dei rischi di protezione all'indirizzo http://technet.microsoft.com/it-it/library/cc163151.
Soluzioni
In questa sezione vengono descritte le diverse strategie per la gestione dei rischi legati al malware, inclusi gli approcci reattivi e proattivi al malware nonché i criteri fisici e logici. Verranno descritti anche i metodi di convalida tra cui gli strumenti di reporting e il monitoraggio.
Sviluppo di strategie per la riduzione del malware
Quando si sviluppano strategie che consentono di ridurre il malware, è molto importante definire i punti chiave operativi necessari in cui è possibile implementare il rilevamento del malware e/o la prevenzione. Quando si tratta di gestione dei rischi malware, la linea di difesa non può essere rappresentata da un unico dispositivo o un'unica tecnologia. I metodi preferiti dovrebbero prevedere un approccio su più livelli che utilizza meccanismi proattivi e reattivi in tutta la rete. Il software antivirus svolge un ruolo essenziale; tuttavia, non può essere l'unico strumento utilizzato per individuare gli attacchi malware. Per ulteriori informazioni sull'approccio su più livelli, fare riferimento alla sezione "Strategia di difesa da attacchi di software dannoso" nella Guida alla difesa antivirus a più livelli all'indirizzo technet.microsoft.com/it-it/library/dd536185.aspx#EGAA.
Verranno discussi in dettaglio i seguenti punti chiave operativi:
Valutazione dei rischi malware
Protezione fisica
Protezione logica
Procedure e criteri proattivi o reattivi
Distribuzione e gestione
Valutazione dei rischi malware
Quando si valutano i rischi malware, le medie imprese devono prestare molta attenzione ai vettori di attacchi più vulnerabili. Come sono protetti e a che livello? È necessario considerare quanto segue:
La società dispone di un firewall?
I firewall sono una parte importante della difesa perimetrale. Un firewall di rete generalmente funge da prima linea di difesa contro le minacce esterne ai sistemi di computer, alle reti e alle informazioni critiche di un'organizzazione. Le medie imprese devono disporre di firewall siano essi software o hardware.
La società dispone di funzionalità di analisi con scansione delle vulnerabilità interne o esterne? Quali sono le modalità di analisi delle informazioni sottoposte a scansione?
Per la scansione delle configurazioni errate o delle vulnerabilità, è utile lo strumento MBSA (Microsoft Baseline Security Analyzer). È anche possibile delegare il processo di verifica delle vulnerabilità di protezione affidandosi a fornitori esterni per valutare l'ambiente di protezione e fornire suggerimenti dove opportuno.
Nota MBSA è uno strumento semplice da usare ideato per i professionisti IT che consente alle medie e piccole imprese di stabilire lo stato di protezione in base ai suggerimenti per la protezione di Microsoft. Offre inoltre istruzioni specifiche per eventuali interventi di modifica. È possibile migliorare il processo di gestione della protezione utilizzando MBSA che consente di individuare gli errori di configurazione della protezione più comuni e gli aggiornamenti per la protezione mancanti sui sistemi di computer.
È attivo un piano di valutazione backup e ripristino?
Verificare che siano attivi piani di backup e che il server di backup funzioni correttamente.
Quanti tipi di software antivirus utilizza l'azienda? Il software antivirus è installato su tutti i sistemi?
L'uso di una sola piattaforma antivirus può esporre l'azienda a numerosi rischi, perché ciascun pacchetto ha i propri punti deboli e forti.
Nella società è implementata una rete wireless? Se sì, la protezione della rete wireless è attiva e correttamente configurata?
Anche se una rete cablata è protetta, una rete wireless non protetta può prevedere un livello inaccettabile di rischio in un ambiente altrimenti sicuro. I vecchi standard wireless, come WEP, possono essere violati facilmente ed è quindi necessario garantire che sia attiva la soluzione di protezione wireless più appropriata.
Il personale ha ricevuto una formazione adeguata su come evitare i malware? Sono informati sui rischi malware?
La forma più comune di propagazione malware prevede il social engineering e la difesa più efficace contro questo tipo di minacce è la formazione.
Esiste una procedura scritta su come evitare o gestire le minacce malware? Quanto spesso viene aggiornata questa procedura? È applicata? In che misura il personale aderisce a questa procedura?
Verificare che gli utenti siano istruiti su come impedire le minacce malware e prevenire il malware. È molto importante che tutte queste informazioni vengano documentate. È necessario che esista e venga applicata una procedura scritta relativa a queste informazioni e istruzioni. La procedura andrebbe rivista e aggiornata ogniqualvolta si verificano cambiamenti per garantire l'efficacia e la validità dei criteri descritti.
Protezione fisica
La protezione fisica consiste nel limitare l'accesso alle attrezzature per impedire alterazioni, furti, errori umani e il conseguente periodo di inattività.
Sebbene la protezione fisica rappresenti più un problema di protezione generale che un problema specifico relativo al malware, è impossibile proteggersi dal malware senza un piano di difesa fisica efficace per i dispositivi client, server e di rete all'interno dell'infrastruttura di un'organizzazione.
Nel seguente elenco vengono presentati gli elementi critici da considerare per un piano di difesa fisica efficace:
Protezione dell'edificio. Chi ha accesso all'edificio?
