Kyberturvallisuuden käyttöönoton ohjeet

This article has been translated automatically. See the original version.

Asennus- ja käyttöönottoturvallisuus
Ennen kuin yhdistät Ekip Connect:n mihinkään verkkoon tai laitteisiin,jotta voit minimoida tietoturvaloukkauksien ja haittaohjelmien riskin, noudata tätä tietoturvatarkistuslistaa:

1. Käyttöjärjestelmä

  • Ota käyttöön Windows 11:llä uusimmilla tietoturvapäivityksillä (vähintään: Windows 10, virallinen tuki päättyy tammikuussa 2027)

    Uhkien lievennys: Tunnetut käyttöjärjestelmän haavoittuvuudet, korjaamattomia tietoturvahaavoittuvuudet ja järjestelmätason etuoikeusnostohyökkäykset.

  • Ota Secure Boot käyttöön BIOSissa (pakollinen Windows 11:ssä)

    Uhkien lieventäminen: Bootkit-hyökkäykset, luvaton käynnistyskoodin suorittaminen ja käynnistysprosessin manipulointi

2. Työaseman turvallisuus

  • Rajoita fyysistä pääsyä Ekip Connect -työasemiin.

    Uhkien hallinta: Fyysinen manipulointi, luvaton laitteiden käyttö ja suora laitteiston manipulointi.

  • Ota käyttöön koko levyn salaus (BitLocker tai vastaava)

    Uhan lieventäminen: Datan poissaolo, jos työasema varastetaan tai fyysisesti vaarantetaan; luvaton pääsy arkaluontoisiin tallennettuihin tietoihin.

  • Poista automaattinen kirjautuminen käytöstä; Määritä salasanasuojattu kirjautuminen

    Uhan lieventäminen: Luvaton pääsy uhkatoimijoilta, joilla on fyysinen pääsy tai jotka pääsevät lukitsemattomaan työasemaan.

  • Automaattinen näytön lukitus (suositellaan 15 minuuttia)

    Uhkien lieventäminen: Luvaton pääsy EkipConnect-sovellukseen ja yhdistettyihin järjestelmiin käyttäjän poissa ollessa

  • Ota Windows-palomuuri käyttöön oletuksena estävällä sisääntulevalla säännöllä

    Uhkien hallinta: Luvaton verkkoyhteys, ei-toivottu saapuva liikenne sekä haittaohjelmien komento- ja ohjausviestintä.

3. Ohjelmistosuojaus

  • Asenna virustorjunta- ja haittaohjelmatorjuntaohjelmisto

    Uhkien hallinta: Haittaohjelmatartunta, troijalaisen suoritus ja työasemalla toimiva haitallinen koodi.

  • Säädä reaaliaikainen Scanning ja päivittäiset täydet skannaukset.

    Uhkien lieventäminen: haittaohjelmien reaaliaikainen havaitseminen ja estäminen; lepotilassa olevien tai äskettäin käyttöön otettujen uhkien tunnistaminen.

  • Ota automaattiset virustorjunnan määrittelypäivitykset käyttöön

    Uhan lieventäminen: Virustorjunnan havaitsemisen välttäminen uusilla tai äskettäin löydetyillä haittaohjelmaversioilla.

4. Käyttäjän tunnistautuminen

  • Kaikkien käyttäjien täytyy tunnistautua MyABB:n kautta (jos ABB-kannettava)

    Uhan lieventäminen: Luvaton pääsy EkipConnectiin tunnistamattomilta tai henkilönä olemattomilta käyttäjiltä.

  • Valvo vahvoja salasanoja (vähintään 8 merkkiä, 3 merkkityyppiä)

    Uhkien lieventäminen: Brute force -hyökkäykset, sanakirjahyökkäykset ja salasanojen arvailu uhkatoimijoiden toimesta.

  • Ota käyttöön monivaiheinen tunnistautuminen (MFA) MyABB:lle

    Uhkien hallinta: Tilin haltuunotto ja luvaton pääsy, vaikka käyttäjätunnukset olisi vaarantunut tai varastettu

  • Poista samanaikaiset istunnot käytöstä samalta käyttäjätililtä

    Uhan lieventäminen: Luvaton pääsy varastettujen tai vaarannettujen tunnojen avulla eri työasemalla tai laitteella.

5. Verkon konfiguraatio

  •  Ota käyttöön omistettu hallintaverkkosegmentti (erillinen VLAN)

    Uhkien lieventäminen: Hyökkääjien sivuttaisliike vaarantuneista yritysjärjestelmistä; luvaton pääsy kriittisiin hallintatoimintoihin.

  • Määritä palomuuri sallimaan vain vaaditut lähtevät portit:

      • Portti 443/TCP (HTTPS-pilviyhteys)

      • Portti 53/UDP (DNS)

      • Portti 123/UDP (NTP)

    Uhkien hallinta: Luvaton ulospäin suuntautuva viestintä, haittaohjelmien komento- ja ohjauskutsut takaisin sekä tietojen salakuljetus hyökkääjän infrastruktuuriin.

  • Eristä laiteverkot yritysverkoista (palomuuri vaaditaan)

    Uhkien hallinta: Sivuttaisliike yritys- ja kriittisissä laiteverkoissa; luvaton pääsy turvallisuuskriittisiin laitteisiin.

