La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Eduardo Rivadeneira Romero IT Pro Evangelist Microsoft Mexico

Publicada porCaridad Ortiz Modificado hace 9 años

Presentaciones similares

Presentación del tema: "Eduardo Rivadeneira Romero IT Pro Evangelist Microsoft Mexico"— Transcripción de la presentación:

1 Eduardo Rivadeneira Romero IT Pro Evangelist Microsoft Mexico
Sesión 2: Defensa profunda contra código dañino Estrategias de Antivirus Eduardo Rivadeneira Romero IT Pro Evangelist Microsoft Mexico

2 Prerrequisitos de la sesión
Experiencia práctica con Microsoft Windows Server y Active Directory Comprensión básica de los aspectos fundamentales de la seguridad de la red Comprensión básica de los conceptos relacionados con el código dañino Nivel 200

3 Descripción general de la sesión
Comprender las características del software dañino Defensa profunda contra el código dañino Defensa contra el código dañino para PCs cliente Defensa contra el código dañino para servidores Defensa basada en la red contra código dañino Control y recuperación de un brote de código dañino

4 Comprender las características del software dañino
Defensa profunda contra el código dañino Defensa contra el código dañino para PCs cliente Defensa contra el código dañino para servidores Defensa basada en la red contra código dañino Control y recuperación de un brote de código dañino

5 Código dañino: Identificar los desafíos para una organización
Código dañino: Una recopilación de software desarrollado para realizar intencionalmente tareas dañinas en un sistema de cómputo La retroalimentación de los profesionales de informática y de seguridad incluye: “Los usuarios ejecutaron el archivo adjunto desde su correo electrónico a pesar de que les indicamos en repetidas ocasiones que no deberían hacerlo.” “El software antiviurs debió haber detectado esto, pero la firma de este virus no se había instalado aún.” “No sabíamos que nuestros servidores tenían que actualizarse.” “Esto nunca debió haber pasado a través de nuestro servidor de seguridad; no sabíamos que sus puertos podían ser atacados.”

6 Comprender las técnicas de ataque del código dañino
Las técnicas comunes de ataque del código dañino incluyen: Ingeniería social Creación de una puerta trasera Robo de direcciones de correo electrónico Motores de correo electrónico incrustados Explotar las vulnerabilidades del producto Explotar las nuevas tecnologías de Internet

7 Comprender la línea de tiempo de la vulnerabilidad
La mayoría de los ataques ocurren aquí Producto enviado Vulnerabilidad descubierta Vulnerabilidad divulgada Actualización disponible Actualización implementada por el cliente

8 Comprender la línea de tiempo de la explosión
Producto enviado Vulnerabilidad descubierta Vulnerabilidad divulgada Actualizacón disponible Actualizacón Aplicada por el cliente Ataque de codigo dañino Días entre actualización y explotación Nimda SQL Slammer Welchia/Nachi Blaster Sasser Se reduce el número de días entre la actualización y la explotación Explotar Explotar Ataque de codigo dañino Días entre actualización y explotación Nimda 331 SQL Slammer 180 Welchia/Nachi 151 Blaster 25 Sasser 14 Producto enviado Vulnerabilidad descubierta Actualizacón disponible Actualizacón Aplicada por el cliente Vulnerabilidad divulgada Se reduce el número de días entre la actualización y la explotación

9 Identificar los métodos comunes de defensa contra el código dañino
Instalar la actualización de seguridad más reciente Incrementar la seguridad de la zona en la Máquina local en Internet Explorer Eliminar cualquier infección relacionada con IIS Download.Ject Instalar la actualización de seguridad más reciente Bloquear el puerto UDP 1434 SQL Slammer Instalar la actualización de seguridad más reciente Bloquear los puertos TCP 135, 139, 445 y 593 y los puertos UDP 135, 137 y 138, y además bloquear los puertos UDP 69 (TFTP) y TCP 4444 para shell de comando remoto Actualizar las firmas antivirus Blaster Bloquear el puerto Actualizar las firmas antivirus Implementar aplicaciones de seguridad Mydoom Bloquear los puertos 445, 5554 y 9996 Instalar la actualización de seguridad más reciente Sasser Método de defensa Ataque contra código dañino

10 Defensa contra el código dañino: Mejores prácticas
Manténgase informado ü Restrinja los derechos locales de administración ü Implemente la administración de actualizaciones de seguridad y antivirus ü Implemente la protección del servidor de seguridad ü Implemente la seguridad de la aplicación ü

