Насоки за внедряване на киберсигурност

This article has been translated automatically. See the original version.

Сигурност при инсталация и въвеждане в експлоатация
Преди да свържете Ekip Connect към каквато и да е мрежа или устройства, зада минимизирате риска от пробиви в сигурността и зловреден софтуер, следвайте този контролен списък за сигурност:

1. Операционна система

  • Внедряване на Windows 11 с най-новите пачове за сигурност (минимум: Windows 10, край на официалната поддръжка януари 2027)

    Смекчена заплаха: Известни уязвимости в операционната система, непоправени експлойти в сигурността и атаки за ескалация на привилегии на системно ниво.

  • Активирайте Secure Boot в BIOS (задължително за Windows 11)

    Смекчаване на заплаха: атаки с bootkit, неоторизирано изпълнение на код на ниво зареждане и манипулиране на процеса на зареждане

2. Сигурност на работната станция

  • Ограничаване на физическия достъп до работни станции Ekip Connect

    Смекчена заплаха: Физическо манипулиране, неоторизиран достъп до устройства и директна хардуерна манипулация.

  • Активирайте пълно криптиране на диска (BitLocker или еквивалент)

    Смекчена заплаха: Извличане на данни, ако работната станция бъде открадната или физически компрометирана; неоторизиран достъп до чувствителни съхранени данни.

  • Деактивирай автологин; Конфигурирайте вход, защитен с парола

    Смекчена заплаха: Неоторизиран достъп от заплахатели с физически достъп или достъп до отключена работна станция.

  • Конфигурирайте автоматичното заключване на екрана (препоръчват се 15 минути)

    Смекчена заплаха: Неоторизиран достъп до приложението EkipConnect и свързаните системи по време на отсъствие на потребителя

  • Активирайте защитната стена на Windows с правила за отказване на входящи устройства по подразбиране

    Смекчена заплаха: Неоторизиран достъп до мрежа, нежелан входящ трафик и комуникация чрез командване и контрол чрез зловреден софтуер.

3. Защита на софтуера

  • Инсталирайте антивирусен софтуер + антималуер софтуер

    Смекчаване на заплаха: Инфекция със зловреден софтуер, изпълнение на трояни и злонамерен код, изпълняващ се на работната станция.

  • Конфигурирайте реално време Scanning и дневни пълни сканирания.

    Смекчени заплахи: Откриване и предотвратяване на изпълнение на зловреден софтуер в реално време; идентифициране на спящи или наскоро въведени заплахи.

  • Активиране на автоматични актуализации на дефиницията на антивируса

    Смекчена заплаха: Избягване на откриването на антивируси от нови или наскоро открити варианти на зловреден софтуер.

4. Потребителска автентикация

  • Всички потребители трябва да се удостоверят чрез MyABB (ако лаптопът ABB)

    Смекчена заплаха: Неоторизиран достъп до EkipConnect от неавтентифицирани или имитирани потребители.

  • Налагайте силни пароли (минимум 8 знака, 3 типа знаци)

    Смекчена заплаха: Атаки с груба сила, атаки с речник и отгатване на пароли от заплаха.

  • Активиране на многофакторна автентикация (MFA) за MyABB

    Смекчена заплаха: Превземане на акаунт и неоторизиран достъп, дори ако потребителските данни са компрометирани или откраднати

  • Деактивирайте едновременните сесии от един и същ потребителски акаунт

    Смекчена заплаха: Неоторизиран достъп чрез откраднати или компрометирани данни за достъп на друга работна станция или устройство.

5. Конфигурация на мрежата

  •  Разгръщане в специализиран управленски мрежов сегмент (отделен VLAN)

    Смекчена заплаха: Странично придвижване от нападатели от компрометирани корпоративни системи; неоторизиран достъп до критични управленски функции.

  • Конфигурирайте защитната стена да позволява само необходимите изходящи портове:

      • Порт 443/TCP (HTTPS облачна свързаност)

      • Порт 53/UDP (DNS)

      • Порт 123/UDP (NTP)

    Смекчена заплаха: Неоторизирана изходяща комуникация, командно-контролни повиквания за зловреден софтуер и извличане на данни към инфраструктурата на нападателите.

  • Изолиране на мрежите на устройства от корпоративните мрежи (изисква се защитна стена)

    Смекчена заплаха: Странично движение между корпоративни и критични мрежи; неоторизиран достъп до критични за безопасността устройства.