6. Automaattiset päivitykset

  • Ota automaattiset Windows-päivitykset käyttöön

    Uhkien hallinta: Tunnetut käyttöjärjestelmän haavoittuvuudet ja järjestelmätason tietoturvapäivitykset otetaan käyttöön ajallaan.

  • Määritä virustorjunta automaattisesti päivittämään määritelmät

    Uhkien lieventäminen: Uusien haittaohjelmavarianttien ja nollapäivän haittaohjelmauhkien havaitsemisen välttely.

7. Alkuperäinen vahvistus

  • Varmista, että Secure Boot on aktiivinen
  • Varmista, että Windowsin palomuuri on käytössä
  •  Varmista, että virustorjunta toimii ja päivitetään.

    Uhkien lieventäminen: Konfiguraatiovirheet, epäonnistuneet turvallisuuskontrollit ja pakollisten turvallisuusperusteiden puutteellinen käyttöönotto.

     

Palomuurin konfiguraatio ja turvallisuus

Ekip Connect käyttää erityisiä portteja erilaisiin viestintätyyppeihin. Oikea palomuurin konfiguraatio on välttämätöntä turvallisuuden kannalta.

 

Pakolliset portit (vaaditaan pilviominaisuuksille)

Portti 443/TCP (HTTPS - Pilviyhteys)

  • ABB ELSP Digital Manager API
  • ABB Ability Platform -yhteys
  • Laiteohjelmistokirjaston käyttöoikeus
  • Päivitykset ja päivitykset latautuvat
  • Täytyy olla PÄÄLLÄ pilviominaisuuksia varten
  • AINA salattu (TLS 1.2 tai uudempi)

    Uhkien hallinta: Man-in-the-middle (MITM) -hyökkäykset pilviviestintään (lievennetty TLS-salauksella); Luvaton pääsy pilvirajapintoihin ja laiteohjelmistokirjastoihin; Laiteohjelmistopäivitysten ja tietoturvapäivitysten sieppaus

Portti 53/UDP (DNS - Verkkotunnuksen resoluutio)

  • Tarvitaan ABB:n pilvipäätepisteiden ratkaisemiseen
  • Se täytyy olla PÄÄLLÄ kaikissa pilviyhteyksissä
  • Ei salausta (tavallinen DNS-protokolla)
  • Suosittelen luotettavien DNS-palvelimien käyttöä

    Uhkien lieventäminen: DNS-huijaushyökkäyksiä, jotka ohjaavat EkipConnectin haitallisiin pilvipäätelaitteisiin; DNS-välimuistin myrkytys; Pilviyhteyksien luvaton uudelleenohjaus

     

Suositellut portit (erittäin suositeltava)

Portti 123/UDP (NTP - Aikasynkronointi)

  • Network Time Protocol järjestelmän kellon tarkkuuden varmistamiseksi
  • Tärkeää lokin aikaleiman tarkkuuden ja turvallisuuden kannalta
  • Erittäin suositeltavaa, mutta ei ehdottomasti pakollista
  • Ota käyttöön, jos verkkokonfiguraatio sallii

    Uhan lieventäminen: Lokikirja aikaleiman manipulointi ja manipulointi; Kellon vino-hyökkäykset, jotka mitätöivät aikaperusteiset turvallisuuskontrollit; Epätarkka tarkastusjälki ja tapahtumien rekonstruointi

     

Laiteviestintäportit (laiteyhteyksiä varten)

Portti 502/TCP (Modbus TCP)

  • Laite-Ekip Connect -viestintä Ethernetin kautta
  • KAKSISUUNTAINEN (laite voi yhdistää takaisin)
  • Salaamaton protokolla (verkon segmentointi vaaditaan)
  • Ota käyttöön vain laiteverkoissa (ei internet-yhteydessä)
  • Palomuurin tulisi rajoittaa tämä portti vain valtuutetuille laitteille

    Uhkien lieventäminen: Luvaton laiteviestintä ja parametrien käsittely; Rogue-laitteet, jotka yhdistyvät hallintarajapintaan; salakuuntelu salaamattoman laiteliikenteen osalta (verkon segmentointi hillitsi); Palvelunestohyökkäykset luvattomista verkkosegmenteistä

Portti 69/UDP (TFTP - Trivial File Transfer Protocol)

  • Laiteohjelmiston lataus ja laitteen proquestointi
  • KAKSISUUNTAINEN viestintä
  • Salaamaton (käytetään vain eristetyissä verkoissa)
  • Vaaditaan vain laiteohjelmistopäivitysten aikana
  • Sen voi poistaa käytöstä huolto-ikkunoiden ulkopuolella

    Uhan lieventäminen: Luvaton laiteohjelmiston lataus ja käyttöönotto; Haitallinen laiteohjelmiston injektiointi TFTP:n Man-in-the-middle -hyökkäyksillä laiteohjelmiston siirtoon (verkon eristämällä); Luvaton laitteiden provisiointi; Salaamattomien laiteohjelmistonsiirtojen salakuuntelu

 

Huomautus: kun laite proportoidaan ABB Ability EM™ & AM:ään, varmista, että palomuurisi on oikein konfiguroitu yllä mainittujen aktiivisten porttien mukaisesti. Jos viestintäongelmia ilmenee, yritä tilapäisesti poistaa palomuuri käytöstä ja ottaa se uudelleen käyttöön proquestin lopussa.

 

Lisätietoja Modbus-turvallisuusohjeista ja turvallisuustiedoista saat klikkaamalla tästä.