11 Defensa profunda contra el código dañino
Comprender las características del software dañino Defensa profunda contra el código dañino Defensa contra el código dañino para PCs cliente Defensa contra el código dañino para servidores Defensa basada en la red contra código dañino Control y recuperación de un brote de código dañino

12 ¿Qué es la defensa profunda?
Utilizar un enfoque por nivel: Eleva el riesgo de detección de un atacante Reduce la oportunidad de que tenga éxito el atacante Políticas de seguridad, procedimientos e instrucción Políticas, procedimientos y conocimiento Contraseñas sólidas, ACLs, encriptación, EFS, estrategia de respaldo y restauración Datos Protecciones, candados, dispositivos de rastreo Seguridad física Fortalecimiento de la aplicación Aplicación Fortalecimiento del sistema operativo, autenticación, administración de actualizaciones, actualizaciones de antivirus, auditoría Host Segmentos de red, IPSec, NIDS Red interna Servidores de seguridad, enrutadores internos, VPNs con procedimientos de cuarentena Perímetro

13 Aplicar Defensa profunda a la defensa contra código dañino
Políticas, procedimientos y conocimiento Seguridad física Host Aplicación Datos Defensas del cliente Defensas del cliente Host Aplicación Datos Perímetro Red interna Defensas de la red

14 Implementar Políticas de protección del host, procedimientos y conocimientos
Las políticas y procedimientos recomendadas incluyen: Políticas de defensa de protección del host: Políticas de análisis Políticas de actualización de firmas Política de aplicación permitida Política de defensa de red: Control de cambios Supervisión de la red Detección del ataque Acceso al PC principal Acceso al visitante Política de red inalámbrica Política de actualización de seguridad: Evaluar el entorno a actualizar Identificar nuevas actualizaciones Evaluar y planear la implementación de la actualización Implementar las actualizaciones

15 Implementar la seguridad física y la defensa antivirus
Los elementos de un plan de defensa física eficaz incluyen: Seguridad de los permisos ü Seguridad del personal ü Puntos de acceso de red ü PCs de servidor ü PCs de estación de trabajo ü PCs y dispositivos móviles ü

16 Defensa contra el código dañino para PCs cliente
Comprender las características del software dañino Defensa profunda contra el código dañino Defensa contra el código dañino para PCs cliente Defensa contra el código dañino para servidores Defensa basada en la red contra código dañino Control y recuperación de un brote de código dañino

17 Proteger los PCs cliente: ¿Cuáles son los desafíos?
Los desafíos relacionados con la protección de los PCs cliente incluyen: Mantener las actualizaciones de seguridad Mantener el software antivirus Implementar un servidor de seguridad personal Desafíos del host Controlar el uso de las aplicaciones Asegurar las configuraciones de la aplicación Mantener las actualizaciones de seguridad de la aplicación Desafío de la aplicación Desafíos de los datos Implementar políticas de almacén de datos Implementar seguridad de datos Cumplimiento regulatorio

18 Implementar una defensa contra código dañino basado en el cliente
Pasos para implementar una defensa basada en el cliente incluyen: 1 Reducir la superficie de ataque 2 Aplicar las actualizaciones de seguridad 3 Habilitar el servidor de seguridad basado en el host 4 Instalar software antivirus 5 Probar los análisis de la configuración 6 Utilizar las políticas con menos privilegios 7 Restringir las aplicaciones no autorizadas

19 Elegir una solución de administración de actualizaciones para defensa contra código dañino
MBSA y SUS Desea una solución de administración de actualizaciones con un nivel básico de control que actualice Windows 2000 y las versiones más nuevas de Windows Windows Update No cuenta con servidores Windows Pequeña empresa Desea una solución de administración de actualizaciones flexible con un nivel ampliado de control para actualizar y distribuir todo el software Por lo menos un Windows 2000 o servidores más nuevos y un administrador de informática Todos los escenarios Escenario Empresas medianas o grandes Consumidor Tipo de cliente Solución SMS

20 Comprender los Beneficios de los servicios de actualización de software
Proporciona a los administradores un control básico de la administración de actualizaciones Los administradores pueden revisar, probar y aprobar las actualizaciones antes de su implementación Simplifica y automatiza los aspectos clave del proceso de administración de actualizaciones Se puede utilizar con la Política de grupo; sin embargo, no se requiere la Política de grupo para utilizar SUS Fácil de implementar Herramienta gratuita de Microsoft

21 Actualización de Windows Servidor SUS secundario
SUS - Cómo funciona Internet Actualización de Windows Servidor SUS secundario PCs cliente Servidor SUS primario PCs cliente