6. Автоматични актуализации

  • Активирайте автоматичните актуализации на Windows

    Намаляване на заплахата: Известни уязвимости в операционната система и системните пачове за сигурност се внедряват своевременно.

  • Конфигурирайте антивируса да актуализира автоматично дефинициите

    Смекчена заплаха: Избягване на откриване от нови варианти на зловреден софтуер и заплахи от нулеви дни.

7. Първоначална проверка

  • Проверете дали Secure Boot е активен
  • Провери, че защитната стена на Windows е активирана
  •  Проверете дали антивирусът работи и е обновен

    Смекчена заплаха: Грешки в конфигурацията, пропуснати контроли за сигурност и непълно внедряване на задължителните базови линии за сигурност.

     

Конфигурация и сигурност на защитната стена

Ekip Connect използва специфични портове за различни видове комуникация. Правилната конфигурация на защитната стена е от съществено значение за сигурността.

 

Задължителни портове (задължителни за облачни функции)

Порт 443/TCP (HTTPS - Облачна свързаност)

  • ABB ELSP Digital Manager API
  • Свързаност с платформата ABB Ability
  • Достъп до фърмуер библиотека
  • Актуализации и изтегляне на пачове
  • Трябва да е АКТИВИРАН за облачните функции
  • ВИНАГИ криптиран (TLS 1.2 или по-високо)

    Смекчена заплаха: атаки "човек в средата" (MITM) срещу облачна комуникация (смекчени чрез TLS криптиране); Неоторизиран достъп до облачни API и фърмуерни библиотеки; Прихващане на актуализации на фърмуер и пачове за сигурност

Порт 53/UDP (DNS - Резолюция на домейн име)

  • Необходимо за разрешаване на крайни точки на ABB cloud
  • Трябва да е ВКЛЮЧЕН за всяка облачна свързаност
  • Няма криптиране (стандартен DNS протокол)
  • Препоръчвам използването на доверени DNS сървъри

    Смекчена заплаха: DNS spoofing атаки, които пренасочват EkipConnect към злонамерени облачни крайни точки; отравяне с DNS кеш; Неоторизирано пренасочване на облачната свързаност

     

Препоръчани портове (силно препоръчвам)

Порт 123/UDP (NTP - синхронизация на времето)

  • Протокол за мрежово време за точност на системния часовник
  • Важно е за точността и сигурността на времевия печат на логовете
  • Силно препоръчвам, но не е строго задължително
  • Включи, ако конфигурацията на мрежата позволява.

    Смекчена заплаха: манипулация и манипулация на времеви печати на логове; Атаки с изместване на часовника, които обезсмислят контролите за сигурност, базирани на време; Неточна одиторска следа и реконструкция на инциденти

     

Портове за комуникация на устройства (за връзки между устройства)

Порт 502/TCP (Modbus TCP)

  • Комуникация от устройство до Ekip Connect чрез Ethernet
  • ДВУПОСОЧНО (устройството може да се свърже обратно)
  • Некриптиран протокол (изисква сегментация на мрежата)
  • Активирай само в мрежите на устройствата (не към интернет)
  • Защитната стена трябва да ограничи този порт само до оторизирани устройства

    Смекчена заплаха: Неоторизирана комуникация с устройства и манипулация на параметри; Незаконни устройства, свързани към интерфейса за управление; Подслушване на некриптиран трафик на устройства (смекчено чрез сегментация на мрежата); Атаки за отказ на услуга от неоторизирани мрежови сегменти

Порт 69/UDP (TFTP - Протокол за тривиален трансфер на файлове)

  • Изтегляне на фърмуер и настройка на устройства
  • ДВУПОСОЧНА комуникация
  • Некриптирани (използват се само в изолирани мрежи)
  • Изисква се само по време на операции по обновяване на фърмуера
  • Може да се деактивира извън прозорците за поддръжка

    Смекчена заплаха: Неоторизирано изтегляне и внедряване на фърмуер; Злонамерено инжектиране на фърмуер чрез TFTP атаки Man-in-the-middle при прехвърляне на фърмуер (смекчени чрез мрежова изолация); Неоторизирано провизииране на устройства; Подслушване на некриптирани трансфери на фърмуер

 

Забележка: докато устройството пренарежда в ABB Ability™ EM & AM, уверете се, че защитната стена е правилно конфигурирана според активните портове, посочени по-горе. Ако възникнат проблеми с комуникацията, опитайте временно да деактивирате защитната стена, като я активирате отново в края на процеса на Provisioning.

 

За повече подробности относно насоките за внедряване на Modbus и информация за безопасност, моля кликнете тук.