| Não. | Recomendação | Justificação |  |  |  |
|---|
Assessoria organizacional
|
1
| Desenvolva uma política organizacional de segurança sem fio Bluetooth.
| A política de segurança é a base para todas as outras contramedidas.
| +
| | |
2
| Verifique se todos os usuários de Bluetooth estão familiarizados com as regras de segurança para usar o Bluetooth.
| Um programa de conscientização de segurança ajuda os usuários a seguir práticas que ajudam a evitar incidentes de segurança.
| + | | |
3
| Realize regularmente avaliações abrangentes de segurança do Bluetooth.
| As avaliações de segurança ajudam a identificar os dispositivos Bluetooth da sua organização e a aplicar as políticas de segurança sem fio.
| + | | |
4
| Certifique-se de que os dispositivos sem fio Bluetooth usados sejam totalmente compreendidos e documentados em termos de arquitetura.
| Os dispositivos habilitados para Bluetooth podem conter várias tecnologias e interfaces de rede que permitem a conexão com redes locais e globais. A organização deve entender a conectividade geral de cada dispositivo para identificar riscos e vulnerabilidades em potencial. Esses riscos e vulnerabilidades podem ser mitigados pela política de segurança sem fio.
| + | | |
5
| Forneça aos usuários uma lista de precauções que eles devem tomar para proteger melhor os dispositivos portáteis habilitados para Bluetooth contra roubo.
| A organização e seus funcionários são responsáveis por seus dispositivos habilitados para Bluetooth, porque o roubo desses dispositivos pode levar a incidentes de segurança da informação.
| + | | |
6
| Mantenha um inventário completo de todos os dispositivos sem fio e endereços Bluetooth (BD_ADDRs).
| Um inventário completo dos dispositivos Bluetooth pode ser fornecido como parte de uma auditoria para identificar dispositivos não autorizados.
| + | | |
Recomendações técnicas
|
7
| Altere as configurações padrão do Bluetooth para corresponder à política de segurança da sua organização.
| Como as configurações padrão geralmente não são seguras, você deve examinar cuidadosamente essas configurações para garantir que estejam em conformidade com a política de segurança da organização. Por exemplo, geralmente é necessário alterar o nome do dispositivo (ou seja, para que ele não exiba o tipo de plataforma).
| + | | |
8
| Defina seus dispositivos Bluetooth para o nível de energia mais baixo necessário e suficiente para que o raio do sinal permaneça no perímetro seguro da organização.
| A instalação de dispositivos Bluetooth com o nível de energia mínimo necessário e suficiente fornece acesso seguro a usuários autorizados.
Dispositivos da classe 1, assim como amplificadores externos ou antenas de alto ganho, devem ser evitados devido à sua faixa estendida.
| + | | |
9
| Escolha PINs que sejam aleatórios, longos e privados. Evite PINs estáticos e fracos, como 000000.
| Os PINs devem ser aleatórios para que os invasores não possam adivinhar facilmente. Os códigos PIN mais longos são mais resistentes a ataques de força bruta. Para dispositivos Bluetooth 2.0 (ou anterior), use um código PIN alfanumérico de oito caracteres, se possível. O uso de um único PIN não é aceitável.
| + | | |
10
| Verifique se as chaves de conexão (chaves de sessão / chaves de link) não são baseadas nas chaves do dispositivo.
| O uso de “chaves de link compartilhado” está obsoleto desde o Bluetooth 1.2.
| + | | |
11
| Não use o modo de emparelhamento “Just Works” para dispositivos Bluetooth 2.1 e superiores usando SSP .
| O modo de emparelhamento Just Works não fornece proteção contra o MITM.
