Ασφάλεια εγκατάστασης & θέσης σε λειτουργία
Πριν συνδέσετε το Ekip Connect σε οποιοδήποτε δίκτυο ή συσκευή, γιανα ελαχιστοποιήσετε τον κίνδυνο παραβιάσεων της ασφάλειας και κακόβουλου λογισμικού, ακολουθήστε αυτήν τη λίστα ελέγχου ασφαλείας:
1. Λειτουργικό σύστημα
Μετριασμός απειλής: Γνωστές ευπάθειες του λειτουργικού συστήματος, μη επιδιορθωμένες εκμεταλλεύσεις ασφαλείας και επιθέσεις κλιμάκωσης προνομίων σε επίπεδο συστήματος.
Μετριασμός απειλής: Επιθέσεις bootkit, μη εξουσιοδοτημένη εκτέλεση κώδικα σε επίπεδο εκκίνησης και παραβίαση της διαδικασίας εκκίνησης
2. Ασφάλεια σταθμού εργασίας
Περιορισμός φυσικής πρόσβασης σε σταθμούς εργασίας Ekip Connect
Μετριασμός απειλής: Φυσική παραβίαση, μη εξουσιοδοτημένη πρόσβαση στη συσκευή και άμεσος χειρισμός υλικού.
Ενεργοποίηση πλήρους κρυπτογράφησης δίσκου (BitLocker ή ισοδύναμο)
Μετριασμός απειλής: Εξαγωγή δεδομένων σε περίπτωση κλοπής ή φυσικής παραβίασης του σταθμού εργασίας, μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητα αποθηκευμένα δεδομένα.
Απενεργοποιήστε την αυτόματη σύνδεση. Διαμορφώστε τη σύνδεση που προστατεύεται με κωδικό πρόσβασης
Μετριασμός απειλής: Μη εξουσιοδοτημένη πρόσβαση από φορείς απειλών με φυσική πρόσβαση ή που αποκτούν πρόσβαση σε ξεκλείδωτο σταθμό εργασίας.
Διαμόρφωση αυτόματου κλειδώματος οθόνης (συνιστώνται 15 λεπτά)
Μετριασμός απειλής: Μη εξουσιοδοτημένη πρόσβαση στην εφαρμογή EkipConnect και στα συνδεδεμένα συστήματα κατά την απουσία του χρήστη
Ενεργοποιήστε το Τείχος προστασίας των Windows με προεπιλεγμένους κανόνες άρνησης εισερχόμενων
Μετριασμός απειλής: Μη εξουσιοδοτημένη πρόσβαση στο δίκτυο, ανεπιθύμητη εισερχόμενη κυκλοφορία και επικοινωνία εντολών και ελέγχου κακόβουλου λογισμικού.
3. Προστασία λογισμικού
Εγκαταστήστε λογισμικό προστασίας από ιούς + κακόβουλο λογισμικό
Μετριασμός απειλής: Μόλυνση από κακόβουλο λογισμικό, εκτέλεση trojan και κακόβουλος κώδικας που εκτελείται στο σταθμό εργασίας.
Διαμορφώστε το Scanning σε πραγματικό χρόνο και τις καθημερινές πλήρεις σαρώσεις.
Μετριασμός απειλής: Ανίχνευση και πρόληψη εκτέλεσης κακόβουλου λογισμικού σε πραγματικό χρόνο. εντοπισμός αδρανών ή πρόσφατα εισαχθεισών απειλών.
Ενεργοποίηση αυτόματων ενημερώσεων ορισμών προστασίας από ιούς
Μετριασμός απειλής: Αποφυγή εντοπισμού προστασίας από ιούς από νέες ή πρόσφατα ανακαλυφθείσες παραλλαγές κακόβουλου λογισμικού.