Protezione del personale. Quanto è restrittivo il diritto di accesso di un dipendente?
Punti di accesso della rete. Chi ha accesso alle attrezzature di rete?
Computer server. Chi dispone di diritti di accesso ai server?
Computer workstation. Chi dispone di diritti di accesso alle workstation?
Se uno di questi componenti risulta compromesso, aumenta il rischio che il malware eluda la difesa interna ed esterna per infettare un host sulla rete. La protezione dell'accesso alle strutture e ai sistemi di computer deve essere un elemento fondamentale delle strategie di protezione.
Per ulteriori informazioni, vedere l'articolo "5-Minute Security Advisor - Basic Physical Security" (in inglese) in Microsoft TechNet all'indirizzo www.microsoft.com/technet/archive/community/columns/security/5min/5min-203.mspx
Protezione logica
Le misure di sicurezza software per i sistemi informativi nelle medie imprese prevedono l'accesso protetto da ID utente e password, l'autenticazione e i diritti di accesso, tutti elementi cruciali per la gestione dei rischi malware. Queste misure di sicurezza garantiscono che solo gli utenti autorizzati possano effettuare determinate operazioni o accedere alle informazioni in un determinato server o workstation sulla rete. Gli amministratori devono garantire che i sistemi siano configurati in base alle funzioni di lavoro dell'utente del computer. La configurazione di queste misure di sicurezza può comprendere:
Riduzione di programmi o utilità disponibili solo per le posizioni che li richiedono.
Aumento dei controlli nelle directory chiave del sistema.
Livelli maggiori di controllo.
Utilizzo di criteri con privilegi minimi.
Uso limitato di supporti rimovibili, ad esempio dischi floppy.
A chi è necessario fornire diritti amministrativi per il server di backup, i server di posta elettronica e i file server?
Chi deve avere accesso alla cartella delle risorse umane?
Quale diritto con privilegi deve essere concesso per le cartelle condivise tra i diversi reparti?
È necessario che una workstation sia utilizzata da diversi utenti? In questo caso, che livello di accesso è richiesto? Gli utenti sono autorizzati a installare un'applicazione software sulle proprie workstation?
Gli ID utente, gli ID di accesso o gli account e i nomi utente sono identificatori personali univoci per gli utenti di un programma o di una rete accessibile da più di un utente. L'autenticazione è il processo necessario per verificare che un'entità o un oggetto sia chi o cosa dichiara di essere. Un esempio può essere la conferma della fonte e dell'integrità delle informazioni, come la verifica di una firma digitale o dell'identità di un utente o di un computer. Per migliorare la protezione, si consiglia che tutti gli account di accesso abbiano una password, ovvero dati di autenticazione segreti utilizzati per controllare l'accesso a una risorsa o a un computer. Quando un utente può accedere alla rete, è necessario definire i diritti di accesso appropriati. Ad esempio, un determinato utente può accedere alla cartella delle risorse umane, ma può disporre solo dell'accesso in lettura e non può apportare modifiche.
Altri problemi di protezione logica sono:
Istruzioni relative alle password, ad esempio durata e complessità.
Backup di dati e software.
Informazioni confidenziali/dati riservati. Utilizzare la crittografia quando necessario.
Sono necessarie funzioni appropriate di autenticazione e autorizzazione corrispondenti a un uso adeguato e a un livello accettabile di rischio. La stessa attenzione è richiesta dai server e dalle workstation. Tutti i suddetti elementi di protezione logica devono essere scritti chiaramente, applicati e resi disponibili in tutta l'organizzazione come punto di riferimento.
Criteri e procedure proattivi o reattivi
Per gestire il rischio malware sono possibili due tipi di approcci di base: proattivo e reattivo. L'approccio proattivo comprende tutte le misure intraprese con lo scopo di impedire gli attacchi basati sulla rete e sull'host da sistemi dannosi. L'approccio reattivo comprende invece le procedure utilizzate dalle medie imprese dopo aver scoperto che un sistema è stato attaccato da un intruso o da un programma dannoso come un Trojan horse o altro malware.
Approcci reattivi
Se la protezione di un sistema o di una rete è stata compromessa, è necessario un processo di risposta agli eventi. La risposta agli eventi è un metodo che prevede l'analisi di un problema e della relativa causa, la riduzione del conseguente impatto, la risoluzione del problema e la documentazione delle fasi della risposta per un riferimento futuro.
Allo stesso modo in cui prende le misure necessarie per evitare perdite future, ogni azienda prevede come reagire nel caso in cui non dispongano di tali misure o nel caso in cui queste non siano sufficienti. I metodi reattivi comprendono piani di ripristino di emergenza, reinstallazione di sistemi operativi e applicazioni in sistemi compromessi e il passaggio a sistemi alternativi in altre posizioni. Disporre di un insieme adeguato di risposte reattive pronte per essere implementate è altrettanto importante quanto applicare misure proattive.
Il seguente diagramma di risposte reattive mostra le diverse fasi della gestione malware. Ulteriori informazioni sono disponibili nel seguente testo.