22 Demo 1: Configure los Servicios de actualización de software para implementar actualizaciones de seguridad Configure los Servicios de actualización de software para implementar las actualizaciones de seguridad

23 Configurar las aplicaciones para proteger los PCs cliente
Las aplicaciones que pueden ser objetivo del código dañino incluyen: Aplicaciones del cliente de correo electrónico Aplicaciones de escritorio Aplicaciones de mensajes instantáneos Exploradores Web Aplicaciones de igual a igual

24 Administrar la seguridad del Explorador de Internet
Función de seguridad Descripción Mejoras a la seguridad de MIME Verificaciones de consistencia Reglas más estrictas Mejor administración de la seguridad Control de los complementos y funciones de administración Mejores indicadores Nuevas restricciones de ventanas iniciadas con secuencias de comando Zona de la máquina local Habilidad para controlar la seguridad en la zona de la máquina local Función de las configuraciones de la Zona de seguridad de control Detección de MIME Elevación de la seguridad Restricción de Windows Configuraciones de la Política de grupo Control administrativo para la función de la zona de seguridad del control

25 Demo 2: Configurar las aplicaciones basadas en el cliente
Configurar las aplicaciones cliente para protegerse contra código dañino

26 Bloquear las aplicaciones no autorizadas con las Políticas de restricción de software
Se pueden utilizar para: Luchar contra virus Descargas de Control ActiveX Ejecutar únicamente las secuencias de comandos firmadas Asegurar que se instale el software aprobado Desbloquear un PC Se puede aplicar a las siguientes reglas: Análisis Certificado Ruta Zona Se pueden establecer como: No restringidar Deshabilitadas

27 Demo 3: Usar las políticas para restricción de software
Cree y pruebe una política de restricción de software

28 Nuevas funciones de seguridad del Firewall de Windows
ü Activado por predeterminación ü Activado sin excepciones Seguridad en el tiempo de inicio Lista de excepciones de Firewall de Windows ü ü Configuración global y opciones predeterminadas de restauración ü Perfiles múltiples ü ü Soporte RPC Restricción de la subred local ü Soporte a instalación no asistida ü Soporte de línea de comando ü

29 Configurar Firewall de Windows para la defensa antivirus

30 Proteger los PCs cliente: Mejores prácticas
Identifique las amenazas en los nivles de host, las aplicaciones y los datos de la estrategia de defensa profunda ü Implemente una política efectiva de administración de actualización de seguridad ü Implemente una política efectiva de administración antivirus ü Utilice la Política de grupo de Active Directory para administrar los requisitos de la seguridad de la aplicación ü Implemente políticas de restricción de software para controlar las aplicaciones ü

31 Defensa contra el código dañino para servidores
Comprender las características del software dañino Defensa profunda contra el código dañino Defensa contra el código dañino para PCs cliente Defensa contra el código dañino para servidores Defensa basada en la red contra código dañino Control y recuperación de un brote de código dañino

32 Proteger los servidores: ¿Cuáles son los desafíos?
Los desafíos para proteger los servidores incluyen: Mantener la confiabilidad y el rendimiento Mantener las actualizaciones de seguridad Mantener las actualizaciones del antivirus Aplicar soluciones especializadas de defensa basadas en el rol del servidor

33 ¿Qué es la Defensa contra código dañino basada en el servidor?
Pasos básicos para proteger a los servidores contra el código dañino incluyen: ü Reducir la superficie de ataque ü Aplicar las actualizaciones de seguridad ü Habilitar el servidor de seguridad basado en el host ü Analizar el uso de los análisis de la configuración ü Analizar la información del puerto

34 Implementar el software de protección del host basado en el servidor
Las consideraciones al implementar un software antivirus basado en el servidor incluyen: Uso de la CPU durante el análisis Confiabilidad de la aplicación Sobrecarga de la administración Interoperabilidad de la aplicación

35 Proteger las aplicaciones basadas en el servidor
Las aplicaciones que por lo general cuentan con implementaciones de protección especializada del host incluyen: Microsoft SharePoint Portal Server 2003 Servidores de colaboración Microsoft SQL Server 2000 Servidores de base de datos Internet Information Services (IIS) Servidores Web Microsoft Exchange 2003 Servidores de mensajes Ejemplo Aplicación