4. Έλεγχος ταυτότητας χρήστη
Όλοι οι χρήστες πρέπει να ελέγχουν την ταυτότητα μέσω MyABB (εάν είναι φορητός υπολογιστής ABB)
Μετριασμός απειλής: Μη εξουσιοδοτημένη πρόσβαση στο EkipConnect από χρήστες χωρίς έλεγχο ταυτότητας ή πλαστοπροσωπία.
Επιβολή ισχυρών κωδικών πρόσβασης (τουλάχιστον 8 χαρακτήρες, 3 τύποι χαρακτήρων)
Μετριασμός απειλής: Επιθέσεις ωμής βίας, επιθέσεις λεξικού και εικασία κωδικού πρόσβασης από παράγοντες απειλών.
Ενεργοποίηση ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) για το MyABB
Μετριασμός απειλής: Εξαγορά λογαριασμού και μη εξουσιοδοτημένη πρόσβαση, ακόμη και αν τα διαπιστευτήρια χρήστη παραβιαστούν ή κλαπούν
Απενεργοποίηση ταυτόχρονων περιόδων λειτουργίας από τον ίδιο λογαριασμό χρήστη
Μετριασμός απειλής: Μη εξουσιοδοτημένη πρόσβαση με χρήση κλεμμένων ή παραβιασμένων διαπιστευτηρίων σε διαφορετικό σταθμό εργασίας ή συσκευή.
5. Διαμόρφωση δικτύου
Ανάπτυξη σε αποκλειστικό τμήμα δικτύου διαχείρισης (ξεχωριστό VLAN)
Μετριασμός απειλής: Πλευρική μετακίνηση από εισβολείς από παραβιασμένα εταιρικά συστήματα. μη εξουσιοδοτημένη πρόσβαση σε κρίσιμες λειτουργίες διαχείρισης.
• Θύρα 443/TCP (συνδεσιμότητα cloud HTTPS)
• Θύρα 53/UDP (DNS)
• Θύρα 123/UDP (NTP)
Μετριασμός απειλής: Μη εξουσιοδοτημένη εξερχόμενη επικοινωνία, επανακλήσεις εντολών και ελέγχου κακόβουλου λογισμικού και εξαγωγή δεδομένων στην υποδομή εισβολέων.
Απομόνωση δικτύων συσκευών από εταιρικά δίκτυα (απαιτείται τείχος προστασίας)
Μετριασμός απειλής: Πλευρική μετακίνηση μεταξύ εταιρικών και κρίσιμων δικτύων συσκευών. μη εξουσιοδοτημένη πρόσβαση σε κρίσιμες για την ασφάλεια συσκευές.
6. Αυτόματες ενημερώσεις
Ενεργοποίηση αυτόματων ενημερώσεων των Windows
Μετριασμός απειλής: Γνωστά τρωτά σημεία του λειτουργικού συστήματος και ενημερώσεις κώδικα ασφαλείας σε επίπεδο συστήματος αναπτύσσονται έγκαιρα.
Ρύθμιση παραμέτρων προστασίας από ιούς για αυτόματη ενημέρωση ορισμών
Μετριασμός απειλών: Αποφυγή ανίχνευσης από νέες παραλλαγές κακόβουλου λογισμικού και απειλές κακόβουλου λογισμικού zero-day.
7. Αρχική επαλήθευση
Βεβαιωθείτε ότι το πρόγραμμα προστασίας από ιούς εκτελείται και ενημερώνεται
Μετριασμός απειλής: Σφάλματα διαμόρφωσης, χαμένοι έλεγχοι ασφαλείας και ελλιπής ανάπτυξη υποχρεωτικών γραμμών βάσης ασφαλείας.
Διαμόρφωση και ασφάλεια τείχους προστασίας
Το Ekip Connect χρησιμοποιεί συγκεκριμένες θύρες για διαφορετικούς τύπους επικοινωνίας. Η σωστή διαμόρφωση του τείχους προστασίας είναι απαραίτητη για την ασφάλεια.