.gif "Figura 2. Gerarchia di risposte reattive")
Figura 2. Gerarchia di risposte reattive
Proteggere la vita e la sicurezza delle persone. Se i computer interessati utilizzano sistemi LSS (Life Support System), non è opportuno spegnerli. Forse è possibile isolarli in modo logico sulla rete riconfigurando i router e gli switch senza danneggiarne la capacità di aiutare i pazienti.
Contenere i danni. Contenere i danni causati dall'attacco può aiutare ad evitarne di ulteriori. Proteggere dati importanti, software e hardware.
Valutare i danni. Effettuare immediatamente una copia dei dischi rigidi dei server attaccati e metterli da parte per eventuali cause legali. Valutare i danni.
Determinare la causa dei danni. Per scoprire l'origine dell'assalto, è necessario conoscere le risorse a cui era mirato l'attacco e le vulnerabilità sfruttate per accedere o danneggiare i servizi. Rivedere la configurazione del sistema, il livello della patch, gli eventi di sistema, i log di controllo e gli audit trail sui sistemi direttamente interessati nonché dei dispositivi di rete che hanno indirizzato il traffico.
Riparare i danni. È molto importante che i danni vengano riparati il prima possibile per ripristinare il corretto funzionamento dei processi aziendali e il recupero dei dati persi durante l'attacco.
Rivedere i criteri di risposta e aggiornamento. In seguito al completamento delle fasi di risposta e documentazione, è necessario rivedere attentamente i criteri di risposta e aggiornamento.
Cosa è necessario fare se i sistemi della rete sono stati infettati da virus? Nel seguente elenco vengono presentati alcuni esempi di approccio reattivo:
Accertarsi che il firewall utilizzato funzioni. Controllare il traffico in ingresso e in uscita sui sistemi e sulla rete.
Risolvere prima i casi sospetti più probabili. Rimuovere le minacce malware più comuni e occuparsi quindi delle minacce sconosciute.
Isolare il sistema infetto. Disconnetterlo dalla rete e da Internet. Arrestare la diffusione dell'infezione ad altri sistemi della rete durante il processo di pulitura.
Cercare il controllo della diffusione e le tecniche di pulitura.
Scaricare le ultime definizioni virus dai fornitori dei software antivirus.
Verificare che i sistemi antivirus siano configurati in modo da eseguire la scansione di tutti i file.
Eseguire una scansione completa del sistema.
Ripristinare i dati mancanti o danneggiati.
Rimuovere o pulire i file infetti.
Confermare che i sistemi di computer non siano infettati da malware.
Ricollegare i sistemi di computer puliti alla rete.
**Nota **È importante verificare che tutti i sistemi di computer utilizzino software recenti e che i processi automatizzati eseguano regolarmente l'aggiornamento delle definizioni virus. È particolarmente importante che il software antivirus venga regolarmente aggiornato sui computer portatili utilizzati dagli utenti mobili. Tenere traccia in un database o registro delle patch applicate ai sistemi più importanti dell'organizzazione: sistemi accessibili tramite Internet, firewall, router interni, database e server back office.
Approcci proattivi
Un approccio proattivo per la gestione dei rischi presenta numerosi vantaggi rispetto a un approccio reattivo. Invece di aspettare che accada qualcosa di negativo e comportarsi di conseguenza, è possibile ridurre la probabilità che questo qualcosa si verifichi. È necessario pensare a come proteggere le principali risorse dell'organizzazione implementando controlli che riducano il rischio di vulnerabilità sfruttate dal malware.
Un approccio proattivo efficace può consentire alle medie imprese di ridurre il numero di eventi di protezione futuri, ma resta improbabile che tali problemi scompaiano definitivamente. Pertanto, è necessario migliorare sempre i processi di risposta agli eventi sviluppando contemporaneamente gli approcci proattivi a lungo termine. Nel seguente elenco vengono presentati alcuni esempi di misure proattive che possono contribuire alla gestione dei rischi malware.
Applicare il firmware più recente ai sistemi hardware e ai router seguendo i consigli dei fornitori.
Applicare le ultime patch di protezione alle applicazioni server e alle altre applicazioni.
Iscriversi alle liste e-mail relative alla protezione dei fornitori e applicare le patch consigliate.
Verificare che tutti i sistemi di computer Microsoft eseguano un software antivirus recente.
Verificare che i processi automatizzati eseguano regolarmente l'aggiornamento delle definizioni virus.
Nota È particolarmente importante che il software antivirus venga regolarmente aggiornato sui computer portatili utilizzati dagli utenti mobili.
Tenere traccia in un database delle patch applicate.
Rivedere i log di protezione.
Attivare firewall perimetrali o basati su host.
Utilizzare uno scanner per le vulnerabilità come Microsoft Baseline Security Analyzer per rilevare gli errori comuni di configurazione della protezione e gli aggiornamenti per la protezione mancanti sui sistemi di computer in uso.
Utilizzare gli account utente con privilegio minimo (LUA, Least-privileged User Account). Se i processi con privilegio minimo sono compromessi, causeranno meno problemi rispetto ai processi con privilegio massimo. Di conseguenza, l'uso di un account non amministrativo invece di un account amministrativo per il completamento delle attività quotidiane offre all'utente una maggiore protezione contro infezioni da un host di malware, attacchi alla sicurezza esterni o interni, modifiche accidentali o intenzionali alla configurazione del sistema e accesso accidentale o intenzionale a programmi o documenti riservati.
