إرشادات نشر الأمن السيبراني

This article has been translated automatically. See the original version.

أمن التركيب والتكليف
قبل توصيل Ekip Connect بأي شبكة أو أجهزة، ولتقليلخطر الاختراقات الأمنية والبرمجيات الخبيثة، اتبع قائمة التحقق الأمنية هذه:

1. نظام التشغيل

  • نشر على ويندوز 11 مع أحدث تحديثات الأمان (الحد الأدنى: ويندوز 10، نهاية الدعم الرسمي يناير 2027)

    التخفيف من التهديد: ثغرات معروفة في نظام التشغيل، ثغرات أمنية غير محدثة، وهجمات تصعيد الامتيازات على مستوى النظام.

  • تمكين الإقلاع الآمن في BIOS (إلزامي لويندوز 11)

    التخفيف من التهديد: هجمات Bootkit، تنفيذ كود غير مصرح به على مستوى الإقلاع، والتلاعب بعملية الإقلاع

2. أمان محطة العمل

  • تقييد الوصول الفيزيائي إلى محطات العمل Ekip Connect

    التخفيف من التهديد: التلاعب المادي، الوصول غير المصرح به للأجهزة، والتلاعب المباشر بالأجهزة.

  • تمكين التشفير الكامل للقرص (BitLocker أو ما يعادله)

    تخفيف التهديد: استخراج البيانات إذا سرقت محطة العمل أو تم اختراقها فعليا؛ الوصول غير المصرح به إلى البيانات المخزنة الحساسة.

  • تعطيل تسجيل الدخول التلقائي؛ تكوين تسجيل الدخول المحمي بكلمة مرور

    التخفيف من التهديد: الوصول غير المصرح به من قبل جهات تهديد لديها وصول مادي أو من يحصل على وصول إلى محطة عمل غير مقفلة.

  • تكوين قفل الشاشة التلقائي (موصى به 15 دقيقة)

    التخفيف من التهديد: الوصول غير المصرح به إلى تطبيق EkipConnect والأنظمة المتصلة أثناء غياب المستخدم

  • تفعيل جدار حماية ويندوز باستخدام قواعد واردة الرفض الافتراضي

    التخفيف من التهديد: وصول غير مصرح به للشبكة، حركة مرور واردة غير مرغوب فيها، وتواصل أوامر وتحكم عبر البرمجيات الخبيثة.

3. حماية البرمجيات

  • تثبيت برنامج مكافحة الفيروسات + برنامج مكافحة البرمجيات الخبيثة

    التهديد المحدود به: إصابة بالبرمجيات الخبيثة، تنفيذ طروادة، وتشغيل كود خبيث على محطة العمل.

  • قم بتكوين Scanning في الوقت الحقيقي والمسح الكامل اليومي.

    التخفيف من التهديدات: الكشف في الوقت الحقيقي ومنع تنفيذ البرمجيات الخبيثة؛ تحديد التهديدات الخاملة أو التي أدخلت مؤخرا.

  • تمكين التحديثات التلقائية لتعريف مضاد الفيروسات

    التخفيف من التهديد: تجنب كشف برامج مكافحة الفيروسات بواسطة متغيرات جديدة أو مكتشفة حديثا.

4. مصادقة المستخدم

  • يجب على جميع المستخدمين المصادقة عبر MyABB (إذا كان ABB لابتوب)

    تخفيف التهديد: الوصول غير المصرح به إلى EkipConnect من قبل مستخدمين غير مصادقين أو انتحال.

  • فرض كلمات مرور قوية (على الأقل 8 أحرف، 3 أنواع أحرف)

    تخفيف التهديد: هجمات القوة الغاشمة، هجمات القاموس، وتخمين كلمات المرور من قبل جهات التهديد.

  • تمكين المصادقة متعددة العوامل (MFA) لجهاز MyABB

    التخفيف من التهديد: الاستيلاء على الحساب والوصول غير المصرح به حتى لو تم اختراق بيانات اعتماد المستخدم أو سرقتها

  • تعطيل الجلسات المتزامنة من نفس حساب المستخدم

    تخفيف التهديد: الوصول غير المصرح به باستخدام بيانات اعتماد مسروقة أو مخترقة على محطة عمل أو جهاز مختلف.

5. تكوين الشبكة

  •  النشر على شريحة شبكة إدارة مخصصة (VLAN منفصلة)

    تخفيف التهديد: التحرك الجانبي من قبل المهاجمين من أنظمة المؤسسات المخترقة؛ وصول غير مصرح به إلى وظائف الإدارة الحيوية.

  • قم بتكوين جدار الحماية للسماح فقط بالمنافذ الصادرة المطلوبة:

      • منفذ 443/TCP (اتصال سحابي HTTPS)

      • المنفذ 53/UDP (DNS)

      • المنفذ 123/UDP (NTP)

    التخفيف من التهديد: الاتصالات الصادرة غير المصرح بها، استدعاءات أوامر وتحكم من البرمجيات الخبيثة، وسحب البيانات إلى بنية المهاجم.

  • عزل شبكات الأجهزة عن شبكات المؤسسات (يتطلب وجود جدار ناري)

    تقليل التهديد: الانتقال الجانبي بين شبكات المؤسسات والأجهزة الحرجة؛ الوصول غير المصرح به إلى الأجهزة الحيوية للسلامة.

6. التحديثات التلقائية

  • تمكين التحديثات التلقائية لويندوز

    تخفيف التهديدات: يتم نشر ثغرات النظام المعروفة وتصحيحات الأمان على مستوى النظام في الوقت المناسب.