O NIST não os aconselha a comprar.
| + | | |
12
| Para dispositivos com Bluetooth 2.1 e posterior usando SSP, devem ser usadas senhas aleatórias e únicas para cada pareamento, com base no modelo de associação de entrada de senha .
| Se a mesma chave de acesso for usada para vários pares, a proteção contra ataques MITM fornecidos no modelo de emparelhamento de entrada de chave de acesso será significativamente reduzida.
| + | | |
13
| Se um dispositivo com Bluetooth versão 2.1 e posterior, usando o Modo de segurança 4, precisar se conectar a versões mais antigas do Bluetooth que não oferecem suporte ao Modo de segurança 4, é recomendável reverter esse dispositivo para o Modo de segurança 3.
| As especificações do Bluetooth permitem que o dispositivo 2.1 retorne a qualquer modo de segurança para compatibilidade com versões anteriores. Isso permite que você retorne aos modos de proteção 1-3. Como discutido anteriormente, o modo de segurança 3 fornece melhor segurança.
| + | | |
14
| Os dispositivos Bluetooth de baixa energia com as versões 4.0 e 4.1 devem usar o Modo de segurança 1 nível 3 sempre que possível
| Outros modos não são seguros.
| + | | |
15
| Os dispositivos Bluetooth de baixa energia com a versão 4.2 e superior devem usar o Modo de segurança 1, nível 4, se possível.
| Este modo permite fornecer o nível máximo de segurança para esses dispositivos.
| + | | |
16
| Os dispositivos Bluetooth BR / EDR com versões 4.0 e 4.1 devem usar o Modo de segurança 4, nível 4, se possível.
| Se o Modo de Segurança 4 Nível 4 não for suportado, você deverá usar o Modo de Segurança 4 Nível 3.
| + | | |
17
| Serviços e perfis não aprovados devem estar desativados.
| A maioria das implementações da pilha Bluetooth suporta vários perfis e serviços relacionados. É recomendável permitir apenas os perfis e serviços necessários.
| + | | |
18
| Os dispositivos Bluetooth devem ser configurados por padrão como
“Indetectável”, exceto quando necessário para acasalamento.
| Essa configuração oculta o dispositivo Bluetooth de outros dispositivos
| + | | |
19
| Você deve usar a criptografia de conexão.
| Sem o uso da criptografia de conexão, a transmissão de dados é vulnerável a ouvir o ar.
| + | | |
20
| Se você estiver usando a rede sem fio de caminhos múltiplos, verifique se a criptografia está ativada em cada link do circuito.
| Um link não seguro leva a um comprometimento de toda a cadeia de comunicação.
| + | | |
21
| Verifique se todas as conexões são mutuamente autenticadas pelo dispositivo.
| A autenticação mútua é necessária para fornecer autenticação de todos os dispositivos na rede.
| + | | |
22
| Ative a criptografia para todas as transmissões (modo de criptografia 3).
| As transmissões de broadcast protegidas pela criptografia de conexão fornecem um nível de segurança que protege essas transmissões contra interceptação.
| + | | |
23
| Ajuste o tamanho das chaves de criptografia o maior tempo possível, o que permite o dispositivo.
| O uso dos tamanhos máximos de chave permitidos fornece proteção contra ataques de força bruta.
| + | | |
24
| Os dispositivos Bluetooth devem solicitar ao usuário que autorize todas as solicitações de conexão Bluetooth antes de permitir todas as solicitações de conexão recebidas.
| Os usuários também não devem aceitar conexões, arquivos ou outros objetos de fontes desconhecidas ou não confiáveis.
| + | | |
25
| Use autenticação e criptografia no nível do aplicativo na parte superior da pilha Bluetooth para transferências de dados confidenciais.
| Como os dispositivos podem se conectar automaticamente a dispositivos conectados anteriormente, é recomendável usar aplicativos que implementem adicionalmente funções de criptografia e autenticação.
| | + | |
26
| Adicione camadas de autenticação de usuário, como biometria, cartões inteligentes, autenticação de dois fatores ou PKI.
| A introdução de mecanismos de autenticação poderosos pode minimizar as vulnerabilidades de senha e PIN.
| | + | |
27
| Se você usa soluções de Gerenciamento de dispositivo móvel (MDM), verifique se a política de segurança Bluetooth da sua organização é aplicada corretamente usando as ferramentas técnicas usadas.