Applicare i criteri delle password complesse. Le password complesse consentono di ridurre la probabilità che un utente malintenzionato riesca in un attacco di tipo "brute force" per acquisire privilegi. Una password complessa presenta le seguenti caratteristiche:
Minimo 15 caratteri.
Non contiene mai nomi di account, nomi reali o nomi di società.
Non contiene mai una parola completa, un termine in gergo o altri termini facilmente individuabili.
È differente dalle password utilizzate in precedenza e non è progressiva.
Utilizza almeno tre dei seguenti tipi di carattere:
Lettere maiuscole (A, B, C...)
Lettere minuscole (a, b, c...)
Numeri (0, 1, 2...)
Simboli non alfanumerici (@, &, $...)
Caratteri Unicode (€, ƒ, λ...)
Per ulteriori informazioni sui criteri utilizzati per le password, vedere l'argomento “Password Best practices” (in inglese) in Microsoft TechNet all'indirizzo http://technet2.microsoft.com/WindowsServer/en/Library/e903f7a2-4def-4f5f-9480-41de6010fd291033.mspx?mfr=true.
Difesa in profondità
Un approccio proattivo per la gestione dei rischi malware in una media impresa deve includere l'uso di una difesa in profondità su più livelli per proteggere le risorse dalle minacce interne ed esterne. L'espressione difesa in profondità (a volte sostituita da protezione in profondità o protezione su più livelli) viene utilizzata per descrivere la suddivisione in livelli delle contromisure che compongono un ambiente di protezione coesivo senza un singolo punto di errore. I livelli di protezione che formano la strategia di protezione in profondità devono comprendere la distribuzione di misure di protezione dai router esterni fino alle risorse. La distribuzione di più livelli di protezione può garantire che se un livello è compromesso, gli altri livelli lo sostituiranno fornendo la protezione necessaria per salvaguardare le risorse.
In questa sezione viene descritto il modello di protezione in profondità come punto di inizio ideale per comprendere il concetto generale. Questo modello identifica sette livelli di difesa progettati per garantire che i tentativi di compromettere la sicurezza delle medie imprese vengano contrastati da un insieme di difese efficaci. Ciascun insieme è in grado di sventare eventuali attacchi a diversi livelli.
Le definizioni dettagliate di ciascun livello possono essere modificate in base alle proprietà e ai requisiti di protezione delle diverse organizzazioni. Nella seguente figura vengono illustrati i livelli del modello di protezione in profondità.
.gif "Figura 3. Il modello di protezione in profondità")
Figura 3. Il modello di protezione in profondità
Dati. I rischi a livello dati derivano dalle vulnerabilità sfruttate da un utente malintenzionato per accedere ai dati di configurazione, ai dati dell'organizzazione o ad altri dati univoci in un dispositivo utilizzato dall'organizzazione.
Applicazione. I rischi a livello di applicazione derivano dalle vulnerabilità sfruttate da un utente malintenzionato per accedere alle applicazioni in esecuzione. Qualsiasi codice eseguibile che un autore di malware può creare all'esterno di un sistema operativo può essere utilizzato per attaccare un sistema.
Host. Questo livello è indirizzato generalmente a chi fornisce service pack e correzioni rapide per risolvere minacce malware. I rischi a questo livello derivano dalle vulnerabilità nei servizi offerti dall'host o dal dispositivo.
Rete interna. I rischi per le reti interne delle imprese riguardano i dati riservati trasmessi sulle reti di questo tipo. I requisiti di connettività per le workstation client su queste reti interne presentano anch'essi una serie di rischi.
Rete perimetrale. I rischi associati al livello della rete perimetrale derivano dal tentativo di un utente malintenzionato di accedere alle reti WAN e ai livelli di rete ai quali queste si collegano.
Protezione fisica. I rischi a livello fisico derivano dal tentativo di un utente malintenzionato di accedere a una risorsa fisica.
Criteri, procedure e consapevolezza. Intorno a tutti i livelli del modello di protezione vi sono i criteri e le procedure che le medie imprese devono mettere in atto per soddisfare e supportare i requisiti di ciascun livello.
I livelli dati, applicazione e host possono essere combinati in due strategie di difesa per proteggere i client e i server dell'azienda. Sebbene queste difese condividano una serie di strategie comuni, le differenze nell'implementazione delle difese client e server sono sufficienti per garantire un approccio di difesa univoco per ciascuna.
I livelli di rete interna e perimetrale possono anch'essi essere combinati in una strategia comune di difese rete, perché le tecnologie utilizzate sono le stesse per entrambi i livelli. I dettagli dell'implementazione saranno diversi per ciascun livello, in base alla posizione dei dispositivi e alle tecnologie utilizzate nell'infrastruttura dell'organizzazione. Per ulteriori informazioni sulla difesa in profondità, vedere"Capitolo 2: Pericoli correlati a software dannoso"della Guida alla difesa antivirus a più livelli all'indirizzohttp://technet.microsoft.com/it-it/library/dd536184.aspx.
