Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Nota: Este documento de ejemplo solo tiene fines ilustrativos. En el contenido que se presenta a continuación se describen los criterios básicos que se deben tener en cuenta al crear procesos de seguridad. Recuerde que no es una lista exhaustiva de actividades o criterios y no debe tratarse como tal.
Consulte las definiciones de términos de esta sección.
Servidor
Consulte la Matriz de denegación de servicio para obtener una matriz completa de escenarios DoS del servidor.
La barra del servidor no suele ser adecuada cuando la interacción del usuario es parte del proceso de explotación. Si una vulnerabilidad crítica solo existe en productos de servidor y es explotada de forma que requiera interacción del usuario y resulte en la compromisión del servidor, la gravedad puede reducirse de Crítica a Importante de acuerdo con la definición de datos NEAT sobre la interacción extensa del usuario presentada al inicio del cambio de gravedad del cliente.
Servidor |
|
|---|---|
| Crítico | Resumen del servidor: gusanos de red o casos inevitables en los que el servidor es "atacado".
|
| Importante | Resumen del servidor: escenarios o casos críticos no predeterminados en los que existen mitigaciones que pueden ayudar a evitar escenarios críticos.
|
| Moderado |
|
| Bajo |
|
Cliente
La acción extensa del usuario se define como:Una "interacción del usuario" que solo puede producirse en un escenario controlado por el cliente.
Las acciones de usuario normales y sencillas, como obtener una vista previa del correo, ver carpetas locales o los recursos compartidos de archivos, no son una interacción extensa del usuario.
La opción "Extensa" incluye a los usuarios que navegan manualmente a un sitio web determinado (por ejemplo, escribiendo una dirección URL) o que hacen clic en una decisión de sí o no.
La opción "No extensa" incluye a los usuarios que hacen clic a través de vínculos de correo electrónico.
El calificador NEAT (se aplica solo a advertencias). Evidentemente, la experiencia de usuario es:
Necesario: ¿Realmente es necesario presentarle la decisión al usuario?
Explained (Explicada): ¿La experiencia de usuario presenta toda la información que el usuario necesita para tomar esta decisión?
Actionable (¿Hay un conjunto de pasos que los usuarios puedan seguir para tomar buenas decisiones tanto en escenarios benignos como en maliciosos?)
Tested (Probada): ¿Varias personas han revisado la advertencia para asegurarse de que las personas entienden cómo responder a esta?
Aclaración: Tenga en cuenta que el efecto de la interacción extensa del usuario no supone una reducción del nivel de gravedad, sino que es y ha sido una reducción de la gravedad en determinadas circunstancias en las que la frase "interacción extensa del usuario" aparece en la barra de errores. La intención es ayudar a los clientes a diferenciar los ataques de propagación rápida y de gusanos de aquellos en los que, debido a las acciones del usuario, el ataque se ralentiza. Esta barra de errores no permite reducir la elevación de privilegios por debajo del estado "Importante", debido a la interacción del usuario.
Cliente |
|
|---|---|
| Crítico | Resumen de cliente:
|
| Importante | Resumen de cliente:
|
| Moderado |
|
| Bajo |
|
Definición de términos
autenticado
Es cualquier ataque que tenga que incluir la autenticación por parte de la red. Esto implica que debe producirse un registro de algún tipo para que se pueda identificar al atacante.
anónimo
Es cualquier ataque que no necesite autenticarse para completarse.
cliente
Es cualquier software que se ejecuta localmente en un único equipo, o un software que accede a los recursos compartidos que proporciona un servidor a través de una red.
predeterminado/común
Es cualquier característica que esté activa y lista para usar, o que llegue a más del 10 por ciento de los usuarios.
scenario
Es cualquier característica que requiera personalización especial o casos de uso para habilitarla, y que llegue a menos del 10 por ciento de los usuarios.
servidor
Es el equipo que está configurado para ejecutar un software que espera y cumple con las solicitudes de los procesos de cliente que se ejecutan en otros equipos.
Crítico
Una vulnerabilidad de seguridad que se clasificaría con el mayor potencial de daño.