36 Demo 4: Utilizar el Filtro de mensajes SMTP de ISA Server 2004
Implementar el filtro de mensajes SMTP

37 Proteger los servidores: Mejores prácticas
Considere cada error de servidor implementado en su organización para implementar soluciones específicas de protección del host ü Organice todas las actualizaciones a través de un entorno de pruebas antes de lanzarlo a producción ü Implemente actualizaciones de seguridad y antivirus frecuentes conforme se requiera ü Implemente una solución de protección del host de autoadministración para reducir los costos de administración ü

38 Defensa basada en la red contra código dañino
Comprender las características del software dañino Defensa profunda contra el código dañino Defensa contra el código dañino para PCs cliente Defensa contra el código dañino para servidores Defensa basada en la red contra código dañino Control y recuperación de un brote de código dañino

39 Proteger la red: ¿Cuáles son los desafíos?
Los desafíos relacionados con proteger el nivel de red incluyen: Equilibrio entre la seguridad y capacidad de uso Ausencia de detección o supervisión basada en la red para ataques

40 Implementar sistemas de detección de intrusiones basados en la red
Sistema de detección e intrusiones basado en la red Proporciona una rápida detección y generación de informes de los ataques externos de código dañino Puntos importantes qué observar: Los sistemas de detección de intrusiones basados en la red, únicamente son tan buenos como el proceso que se sigue una vez que se detecta una intrusión ISA Server 2004 proporciona habilidades de detección de intrusiones basadas en la red

41 Implementar filtro de niveles de la aplicación
La aplicación de filtros de niveles incluyen lo siguiente: La exploración del Web y del correo electrónico se puede analizar para asegurar que el contenido específico para cada uno no contenga información ilegítima Los análisis profundos de contenido, incluyendo la capacidad de detectar, inspeccionar y validar el tráfico, utilizan cualquier puerto y protocolo

42 Demo 5: Implementar el Filtro con ISA Server 2004

43 Comprender las redes de cuarentena
Las funciones estándar de una red de cuarentena incluyen: Por lo general está restringida o bloqueada para tener acceso a los recursos internos Proporciona un nivel de conectividad que permite a los PCs del visitante temporal funcionar de manera productiva sin poner en riesgo la seguridad de la red interna Actualmente está disponible únicamente para soluciones de acceso remoto VPN

44 Proteger la red: Mejores prácticas
Haga que un equipo de respuesta antivirus proactivo supervise los sitios de alerta temprana, tales como los de proveedores antivirus ü ü Formule un plan de respuesta a incidentes Implemente políticas de supervisión y reportes automatizados ü Implemente ISA Server 2004 para proporcionar capacidades de detección de intrusiones ü

45 Control y recuperación de un brote de código dañino
Comprender las características del software dañino Defensa profunda contra el código dañino Defensa contra el código dañino para PCs cliente Defensa contra el código dañino para servidores Defensa basada en la red contra código dañino Control y recuperación de un brote de código dañino

46 Cómo confirmar el brote de un código dañino
El proceso de confirmación de infección incluye: Generación de informes de actividades inusuales Recopilar la información básica Evaluar la información Recopilar los detalles Responder a las actividades inusuales ¿Falsa alarma? ¿Es una broma? ¿Infección conocida? ¿Nueva infección?

47 Cómo responder a un brote de código dañino
Las tareas del mecanismo para controlar los brotes incluyen: Desconectar los sistemas que corren riesgo de la red Aislar las redes que contienen hosts infectados Desconectar la red de todas las redes externas Buscar controles de estallidos y técnicas de limpieza Los ejemplos de las metas de recuperación incluyen: Mínima interrupción a las operaciones de la organización Tiempo de recuperación más rápido posible La captura de información para respaldar el proceso La captura de información para permitir que todas las medidas de seguridad adicionales se desarrollen Prevención de ataques futuros de este tipo

48 Cómo analizar el brote de código dañino
Las siguientes tareas de análisis le ayudan a comprender la naturaleza de los brotes: Verificar los procesos y servicios activos Verificar las metas de inicio Verificar las aplicaciones programadas Analizar el registro local Revisar los archivos dañados Revisar los usuarios y grupos Revisar las carpetas compartidas Revisar los puertos de red abiertos Revisar y exportar los registros de eventos del sistema Ejecutar MSCONFIG

49 Cómo recuperarse de un brote del código dañino
Utilice el siguiente proceso para recuperarse de un brote de virus: Restaure los datos extraviados o dañados 1 Elimine o limpie los archivos infectados 2 Confirme que su sistema de cómputo no tenga código dañino 3 Vuelva a conectar sus sistemas de PC a la red 4

