Küberturvalisuse juurutamise juhised

This article has been translated automatically. See the original version.

Paigaldus- ja kasutuselevõtu turvalisus
Enne Ekip Connect'i ühendamist mis tahes võrgu või seadmega, etvähendada turvarikkumiste ja pahavara riski, järgige seda turvakontrollnimekirja:

1. Operatsioonisüsteem

  • Juuruta Windows 11-le uusimate turvaparandustega (miinimum: Windows 10, ametliku toe lõpp jaanuar 2027)

    Ohtude leevendamine: teadaolevad operatsioonisüsteemi haavatavused, parandamata turvarünnakud ja süsteemitasemel privileegide eskaleerimise rünnakud.

  • Luba turvaline käivitamine BIOS-is (kohustuslik Windows 11 puhul)

    Ohtude leevendamine: Bootkit'i rünnakud, volitamata alglaadimistaseme koodi käivitamine ja käivitusprotsessi manipuleerimine

2. Tööjaama turvalisus

  • Piira füüsilist ligipääsu Ekip Connect tööjaamadele

    Ohu leevendamine: füüsiline manipuleerimine, volitamata seadmele ligipääs ja otsene riistvara manipuleerimine.

  • Luba täisketta krüpteerimine (BitLocker või samaväärne)

    Oht leevendatud: andmete väljaviimine, kui tööjaam varastatakse või füüsiliselt kompromiteeritakse; volitamata juurdepääs tundlikele salvestatud andmetele.

  • Keela automaatne sisselogimine; Seadista parooliga kaitstud sisselogimine

    Ohu leevendamine: Volitamata ligipääs ohutegijate poolt, kellel on füüsiline ligipääs või kes pääsevad ligi lukustamata tööjaamale.

  • Seadista automaatne ekraanilukustus (soovitatav 15 minutit)

    Ohu leevendamine: Volitamata juurdepääs EkipConnect rakendusele ja ühendatud süsteemidele kasutaja puudumise ajal

  • Luba Windowsi tulemüür vaikimisi keelatud sissetulevate reeglitega

    Ohtude leevendamine: Volitamata võrgule ligipääs, soovimatu sissetulev liiklus ja pahavara käsu- ja kontrollkommunikatsioon.

3. Tarkvarakaitse

  • Paigalda viirusetõrje + pahavaratõrje tarkvara

    Ohu vähendamine: pahavara nakatumine, trooja käivitamine ja pahatahtlik kood, mis töötab tööjaamas.

  • Seadista reaalajas Scanning ja igapäevased täisskannid.

    Ohu leevendamine: pahavara reaalajas tuvastamine ja ennetamine; uinunud või hiljuti tekkinud ohtude tuvastamine.

  • Luba automaatsed viirusetõrje definitsiooni uuendused

    Oht leevendatud: viirusetõrje tuvastamise vältimine uute või hiljuti avastatud pahavara variantide poolt.

4. Kasutaja autentimine

  • Kõik kasutajad peavad autentima MyABB kaudu (kui ABB sülearvuti)

    Ohu leevendamine: Volitamata ligipääs EkipConnectile autentimata või imiteeritud kasutajate poolt.

  • Rakenda tugevaid paroole (vähemalt 8 märki, 3 tähemärki)

    Ohu leevendamine: jõurünnakud, sõnastiku rünnakud ja paroolide äraarvamine ohutegijate poolt.

  • Luba MyABB jaoks mitmefaktoriline autentimine (MFA)

    Ohu leevendamine: Konto ülevõtmine ja volitamata ligipääs isegi siis, kui kasutaja mandaate on kompromiteeritud või varastatud

  • Keela samaaegsed sessioonid samast kasutajakontost

    Ohuga maandatud: Volitamata ligipääs, kasutades varastatud või kompromiteeritud mandaate teises tööjaamas või seadmes.

5. Võrgu konfiguratsioon

  •  Juuruta pühendatud haldusvõrgu segmendis (eraldi VLAN)

    Ohu leevendamine: ründajate külgsuunaline liikumine kompromiteeritud ettevõtte süsteemidest; volitamata juurdepääs kriitilistele haldusfunktsioonidele.

  • Seadista tulemüür lubama ainult vajalikke väljaminevaid porte:

      • Port 443/TCP (HTTPS pilveühendus)

      • Port 53/UDP (DNS)

      • Port 123/UDP (NTP)

    Ohuga maandatud: Volitamata väljaminev suhtlus, pahavara käskude ja kontrolli tagasikutsed ning andmete väljaviimine ründajate infrastruktuuri.

  • Isoleeri seadmevõrgud ettevõtte võrkudest (tulemüür vajalik)

    Ohu leevendamine: Külgliikumine ettevõtte ja kriitiliste seadmete võrkude vahel; volitamata juurdepääs ohutuskriitilistele seadmetele.

6. Automaatsed uuendused

  • Luba automaatsed Windowsi uuendused

    Ohu leevendamine: Tuntud operatsioonisüsteemi haavatavused ja süsteemitasemel turvaparandused paigaldatakse õigeaegselt.