Distribuzione e gestione
Le strategie per la gestione dei rischi malware possono comprendere tutte le tecnologie e gli approcci discussi finora nel presente documento. Si consiglia di distribuire su tutti i sistemi un software antivirus affidabile ed efficace. Windows Defender, uno strumento Microsoft che consente di essere sempre produttivi proteggendo il computer da popup, cali di prestazioni e minacce alla protezione causati da spyware e altri software potenzialmente indesiderati, deve essere utilizzato insieme al software antivirus. In effetti, il software antivirus e Windows Defender devono essere installati il prima possibile in seguito all'installazione del sistema operativo. Le ultime patch del software antivirus devono essere applicate immediatamente e configurate in modo da individuare e arrestare il malware. Poiché non è possibile fare affidamento su un'unica soluzione di protezione, è necessario utilizzare tecnologie di protezione, tra cui firewall, gateway e sistemi di rilevazione delle intrusioni, descritte nelle precedenti sezioni insieme al software antivirus.
In questa sezione vengono descritte le procedure di convalida, monitoraggio e reporting, oltre alle tecnologie disponibili.
Convalida
Una volta studiati e implementati gli approcci e le tecnologie precedentemente descritti per la gestione dei rischi malware, come è possibile garantirne un utilizzo efficace?
Per convalidare una soluzione proposta, utilizzare i seguenti strumenti che consentono di verificare l'ambiente di rete e di sistema:
Antivirus. Eseguire la scansione di tutti i sistemi per rilevare eventuali virus utilizzando il software antivirus con le recenti definizioni del file della firma
Windows Defender. Eseguire la scansione di tutti i sistemi utilizzando Windows Defender per rilevare spyware e altri software potenzialmente indesiderati
Microsoft Baseline Security Analyzer (MBSA). Eseguire la scansione di tutti i sistemi utilizzando MBSA per rilevare i più comuni errori di configurazione della protezione. Ulteriori informazioni sono disponibili nel sito Web Microsoft Baseline Security Analyzer, all'indirizzo http://go.microsoft.com/fwlink/?linkid=17809.
Inoltre, è necessario testare e convalidare gli account creati recentemente con autorizzazioni di accesso appropriate per assicurarsi che funzionino correttamente.
Una volta convalidate le strategie e le tecnologie implementate, è necessario utilizzare le patch software e hardware a seconda delle necessità per garantire una protezione efficace. Gli utenti e il personale IT devono essere sempre a conoscenza degli ultimi aggiornamenti.
Monitoraggio e reporting
Il monitoraggio costante di tutti i dispositivi della rete è essenziale per individuare gli attacchi malware. Il monitoraggio può essere un processo complesso che richiede la raccolta di informazioni da diverse fonti (ad esempio i log provenienti da firewall, router, switch e utenti) per compilare un modello di base di comportamento "normale" utilizzabile per identificare i comportamenti anomali.
Le strategie di monitoraggio e reporting del malware negli ambienti delle medie imprese prevedono tecnologie e formazione degli utenti.
Per tecnologie si intendono tutte le tecnologie hardware e software distribuite e implementate che consentono alle medie imprese di monitorare e segnalare le attività malware, nonché di rispondere di conseguenza. La formazione degli utenti si riferisce a programmi in grado di aumentare la consapevolezza degli utenti e fornire una guida su come prevenire gli eventi malware e segnalarli in modo appropriato.
Tecnologie È possibile automatizzare un sistema di monitoraggio avvisi in modo che le infezioni malware sospette vengano segnalate a una posizione centrale o a un punto di contatto che indichi agli utenti cosa fare. Un sistema di avvisi automatizzato riduce il tempo tra l'avviso iniziale e il momento in cui l'utente diventa consapevole dell'attacco, tuttavia questo approccio può generare avvisi "falsi positivi". Se non viene eseguito uno screening degli avvisi e un'analisi della checklist di segnalazione delle attività anomale, è probabile che gli avvisi indichino un malware che non esiste. Questa situazione può portare gli utenti a ignorare gli avvisi a causa dell'eccessiva frequenza con cui li ricevono.
Può essere utile assegnare a membri del team addetto all'amministrazione della rete la responsabilità di ricevere tutti gli avvisi di malware automatici da tutti i pacchetti antivirus o i software di monitoraggio dei sistemi utilizzati dalla società. La persona o il team responsabile può filtrare gli avvisi inviati dai sistemi automatizzati prima di inoltrarli agli utenti.
Si consiglia di analizzare e aggiornare regolarmente le soluzioni contro i malware. Tutti gli aspetti della protezione da malware sono importanti, dai semplici download automatici delle definizioni virus alle modifiche complete dei criteri operativi. Sebbene alcuni dei seguenti strumenti siano già stati menzionati, restano essenziali per la gestione, il monitoraggio e il reporting legati alla protezione:
Network Intrusion Detection (NID). Poiché la rete perimetrale è una parte molto esposta della rete, è estremamente importante che i sistemi di gestione siano in grado di rilevare e segnalare un attacco il prima possibile.
Microsoft Baseline Security Analyzer (MBSA). È possibile migliorare il processo di gestione della protezione utilizzando MBSA al fine di individuare gli errori di configurazione della protezione più comuni e gli aggiornamenti per la protezione mancanti sui sistemi informatici.