| As políticas de segurança podem ser aplicadas pelas soluções MDM. As configurações padrão geralmente não são seguras. Você precisa estudar cuidadosamente essas opções para garantir que estejam em conformidade com a política de segurança da organização.
| | + | |
Requisitos operacionais
|
28.
| Verifique se os recursos Bluetooth estão desativados quando não estiverem em uso.
| O Bluetooth deve estar desativado em todos os dispositivos, a menos que o usuário permita explicitamente que o Bluetooth estabeleça uma conexão. Isso minimiza o impacto de possíveis atos maliciosos. Para dispositivos que não suportam desativar o Bluetooth (por exemplo, fones de ouvido), o dispositivo inteiro deve ser desligado se não estiver em uso.
| + | | |
29
| Realize o emparelhamento o mais raramente possível, idealmente em uma área segura onde os invasores não possam interceptar quadros com a troca de chaves de acesso durante o emparelhamento. (Nota: “área segura” é definida como uma área não pública localizada nas instalações
longe das janelas em locais com meios físicos de controle de acesso.) Os usuários não devem responder a nenhuma mensagem solicitando um código PIN se o usuário não tiver iniciado o pareamento e não tiver certeza de que a solicitação de código PIN seja enviada por um dos dispositivos do usuário.
| O emparelhamento é um recurso de segurança importante e exige que os usuários estejam cientes de possíveis dispositivos de escuta. Se um invasor puder capturar quadros transmitidos associados ao emparelhamento, a determinação da chave de link será simples para dispositivos com Bluetooth de todas as versões até 2.1 e 4.0, pois a segurança depende apenas da entropia e do comprimento do código PIN.
| + | | |
30
| O BR / EDR do Bluetooth no Modo de segurança 2 ou 4 deve ser usado em uma área controlada.
| O NIST recomenda enfaticamente que os dispositivos Bluetooth BR / EDR usem o modo de segurança 3.
| + | | |
31
| Verifique se os dispositivos Bluetooth portáteis estão configurados para usar uma senha.
| Isso ajuda a impedir o acesso não autorizado se o dispositivo for perdido ou roubado.
| + | | |
32.
| Se um dispositivo Bluetooth for perdido ou roubado, os usuários deverão remover imediatamente o dispositivo ausente da lista de dispositivos emparelhados em todos os outros dispositivos Bluetooth.
| Esta política impedirá que um invasor use um dispositivo perdido ou roubado para acessar o dispositivo Bluetooth de outro usuário.
| + | | |
33
| Instale um software antivírus nos hosts Bluetooth compatíveis com esse software.
| O software antivírus pode ajudar a impedir a exibição de malware na rede Bluetooth.
| + | | |
34
| Implante atualizações de software Bluetooth e atualizações de firmware regularmente.
| Os patches devem ser totalmente testados antes da implantação para confirmar se são eficazes.
| + | | |
35
| Os usuários não devem aceitar mensagens, arquivos e imagens de dispositivos desconhecidos ou suspeitos.
| Com o crescente número de dispositivos habilitados para Bluetooth, é importante que os usuários estabeleçam apenas conexões com outros dispositivos confiáveis e aceitem apenas o conteúdo desses dispositivos confiáveis.
| + | | |
36.
| Você precisa analisar completamente as consequências da implantação de qualquer recurso ou produto de segurança antes da implantação.
| Para garantir uma implantação bem-sucedida, a organização deve entender completamente os requisitos técnicos, de proteção, operacionais e de pessoal antes da implementação.
| + | | |
37.
| Você precisa identificar uma pessoa para acompanhar o lançamento de novas versões do Bluetooth, bem como os padrões de segurança (por exemplo, via Bluetooth SIG), o surgimento de novas vulnerabilidades e ataques.
| Uma pessoa designada para monitorar as últimas tecnologias, padrões e riscos ajudará a garantir o uso contínuo e seguro do Bluetooth.
| | + | |