أمن التركيب والتكليف
قبل توصيل Ekip Connect بأي شبكة أو أجهزة، ولتقليلخطر الاختراقات الأمنية والبرمجيات الخبيثة، اتبع قائمة التحقق الأمنية هذه:
1. نظام التشغيل
التخفيف من التهديد: ثغرات معروفة في نظام التشغيل، ثغرات أمنية غير محدثة، وهجمات تصعيد الامتيازات على مستوى النظام.
التخفيف من التهديد: هجمات Bootkit، تنفيذ كود غير مصرح به على مستوى الإقلاع، والتلاعب بعملية الإقلاع
2. أمان محطة العمل
تقييد الوصول الفيزيائي إلى محطات العمل Ekip Connect
التخفيف من التهديد: التلاعب المادي، الوصول غير المصرح به للأجهزة، والتلاعب المباشر بالأجهزة.
تمكين التشفير الكامل للقرص (BitLocker أو ما يعادله)
تخفيف التهديد: استخراج البيانات إذا سرقت محطة العمل أو تم اختراقها فعليا؛ الوصول غير المصرح به إلى البيانات المخزنة الحساسة.
تعطيل تسجيل الدخول التلقائي؛ تكوين تسجيل الدخول المحمي بكلمة مرور
التخفيف من التهديد: الوصول غير المصرح به من قبل جهات تهديد لديها وصول مادي أو من يحصل على وصول إلى محطة عمل غير مقفلة.
تكوين قفل الشاشة التلقائي (موصى به 15 دقيقة)
التخفيف من التهديد: الوصول غير المصرح به إلى تطبيق EkipConnect والأنظمة المتصلة أثناء غياب المستخدم
تفعيل جدار حماية ويندوز باستخدام قواعد واردة الرفض الافتراضي
التخفيف من التهديد: وصول غير مصرح به للشبكة، حركة مرور واردة غير مرغوب فيها، وتواصل أوامر وتحكم عبر البرمجيات الخبيثة.
3. حماية البرمجيات
تثبيت برنامج مكافحة الفيروسات + برنامج مكافحة البرمجيات الخبيثة
التهديد المحدود به: إصابة بالبرمجيات الخبيثة، تنفيذ طروادة، وتشغيل كود خبيث على محطة العمل.
قم بتكوين Scanning في الوقت الحقيقي والمسح الكامل اليومي.
التخفيف من التهديدات: الكشف في الوقت الحقيقي ومنع تنفيذ البرمجيات الخبيثة؛ تحديد التهديدات الخاملة أو التي أدخلت مؤخرا.
تمكين التحديثات التلقائية لتعريف مضاد الفيروسات
التخفيف من التهديد: تجنب كشف برامج مكافحة الفيروسات بواسطة متغيرات جديدة أو مكتشفة حديثا.
4. مصادقة المستخدم
يجب على جميع المستخدمين المصادقة عبر MyABB (إذا كان ABB لابتوب)
تخفيف التهديد: الوصول غير المصرح به إلى EkipConnect من قبل مستخدمين غير مصادقين أو انتحال.
فرض كلمات مرور قوية (على الأقل 8 أحرف، 3 أنواع أحرف)
تخفيف التهديد: هجمات القوة الغاشمة، هجمات القاموس، وتخمين كلمات المرور من قبل جهات التهديد.
تمكين المصادقة متعددة العوامل (MFA) لجهاز MyABB
التخفيف من التهديد: الاستيلاء على الحساب والوصول غير المصرح به حتى لو تم اختراق بيانات اعتماد المستخدم أو سرقتها
تعطيل الجلسات المتزامنة من نفس حساب المستخدم
تخفيف التهديد: الوصول غير المصرح به باستخدام بيانات اعتماد مسروقة أو مخترقة على محطة عمل أو جهاز مختلف.
5. تكوين الشبكة
النشر على شريحة شبكة إدارة مخصصة (VLAN منفصلة)
تخفيف التهديد: التحرك الجانبي من قبل المهاجمين من أنظمة المؤسسات المخترقة؛ وصول غير مصرح به إلى وظائف الإدارة الحيوية.
• منفذ 443/TCP (اتصال سحابي HTTPS)
• المنفذ 53/UDP (DNS)
• المنفذ 123/UDP (NTP)
التخفيف من التهديد: الاتصالات الصادرة غير المصرح بها، استدعاءات أوامر وتحكم من البرمجيات الخبيثة، وسحب البيانات إلى بنية المهاجم.
