Asennus- ja käyttöönottoturvallisuus
Ennen kuin yhdistät Ekip Connect:n mihinkään verkkoon tai laitteisiin,jotta voit minimoida tietoturvaloukkauksien ja haittaohjelmien riskin, noudata tätä tietoturvatarkistuslistaa:
1. Käyttöjärjestelmä
Uhkien lievennys: Tunnetut käyttöjärjestelmän haavoittuvuudet, korjaamattomia tietoturvahaavoittuvuudet ja järjestelmätason etuoikeusnostohyökkäykset.
Uhkien lieventäminen: Bootkit-hyökkäykset, luvaton käynnistyskoodin suorittaminen ja käynnistysprosessin manipulointi
2. Työaseman turvallisuus
Rajoita fyysistä pääsyä Ekip Connect -työasemiin.
Uhkien hallinta: Fyysinen manipulointi, luvaton laitteiden käyttö ja suora laitteiston manipulointi.
Ota käyttöön koko levyn salaus (BitLocker tai vastaava)
Uhan lieventäminen: Datan poissaolo, jos työasema varastetaan tai fyysisesti vaarantetaan; luvaton pääsy arkaluontoisiin tallennettuihin tietoihin.
Poista automaattinen kirjautuminen käytöstä; Määritä salasanasuojattu kirjautuminen
Uhan lieventäminen: Luvaton pääsy uhkatoimijoilta, joilla on fyysinen pääsy tai jotka pääsevät lukitsemattomaan työasemaan.
Automaattinen näytön lukitus (suositellaan 15 minuuttia)
Uhkien lieventäminen: Luvaton pääsy EkipConnect-sovellukseen ja yhdistettyihin järjestelmiin käyttäjän poissa ollessa
Ota Windows-palomuuri käyttöön oletuksena estävällä sisääntulevalla säännöllä
Uhkien hallinta: Luvaton verkkoyhteys, ei-toivottu saapuva liikenne sekä haittaohjelmien komento- ja ohjausviestintä.
3. Ohjelmistosuojaus
Asenna virustorjunta- ja haittaohjelmatorjuntaohjelmisto
Uhkien hallinta: Haittaohjelmatartunta, troijalaisen suoritus ja työasemalla toimiva haitallinen koodi.
Säädä reaaliaikainen Scanning ja päivittäiset täydet skannaukset.
Uhkien lieventäminen: haittaohjelmien reaaliaikainen havaitseminen ja estäminen; lepotilassa olevien tai äskettäin käyttöön otettujen uhkien tunnistaminen.
Ota automaattiset virustorjunnan määrittelypäivitykset käyttöön
Uhan lieventäminen: Virustorjunnan havaitsemisen välttäminen uusilla tai äskettäin löydetyillä haittaohjelmaversioilla.
4. Käyttäjän tunnistautuminen
Kaikkien käyttäjien täytyy tunnistautua MyABB:n kautta (jos ABB-kannettava)
Uhan lieventäminen: Luvaton pääsy EkipConnectiin tunnistamattomilta tai henkilönä olemattomilta käyttäjiltä.
Valvo vahvoja salasanoja (vähintään 8 merkkiä, 3 merkkityyppiä)
Uhkien lieventäminen: Brute force -hyökkäykset, sanakirjahyökkäykset ja salasanojen arvailu uhkatoimijoiden toimesta.
Ota käyttöön monivaiheinen tunnistautuminen (MFA) MyABB:lle
Uhkien hallinta: Tilin haltuunotto ja luvaton pääsy, vaikka käyttäjätunnukset olisi vaarantunut tai varastettu
Poista samanaikaiset istunnot käytöstä samalta käyttäjätililtä
Uhan lieventäminen: Luvaton pääsy varastettujen tai vaarannettujen tunnojen avulla eri työasemalla tai laitteella.
5. Verkon konfiguraatio
Ota käyttöön omistettu hallintaverkkosegmentti (erillinen VLAN)
Uhkien lieventäminen: Hyökkääjien sivuttaisliike vaarantuneista yritysjärjestelmistä; luvaton pääsy kriittisiin hallintatoimintoihin.
• Portti 443/TCP (HTTPS-pilviyhteys)
• Portti 53/UDP (DNS)
• Portti 123/UDP (NTP)
Uhkien hallinta: Luvaton ulospäin suuntautuva viestintä, haittaohjelmien komento- ja ohjauskutsut takaisin sekä tietojen salakuljetus hyökkääjän infrastruktuuriin.
