Pokyny pro nasazení kybernetické bezpečnosti

This article has been translated automatically. See the original version.

Bezpečnost instalace a uvedení do provozu
Před připojením Ekip Connect k jakékoli síti nebo zařízením, abysteminimalizovali riziko bezpečnostních úniků a malwaru, postupujte podle tohoto bezpečnostního seznamu:

1. Operační systém

  • Nasazení na Windows 11 s nejnovými bezpečnostními záplatami (minimálně: Windows 10, oficiální podpora končí leden 2027)

    Zmírnění hrozeb: Známé zranitelnosti operačního systému, neopravené bezpečnostní zneužití a útoky na eskalaci oprávnění na úrovni systému.

  • Povolte Secure Boot v BIOSu (povinné pro Windows 11)

    Hrozby zmírněné: Útoky pomocí bootkitu, neoprávněné spuštění kódu na úrovni bootu a manipulace s bootovacím procesem

2. Bezpečnost pracovních stanic

  • Omezte fyzický přístup k pracovním stanicím Ekip Connect

    Zmírnění hrozeb: Fyzické manipulace, neoprávněný přístup k zařízením a přímá manipulace s hardwarem.

  • Povolte šifrování celého disku (BitLocker nebo ekvivalent)

    Zmírnění hrozeb: Únik dat v případě krádeže nebo fyzické kompromitace pracovní stanice; neoprávněný přístup k citlivým uloženým datům.

  • Vypnout autologin; Konfigurujte přihlášení chráněné heslem

    Zmírnění hrozeb: Neoprávněný přístup ze strany aktérů s fyzickým přístupem nebo těch, kteří získají přístup k odemčené pracovní stanici.

  • Nastavte automatické zamykaní obrazovky (doporučeno 15 minut)

    Zmírnění hrozeb: Neoprávněný přístup k aplikaci EkipConnect a připojeným systémům během nepřítomnosti uživatele

  • Povolte Windows Firewall s pravidly default-deny příchozích

    Zmírnění hrozeb: Neoprávněný přístup do sítě, nevyžádaný příchozí provoz a komunikace s malwarem pomocí příkazů a kontrol.

3. Ochrana softwaru

  • Nainstalovat antivir + antimalware software

    Hrozba zmírněná: infekce malwarem, spuštění trojského kone a škodlivý kód běžící na pracovní stanici.

  • Nastavte real-time Scanning a denní kompletní skeny.

    Zmírnění hrozeb: Detekce a prevence malwaru v reálném čase; identifikace nečinných nebo nedávno zavedených hrozeb.

  • Povolit automatické aktualizace definic antiviru

    Zmírnění hrozeb: Obcházení detekce antiviru novými nebo nedávno objevenými variantami malwaru.

4. Ověření uživatele

  • Všichni uživatelé se musí ověřit přes MyABB (pokud je to notebook ABB).

    Hrozba zmírněná: Neoprávněný přístup k EkipConnect neautentizovanými nebo napodobenými uživateli.

  • Vynucujte silná hesla (minimálně 8 znaků, 3 typy znaků)

    Zmírnění hrozeb: Útoky hrubou silou, slovníkové útoky a hádání hesel ze strany aktérů hrozeb.

  • Povolit vícefaktorovou autentizaci (MFA) pro MyABB

    Zmírnění hrozeb: Převzetí účtu a neoprávněný přístup i v případě, že jsou uživatelské přihlašovací údaje kompromitovány nebo ukradeny

  • Vypněte souběžné relace ze stejného uživatelského účtu

    Zmírnění hrozeb: Neoprávněný přístup pomocí ukradených nebo kompromitovaných přihlašovacích údajů na jiné pracovní stanici nebo zařízení.

5. Konfigurace sítě

  •  Nasazení na segmentu dedikované správy sítě (samostatná VLAN)

    Zmírnění hrozeb: Boční pohyb útočníků z kompromitovaných podnikových systémů; neoprávněný přístup ke klíčovým funkcím správy.

  • Nakonfigurujte firewall tak, aby povoloval pouze požadované odchozí porty:

      • Port 443/TCP (HTTPS cloudové připojení)

      • Port 53/UDP (DNS)

      • Port 123/UDP (NTP)

    Zmírnění hrozeb: Neoprávněná odchozí komunikace, zpětné volání s malwarem a exfiltrace dat do útočnické infrastruktury.

  • Izolujte sítě zařízení od podnikových sítí (vyžaduje firewall)

    Zmírnění hrozeb: Boční pohyb mezi podnikovými a kritickými zařízeními; neoprávněný přístup k bezpečnostně kritickým zařízením.