Programma di scansione firme antivirus. La maggior parte dei programmi software antivirus utilizza questa tecnica che prevede la ricerca della destinazione (computer host, unità disco o file) per un modello che può rappresentare un malware.
Programmi di scansione gateway SMTP. Queste soluzioni di scansione della posta elettronica basate sul protocollo SMTP (Simple Mail Transfer Protocol) sono indicate solitamente come soluzioni "gateway" antivirus e hanno il vantaggio di poter essere utilizzate con tutti i servizi di posta elettronica SMTP.
File di registro. File contenenti le informazioni di accesso, memorizzati su un server. L'analisi dei file di registro può rivelare dati utili sul traffico dei siti Web.
Visualizzatore eventi. Strumento di amministrazione che segnala errori e altri eventi, ad esempio errori dei driver o dei file, accessi e disconnessioni.
Microsoft Windows Defender. Programma che consente di proteggere il computer da popup, cali di prestazioni e minacce alla protezione causati da spyware e altri software indesiderati. Questo programma fornisce un sistema di monitoraggio, la protezione in tempo reale, che suggerisce le azioni da intraprendere contro gli spyware individuati, nonché una nuova interfaccia semplificata che riduce le interruzioni e consente agli utenti di mantenere un'elevata produttività.
Uso della protezione dinamica in Internet Explorer 7.
Altri strumenti consigliati per la scansione e l'applicazione degli ultimi aggiornamenti o correzioni:
Microsoft Windows Server Update Services (WSUS) fornisce una soluzione completa per la gestione degli aggiornamenti all'interno della rete delle medie imprese.
Microsoft Systems Management Server 2003 SP 1 fornisce una soluzione completa per la gestione delle modifiche e della configurazione per la piattaforma Microsoft, consentendo alle organizzazioni di fornire software e aggiornamenti agli utenti rapidamente e a costi ridotti.
Si consiglia di registrarsi per ricevere tutte le nuove patch applicabili all'organizzazione. Per ricevere automaticamente queste notifiche, è possibile registrarsi all'indirizzo http://go.microsoft.com/fwlink/?LinkId=21723.
Formazione utenti Come indicato nella sezione precedente di questo documento, tutti gli utenti devono essere formati sul malware e sulle relative caratteristiche, sulla gravità delle potenziali minacce, sulle tecniche utilizzate per combattere il malware, sulle modalità di diffusione e sui rischi che comporta. La formazione degli utenti deve comprendere anche la conoscenza dei criteri e delle procedure applicabili alla gestione dei malware, ad esempio come individuare un evento malware in un computer, segnalare infezioni sospette e indicare il da farsi per la gestione di eventi malware. Le medie imprese devono condurre sessioni di formazione sulle strategie di gestione dei rischi malware per i membri dello staff IT addetti alla prevenzione degli eventi malware.
Riepilogo
Il malware è una parte complessa e in continua evoluzione della tecnologia informatica. Dei numerosi problemi legati al settore IT, solo pochi sono diffusi e dispendiosi quanto gli attacchi malware e le relative azioni di contrasto e protezione. Comprendere il funzionamento e l'evoluzione del malware e individuare i possibili vettori di attacco consente alle medie imprese di affrontare il problema in modo proattivo e creare processi reattivi più efficaci. Il malware utilizza così tante tecniche per creare, distribuire e sfruttare i sistemi informatici da rendere difficile comprendere come sia possibile proteggere adeguatamente un sistema. Tuttavia, conoscere i termini della sfida e utilizzare le strategie adeguate per gestire i rischi malware consente alle medie imprese di gestire i sistemi e l'infrastruttura di rete in modo da ridurre la probabilità che un attacco riesca.
Appendice A: Risorse comuni del sistema informativo
In questa appendice vengono fornite le risorse dei sistemi informatici comunemente utilizzate in diversi tipi di media impresa. L'elenco non è completo e non rappresenta tutte le risorse presenti nello specifico ambiente dell'organizzazione, ma viene fornito come riferimento e punto di partenza per le attività aziendali.
