Mitigación de amenazas del Integrador de transacciones

La seguridad del producto es una prioridad máxima en Microsoft. A partir de la Seguridad de Windows Inserción en 2002, Microsoft ha invertido más tiempo y recursos para desarrollar código más seguro e instrucciones detalladas para implementar y proteger el entorno informático. El equipo de productos de Host Integration Server llevó a cabo un análisis completo del modelado de amenazas para identificar y mitigar las posibles áreas de interés. Un modelo de amenazas es un análisis basado en la seguridad que le ayuda a determinar los riesgos de seguridad de nivel más alto que supone un producto o aplicación y cómo los ataques pueden manifestarse por sí mismos.

Aunque Microsoft ha mitigado todas las posibles amenazas de seguridad interna a Host Integration Server, hay pasos que debe seguir para mitigar las amenazas de otro lugar del entorno de red. El modelado de amenazas le ayuda a evaluar las amenazas a las aplicaciones que está escribiendo o ejecutando y, por tanto, reduce el riesgo general al sistema informático. Para obtener más información sobre el análisis del modelo de amenazas, vea el capítulo 4 Modelado de amenazas en Michael Howard y David LeBlanc, Escritura de código seguro 2ª edición, Redmond, WA: Microsoft Press. 2003.

Howard y LeBlanc resumen seis categorías de posibles amenazas de seguridad para su entorno informático:

• Identidad de suplantación de identidad. Las amenazas de suplantación de identidad permiten a un atacante plantearse como otro usuario o permitir que un servidor no autorizado se represente como un servidor válido. Un ejemplo de suplantación de identidad de usuario es el acceso ilegal y, a continuación, el uso de otra información de autenticación de usuarios, como el nombre de usuario y la contraseña.

• Manipulación de datos. La manipulación de datos implica la modificación malintencionada de los datos. Algunos ejemplos son los cambios no autorizados realizados en los datos persistentes, como los contenidos en una base de datos, y la modificación de los datos a medida que fluyen entre dos equipos a través de una red abierta, como Internet.

• Rechazo. Las amenazas de rechazo están asociadas a los usuarios que deniegan la realización de una acción sin que otras partes tengan ninguna manera de demostrar lo contrario, por ejemplo, un usuario que realiza una operación ilegal en un sistema que carece de la capacidad de rastrear las operaciones prohibidas.

• Divulgación de información. Las amenazas de divulgación de información implican la exposición de información a personas que no deben tener acceso a ella, por ejemplo, una capacidad de los usuarios para leer un archivo al que no se le concedió acceso y una capacidad de intrusos para leer datos en tránsito entre dos equipos.

• Denegación de servicio. Los ataques por denegación de servicio (DoS) deniegan el servicio a usuarios válidos, por ejemplo, haciendo que un servidor web no esté disponible temporalmente o no se pueda usar. Debe protegerse frente a ciertos tipos de amenazas de DoS simplemente para mejorar la disponibilidad y la confiabilidad del sistema.

• Elevación de privilegios. En este tipo de amenaza, un usuario sin privilegios obtiene acceso con privilegios y, por tanto, tiene suficiente acceso para poner en peligro o destruir todo el sistema. Las amenazas de elevación de privilegios incluyen aquellas situaciones en las que un atacante ha penetrado eficazmente todas las defensas del sistema y se convierten en parte del propio sistema de confianza, una situación peligrosa.

  Howard y LeBlanc también señalan que algunos tipos de amenazas pueden interrelacionarse. Por ejemplo, es posible que las amenazas de divulgación de información produzcan amenazas de suplantación de identidad si las credenciales de los usuarios no están protegidas. Del mismo modo, la elevación de amenazas de privilegios es la peor porque si alguien puede convertirse en administrador o raíz en el equipo de destino, todas las demás categorías de amenazas se convierten en realidad. Por el contrario, las amenazas de suplantación de identidad pueden provocar una situación en la que la escalación ya no es necesaria para que un atacante logre su objetivo.

  Para mitigar las amenazas que se originan fuera del Integrador de transacciones, pero que pueden afectar negativamente a los componentes de TI y a la aplicación, Microsoft recomienda hacer lo siguiente:

• Protección de la base de datos MSHIS60_HIP y los procedimientos almacenados de SQL Server

• Protección de los servidores COM+ y .NET

• Protección de datos de usuario sin procesar

• Protección del agente de escucha de HIP

• Protección del sistema de archivos local, la base de datos y el Registro

• Protección del proxy de cliente

• Protección de la sesión remota

• Proteger TI de sistemas centrales no autorizados o IBM i Access

• Protección del entorno de tiempo de ejecución de TI

• Protección de las credenciales de seguridad del sistema central frente a la invalidación

• Protección de los entornos de host y de tiempo de ejecución de TI frente a desbordamientos de datos

• Protección del ensamblado .NET de TI frente al acceso no autorizado

• Protección de la salida de actividades de seguimiento y supervisión de red

• Protección de los archivos de registro o reproducción de TI frente al acceso no autorizado

Consulte también

Integración de aplicaciones (seguridad)