عزل شبكات الأجهزة عن شبكات المؤسسات (يتطلب وجود جدار ناري)
تقليل التهديد: الانتقال الجانبي بين شبكات المؤسسات والأجهزة الحرجة؛ الوصول غير المصرح به إلى الأجهزة الحيوية للسلامة.
6. التحديثات التلقائية
تمكين التحديثات التلقائية لويندوز
تخفيف التهديدات: يتم نشر ثغرات النظام المعروفة وتصحيحات الأمان على مستوى النظام في الوقت المناسب.
تكوين برامج مكافحة الفيروسات لتحديث التعريفات تلقائيا
تخفيف التهديد: تجنب الكشف عن طريق أنواع جديدة من البرمجيات الخبيثة وتهديدات البرمجيات الخبيثة في يوم الصفر.
7. التحقق الأولي
تحقق من تشغيل برنامج مكافحة الفيروسات ومحدثا
تخفيف التهديد: أخطاء في التكوين، فقدان ضوابط الأمان، ونشر غير مكتمل لخطوط الأمان الأساسية الإلزامية.
تكوين جدار الحماية والأمان
يستخدم Ekip Connect منافذ محددة لأنواع مختلفة من الاتصالات. التكوين الصحيح لجدار الحماية ضروري للأمان.
المنافذ الإلزامية (مطلوبة لميزات السحابة)
المنفذ 443/TCP (HTTPS - الاتصال السحابي)
دائما مشفر (TLS 1.2 أو أعلى)
التخفيف من التهديد: هجمات الرجل في الوسط (MITM) على الاتصالات السحابية (مخففة بتشفير TLS)؛ الوصول غير المصرح به إلى واجهات برمجة التطبيقات السحابية ومكتبات البرمجيات الثابتة؛ اعتراض تحديثات البرنامج الثابت وتصحيحات الأمان
المنفذ 53/UDP (DNS - حل أسماء النطاقات)
أنصح باستخدام خوادم DNS موثوقة
تقليل التهديد: هجمات انتحال DNS تعيد توجيه EkipConnect إلى نقاط نهاية سحابية خبيثة؛ تسمم ذاكرة التخزين المؤقت في DNS؛ إعادة توجيه غير مصرح بها للاتصال السحابي
المنافذ الموصى بها (موصى بها بشدة)
المنفذ 123/UDP (NTP - مزامنة الوقت)
تفعيل إذا سمح إعداد الشبكة
تخفيف التهديد: التلاعب بطابع الزمن في السجل؛ هجمات انحراف الساعة التي تلغي ضوابط الأمان القائمة على الوقت؛ إعادة بناء مسار التدقيق غير الدقيق والحوادث
منافذ الاتصال بالأجهزة (لاتصالات الأجهزة)
المنفذ 502/TCP (Modbus TCP)
يجب أن يقيد جدار الحماية هذا المنفذ على الأجهزة المصرح بها فقط
تخفيف التهديد: الاتصال غير المصرح به بالأجهزة والتلاعب بالمعاملات؛ الأجهزة الخارجة عن القانون المتصلة بواجهة الإدارة؛ التنصت على حركة البيانات غير المشفرة للأجهزة (يتم التخفيف منها بواسطة تقسيم الشبكة)؛ هجمات حجب الخدمة من مقاطع الشبكة غير المصرح بها
المنفذ 69/UDP (بروتوكول نقل الملفات البسيط TFTP)
يمكن تعطيله خارج نوافذ الصيانة
تخفيف التهديد: تحميل ونشر البرنامج الثابت غير المصرح به؛ حقن البرمجيات الخبيثة عبر هجمات TFTP Man-in-the-Middle على نقل البرمجيات الثابتة (يتم التخفيف منها بعزل الشبكة)؛ توفير الأجهزة غير المصرح به؛ التنصت على نقل البرامج الثابتة غير المشفرة
ملاحظة: أثناء عملية توفير الجهاز إلى ABB Ability™ EM & AM، تأكد من أن جدار الحماية لديك مضبوط بشكل صحيح، وفقا للمنافذ النشطة المذكورة أعلاه. إذا واجهت مشاكل في التواصل، حاول تعطيل جدار الحماية مؤقتا، مع تفعيله مرة أخرى في نهاية عملية التزويد.
لمزيد من التفاصيل حول معلومات السلامة، يرجى الضغط هنا.