Riesgos para la seguridad y estrategias de mitigación

Estudie los siguientes problemas y riesgos de seguridad y las estrategias de mitigación asociadas para contribuir a minimizar estos riesgos:

Problema	Riesgo de seguridad	Estrategias de mitigación
Cuentas de usuario Los ajustes de cuenta predeterminados suelen ser el origen de los accesos no autorizados por parte de usuarios malintencionados.	Si no modifica la contraseña predeterminada, podrían producirse accesos no autorizados.	Cambie la contraseña predeterminada 0 (cero) para reducir los accesos no autorizados. Consulte la sección Cambiar la contraseña predeterminada.
Protocolos no cifrados ION, Modbus, DNP, DLMS, IEC 61850, BACnet/IP y algunos protocolos de TI no están cifrados. El dispositivo no tiene capacidad para transmitir datos cifrados a través de estos protocolos.	Si un usuario malintencionado obtiene acceso a su red, podría interceptar las comunicaciones.	Al transmitir datos a través de una red interna, segmente física o lógicamente la red. Cifre las transmisiones de protocolo en todas las conexiones externas usando un túnel de cifrado, una envoltura TLS o una Secure ION. Para obtener más información, consulte la sección Suposiciones sobre la defensa en profundidad del sistema. Desconecte los protocolos no utilizados. Para obtener más información, consulte la sección Habilitar y deshabilitar protocolos y modificar números de puerto.
Certificados autofirmados Las centrales de medida incluyen un certificado SSL autofirmado de fábrica. El certificado SSL es necesario para utilizar las páginas web por HTTPS y Secure ION (ION por TLS).	Los certificados autofirmados no pueden validarse. Un atacante con acceso a la red podría hacerse pasar por el dispositivo para obtener las credenciales enviadas a través del túnel TLS.	Utilice un certificado SSL firmado por una Autoridad de Certificación (AC) y controles de red externos.

Problema

Riesgo de seguridad

Estrategias de mitigación

Cuentas de usuario

Los ajustes de cuenta predeterminados suelen ser el origen de los accesos no autorizados por parte de usuarios malintencionados.

Si no modifica la contraseña predeterminada, podrían producirse accesos no autorizados.

Cambie la contraseña predeterminada 0 (cero) para reducir los accesos no autorizados. Consulte la sección Cambiar la contraseña predeterminada.

Protocolos no cifrados

ION, Modbus, DNP, DLMS, IEC 61850, BACnet/IP y algunos protocolos de TI no están cifrados.

El dispositivo no tiene capacidad para transmitir datos cifrados a través de estos protocolos.

Si un usuario malintencionado obtiene acceso a su red, podría interceptar las comunicaciones.

Al transmitir datos a través de una red interna, segmente física o lógicamente la red.

Cifre las transmisiones de protocolo en todas las conexiones externas usando un túnel de cifrado, una envoltura TLS o una Secure ION.

Para obtener más información, consulte la sección Suposiciones sobre la defensa en profundidad del sistema.

Desconecte los protocolos no utilizados. Para obtener más información, consulte la sección Habilitar y deshabilitar protocolos y modificar números de puerto.

Certificados autofirmados

Las centrales de medida incluyen un certificado SSL autofirmado de fábrica.

El certificado SSL es necesario para utilizar las páginas web por HTTPS y Secure ION (ION por TLS).

Los certificados autofirmados no pueden validarse. Un atacante con acceso a la red podría hacerse pasar por el dispositivo para obtener las credenciales enviadas a través del túnel TLS.

Utilice un certificado SSL firmado por una Autoridad de Certificación (AC) y controles de red externos.