Importante
Una vulnerabilidad de seguridad que se clasificaría con un potencial significativo de daño, pero menor que Crítico.
Moderado
Una vulnerabilidad de seguridad que se clasificaría con un potencial moderado de daño, pero menor que Importante.
Baja
Una vulnerabilidad de seguridad que se clasificaría con bajo potencial de daño.
divulgación de información dirigida
Es la capacidad de seleccionar intencionadamente (destino) la información deseada.
ataque DoS temporal
Un ataque DoS temporal es una situación en la que se cumplen los criterios siguientes:
El objetivo no puede realizar operaciones normales debido a un ataque.
La respuesta a un ataque es aproximadamente de la misma magnitud que el tamaño del ataque.
El objetivo recupera su nivel normal de funcionalidad poco después de que finalice el ataque. La definición exacta de "en breve" debe evaluarse para cada producto.
Por ejemplo, un servidor no responde mientras un atacante envía constantemente un flujo de paquetes a través de una red, y el servidor vuelve a la normalidad unos segundos después de que se detenga el flujo de paquetes.
ataque DoS temporal con amplificación
Un ataque DoS temporal con amplificación es una situación en la que se cumplen los criterios siguientes:
El objetivo no puede realizar operaciones normales debido a un ataque.
La respuesta al ataque tiene una magnitud que va más allá del tamaño del ataque.
El sistema vuelve al nivel normal de funcionalidad una vez finalizado el ataque, pero puede tomar algún tiempo (quizás unos minutos).
Por ejemplo, si puede enviar un paquete malintencionado de 10 bytes y provocar una respuesta de 2048k en la red, está realizando un ataque DoS en el ancho de banda mediante la amplificación del esfuerzo de ataque.
ataque DoS permanente
Un ataque DoS permanente es aquel que requiere que un administrador inicie, reinicie o vuelva a instalar todo el sistema o parte del este. Cualquier vulnerabilidad que reinicie automáticamente el sistema también es un ataque DoS permanente.
Matriz de denegación de servicio (servidor)
| Ataque autenticado frente a ataque anónimo | Predeterminado/Común frente a Escenario | Ataque DoS temporal frente a permanente | Calificación |
|---|---|---|---|
| Con autenticación | Predeterminado/Común | Permanente | Moderado |
| Con autenticación | Predeterminado/Común | Ataque DoS temporal con amplificación | Moderado |
| Con autenticación | Predeterminado/Común | Ataque DoS temporal | Bajo |
| Con autenticación | Escenario | Permanente | Moderado |
| Con autenticación | Escenario | Ataque DoS temporal con amplificación | Bajo |
| Con autenticación | Escenario | Ataque DoS temporal | Bajo |
| Anónimas | Predeterminado/Común | Permanente | Importante |
| Anónimas | Predeterminado/Común | Ataque DoS temporal con amplificación | Importante |
| Anónimas | Predeterminado/Común | Ataque DoS temporal | Moderado |
| Anónimas | Escenario | Permanente | Importante |
| Anónimas | Escenario | Ataque DoS temporal con amplificación | Importante |
| Anónimas | Escenario | Ataque DoS temporal | Bajo |
Declinación de responsabilidades de contenido
Esta documentación no es una referencia exhaustiva sobre las prácticas de SDL en Microsoft. Los equipos de productos pueden realizar trabajos de garantía adicionales (pero no necesariamente tienen que documentarlos) a su discreción. Como resultado, este ejemplo no debe considerarse como el proceso exacto que Microsoft sigue para proteger todos los productos. Esta documentación se proporciona "tal cual". La información y los puntos de vista expresados en este documento, incluidas las direcciones URL y otras referencias a sitios web de Internet, pueden cambiar sin previo aviso. Usted asume el riesgo de utilizarla. Esta documentación no le proporciona ningún derecho legal sobre la propiedad intelectual e industrial de ninguno de los productos de Microsoft. Puede copiar y usar este documento para su uso interno de referencia. © 2018 Microsoft Corporation. Todos los derechos reservados. Licencia bajoCreative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported |