# DET0243 — Detection Strategy for Weaken Encryption: Reduce Key Space on Network Devices ## Descrição Detecta modificações em configurações de criptografia de dispositivos de rede que reduzem o espaço de chaves, enfraquecendo a postura de segurança. Adversários com acesso privilegiado a roteadores, switches e firewalls podem rebaixar suítes de cifra TLS/SSH para algoritmos com chaves mais curtas ou vulneráveis, facilitando interceptação posterior. Os indicadores chave incluem mudanças na configuração de políticas IKE/IPsec, desativação de perfect forward secrecy (PFS), rebaixamento para DES ou 3DES em túneis VPN e alteração de parâmetros Diffie-Hellman para grupos de menor entropia. Comparar configurações de criptografia com baselines aprovados é essencial para detecção. A telemetria requerida abrange logs de gerenciamento de dispositivos de rede (syslog/SNMP traps), histórico de configurações via RANCID ou similar, auditoria de sessões SSH de administração e alertas de compliance de configuração de plataformas como Cisco ISE ou Aruba ClearPass. ## Indicadores de Detecção - Alteração de política IPsec/IKE para algoritmos de cifra fraca (DES, MD5) - Remoção de grupos Diffie-Hellman de alta entropia (grupo 14 ou superior) - Desabilitação de `pfs` (perfect forward secrecy) em perfis de criptografia VPN - Mudança de `crypto map` ou `transform-set` em dispositivos Cisco IOS - Configuração de `ssh version 1` ou remoção de algoritmos ECDH em dispositivos de rede - Diff de configuração detectado fora de janela de manutenção aprovada ## Técnicas Relacionadas - [[t1600-weaken-encryption|T1600 — Weaken Encryption]] - [[t1565-data-manipulation|T1565 — Data Manipulation]] - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] ## Analytics Relacionadas - [[an0681-analytic-0681|AN0681 — Analytic 0681]] --- *Fonte: [MITRE ATT&CK — DET0243](https://attack.mitre.org/detectionstrategies/DET0243)*