# AN1360 — Analytic 1360 ## Descrição Detecta tentativas de desabilitar hardware criptográfico dedicado em dispositivos de rede, visíveis através de comandos CLI anômalos, atualizações inesperadas de firmware ou configuração, e performance de criptografia degradada. Indicadores suspeitos incluem comandos que alteram configurações de aceleração de hardware (como desabilitar AES-NI ou engines criptográficas), modificação de arquivos de imagem do sistema, ou logs mostrando fallback de criptografia por hardware para software. Análise de tráfego de rede pode revelar redução súbita de throughput ou comportamento de negociação de cifra consistente com ausência de aceleração por hardware. A telemetria inclui syslogs de dispositivos de rede, logs de sessão CLI privilegiada e monitoramento de performance de throughput criptográfico. Esta detecção é relevante pois desabilitar hardware criptográfico degrada a performance de segurança e pode ser um precursor para ataques de downgrade de criptografia ou implantação de backdoors que exigem processamento criptográfico por software para manipulação de tráfego. **Plataformas:** Network Devices --- ## Técnicas Relacionadas - [[t1600-weaken-encryption|T1600 — Weaken Encryption]] - [[t1600-001-reduce-key-space|T1600.001 — Reduce Key Space]] - [[t1565-data-manipulation|T1565 — Data Manipulation]] - [[t1601-modify-system-image|T1601 — Modify System Image]] --- *Fonte: [MITRE ATT&CK — AN1360](https://attack.mitre.org/detectionstrategies/DET0494#AN1360)*