6. Automatické aktualizace

  • Povolit automatické aktualizace Windows

    Zmírnění hrozeb: Známé zranitelnosti OS a bezpečnostní záplaty na úrovni systému jsou nasazovány včas.

  • Nastavte antivirus tak, aby automaticky aktualizoval definice

    Zmírnění hrozeb: Vyhýbání se detekci novými variantami malwaru a hrozbami zero-day malwaru.

7. Počáteční ověření

  • Ověřit, že Secure Boot je aktivní
  • Ověřit, že je Windows Firewall zapnutý
  •  Ověřte, že antivirus běží a je aktualizovaný

    Zmírnění hrozeb: Chyby v konfiguraci, opomenuté bezpečnostní kontroly a neúplné nasazení povinných bezpečnostních základů.

     

Konfigurace firewallu a bezpečnost

Ekip Connect používá specifické porty pro různé typy komunikace. Správná konfigurace firewallu je nezbytná pro bezpečnost.

 

Povinné porty (povinné pro cloudové funkce)

Port 443/TCP (HTTPS - Cloudové připojení)

  • ABB ELSP Digital Manager API
  • Konektivita ABB Ability Platform
  • Přístup k firmwarové knihovně
  • Aktualizace a aktualizace ke stažení
  • Musí být ZAPNUTÝ pro cloudové funkce
  • VŽDY šifrované (TLS 1.2 nebo vyšší)

    Zmírnění hrozeb: Útoky Man-in-the-middle (MITM) na cloudovou komunikaci (zmírněné TLS šifrováním); Neoprávněný přístup ke cloudovým API a firmwarovým knihovnám; Zachycení aktualizací firmwaru a bezpečnostních záplat

Port 53/UDP (DNS - Domain Name Resolution)

  • Potřeba k vyřešení ABB cloudových koncových bodů
  • Musí být ZAPNUTÝ pro jakékoli cloudové připojení
  • Žádné šifrování (standardní DNS protokol)
  • Doporučuji používat důvěryhodné DNS servery

    Zmírnění hrozeb: DNS spoofingové útoky, které přesměrovávají EkipConnect na škodlivé cloudové koncové body; DNS cache poisoning; Neoprávněné přesměrování cloudového připojení

     

Doporučené porty (velmi doporučováno)

Port 123/UDP (NTP - synchronizace času)

  • Protokol síťového času pro přesnost systémových hodin
  • Důležité pro přesnost a bezpečnost časových razítek v logu
  • Velmi doporučuji, ale není to striktně povinné
  • Povolit, pokud to umožňuje síťová konfigurace

    Zmírnění hrozeb: Záznamy o manipulaci a manipulaci s časovými razítky; Útoky s časovým posunem, které zneplatňují časově omezené bezpečnostní kontroly; Nepřesná auditní stopa a rekonstrukce incidentu

     

Komunikační porty zařízení (pro připojení zařízení)

Port 502/TCP (Modbus TCP)

  • Komunikace mezi zařízeními a Ekip Connect přes Ethernet
  • OBOUSMĚRNÉ (zařízení se může připojit zpět)
  • Nešifrovaný protokol (vyžaduje segmentaci sítě)
  • Povolujte pouze sítě na zařízení (ne na internetu)
  • Firewall by měl tento port omezit pouze na autorizovaná zařízení

    Zmírnění hrozeb: Neoprávněná komunikace zařízení a manipulace s parametry; Neautorizovaná zařízení připojující se k správnímu rozhraní; Odposlouchávání nešifrovaného provozu zařízení (zmírněného síťovou segmentací); Útoky typu Denial-of-Service z neautorizovaných síťových segmentů

Port 69/UDP (TFTP - Triviální protokol pro přenos souborů)

  • Stažení firmwaru a nastavení zařízení
  • OBOUSMĚRNÁ komunikace
  • Nešifrované (použití pouze v izolovaných sítích)
  • Je vyžadováno pouze při aktualizaci firmwaru
  • Lze jej vypnout mimo údržbové okna

    Zmírnění hrozeb: Neoprávněné stažení a nasazení firmwaru; Škodlivé injekce firmwaru prostřednictvím TFTP útoků Man-in-the-middle při přenosu firmwaru (zmírněné izolací sítě); Neoprávněné zpřístupnění zařízení; Odposlouchávání nešifrovaných přenosů firmwaru

 

Poznámka: během procesu provisioningu zařízení do ABB Ability™ EM a AM se ujistěte, že váš firewall je správně nakonfigurován podle výše uvedených aktivních portů. Pokud narazíte na komunikační problémy, zkuste firewall dočasně vypnout a znovu ho zapnout na konci procesu Provisioning.

 

Pro více informací o bezpečnosti klikněte zde.