Οδηγίες ανάπτυξης ασφάλειας στον κυβερνοχώρο

This article has been translated automatically. See the original version.

Ασφάλεια εγκατάστασης & θέσης σε λειτουργία
Πριν συνδέσετε το Ekip Connect σε οποιοδήποτε δίκτυο ή συσκευή, γιανα ελαχιστοποιήσετε τον κίνδυνο παραβιάσεων της ασφάλειας και κακόβουλου λογισμικού, ακολουθήστε αυτήν τη λίστα ελέγχου ασφαλείας:

1. Λειτουργικό σύστημα

  • Ανάπτυξη στα Windows 11 με τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας (ελάχιστο: Windows 10, λήξη επίσημης υποστήριξης Ιανουάριος 2027)

    Μετριασμός απειλής: Γνωστές ευπάθειες του λειτουργικού συστήματος, μη επιδιορθωμένες εκμεταλλεύσεις ασφαλείας και επιθέσεις κλιμάκωσης προνομίων σε επίπεδο συστήματος.

  • Ενεργοποίηση ασφαλούς εκκίνησης στο BIOS (υποχρεωτικό για Windows 11)

    Μετριασμός απειλής: Επιθέσεις bootkit, μη εξουσιοδοτημένη εκτέλεση κώδικα σε επίπεδο εκκίνησης και παραβίαση της διαδικασίας εκκίνησης

2. Ασφάλεια σταθμού εργασίας

  • Περιορισμός φυσικής πρόσβασης σε σταθμούς εργασίας Ekip Connect

    Μετριασμός απειλής: Φυσική παραβίαση, μη εξουσιοδοτημένη πρόσβαση στη συσκευή και άμεσος χειρισμός υλικού.

  • Ενεργοποίηση πλήρους κρυπτογράφησης δίσκου (BitLocker ή ισοδύναμο)

    Μετριασμός απειλής: Εξαγωγή δεδομένων σε περίπτωση κλοπής ή φυσικής παραβίασης του σταθμού εργασίας, μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητα αποθηκευμένα δεδομένα.

  • Απενεργοποιήστε την αυτόματη σύνδεση. Διαμορφώστε τη σύνδεση που προστατεύεται με κωδικό πρόσβασης

    Μετριασμός απειλής: Μη εξουσιοδοτημένη πρόσβαση από φορείς απειλών με φυσική πρόσβαση ή που αποκτούν πρόσβαση σε ξεκλείδωτο σταθμό εργασίας.

  • Διαμόρφωση αυτόματου κλειδώματος οθόνης (συνιστώνται 15 λεπτά)

    Μετριασμός απειλής: Μη εξουσιοδοτημένη πρόσβαση στην εφαρμογή EkipConnect και στα συνδεδεμένα συστήματα κατά την απουσία του χρήστη

  • Ενεργοποιήστε το Τείχος προστασίας των Windows με προεπιλεγμένους κανόνες άρνησης εισερχόμενων

    Μετριασμός απειλής: Μη εξουσιοδοτημένη πρόσβαση στο δίκτυο, ανεπιθύμητη εισερχόμενη κυκλοφορία και επικοινωνία εντολών και ελέγχου κακόβουλου λογισμικού.

3. Προστασία λογισμικού

  • Εγκαταστήστε λογισμικό προστασίας από ιούς + κακόβουλο λογισμικό

    Μετριασμός απειλής: Μόλυνση από κακόβουλο λογισμικό, εκτέλεση trojan και κακόβουλος κώδικας που εκτελείται στο σταθμό εργασίας.

  • Διαμορφώστε το Scanning σε πραγματικό χρόνο και τις καθημερινές πλήρεις σαρώσεις.

    Μετριασμός απειλής: Ανίχνευση και πρόληψη εκτέλεσης κακόβουλου λογισμικού σε πραγματικό χρόνο. εντοπισμός αδρανών ή πρόσφατα εισαχθεισών απειλών.

  • Ενεργοποίηση αυτόματων ενημερώσεων ορισμών προστασίας από ιούς

    Μετριασμός απειλής: Αποφυγή εντοπισμού προστασίας από ιούς από νέες ή πρόσφατα ανακαλυφθείσες παραλλαγές κακόβουλου λογισμικού.

4. Έλεγχος ταυτότητας χρήστη

  • Όλοι οι χρήστες πρέπει να ελέγχουν την ταυτότητα μέσω MyABB (εάν είναι φορητός υπολογιστής ABB)

    Μετριασμός απειλής: Μη εξουσιοδοτημένη πρόσβαση στο EkipConnect από χρήστες χωρίς έλεγχο ταυτότητας ή πλαστοπροσωπία.

  • Επιβολή ισχυρών κωδικών πρόσβασης (τουλάχιστον 8 χαρακτήρες, 3 τύποι χαρακτήρων)

    Μετριασμός απειλής: Επιθέσεις ωμής βίας, επιθέσεις λεξικού και εικασία κωδικού πρόσβασης από παράγοντες απειλών.

