Paigaldus- ja kasutuselevõtu turvalisus
Enne Ekip Connect'i ühendamist mis tahes võrgu või seadmega, etvähendada turvarikkumiste ja pahavara riski, järgige seda turvakontrollnimekirja:
1. Operatsioonisüsteem
Ohtude leevendamine: teadaolevad operatsioonisüsteemi haavatavused, parandamata turvarünnakud ja süsteemitasemel privileegide eskaleerimise rünnakud.
Ohtude leevendamine: Bootkit'i rünnakud, volitamata alglaadimistaseme koodi käivitamine ja käivitusprotsessi manipuleerimine
2. Tööjaama turvalisus
Piira füüsilist ligipääsu Ekip Connect tööjaamadele
Ohu leevendamine: füüsiline manipuleerimine, volitamata seadmele ligipääs ja otsene riistvara manipuleerimine.
Luba täisketta krüpteerimine (BitLocker või samaväärne)
Oht leevendatud: andmete väljaviimine, kui tööjaam varastatakse või füüsiliselt kompromiteeritakse; volitamata juurdepääs tundlikele salvestatud andmetele.
Keela automaatne sisselogimine; Seadista parooliga kaitstud sisselogimine
Ohu leevendamine: Volitamata ligipääs ohutegijate poolt, kellel on füüsiline ligipääs või kes pääsevad ligi lukustamata tööjaamale.
Seadista automaatne ekraanilukustus (soovitatav 15 minutit)
Ohu leevendamine: Volitamata juurdepääs EkipConnect rakendusele ja ühendatud süsteemidele kasutaja puudumise ajal
Luba Windowsi tulemüür vaikimisi keelatud sissetulevate reeglitega
Ohtude leevendamine: Volitamata võrgule ligipääs, soovimatu sissetulev liiklus ja pahavara käsu- ja kontrollkommunikatsioon.
3. Tarkvarakaitse
Paigalda viirusetõrje + pahavaratõrje tarkvara
Ohu vähendamine: pahavara nakatumine, trooja käivitamine ja pahatahtlik kood, mis töötab tööjaamas.
Seadista reaalajas Scanning ja igapäevased täisskannid.
Ohu leevendamine: pahavara reaalajas tuvastamine ja ennetamine; uinunud või hiljuti tekkinud ohtude tuvastamine.
Luba automaatsed viirusetõrje definitsiooni uuendused
Oht leevendatud: viirusetõrje tuvastamise vältimine uute või hiljuti avastatud pahavara variantide poolt.
4. Kasutaja autentimine
Kõik kasutajad peavad autentima MyABB kaudu (kui ABB sülearvuti)
Ohu leevendamine: Volitamata ligipääs EkipConnectile autentimata või imiteeritud kasutajate poolt.
Rakenda tugevaid paroole (vähemalt 8 märki, 3 tähemärki)
Ohu leevendamine: jõurünnakud, sõnastiku rünnakud ja paroolide äraarvamine ohutegijate poolt.
Luba MyABB jaoks mitmefaktoriline autentimine (MFA)
Ohu leevendamine: Konto ülevõtmine ja volitamata ligipääs isegi siis, kui kasutaja mandaate on kompromiteeritud või varastatud
Keela samaaegsed sessioonid samast kasutajakontost
Ohuga maandatud: Volitamata ligipääs, kasutades varastatud või kompromiteeritud mandaate teises tööjaamas või seadmes.
5. Võrgu konfiguratsioon
Juuruta pühendatud haldusvõrgu segmendis (eraldi VLAN)
Ohu leevendamine: ründajate külgsuunaline liikumine kompromiteeritud ettevõtte süsteemidest; volitamata juurdepääs kriitilistele haldusfunktsioonidele.
• Port 443/TCP (HTTPS pilveühendus)
• Port 53/UDP (DNS)
• Port 123/UDP (NTP)
Ohuga maandatud: Volitamata väljaminev suhtlus, pahavara käskude ja kontrolli tagasikutsed ning andmete väljaviimine ründajate infrastruktuuri.
