Bezpečnost instalace a uvedení do provozu
Před připojením Ekip Connect k jakékoli síti nebo zařízením, abysteminimalizovali riziko bezpečnostních úniků a malwaru, postupujte podle tohoto bezpečnostního seznamu:
1. Operační systém
Zmírnění hrozeb: Známé zranitelnosti operačního systému, neopravené bezpečnostní zneužití a útoky na eskalaci oprávnění na úrovni systému.
Hrozby zmírněné: Útoky pomocí bootkitu, neoprávněné spuštění kódu na úrovni bootu a manipulace s bootovacím procesem
2. Bezpečnost pracovních stanic
Omezte fyzický přístup k pracovním stanicím Ekip Connect
Zmírnění hrozeb: Fyzické manipulace, neoprávněný přístup k zařízením a přímá manipulace s hardwarem.
Povolte šifrování celého disku (BitLocker nebo ekvivalent)
Zmírnění hrozeb: Únik dat v případě krádeže nebo fyzické kompromitace pracovní stanice; neoprávněný přístup k citlivým uloženým datům.
Vypnout autologin; Konfigurujte přihlášení chráněné heslem
Zmírnění hrozeb: Neoprávněný přístup ze strany aktérů s fyzickým přístupem nebo těch, kteří získají přístup k odemčené pracovní stanici.
Nastavte automatické zamykaní obrazovky (doporučeno 15 minut)
Zmírnění hrozeb: Neoprávněný přístup k aplikaci EkipConnect a připojeným systémům během nepřítomnosti uživatele
Povolte Windows Firewall s pravidly default-deny příchozích
Zmírnění hrozeb: Neoprávněný přístup do sítě, nevyžádaný příchozí provoz a komunikace s malwarem pomocí příkazů a kontrol.
3. Ochrana softwaru
Nainstalovat antivir + antimalware software
Hrozba zmírněná: infekce malwarem, spuštění trojského kone a škodlivý kód běžící na pracovní stanici.
Nastavte real-time Scanning a denní kompletní skeny.
Zmírnění hrozeb: Detekce a prevence malwaru v reálném čase; identifikace nečinných nebo nedávno zavedených hrozeb.
Povolit automatické aktualizace definic antiviru
Zmírnění hrozeb: Obcházení detekce antiviru novými nebo nedávno objevenými variantami malwaru.
4. Ověření uživatele
Všichni uživatelé se musí ověřit přes MyABB (pokud je to notebook ABB).
Hrozba zmírněná: Neoprávněný přístup k EkipConnect neautentizovanými nebo napodobenými uživateli.
Vynucujte silná hesla (minimálně 8 znaků, 3 typy znaků)
Zmírnění hrozeb: Útoky hrubou silou, slovníkové útoky a hádání hesel ze strany aktérů hrozeb.
Povolit vícefaktorovou autentizaci (MFA) pro MyABB
Zmírnění hrozeb: Převzetí účtu a neoprávněný přístup i v případě, že jsou uživatelské přihlašovací údaje kompromitovány nebo ukradeny
Vypněte souběžné relace ze stejného uživatelského účtu
Zmírnění hrozeb: Neoprávněný přístup pomocí ukradených nebo kompromitovaných přihlašovacích údajů na jiné pracovní stanici nebo zařízení.
5. Konfigurace sítě
Nasazení na segmentu dedikované správy sítě (samostatná VLAN)
Zmírnění hrozeb: Boční pohyb útočníků z kompromitovaných podnikových systémů; neoprávněný přístup ke klíčovým funkcím správy.
• Port 443/TCP (HTTPS cloudové připojení)
• Port 53/UDP (DNS)
• Port 123/UDP (NTP)
Zmírnění hrozeb: Neoprávněná odchozí komunikace, zpětné volání s malwarem a exfiltrace dat do útočnické infrastruktury.
Izolujte sítě zařízení od podnikových sítí (vyžaduje firewall)
Zmírnění hrozeb: Boční pohyb mezi podnikovými a kritickými zařízeními; neoprávněný přístup k bezpečnostně kritickým zařízením.
6. Automatické aktualizace
Povolit automatické aktualizace Windows
Zmírnění hrozeb: Známé zranitelnosti OS a bezpečnostní záplaty na úrovni systému jsou nasazovány včas.
Nastavte antivirus tak, aby automaticky aktualizoval definice
Zmírnění hrozeb: Vyhýbání se detekci novými variantami malwaru a hrozbami zero-day malwaru.
7. Počáteční ověření
Ověřte, že antivirus běží a je aktualizovaný
Zmírnění hrozeb: Chyby v konfiguraci, opomenuté bezpečnostní kontroly a neúplné nasazení povinných bezpečnostních základů.
Konfigurace firewallu a bezpečnost
Ekip Connect používá specifické porty pro různé typy komunikace. Správná konfigurace firewallu je nezbytná pro bezpečnost.
Povinné porty (povinné pro cloudové funkce)
Port 443/TCP (HTTPS - Cloudové připojení)
VŽDY šifrované (TLS 1.2 nebo vyšší)
Zmírnění hrozeb: Útoky Man-in-the-middle (MITM) na cloudovou komunikaci (zmírněné TLS šifrováním); Neoprávněný přístup ke cloudovým API a firmwarovým knihovnám; Zachycení aktualizací firmwaru a bezpečnostních záplat
Port 53/UDP (DNS - Domain Name Resolution)
Doporučuji používat důvěryhodné DNS servery
Zmírnění hrozeb: DNS spoofingové útoky, které přesměrovávají EkipConnect na škodlivé cloudové koncové body; DNS cache poisoning; Neoprávněné přesměrování cloudového připojení
Doporučené porty (velmi doporučováno)
Port 123/UDP (NTP - synchronizace času)
Povolit, pokud to umožňuje síťová konfigurace
Zmírnění hrozeb: Záznamy o manipulaci a manipulaci s časovými razítky; Útoky s časovým posunem, které zneplatňují časově omezené bezpečnostní kontroly; Nepřesná auditní stopa a rekonstrukce incidentu
Komunikační porty zařízení (pro připojení zařízení)
Port 502/TCP (Modbus TCP)
Firewall by měl tento port omezit pouze na autorizovaná zařízení
Zmírnění hrozeb: Neoprávněná komunikace zařízení a manipulace s parametry; Neautorizovaná zařízení připojující se k správnímu rozhraní; Odposlouchávání nešifrovaného provozu zařízení (zmírněného síťovou segmentací); Útoky typu Denial-of-Service z neautorizovaných síťových segmentů
Port 69/UDP (TFTP - Triviální protokol pro přenos souborů)
Lze jej vypnout mimo údržbové okna
Zmírnění hrozeb: Neoprávněné stažení a nasazení firmwaru; Škodlivé injekce firmwaru prostřednictvím TFTP útoků Man-in-the-middle při přenosu firmwaru (zmírněné izolací sítě); Neoprávněné zpřístupnění zařízení; Odposlouchávání nešifrovaných přenosů firmwaru
Poznámka: během procesu provisioningu zařízení do ABB Ability™ EM a AM se ujistěte, že váš firewall je správně nakonfigurován podle výše uvedených aktivních portů. Pokud narazíte na komunikační problémy, zkuste firewall dočasně vypnout a znovu ho zapnout na konci procesu Provisioning.
Pro více informací o bezpečnosti klikněte zde.