Eristä laiteverkot yritysverkoista (palomuuri vaaditaan)
Uhkien hallinta: Sivuttaisliike yritys- ja kriittisissä laiteverkoissa; luvaton pääsy turvallisuuskriittisiin laitteisiin.
6. Automaattiset päivitykset
Ota automaattiset Windows-päivitykset käyttöön
Uhkien hallinta: Tunnetut käyttöjärjestelmän haavoittuvuudet ja järjestelmätason tietoturvapäivitykset otetaan käyttöön ajallaan.
Määritä virustorjunta automaattisesti päivittämään määritelmät
Uhkien lieventäminen: Uusien haittaohjelmavarianttien ja nollapäivän haittaohjelmauhkien havaitsemisen välttely.
7. Alkuperäinen vahvistus
Varmista, että virustorjunta toimii ja päivitetään.
Uhkien lieventäminen: Konfiguraatiovirheet, epäonnistuneet turvallisuuskontrollit ja pakollisten turvallisuusperusteiden puutteellinen käyttöönotto.
Palomuurin konfiguraatio ja turvallisuus
Ekip Connect käyttää erityisiä portteja erilaisiin viestintätyyppeihin. Oikea palomuurin konfiguraatio on välttämätöntä turvallisuuden kannalta.
Pakolliset portit (vaaditaan pilviominaisuuksille)
Portti 443/TCP (HTTPS - Pilviyhteys)
AINA salattu (TLS 1.2 tai uudempi)
Uhkien hallinta: Man-in-the-middle (MITM) -hyökkäykset pilviviestintään (lievennetty TLS-salauksella); Luvaton pääsy pilvirajapintoihin ja laiteohjelmistokirjastoihin; Laiteohjelmistopäivitysten ja tietoturvapäivitysten sieppaus
Portti 53/UDP (DNS - Verkkotunnuksen resoluutio)
Suosittelen luotettavien DNS-palvelimien käyttöä
Uhkien lieventäminen: DNS-huijaushyökkäyksiä, jotka ohjaavat EkipConnectin haitallisiin pilvipäätelaitteisiin; DNS-välimuistin myrkytys; Pilviyhteyksien luvaton uudelleenohjaus
Suositellut portit (erittäin suositeltava)
Portti 123/UDP (NTP - Aikasynkronointi)
Ota käyttöön, jos verkkokonfiguraatio sallii
Uhan lieventäminen: Lokikirja aikaleiman manipulointi ja manipulointi; Kellon vino-hyökkäykset, jotka mitätöivät aikaperusteiset turvallisuuskontrollit; Epätarkka tarkastusjälki ja tapahtumien rekonstruointi
Laiteviestintäportit (laiteyhteyksiä varten)
Portti 502/TCP (Modbus TCP)
Palomuurin tulisi rajoittaa tämä portti vain valtuutetuille laitteille
Uhkien lieventäminen: Luvaton laiteviestintä ja parametrien käsittely; Rogue-laitteet, jotka yhdistyvät hallintarajapintaan; salakuuntelu salaamattoman laiteliikenteen osalta (verkon segmentointi hillitsi); Palvelunestohyökkäykset luvattomista verkkosegmenteistä
Portti 69/UDP (TFTP - Trivial File Transfer Protocol)
Sen voi poistaa käytöstä huolto-ikkunoiden ulkopuolella
Uhan lieventäminen: Luvaton laiteohjelmiston lataus ja käyttöönotto; Haitallinen laiteohjelmiston injektiointi TFTP:n Man-in-the-middle -hyökkäyksillä laiteohjelmiston siirtoon (verkon eristämällä); Luvaton laitteiden provisiointi; Salaamattomien laiteohjelmistonsiirtojen salakuuntelu
Huomautus: kun laite proportoidaan ABB Ability EM™ & AM:ään, varmista, että palomuurisi on oikein konfiguroitu yllä mainittujen aktiivisten porttien mukaisesti. Jos viestintäongelmia ilmenee, yritä tilapäisesti poistaa palomuuri käytöstä ja ottaa se uudelleen käyttöön proquestin lopussa.
Lisätietoja Modbus-turvallisuusohjeista ja turvallisuustiedoista saat klikkaamalla tästä.