Isoleeri seadmevõrgud ettevõtte võrkudest (tulemüür vajalik)
Ohu leevendamine: Külgliikumine ettevõtte ja kriitiliste seadmete võrkude vahel; volitamata juurdepääs ohutuskriitilistele seadmetele.
6. Automaatsed uuendused
Luba automaatsed Windowsi uuendused
Ohu leevendamine: Tuntud operatsioonisüsteemi haavatavused ja süsteemitasemel turvaparandused paigaldatakse õigeaegselt.
Seadista viirusetõrje automaatselt definitsioonide uuendamiseks
Ohu leevendamine: Uute pahavara variantide ja nullpäeva pahavara ohtude tuvastamise vältimine.
7. Esialgne kontroll
Kontrolli, et viirusetõrje töötab ja uuendab
Ohuga maandatud: konfiguratsioonivead, turvakontrollide vahelejätmine ja kohustuslike turvabaaside puudulik juurutamine.
Tulemüüri konfiguratsioon ja turvalisus
Ekip Connect kasutab erinevateks sidetüüpideks spetsiifilisi porte. Õige tulemüüri konfiguratsioon on turvalisuse tagamiseks hädavajalik.
Kohustuslikud pordid (pilvefunktsioonide jaoks vajalikud)
Port 443/TCP (HTTPS - pilveühendus)
ALATI krüpteeritud (TLS 1.2 või kõrgem)
Ohu leevendamine: Man-in-the-middle (MITM) rünnakud pilvekommunikatsioonile (leevendatud TLS-krüpteerimisega); Volitamata juurdepääs pilvepõhistele API-dele ja püsivara teekidele; Püsivara uuenduste ja turvapaikade pealtkuulamine
Port 53/UDP (DNS - domeeninime lahendus)
Soovitan kasutada usaldusväärseid DNS-servereid
Ohtude leevendamine: DNS-i võltsimise rünnakud, mis suunavad EkipConnecti pahatahtlikele pilvelõpp-punktidele; DNS-vahemälu mürgistus; Pilveühenduse volitamata ümbersuunamine
Soovitatud portid (väga soovitatav)
Port 123/UDP (NTP - ajasünkroniseerimine)
Luba, kui võrgukonfiguratsioon seda lubab
Ohu leevendamine: logi ajatempli manipuleerimine ja manipuleerimine; Kella nihke rünnakud, mis tühistavad ajapõhised turvakontrollid; Ebatäpne auditeerimisjälg ja juhtumi rekonstrueerimine
Seadme sideportid (seadmeühenduste jaoks)
Port 502/TCP (Modbus TCP)
Tulemüür peaks piirama selle pordi ainult volitatud seadmetele
Ohu leevendamine: Volitamata seadmete suhtlus ja parameetrite manipuleerimine; Mässulised seadmed, mis ühenduvad haldusliidesega; Pealtkuulamine krüpteerimata seadmeliiklusele (mida leevendab võrgusegmentatsioon); Teenusetõkestusrünnakud volitamata võrgusegmentidest
Port 69/UDP (TFTP - Triviaalne failiedastusprotokoll)
Saab välja lülitada väljaspool hooldusakendeid
Ohu leevendamine: Volitamata püsivara allalaadimine ja juurutamine; Pahatahtliku püsivara süstimine TFTP Man-in-the-middle rünnakute kaudu püsivara ülekandele (mida leevendab võrguisolatsioon); Volitamata seadme provisioneerimine; Pealtkuulamine krüpteerimata püsivara ülekannetes
Märkus: kui seade seadistab ABB Ability EM & AM-i™, veendu, et su tulemüür oleks õigesti seadistatud vastavalt ülaltoodud aktiivsetele portidele. Kui tekivad suhtlusprobleemid, proovi tulemüür ajutiselt keelata ja lubada see uuesti Provisioning protsessi lõpus.
Lisateabe saamiseks Modbusi turvajuhiste ja ohutusteabe kohta klõpsake siia.