Retningslinjer for cybersikkerhedsimplementering

This article has been translated automatically. See the original version.

Installation og idriftsættelsessikkerhed
Før du forbinder Ekip Connect til et netværk eller nogen enheder, for atminimere risikoen for sikkerhedsbrud og malware, følg denne sikkerhedstjekliste:

1. Operativsystem

  • Udrul på Windows 11 med de nyeste sikkerhedsopdateringer (minimum: Windows 10, slut på officiel support januar 2027)

    Trusselsafbødt: Kendte OS-sårbarheder, upatchede sikkerhedssårbarheder og systemniveau-eskalationsangreb med privilegier.

  • Aktiver Secure Boot i BIOS (obligatorisk for Windows 11)

    Trusselsafbødning: Bootkit-angreb, uautoriseret kodeudførelse på boot-niveau og manipulation af bootprocessen

2. Arbejdsstationssikkerhed

  • Begræns fysisk adgang til Ekip Connect-arbejdsstationer

    Trussel afbødt: Fysisk manipulation, uautoriseret adgang til enheder og direkte hardwaremanipulation.

  • Aktivér fuld diskkryptering (BitLocker eller tilsvarende)

    Trussel afbødt: Dataeksfiltration, hvis arbejdsstationen bliver stjålet eller fysisk kompromitteret; uautoriseret adgang til følsomme lagrede data.

  • Deaktiver autologin; Konfigurer adgangskodebeskyttet login

    Trusselsafbødt: Uautoriseret adgang fra trusselsaktører med fysisk adgang eller som får adgang til en ulåst arbejdsstation.

  • Konfigurer automatisk skærmlås (anbefalet 15 minutter)

    Trussel afbødt: Uautoriseret adgang til EkipConnect-applikationen og tilsluttede systemer under brugerfravær

  • Aktivér Windows Firewall med standard-nægtende indgående regler

    Trussel afbødt: Uautoriseret netværksadgang, uopfordret indgående trafik og malware-kommando-og-kontrol-kommunikation.

3. Softwarebeskyttelse

  • Installer antivirus + antimalware-software

    Trussel afbødt: Malwareinfektion, trojan-udførelse og ondsindet kode, der kører på arbejdsstationen.

  • Konfigurer realtids Scanning og daglige fulde scanninger.

    Trusselsafbødning: Realtidsdetektion og forebyggelse af malware-eksekvering; identifikation af hvilende eller nyligt introducerede trusler.

  • Aktiver automatiske opdateringer af antivirusdefinitioner

    Trusselsafbødning: Undvigelse af antivirusdetektion ved nye eller nyligt opdagede malwarevarianter.

4. Brugerautentificering

  • Alle brugere skal autentificere via MyABB (hvis ABB-bærbar)

    Trusselsafbødt: Uautoriseret adgang til EkipConnect af ikke-autentificerede eller udgav sig for at være brugerne.

  • Håndhæv stærke adgangskoder (minimum 8 tegn, 3 tegntyper)

    Trusselsreduktion: Brute force-angreb, ordbogsangreb og adgangskode-gætning af trusselsaktører.

  • Aktivér multifaktorgodkendelse (MFA) for MyABB

    Trussel afbødt: Kontoovertagelse og uautoriseret adgang, selv hvis brugerens legitimationsoplysninger kompromitteres eller stjåles

  • Deaktiver samtidige sessioner fra samme brugerkonto

    Trusselsafbødning: Uautoriseret adgang ved brug af stjålne eller kompromitterede legitimationsoplysninger på en anden arbejdsstation eller enhed.

5. Netværkskonfiguration

  •  Udrul på et dedikeret administrationsnetværkssegment (separat VLAN)

    Trusselsafbødning: Lateral bevægelse fra angribere fra kompromitterede virksomhedssystemer; uautoriseret adgang til kritiske styringsfunktioner.

  • Konfigurer firewallen, så den kun tillader nødvendige udgående porte:

      • Port 443/TCP (HTTPS cloud-forbindelse)

      • Port 53/UDP (DNS)

      • Port 123/UDP (NTP)

    Trussel afbødt: Uautoriseret udgående kommunikation, malware-kommando-og-kontrol-callbacks og dataeksfiltration til angriberinfrastruktur.

  • Isoler enhedsnetværk fra virksomhedsnetværk (firewall påkrævet)

    Trusselsreduktion: Lateral bevægelse mellem virksomhedens og kritiske enhedsnetværk; uautoriseret adgang til sikkerhedskritiske enheder.