  • تكوين برامج مكافحة الفيروسات لتحديث التعريفات تلقائيا

    تخفيف التهديد: تجنب الكشف عن طريق أنواع جديدة من البرمجيات الخبيثة وتهديدات البرمجيات الخبيثة في يوم الصفر.

7. التحقق الأولي

  • تحقق من تفعيل الإقلاع الآمن
  • تحقق من تفعيل جدار حماية ويندوز
  •  تحقق من تشغيل برنامج مكافحة الفيروسات ومحدثا

    تخفيف التهديد: أخطاء في التكوين، فقدان ضوابط الأمان، ونشر غير مكتمل لخطوط الأمان الأساسية الإلزامية.

     

تكوين جدار الحماية والأمان

يستخدم Ekip Connect منافذ محددة لأنواع مختلفة من الاتصالات. التكوين الصحيح لجدار الحماية ضروري للأمان.

 

المنافذ الإلزامية (مطلوبة لميزات السحابة)

المنفذ 443/TCP (HTTPS - الاتصال السحابي)

  • واجهة برمجة تطبيقات مدير البيانات الرقمية ABB ELSP
  • الاتصال بمنصة ABB Ability
  • الوصول إلى مكتبة البرمجيات الثابتة
  • التحديثات والتحديثات للتحميل
  • يجب تفعيل ميزات السحابة
  • دائما مشفر (TLS 1.2 أو أعلى)

    التخفيف من التهديد: هجمات الرجل في الوسط (MITM) على الاتصالات السحابية (مخففة بتشفير TLS)؛ الوصول غير المصرح به إلى واجهات برمجة التطبيقات السحابية ومكتبات البرمجيات الثابتة؛ اعتراض تحديثات البرنامج الثابت وتصحيحات الأمان

المنفذ 53/UDP (DNS - حل أسماء النطاقات)

  • مطلوب لحل نقاط نهاية سحابة ABB
  • يجب تفعيل أي اتصال سحابي
  • لا يوجد تشفير (بروتوكول DNS القياسي)
  • أنصح باستخدام خوادم DNS موثوقة

    تقليل التهديد: هجمات انتحال DNS تعيد توجيه EkipConnect إلى نقاط نهاية سحابية خبيثة؛ تسمم ذاكرة التخزين المؤقت في DNS؛ إعادة توجيه غير مصرح بها للاتصال السحابي

     

المنافذ الموصى بها (موصى بها بشدة)

المنفذ 123/UDP (NTP - مزامنة الوقت)

  • بروتوكول زمن الشبكة لدقة ساعة النظام
  • مهم لدقة وأمان طوابع السجل
  • أنصح به بشدة لكنه ليس إلزاميا تماما
  • تفعيل إذا سمح إعداد الشبكة

    تخفيف التهديد: التلاعب بطابع الزمن في السجل؛ هجمات انحراف الساعة التي تلغي ضوابط الأمان القائمة على الوقت؛ إعادة بناء مسار التدقيق غير الدقيق والحوادث

     

منافذ الاتصال بالأجهزة (لاتصالات الأجهزة)

المنفذ 502/TCP (Modbus TCP)

  • الاتصال بين الجهاز والاتصال عبر Ekip Connect عبر الإيثرنت
  • ثنائية الاتجاه (الجهاز يمكنه الاتصال مرة أخرى)
  • بروتوكول غير مشفر (يتطلب تقسيم الشبكة)
  • تفعيل ذلك فقط على شبكات الأجهزة (وليس على الإنترنت فقط)
  • يجب أن يقيد جدار الحماية هذا المنفذ على الأجهزة المصرح بها فقط

    تخفيف التهديد: الاتصال غير المصرح به بالأجهزة والتلاعب بالمعاملات؛ الأجهزة الخارجة عن القانون المتصلة بواجهة الإدارة؛ التنصت على حركة البيانات غير المشفرة للأجهزة (يتم التخفيف منها بواسطة تقسيم الشبكة)؛ هجمات حجب الخدمة من مقاطع الشبكة غير المصرح بها

المنفذ 69/UDP (بروتوكول نقل الملفات البسيط TFTP)

  • تحميل البرنامج الثابت وتوفير الأجهزة
  • الاتصال ثنائي الاتجاه
  • غير مشفر (يستخدم فقط على الشبكات المعزولة)
  • مطلوب فقط أثناء عمليات تحديث البرنامج الثابت
  • يمكن تعطيله خارج نوافذ الصيانة

    تخفيف التهديد: تحميل ونشر البرنامج الثابت غير المصرح به؛ حقن البرمجيات الخبيثة عبر هجمات TFTP Man-in-the-Middle على نقل البرمجيات الثابتة (يتم التخفيف منها بعزل الشبكة)؛ توفير الأجهزة غير المصرح به؛ التنصت على نقل البرامج الثابتة غير المشفرة

 

ملاحظة: أثناء عملية توفير الجهاز إلى ABB Ability™ EM & AM، تأكد من أن جدار الحماية لديك مضبوط بشكل صحيح، وفقا للمنافذ النشطة المذكورة أعلاه. إذا واجهت مشاكل في التواصل، حاول تعطيل جدار الحماية مؤقتا، مع تفعيله مرة أخرى في نهاية عملية التزويد.

 

لمزيد من التفاصيل حول معلومات السلامة، يرجى الضغط هنا.