Υποχρεωτικές θύρες (απαιτούνται για λειτουργίες cloud)
Θύρα 443/TCP (HTTPS - Συνδεσιμότητα στο cloud)
ΠΑΝΤΑ κρυπτογραφημένο (TLS 1.2 ή νεότερη έκδοση)
Μετριασμός απειλής: Επιθέσεις Man-in-the-middle (MITM) στην επικοινωνία cloud (μετριάζεται με κρυπτογράφηση TLS). Μη εξουσιοδοτημένη πρόσβαση σε API cloud και βιβλιοθήκες υλικολογισμικού. Υποκλοπή ενημερώσεων υλικολογισμικού και ενημερώσεων κώδικα ασφαλείας
Θύρα 53/UDP (DNS - Ανάλυση ονόματος τομέα)
Προτείνετε τη χρήση αξιόπιστων διακομιστών DNS
Μετριασμός απειλής: Επιθέσεις πλαστογράφησης DNS που ανακατευθύνουν το EkipConnect σε κακόβουλα τελικά σημεία cloud. Δηλητηρίαση κρυφής μνήμης DNS. Μη εξουσιοδοτημένη ανακατεύθυνση της συνδεσιμότητας στο cloud
Προτεινόμενες θύρες (Συνιστάται ανεπιφύλακτα)
Θύρα 123/UDP (NTP - Συγχρονισμός ώρας)
Ενεργοποίηση εάν το επιτρέπει η διαμόρφωση δικτύου
Μετριασμός απειλής: Παραβίαση και χειραγώγηση χρονικής σήμανσης καταγραφής. Επιθέσεις λοξής ρολογιού που ακυρώνουν τους ελέγχους ασφαλείας βάσει χρόνου. Ανακριβής διαδρομή ελέγχου και ανακατασκευή περιστατικών
Θύρες επικοινωνίας συσκευής (για συνδέσεις συσκευών)
Θύρα 502/TCP (Modbus TCP)
Το τείχος προστασίας θα πρέπει να περιορίζει αυτήν τη θύρα μόνο σε εξουσιοδοτημένες συσκευές
Μετριασμός απειλής: Μη εξουσιοδοτημένη επικοινωνία συσκευής και χειρισμός παραμέτρων. Αδίστακτες συσκευές που συνδέονται με τη διεπαφή διαχείρισης. Υποκλοπή μη κρυπτογραφημένης κίνησης συσκευών (μετριάζεται από την τμηματοποίηση δικτύου). Επιθέσεις άρνησης υπηρεσίας από μη εξουσιοδοτημένα τμήματα δικτύου
Θύρα 69/UDP (TFTP - Trivial File Transfer Protocol)
Μπορεί να απενεργοποιηθεί εκτός των παραθύρων συντήρησης
Μετριασμός απειλής: Μη εξουσιοδοτημένη λήψη και ανάπτυξη υλικολογισμικού. Κακόβουλη έγχυση υλικολογισμικού μέσω επιθέσεων TFTP Man-in-the-middle στη μεταφορά υλικολογισμικού (μετριάζεται από την απομόνωση δικτύου). Μη εξουσιοδοτημένη παροχή συσκευών. Υποκλοπή μη κρυπτογραφημένων μεταφορών υλικολογισμικού
Σημείωση: κατά τη διαδικασία παροχής της συσκευής στο ABB Ability™ EM & AM, βεβαιωθείτε ότι το τείχος προστασίας σας έχει ρυθμιστεί σωστά, σύμφωνα με τις ενεργές θύρες που αναφέρονται παραπάνω. Εάν παρουσιαστούν προβλήματα επικοινωνίας, προσπαθήστε να απενεργοποιήσετε προσωρινά το τείχος προστασίας σας, ενεργοποιώντας το ξανά στο τέλος της διαδικασίας παροχής.
Για περισσότερες λεπτομέρειες σχετικά με τις οδηγίες ανάπτυξης ασφαλείας του Modbus και τις πληροφορίες ασφαλείας, κάντε κλικ εδώ.