Scribd
Cargar
75 vistas4 páginas

Taller: 2.2.2.8

El documento proporciona una evaluación y mitigación de vulnerabilidades comunes en dispositivos IoT. Brevemente describe tres vulnerabilidades clave: 1) servicios de red inseguros expuestos, 2) protección insuficiente de datos personales, y 3) falta de medidas de seguridad física. Para cada una, ofrece pasos para mitigar los riesgos asociados.

Cargado por

Juan David Giraldo
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
75 vistas4 páginas

Taller: 2.2.2.8

El documento proporciona una evaluación y mitigación de vulnerabilidades comunes en dispositivos IoT. Brevemente describe tres vulnerabilidades clave: 1) servicios de red inseguros expuestos, 2) protección insuficiente de datos personales, y 3) falta de medidas de seguridad física. Para cada una, ofrece pasos para mitigar los riesgos asociados.

Cargado por

Juan David Giraldo
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
Está en la página 1/ 4

Taller: 2.2.2.

Giraldo Parra Juan David


CC 1028026267

Mag. BAYRON JESIT OSPINA CIFUENTES


Docente

Instituto Tecnológico Metropolitano ITM


Diplomado en Internet de las cosas IoT
Módulo 2
Medellín, Julio 21
2021
Vulnerabilidad Evaluación Mitigación
 Determinar si existen 1. Asegurarse de que solo
servicios de red inseguros los puertos necesarios
servicios de red inseguros revisando el dispositivo estén expuestos y
en busca de puertos disponibles.
abiertos mediante un 2. Garantizar que los
escáner de puertos servicios no sean
 A medida que se vulnerables a los ataques
identifican los puertos de desbordamiento de
abiertos, cada uno se búfer y de exploración de
puede probar utilizando datos limitados.
cualquier número de 3. Garantizar que los
herramientas servicios no sean
automatizadas que vulnerables a los ataques
buscan vulnerabilidades DoS que pueden afectar al
doS, vulnerabilidades propio dispositivo o a
relacionadas con los otros dispositivos y/o
servicios UDP y usuarios de la red local u
vulnerabilidades otras redes.
relacionadas con el 4. Asegurarse de que los
desbordamiento del búfer puertos o servicios de red
y los ataques de fuzzing no estén expuestos a
 Revisar los puertos de red Internet a través de UPnP,
para asegurarse de que por ejemplo
son absolutamente 5. El tráfico anormal de la
necesarios y si hay algún solicitud de servicio debe
puerto que se expone a detectarse y bloquearse
Internet mediante UPnP. en la capa de puerta de
enlace de servicio

 Identificación de todos los 1. Garantizar que solo se


Protección insuficiente de la tipos de datos que están recopilen datos críticos
privacidad siendo recopilados por el para la funcionalidad del
dispositivo, su aplicación dispositivo
móvil y cualquier interfaz 2. Asegurarse de que los
en la nube datos recopilados sean de
 El dispositivo y sus naturaleza menos
diversos componentes sensible (es decir, trate de
sólo deben recoger lo no recopilar datos
necesario para realizar su confidenciales)
función 3. Garantizar que los datos
 La información de recopilados se
identificación personal desidenticen o
puede exponerse cuando anonimicen
no se cifra correctamente 4. Garantizar que los datos
mientras se está en recopilados estén
reposo en medios de
almacenamiento y debidamente protegidos
durante el tránsito a con cifrado
través de redes 5. Garantizar que el
 Revisar quién tiene acceso dispositivo y todos sus
a la información personal componentes protejan
que se recopila adecuadamente la
 Determinar si los datos información personal
recopilados pueden ser 6. Garantizar que solo las
desidentificados o personas autorizadas
anonimizados tengan acceso a la
 Determinar si los datos información personal
recopilados están más allá recopilada
de lo necesario para el 7. Garantizar que se
correcto funcionamiento establecen límites de
del dispositivo (¿Tiene el retención para los datos
usuario final una opción recopilados
para esta recopilación de 8. Garantizar que los
datos?) usuarios finales reciban
 Determinar si existe una "Aviso y elección" si los
directiva de retención de datos recopilados son más
datos de lo que se esperaría del
producto
9. Garantizar que se aplica el
control de acceso basado
en roles/autorización a los
datos
recopilados/analizados
10. Asegurarse de que los
datos analizados se
desidentificados

Falta de endurecimiento  Revisar la facilidad con la 1. Garantizar que el medio


físico que se puede desmontar de almacenamiento de
un dispositivo y acceder o datos no se pueda
quitar los medios de eliminar fácilmente.
almacenamiento de datos 2. Garantizar que los datos
 Revisar el uso de puertos almacenados se cifran en
externos como USB para reposo.
determinar si se puede 3. Asegurarse de que los
acceder a los datos en el puertos USB u otros
dispositivo sin puertos externos no se
desensamblar el puedan usar para acceder
dispositivo. maliciosamente al
 Revisar el número de dispositivo.
puertos externos físicos 4. Asegurando que el
para determinar si todos dispositivo no se pueda
son necesarios para el desmontar fácilmente.
correcto funcionamiento 5. Asegurarse de que solo se
del dispositivo requieren los puertos
 Revisión de la interfaz externos requeridos,
administrativa para como USB, para que el
determinar si se pueden producto se divida
desactivar puertos 6. Garantizar que el
externos como USB producto tenga la
 Revisión de la interfaz capacidad de limitar las
administrativa para capacidades
determinar si las administrativas
capacidades
administrativas se pueden
limitar únicamente al
acceso local

También podría gustarte