Tabella A.1. Elenco delle risorse comuni dei sistemi informatici
| Classe della risorsa | Descrizione del livello massimo della risorsa | Definizione del livello successivo (se necessario) | Classificazione del valore della risorsa (valore massimo: 5) |
|---|---|---|---|
| Materiale | Infrastruttura fisica | Data center | 5 |
| Materiale | Infrastruttura fisica | Server | 3 |
| Materiale | Infrastruttura fisica | Computer desktop | 1 |
| Materiale | Infrastruttura fisica | Computer portatili | 3 |
| Materiale | Infrastruttura fisica | PDA | 1 |
| Materiale | Infrastruttura fisica | Telefoni cellulari | 1 |
| Materiale | Infrastruttura fisica | Software di applicazioni server | 1 |
| Materiale | Infrastruttura fisica | Software di applicazioni per utenti finali | 1 |
| Materiale | Infrastruttura fisica | Strumenti di sviluppo | 3 |
| Materiale | Infrastruttura fisica | Router | 3 |
| Materiale | Infrastruttura fisica | Switch di rete | 3 |
| Materiale | Infrastruttura fisica | Fax | 1 |
| Materiale | Infrastruttura fisica | PBX | 3 |
| Materiale | Infrastruttura fisica | Supporti rimovibili (nastri, dischi floppy, CD-ROM, DVD, dischi rigidi portatili, dispositivi di memorizzazione con schede PC Card, dispositivi di memorizzazione USB e così via) | 1 |
| Materiale | Infrastruttura fisica | Alimentatori | 3 |
| Materiale | Infrastruttura fisica | Gruppi di continuità | 3 |
| Materiale | Infrastruttura fisica | Sistemi antincendio | 3 |
| Materiale | Infrastruttura fisica | Sistemi di aria condizionata | 3 |
| Materiale | Infrastruttura fisica | Sistemi di filtrazione aria | 1 |
| Materiale | Infrastruttura fisica | Altri sistemi di controllo ambientale | 3 |
| Materiale | Dati intranet | Codice sorgente | 5 |
| Materiale | Dati intranet | Dati delle risorse umane | 5 |
| Materiale | Dati intranet | Dati finanziari | 5 |
| Materiale | Dati intranet | Dati di marketing | 5 |
| Materiale | Dati intranet | Password dei dipendenti | 5 |
| Materiale | Dati intranet | Chiavi crittografiche private dei dipendenti | 5 |
| Materiale | Dati intranet | Chiavi crittografiche del sistema informatico | 5 |
| Materiale | Dati intranet | Smart card | 5 |
| Materiale | Dati intranet | Proprietà intellettuale | 5 |
| Materiale | Dati intranet | Dati per requisiti normativi (GLBA, HIPAA, CA SB1386, direttiva per la protezione dei dati UE e così via) | 5 |
| Materiale | Dati intranet | Codice fiscale per i dipendenti statunitensi | 5 |
| Materiale | Dati intranet | Numero di patente dei dipendenti | 5 |
| Materiale | Dati intranet | Piani strategici | 3 |
| Materiale | Dati intranet | Report di credito per i clienti | 5 |
| Materiale | Dati intranet | Cartelle cliniche dei clienti | 5 |
| Materiale | Dati intranet | Identificatori biometrici dei dipendenti | 5 |
| Materiale | Dati intranet | Dati di contatto aziendali dei dipendenti | 1 |
| Materiale | Dati intranet | Dati di contatto personali dei dipendenti | 3 |
| Materiale | Dati intranet | Dati relativi a ordini di acquisto | 5 |
| Materiale | Dati intranet | Progettazione dell'infrastruttura di rete | 3 |
| Materiale | Dati intranet | Siti Web interni | 3 |
| Materiale | Dati intranet | Dati etnografici dei dipendenti | 3 |
| Materiale | Dati extranet | Dati contrattuali dei partner | 5 |
| Materiale | Dati extranet | Dati finanziari dei partner | 5 |
| Materiale | Dati extranet | Dati di contatto dei partner | 3 |
| Materiale | Dati extranet | Applicazione di collaborazione dei partner | 3 |
| Materiale | Dati extranet | Chiavi crittografiche dei partner | 5 |
| Materiale | Dati extranet | Report di credito dei partner | 3 |
| Materiale | Dati extranet | Dati relativi agli ordini di acquisto dei partner | 3 |
| Materiale | Dati extranet | Dati contrattuali dei fornitori | 5 |
| Materiale | Dati extranet | Dati finanziari dei fornitori | 5 |
| Materiale | Dati extranet | Dati di contatto dei fornitori | 3 |
| Materiale | Dati extranet | Applicazione di collaborazione dei fornitori | 3 |
| Materiale | Dati extranet | Chiavi crittografiche dei fornitori | 5 |
| Materiale | Dati extranet | Report di credito dei fornitori | 3 |
| Materiale | Dati extranet | Dati relativi agli ordini di acquisto dei fornitori | 3 |
| Materiale | Dati Internet | Applicazione di vendita tramite sito Web | 5 |
| Materiale | Dati Internet | Dati di marketing relativi al sito Web | 3 |
| Materiale | Dati Internet | Dati della carta di credito del cliente | 5 |
| Materiale | Dati Internet | Dati di contatto del cliente | 3 |
| Materiale | Dati Internet | Chiavi crittografiche pubbliche | 1 |
| Materiale | Dati Internet | Rassegne stampa | 1 |
| Materiale | Dati Internet | White paper | 1 |
| Materiale | Dati Internet | Documentazione del prodotto | 1 |
| Materiale | Dati Internet | Materiali per la formazione | 3 |
| Immateriale | Reputazione | 5 | |
| Immateriale | Motivazione | 3 | |
| Immateriale | Morale dei dipendenti | 3 | |
| Immateriale | Produttività dei dipendenti | 3 | |
| Servizi IT | Messaggistica | Posta elettronica/pianificazione (ad esempio, Microsoft Exchange) | 3 |
| Servizi IT | Messaggistica | Messaggistica immediata | 1 |
| Servizi IT | Messaggistica | Microsoft Outlook® Web Access (OWA) | 1 |
