Сигурност при инсталация и въвеждане в експлоатация
Преди да свържете Ekip Connect към каквато и да е мрежа или устройства, зада минимизирате риска от пробиви в сигурността и зловреден софтуер, следвайте този контролен списък за сигурност:
1. Операционна система
Смекчена заплаха: Известни уязвимости в операционната система, непоправени експлойти в сигурността и атаки за ескалация на привилегии на системно ниво.
Смекчаване на заплаха: атаки с bootkit, неоторизирано изпълнение на код на ниво зареждане и манипулиране на процеса на зареждане
2. Сигурност на работната станция
Ограничаване на физическия достъп до работни станции Ekip Connect
Смекчена заплаха: Физическо манипулиране, неоторизиран достъп до устройства и директна хардуерна манипулация.
Активирайте пълно криптиране на диска (BitLocker или еквивалент)
Смекчена заплаха: Извличане на данни, ако работната станция бъде открадната или физически компрометирана; неоторизиран достъп до чувствителни съхранени данни.
Деактивирай автологин; Конфигурирайте вход, защитен с парола
Смекчена заплаха: Неоторизиран достъп от заплахатели с физически достъп или достъп до отключена работна станция.
Конфигурирайте автоматичното заключване на екрана (препоръчват се 15 минути)
Смекчена заплаха: Неоторизиран достъп до приложението EkipConnect и свързаните системи по време на отсъствие на потребителя
Активирайте защитната стена на Windows с правила за отказване на входящи устройства по подразбиране
Смекчена заплаха: Неоторизиран достъп до мрежа, нежелан входящ трафик и комуникация чрез командване и контрол чрез зловреден софтуер.
3. Защита на софтуера
Инсталирайте антивирусен софтуер + антималуер софтуер
Смекчаване на заплаха: Инфекция със зловреден софтуер, изпълнение на трояни и злонамерен код, изпълняващ се на работната станция.
Конфигурирайте реално време Scanning и дневни пълни сканирания.
Смекчени заплахи: Откриване и предотвратяване на изпълнение на зловреден софтуер в реално време; идентифициране на спящи или наскоро въведени заплахи.
Активиране на автоматични актуализации на дефиницията на антивируса
Смекчена заплаха: Избягване на откриването на антивируси от нови или наскоро открити варианти на зловреден софтуер.
4. Потребителска автентикация
Всички потребители трябва да се удостоверят чрез MyABB (ако лаптопът ABB)
Смекчена заплаха: Неоторизиран достъп до EkipConnect от неавтентифицирани или имитирани потребители.
Налагайте силни пароли (минимум 8 знака, 3 типа знаци)
Смекчена заплаха: Атаки с груба сила, атаки с речник и отгатване на пароли от заплаха.
Активиране на многофакторна автентикация (MFA) за MyABB
Смекчена заплаха: Превземане на акаунт и неоторизиран достъп, дори ако потребителските данни са компрометирани или откраднати
Деактивирайте едновременните сесии от един и същ потребителски акаунт
Смекчена заплаха: Неоторизиран достъп чрез откраднати или компрометирани данни за достъп на друга работна станция или устройство.
5. Конфигурация на мрежата
Разгръщане в специализиран управленски мрежов сегмент (отделен VLAN)
Смекчена заплаха: Странично придвижване от нападатели от компрометирани корпоративни системи; неоторизиран достъп до критични управленски функции.
• Порт 443/TCP (HTTPS облачна свързаност)
• Порт 53/UDP (DNS)
• Порт 123/UDP (NTP)
Смекчена заплаха: Неоторизирана изходяща комуникация, командно-контролни повиквания за зловреден софтуер и извличане на данни към инфраструктурата на нападателите.
Изолиране на мрежите на устройства от корпоративните мрежи (изисква се защитна стена)
Смекчена заплаха: Странично движение между корпоративни и критични мрежи; неоторизиран достъп до критични за безопасността устройства.
6. Автоматични актуализации
Активирайте автоматичните актуализации на Windows
Намаляване на заплахата: Известни уязвимости в операционната система и системните пачове за сигурност се внедряват своевременно.
Конфигурирайте антивируса да актуализира автоматично дефинициите
Смекчена заплаха: Избягване на откриване от нови варианти на зловреден софтуер и заплахи от нулеви дни.
7. Първоначална проверка
Проверете дали антивирусът работи и е обновен
Смекчена заплаха: Грешки в конфигурацията, пропуснати контроли за сигурност и непълно внедряване на задължителните базови линии за сигурност.
Конфигурация и сигурност на защитната стена
Ekip Connect използва специфични портове за различни видове комуникация. Правилната конфигурация на защитната стена е от съществено значение за сигурността.
Задължителни портове (задължителни за облачни функции)
Порт 443/TCP (HTTPS - Облачна свързаност)
ВИНАГИ криптиран (TLS 1.2 или по-високо)
Смекчена заплаха: атаки "човек в средата" (MITM) срещу облачна комуникация (смекчени чрез TLS криптиране); Неоторизиран достъп до облачни API и фърмуерни библиотеки; Прихващане на актуализации на фърмуер и пачове за сигурност
Порт 53/UDP (DNS - Резолюция на домейн име)
Препоръчвам използването на доверени DNS сървъри
Смекчена заплаха: DNS spoofing атаки, които пренасочват EkipConnect към злонамерени облачни крайни точки; отравяне с DNS кеш; Неоторизирано пренасочване на облачната свързаност
Препоръчани портове (силно препоръчвам)
Порт 123/UDP (NTP - синхронизация на времето)
Включи, ако конфигурацията на мрежата позволява.
Смекчена заплаха: манипулация и манипулация на времеви печати на логове; Атаки с изместване на часовника, които обезсмислят контролите за сигурност, базирани на време; Неточна одиторска следа и реконструкция на инциденти
Портове за комуникация на устройства (за връзки между устройства)
Порт 502/TCP (Modbus TCP)
Защитната стена трябва да ограничи този порт само до оторизирани устройства
Смекчена заплаха: Неоторизирана комуникация с устройства и манипулация на параметри; Незаконни устройства, свързани към интерфейса за управление; Подслушване на некриптиран трафик на устройства (смекчено чрез сегментация на мрежата); Атаки за отказ на услуга от неоторизирани мрежови сегменти
Порт 69/UDP (TFTP - Протокол за тривиален трансфер на файлове)
Може да се деактивира извън прозорците за поддръжка
Смекчена заплаха: Неоторизирано изтегляне и внедряване на фърмуер; Злонамерено инжектиране на фърмуер чрез TFTP атаки Man-in-the-middle при прехвърляне на фърмуер (смекчени чрез мрежова изолация); Неоторизирано провизииране на устройства; Подслушване на некриптирани трансфери на фърмуер
Забележка: докато устройството пренарежда в ABB Ability™ EM & AM, уверете се, че защитната стена е правилно конфигурирана според активните портове, посочени по-горе. Ако възникнат проблеми с комуникацията, опитайте временно да деактивирате защитната стена, като я активирате отново в края на процеса на Provisioning.
За повече подробности относно насоките за внедряване на Modbus и информация за безопасност, моля кликнете тук.