  • Ενεργοποίηση ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) για το MyABB

    Μετριασμός απειλής: Εξαγορά λογαριασμού και μη εξουσιοδοτημένη πρόσβαση, ακόμη και αν τα διαπιστευτήρια χρήστη παραβιαστούν ή κλαπούν

  • Απενεργοποίηση ταυτόχρονων περιόδων λειτουργίας από τον ίδιο λογαριασμό χρήστη

    Μετριασμός απειλής: Μη εξουσιοδοτημένη πρόσβαση με χρήση κλεμμένων ή παραβιασμένων διαπιστευτηρίων σε διαφορετικό σταθμό εργασίας ή συσκευή.

5. Διαμόρφωση δικτύου

  •  Ανάπτυξη σε αποκλειστικό τμήμα δικτύου διαχείρισης (ξεχωριστό VLAN)

    Μετριασμός απειλής: Πλευρική μετακίνηση από εισβολείς από παραβιασμένα εταιρικά συστήματα. μη εξουσιοδοτημένη πρόσβαση σε κρίσιμες λειτουργίες διαχείρισης.

  • Διαμορφώστε το τείχος προστασίας ώστε να επιτρέπει μόνο τις απαιτούμενες θύρες εξερχομένων:

      • Θύρα 443/TCP (συνδεσιμότητα cloud HTTPS)

      • Θύρα 53/UDP (DNS)

      • Θύρα 123/UDP (NTP)

    Μετριασμός απειλής: Μη εξουσιοδοτημένη εξερχόμενη επικοινωνία, επανακλήσεις εντολών και ελέγχου κακόβουλου λογισμικού και εξαγωγή δεδομένων στην υποδομή εισβολέων.

  • Απομόνωση δικτύων συσκευών από εταιρικά δίκτυα (απαιτείται τείχος προστασίας)

    Μετριασμός απειλής: Πλευρική μετακίνηση μεταξύ εταιρικών και κρίσιμων δικτύων συσκευών. μη εξουσιοδοτημένη πρόσβαση σε κρίσιμες για την ασφάλεια συσκευές.

6. Αυτόματες ενημερώσεις

  • Ενεργοποίηση αυτόματων ενημερώσεων των Windows

    Μετριασμός απειλής: Γνωστά τρωτά σημεία του λειτουργικού συστήματος και ενημερώσεις κώδικα ασφαλείας σε επίπεδο συστήματος αναπτύσσονται έγκαιρα.

  • Ρύθμιση παραμέτρων προστασίας από ιούς για αυτόματη ενημέρωση ορισμών

    Μετριασμός απειλών: Αποφυγή ανίχνευσης από νέες παραλλαγές κακόβουλου λογισμικού και απειλές κακόβουλου λογισμικού zero-day.

7. Αρχική επαλήθευση

  • Βεβαιωθείτε ότι η Ασφαλής εκκίνηση είναι ενεργή
  • Βεβαιωθείτε ότι το Τείχος προστασίας των Windows είναι ενεργοποιημένο
  •  Βεβαιωθείτε ότι το πρόγραμμα προστασίας από ιούς εκτελείται και ενημερώνεται

    Μετριασμός απειλής: Σφάλματα διαμόρφωσης, χαμένοι έλεγχοι ασφαλείας και ελλιπής ανάπτυξη υποχρεωτικών γραμμών βάσης ασφαλείας.

     

Διαμόρφωση και ασφάλεια τείχους προστασίας

Το Ekip Connect χρησιμοποιεί συγκεκριμένες θύρες για διαφορετικούς τύπους επικοινωνίας. Η σωστή διαμόρφωση του τείχους προστασίας είναι απαραίτητη για την ασφάλεια.

 

Υποχρεωτικές θύρες (απαιτούνται για λειτουργίες cloud)

Θύρα 443/TCP (HTTPS - Συνδεσιμότητα στο cloud)

  • ABB ELSP Digital Manager API
  • Συνδεσιμότητα ABB Ability Platform
  • Πρόσβαση στη βιβλιοθήκη υλικολογισμικού
  • Λήψη ενημερώσεων και ενημερώσεων κώδικα
  • Πρέπει να είναι ΕΝΕΡΓΟΠΟΙΗΜΕΝΟ για λειτουργίες cloud
  • ΠΑΝΤΑ κρυπτογραφημένο (TLS 1.2 ή νεότερη έκδοση)

    Μετριασμός απειλής: Επιθέσεις Man-in-the-middle (MITM) στην επικοινωνία cloud (μετριάζεται με κρυπτογράφηση TLS). Μη εξουσιοδοτημένη πρόσβαση σε API cloud και βιβλιοθήκες υλικολογισμικού. Υποκλοπή ενημερώσεων υλικολογισμικού και ενημερώσεων κώδικα ασφαλείας