| Servizi IT | Infrastruttura principale | Servizio Active Directory® | 3 |
| Servizi IT | Infrastruttura principale | Sistema DNS (Domain Name System) | 3 |
| Servizi IT | Infrastruttura principale | DHCP (Dynamic Host Configuration Protocol) | 3 |
| Servizi IT | Infrastruttura principale | Strumenti di gestione aziendale | 3 |
| Servizi IT | Infrastruttura principale | Condivisione di file | 3 |
| Servizi IT | Infrastruttura principale | Archiviazione | 3 |
| Servizi IT | Infrastruttura principale | Accesso remoto dial-up | 3 |
| Servizi IT | Infrastruttura principale | Telefonia | 3 |
| Servizi IT | Infrastruttura principale | Accesso VPN (Virtual Private Networking) | 3 |
| Servizi IT | Infrastruttura principale | Microsoft WINS (Windows® Internet Naming Service) | 1 |
| Servizi IT | Altra infrastruttura | Servizi di collaborazione (ad esempio, Microsoft SharePoint®) |
| Descrizione della minaccia di alto livello | Esempio specifico |
|---|---|
| Evento molto grave | Incendio |
| Evento molto grave | Inondazioni |
| Evento molto grave | Sisma |
| Evento molto grave | Tempesta violenta |
| Evento molto grave | Attacco terroristico |
| Evento molto grave | Rivolte/disordini civili |
| Evento molto grave | Frana |
| Evento molto grave | Valanga |
| Evento molto grave | Incidente industriale |
| Errore meccanico | Interruzione della corrente |
| Errore meccanico | Errore hardware |
| Errore meccanico | Interruzione dei servizi della rete |
| Errore meccanico | Errore dei controlli ambientali |
| Errore meccanico | Incidente in fase di creazione |
| Persona non malintenzionata | Dipendente non informato |
| Persona non malintenzionata | Utente non informato |
| Persona malintenzionata | Utente malintenzionato, intruso |
| Persona malintenzionata | Criminale informatico |
| Persona malintenzionata | Spionaggio industriale |
| Persona malintenzionata | Spionaggio governativo |
| Persona malintenzionata | Social engineering |
| Persona malintenzionata | Dipendente scontento attualmente impiegato |
| Persona malintenzionata | Ex dipendente scontento |
| Persona malintenzionata | Terrorista |
| Persona malintenzionata | Dipendente negligente |
| Persona malintenzionata | Dipendente disonesto (corrotto o vittima di estorsione) |
| Persona malintenzionata | Codice Internet dannoso |
| Classe di vulnerabilità di alto livello | Breve descrizione della vulnerabilità | Esempio specifico (se applicabile) |
|---|---|---|
| Fisica | Porte non chiuse a chiave | |
| Fisica | Accesso non controllato ai servizi informatici | |
| Fisica | Sistemi antincendio insufficienti | |
| Fisica | Progettazione scadente degli edifici | |
| Fisica | Costruzione scadente degli edifici | |
| Fisica | Materiali infiammabili utilizzati in costruzione | |
| Fisica | Materiali infiammabili utilizzati nelle rifiniture | |
| Fisica | Finestre non bloccate | |
| Fisica | Pareti esposte ad attacchi fisici | |
| Fisica | Le pareti interne non combaciano perfettamente con il pavimento e il soffitto | |
| Naturale | Struttura situata su una faglia | |
| Naturale | Struttura situata in un'area soggetta a inondazioni | |
| Naturale | Struttura situata in un'area soggetta a valanghe | |
| Hardware | Patch mancanti | |
| Hardware | Firmware obsoleto | |
| Hardware | Sistemi con configurazioni errate | |
| Hardware | Sistemi non protetti fisicamente | |
| Hardware | Protocolli di gestione consentiti sulle interfacce pubbliche | |
| Software | Software antivirus scaduto | |
| Software | Patch mancanti | |
| Software | Applicazioni scritte non adeguatamente | Cross-Site Scripting |
| Software | Applicazioni scritte non adeguatamente | SQL injection |
| Software | Applicazioni scritte non adeguatamente | Punti deboli del codice, ad esempio overflow del buffer |
| Software | Punti deboli creati deliberatamente | Backdoor dei fornitori per la gestione o il ripristino del sistema |
| Software | Punti deboli creati deliberatamente | Spyware come keystroke logger |
| Software | Punti deboli creati deliberatamente | Trojan horse |
| Software | Punti deboli creati deliberatamente | |
| Software | Errori di configurazione | Provisioning manuale che produce configurazioni incoerenti |
| Software | Errori di configurazione | Sistemi non rafforzati |
| Software | Errori di configurazione | Sistemi non controllati |
| Software | Errori di configurazione | Sistemi non monitorati |
| Supporti | Interferenza elettrica | |
| Comunicazioni | Protocolli di rete non crittografati | |
| Comunicazioni | Connessioni a più reti | |
| Comunicazioni | Protocolli superflui consentiti | |
| Comunicazioni | Nessun filtro tra i segmenti di rete | |
| Umana | Procedure non definite adeguatamente | Preparazione insufficiente per reagire agli eventi |
| Umana | Procedure non definite adeguatamente | Provisioning manuale |
| Umana | Procedure non definite adeguatamente | Piani insufficienti per il ripristino delle emergenze |
| Umana | Procedure non definite adeguatamente | Testing sui sistemi di produzione |
| Umana | Procedure non definite adeguatamente | Violazioni non segnalate |
| Umana | Procedure non definite adeguatamente | Controllo delle modifiche scadente |
| Umana | Credenziali rubate |