6. Automatiske opdateringer

  • Aktiver automatiske Windows-opdateringer

    Trusselsafbødning: Kendte OS-sårbarheder og systemniveau-sikkerhedsopdateringer implementeres rettidigt.

  • Konfigurer antivirus til automatisk opdatering af definitioner

    Trussel afbødt: Opdagelsesomgåelse af nye malwarevarianter og zero-day malwaretrusler.

7. Indledende verifikation

  • Kontroller Secure Boot er aktiv
  • Bekræft at Windows Firewall er aktiveret
  •  Bekræfte antivirus kører og er opdateret

    Trussel afbødt: Konfigurationsfejl, oversete sikkerhedskontroller og ufuldstændig implementering af obligatoriske sikkerhedsbaselines.

     

Firewall-konfiguration og sikkerhed

Ekip Connect bruger specifikke porte til forskellige typer kommunikation. Korrekt firewall-konfiguration er afgørende for sikkerheden.

 

Obligatoriske porte (påkrævet for cloud-funktioner)

Port 443/TCP (HTTPS - Cloud-forbindelse)

  • ABB ELSP Digital Manager API
  • ABB Ability Platform-forbindelse
  • Adgang til firmwarebiblioteket
  • Opdateringer og patches downloades
  • Skal VÆRE AKTIVERET for cloud-funktioner
  • ALTID krypteret (TLS 1.2 eller højere)

    Trusselsreduktion: Man-in-the-middle (MITM) angreb på cloud-kommunikation (afbødet af TLS-kryptering); Uautoriseret adgang til cloud-API'er og firmwarebiblioteker; Opsnapning af firmwareopdateringer og sikkerhedsopdateringer

Port 53/UDP (DNS - Domænenavnsopløsning)

  • Påkrævet for at løse ABB-cloud-endpoints
  • Skal være AKTIVERET for enhver cloud-forbindelse
  • Ingen kryptering (standard DNS-protokol)
  • Anbefaler at bruge betroede DNS-servere

    Trusselsafbødning: DNS-spoofing-angreb, der omdirigerer EkipConnect til ondsindede cloud-endpoints; DNS-cacheforgiftning; Uautoriseret omdirigering af cloud-forbindelse

     

Anbefalede porte (Stærkt anbefalet)

Port 123/UDP (NTP - Tidssynkronisering)

  • Network Time Protocol for systemurets nøjagtighed
  • Vigtigt for logtidsstempelnøjagtighed og sikkerhed
  • Stærkt anbefalet, men ikke strengt obligatorisk
  • Aktiver hvis netværkskonfigurationen tillader det

    Trusselsafbødt: Log tidsstempelmanipulation og manipulation; Clock skew angreb, der ugyldiggør tidsbaserede sikkerhedskontroller; Unøjagtig revisionsspor og rekonstruktion af hændelser

     

Enhedskommunikationsporte (til enhedsforbindelser)

Port 502/TCP (Modbus TCP)

  • Device-to-Ekip Connect-kommunikation via Ethernet
  • BIDIREKTIONELT (enheden kan forbindes tilbage)
  • Ukrypteret protokol (netværkssegmentering påkrævet)
  • Aktivér kun netværk på enheden (ikke internetvendt)
  • Firewall bør begrænse denne port til kun autoriserede enheder

    Trusselsreduktion: Uautoriseret enhedskommunikation og parametermanipulation; Rogue-enheder, der forbinder til administrationsgrænsefladen; Aflydning af ukrypteret enhedstrafik (afbødet af netværkssegmentering); Denial-of-service-angreb fra uautoriserede netværkssegmenter

Port 69/UDP (TFTP - Trivial File Transfer Protocol)

  • Firmware-download og enhedsprovisionering
  • TOVEJSKOMMUNIKATION
  • Ukrypteret (kun brug på isolerede netværk)
  • Kun nødvendigt under firmwareopdateringer
  • Kan deaktiveres uden for vedligeholdelsesvinduer

    Trusselsreduktion: Uautoriseret firmwaredownload og -udrulning; Ondsindet firmware-injektion via TFTP Man-in-the-middle-angreb på firmwareoverførsel (afbødet ved netværksisolering); Uautoriseret enhedsprovisionering; Aflydning af ukrypterede firmwareoverførsler

 

Bemærk: mens enheden provisionerer i ABB Ability™ EM & AM, skal du sikre dig, at din firewall er korrekt konfigureret ifølge de aktive porte, der er rapporteret ovenfor. Hvis der opstår kommunikationsproblemer, så prøv midlertidigt at deaktivere din firewall og aktiver den igen ved slutningen af provisioneringsprocessen.

 

For flere oplysninger om sikkerheden, klik venligst her.