50 Cómo revisar un Análisis posterior a la recuperación
Los pasos para el análisis posteriores de la recuperación incluyen lo siguiente: Reunión de revisión posterior al ataque Actualizaciones posteriores al ataque

51 Resumen de la sesión ü ü ü ü ü ü
Comprenda que el código dañino le ayudará a implementar una defensa eficaz contra los ataques este tipo de código ü Utilice un enfoque de defensa profunda para protegerse contra el código dañino ü Fortalezca los PCs cliente al aplicar actualizaciones de seguridad, instalar y mantener una estrategia de software antivirus y restringir los PCs que utilizan la Política de grupo ü Organice todas las actualizaciones a través del servidor de prueba antes de implementarlo en producción, para minimizar la interrupción ü ISA Server 2004 se puede utilizar para implementar defensas de red, como filtro a nivel de aplicación, filtro de mensajes y cuarentena de la red ü Un plan eficaz de respuesta de recuperación asegurará que si ocurre un ataque de código dañino, su organización puede recuperarse con rapidez con una interrupción mínima ü

52 Pasos a seguir Encuentre eventos adicionales de capacitación sobre seguridad: Inscríbase para recibir comunicados de seguridad: Solicite el kit de orientación de seguridad: default.mspx Obtenga las herramientas y contenido adicional de seguridad:

53 Preguntas y respuestas

Descargar ppt "Eduardo Rivadeneira Romero IT Pro Evangelist Microsoft Mexico"

Presentaciones similares

TNT4-04 KEY MESSAGE: Entry Slide SLIDE BUILDS: 0 SLIDE SCRIPT:

TNT4-04 KEY MESSAGE: Entry Slide SLIDE BUILDS: 0 SLIDE SCRIPT:
GFI LANguard Network Security Scanner Version 8 .0 !

GFI LANguard Network Security Scanner Version 8 .0 !
Virus informático Daniel Cochez III Año E.

Virus informático Daniel Cochez III Año E.
Introducción al Administrador para la protección de datos.

Introducción al Administrador para la protección de datos.
Entender la Política de grupo Parte 3. Lo que vamos a cubrir Administración de la Política de grupo Administración avanzada de la política de grupo Secuencia.

Entender la Política de grupo Parte 3. Lo que vamos a cubrir Administración de la Política de grupo Administración avanzada de la política de grupo Secuencia.
Entender la Política de grupo Parte 2. Lo que vamos a cubrir Administración avanzada de la política de grupo Implementar software con la Política de grupo.

Entender la Política de grupo Parte 2. Lo que vamos a cubrir Administración avanzada de la política de grupo Implementar software con la Política de grupo.
Microsoft Solutions for Windows Update Management

Microsoft Solutions for Windows Update Management
Implementaciones de Microsoft Operations Manager 2005 for Exchange.

Implementaciones de Microsoft Operations Manager 2005 for Exchange.
SEGURIDAD EN REDES DE DATOS

SEGURIDAD EN REDES DE DATOS
Control Interno Informático. Concepto

Control Interno Informático. Concepto
ESET Endpoint Security y ESET Endpoint Antivirus

ESET Endpoint Security y ESET Endpoint Antivirus
DIRECT ACCESS.

DIRECT ACCESS.
Ing. Horacio Carlos Sagredo Tejerina

Ing. Horacio Carlos Sagredo Tejerina
Universidad Tecnológica OTEIMA

Universidad Tecnológica OTEIMA
Problemas asociados a DHCP. Seguridad.

Problemas asociados a DHCP. Seguridad.
DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812

DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812
Implementación de seguridad en aplicaciones y datos Nombre del presentador PuestoCompañía.

Implementación de seguridad en aplicaciones y datos Nombre del presentador PuestoCompañía.
28 de junio, 2010. Primero – Aclaremos el Nombre FOPE – Forefront Online Protection for Exchange Previamente FOSE Forma parte de Exchange Hosted Services:

28 de junio, Primero – Aclaremos el Nombre FOPE – Forefront Online Protection for Exchange Previamente FOSE Forma parte de Exchange Hosted Services:
Infraestructura de red de Windows Server 2003. Lo que cubriremos: NAT (Conversión de direcciones de red), ICS (Compartir conexión a Internet) Firewall.

Infraestructura de red de Windows Server Lo que cubriremos: NAT (Conversión de direcciones de red), ICS (Compartir conexión a Internet) Firewall.
Implementación de seguridad en aplicaciones y datos

Implementación de seguridad en aplicaciones y datos

Presentaciones similares

Anuncios Google