Θύρα 53/UDP (DNS - Ανάλυση ονόματος τομέα)

  • Απαιτείται για την επίλυση τελικών σημείων cloud της ABB
  • Πρέπει να είναι ΕΝΕΡΓΟΠΟΙΗΜΕΝΟ για οποιαδήποτε συνδεσιμότητα cloud
  • Χωρίς κρυπτογράφηση (τυπικό πρωτόκολλο DNS)
  • Προτείνετε τη χρήση αξιόπιστων διακομιστών DNS

    Μετριασμός απειλής: Επιθέσεις πλαστογράφησης DNS που ανακατευθύνουν το EkipConnect σε κακόβουλα τελικά σημεία cloud. Δηλητηρίαση κρυφής μνήμης DNS. Μη εξουσιοδοτημένη ανακατεύθυνση της συνδεσιμότητας στο cloud

     

Προτεινόμενες θύρες (Συνιστάται ανεπιφύλακτα)

Θύρα 123/UDP (NTP - Συγχρονισμός ώρας)

  • Πρωτόκολλο ώρας δικτύου για ακρίβεια ρολογιού συστήματος
  • Σημαντικό για την ακρίβεια και την ασφάλεια της χρονικής σήμανσης καταγραφής
  • Συνιστάται ανεπιφύλακτα αλλά όχι αυστηρά υποχρεωτικό
  • Ενεργοποίηση εάν το επιτρέπει η διαμόρφωση δικτύου

    Μετριασμός απειλής: Παραβίαση και χειραγώγηση χρονικής σήμανσης καταγραφής. Επιθέσεις λοξής ρολογιού που ακυρώνουν τους ελέγχους ασφαλείας βάσει χρόνου. Ανακριβής διαδρομή ελέγχου και ανακατασκευή περιστατικών

     

Θύρες επικοινωνίας συσκευής (για συνδέσεις συσκευών)

Θύρα 502/TCP (Modbus TCP)

  • Επικοινωνία συσκευής με Ekip Connect μέσω Ethernet
  • BIDIRECTIONAL (η συσκευή μπορεί να συνδεθεί ξανά)
  • Μη κρυπτογραφημένο πρωτόκολλο (απαιτείται τμηματοποίηση δικτύου)
  • Ενεργοποίηση μόνο σε δίκτυα συσκευών (που δεν είναι στραμμένα στο Internet)
  • Το τείχος προστασίας θα πρέπει να περιορίζει αυτήν τη θύρα μόνο σε εξουσιοδοτημένες συσκευές

    Μετριασμός απειλής: Μη εξουσιοδοτημένη επικοινωνία συσκευής και χειρισμός παραμέτρων. Αδίστακτες συσκευές που συνδέονται με τη διεπαφή διαχείρισης. Υποκλοπή μη κρυπτογραφημένης κίνησης συσκευών (μετριάζεται από την τμηματοποίηση δικτύου). Επιθέσεις άρνησης υπηρεσίας από μη εξουσιοδοτημένα τμήματα δικτύου

Θύρα 69/UDP (TFTP - Trivial File Transfer Protocol)

  • Λήψη υλικολογισμικού και παροχή συσκευής
  • Αμφίδρομη επικοινωνία
  • Μη κρυπτογραφημένο (χρήση μόνο σε απομονωμένα δίκτυα)
  • Απαιτείται μόνο κατά τις λειτουργίες ενημέρωσης υλικολογισμικού
  • Μπορεί να απενεργοποιηθεί εκτός των παραθύρων συντήρησης

    Μετριασμός απειλής: Μη εξουσιοδοτημένη λήψη και ανάπτυξη υλικολογισμικού. Κακόβουλη έγχυση υλικολογισμικού μέσω επιθέσεων TFTP Man-in-the-middle στη μεταφορά υλικολογισμικού (μετριάζεται από την απομόνωση δικτύου). Μη εξουσιοδοτημένη παροχή συσκευών. Υποκλοπή μη κρυπτογραφημένων μεταφορών υλικολογισμικού

 

Σημείωση: κατά τη διαδικασία παροχής της συσκευής στο ABB Ability™ EM & AM, βεβαιωθείτε ότι το τείχος προστασίας σας έχει ρυθμιστεί σωστά, σύμφωνα με τις ενεργές θύρες που αναφέρονται παραπάνω. Εάν παρουσιαστούν προβλήματα επικοινωνίας, προσπαθήστε να απενεργοποιήσετε προσωρινά το τείχος προστασίας σας, ενεργοποιώντας το ξανά στο τέλος της διαδικασίας παροχής.

 

Για περισσότερες λεπτομέρειες σχετικά με τις οδηγίες ανάπτυξης ασφαλείας του Modbus και τις πληροφορίες ασφαλείας, κάντε κλικ εδώ.