CISA Secure by Design: los fabricantes DEBEN eliminar las contraseñas predeterminadas

[LUK]

CISA publicó una guía sobre cómo los fabricantes pueden proteger a los clientes eliminando las contraseñas predeterminadas como parte de nuestra nueva serie de alertas Secure by Design (SbD).

Esta alerta SbD insta a los fabricantes de tecnología a eliminar de manera proactiva el riesgo de explotación de contraseñas predeterminadas mediante la implementación de los principios uno y tres de la guía: principios y enfoques para un software seguro por diseño, también en español.

• Asumir los resultados del cliente en materia de seguridad: las prácticas modernas recomendadas dictan que los fabricantes de software deben invertir en esfuerzos de seguridad de productos que incluyan el refuerzo de las aplicaciones, las características de las aplicaciones y la configuración predeterminada de las aplicaciones.
• Construir estructura organizacional y liderazgo para lograr estos objetivos. Si bien la experiencia técnica en la materia es fundamental para la seguridad del producto, no es una cuestión que pueda dejarse exclusivamente en manos del personal técnico Es una prioridad empresarial que debe empezar desde arriba.

Al implementar estos dos principios en sus procesos de diseño, desarrollo y entrega, los fabricantes de software evitarán la explotación de contraseñas estáticas predeterminadas en los sistemas de sus clientes. CISA insta a los fabricantes de tecnología a leer e implementar la guía de esta segunda Alerta SbD de la nueva serie, que se centra en cómo las decisiones de los proveedores pueden reducir los daños a escala global.

Fuente: CISA

[KarenHdez]

Y también en estos ataques, la contraseña predeterminada era ampliamente conocida y publicitada en foros abiertos donde se sabe que los actores de amenazas extraen inteligencia para usarla en la vulneración de sistemas.

• Aplique contraseñas seguras y MFA resistente al phishing
• Asegúrese de que en cada sistema solo se ejecuten puertos, protocolos y servicios con necesidades comerciales validadas.
• Configure cuentas de servicio con solo los permisos necesarios para los servicios que operan
• Cambie todas las contraseñas predeterminadas para aplicaciones, sistemas operativos, enrutadores, firewalls, puntos de acceso inalámbrico y otros sistemas.
• Dejar de reutilizar o compartir credenciales administrativas entre cuentas de usuario/administrativas
• Exigir una gestión coherente de parches
• Implementar controles de segregación de red
• Evaluar el uso de hardware y software no compatibles y suspenderlos cuando sea posible.
• Cifrar información de identificación personal (PII) y otros datos confidenciales