  • Seadista viirusetõrje automaatselt definitsioonide uuendamiseks

    Ohu leevendamine: Uute pahavara variantide ja nullpäeva pahavara ohtude tuvastamise vältimine.

7. Esialgne kontroll

  • Veendu, et turvaline käivitamine on aktiivne
  • Kontrolli, et Windowsi tulemüür on lubatud
  •  Kontrolli, et viirusetõrje töötab ja uuendab

    Ohuga maandatud: konfiguratsioonivead, turvakontrollide vahelejätmine ja kohustuslike turvabaaside puudulik juurutamine.

     

Tulemüüri konfiguratsioon ja turvalisus

Ekip Connect kasutab erinevateks sidetüüpideks spetsiifilisi porte. Õige tulemüüri konfiguratsioon on turvalisuse tagamiseks hädavajalik.

 

Kohustuslikud pordid (pilvefunktsioonide jaoks vajalikud)

Port 443/TCP (HTTPS - pilveühendus)

  • ABB ELSP Digital Manageri API
  • ABB võimekuse platvormi ühenduvus
  • Püsivara teegi ligipääs
  • Uuendused ja parandused laadivad alla
  • Peab olema LUBATUD pilvefunktsioonide jaoks
  • ALATI krüpteeritud (TLS 1.2 või kõrgem)

    Ohu leevendamine: Man-in-the-middle (MITM) rünnakud pilvekommunikatsioonile (leevendatud TLS-krüpteerimisega); Volitamata juurdepääs pilvepõhistele API-dele ja püsivara teekidele; Püsivara uuenduste ja turvapaikade pealtkuulamine

Port 53/UDP (DNS - domeeninime lahendus)

  • Vajalik ABB pilvelõpp-punktide lahendamiseks
  • Peab olema LUBATUD iga pilveühenduse jaoks
  • Ei mingit krüpteerimist (standardne DNS-protokoll)
  • Soovitan kasutada usaldusväärseid DNS-servereid

    Ohtude leevendamine: DNS-i võltsimise rünnakud, mis suunavad EkipConnecti pahatahtlikele pilvelõpp-punktidele; DNS-vahemälu mürgistus; Pilveühenduse volitamata ümbersuunamine

     

Soovitatud portid (väga soovitatav)

Port 123/UDP (NTP - ajasünkroniseerimine)

  • Võrguaja protokoll süsteemi kella täpsuse tagamiseks
  • Oluline logi ajatempli täpsuse ja turvalisuse tagamiseks
  • Väga soovitatav, aga mitte rangelt kohustuslik
  • Luba, kui võrgukonfiguratsioon seda lubab

    Ohu leevendamine: logi ajatempli manipuleerimine ja manipuleerimine; Kella nihke rünnakud, mis tühistavad ajapõhised turvakontrollid; Ebatäpne auditeerimisjälg ja juhtumi rekonstrueerimine

     

Seadme sideportid (seadmeühenduste jaoks)

Port 502/TCP (Modbus TCP)

  • Seadme-Ekip Connect suhtlus Etherneti kaudu
  • KAHESUUNALINE (seade saab tagasi ühenduda)
  • Krüpteerimata protokoll (võrgu segmenteerimine vajalik)
  • Lubatakse ainult seadmevõrkudes (mitte internetiühenduses)
  • Tulemüür peaks piirama selle pordi ainult volitatud seadmetele

    Ohu leevendamine: Volitamata seadmete suhtlus ja parameetrite manipuleerimine; Mässulised seadmed, mis ühenduvad haldusliidesega; Pealtkuulamine krüpteerimata seadmeliiklusele (mida leevendab võrgusegmentatsioon); Teenusetõkestusrünnakud volitamata võrgusegmentidest

Port 69/UDP (TFTP - Triviaalne failiedastusprotokoll)

  • Püsivara allalaadimine ja seadme provisioneerimine
  • KAHEPOOLNE kommunikatsioon
  • Krüpteerimata (kasutatakse ainult isoleeritud võrkudes)
  • Vajalik on ainult püsivara uuenduste ajal
  • Saab välja lülitada väljaspool hooldusakendeid

    Ohu leevendamine: Volitamata püsivara allalaadimine ja juurutamine; Pahatahtliku püsivara süstimine TFTP Man-in-the-middle rünnakute kaudu püsivara ülekandele (mida leevendab võrguisolatsioon); Volitamata seadme provisioneerimine; Pealtkuulamine krüpteerimata püsivara ülekannetes

 

Märkus: kui seade seadistab ABB Ability EM & AM-i™, veendu, et su tulemüür oleks õigesti seadistatud vastavalt ülaltoodud aktiivsetele portidele. Kui tekivad suhtlusprobleemid, proovi tulemüür ajutiselt keelata ja lubada see uuesti Provisioning protsessi lõpus.

 

Lisateabe saamiseks Modbusi turvajuhiste ja ohutusteabe kohta klõpsake siia.