Sécurité de l’installation et de la mise en service
Avant de connecter Ekip Connect à un réseau ou à un appareil afinde minimiser le risque de failles de sécurité et de malwares, suivez cette liste de contrôle :
1. Système d’exploitation
Menace atténuée : vulnérabilités connues du système d’exploitation, exploits de sécurité non corrigés et attaques d’escalade de privilèges au niveau système.
Menace atténuée : attaques du bootkit, exécution non autorisée de code au niveau de démarrage et altération du processus de démarrage
2. Sécurité des postes de travail
Restreindre l’accès physique aux postes de travail Ekip Connect
Menace atténuée : Falsification physique, accès non autorisé aux appareils et manipulation directe du matériel.
Activez le chiffrement complet du disque (BitLocker ou équivalent)
Menace atténuée : Exfiltration de données si la station de travail est volée ou physiquement compromise ; accès non autorisé aux données sensibles stockées.
Désactiver la connexion automatique ; Configurer la connexion protégée par mot de passe
Menace atténuée : Accès non autorisé par des acteurs malveillants ayant un accès physique ou ayant accès à un poste de travail déverrouillé.
Configurez le verrouillage automatique de l’écran (15 minutes recommandées)
Menace atténuée : Accès non autorisé à l’application EkipConnect et aux systèmes connectés en absence d’utilisateur
Activer le pare-feu Windows avec les règles par défaut de refus entrant
Menace atténuée : Accès réseau non autorisé, trafic entrant non sollicité et communication par commande et contrôle par logiciel malveillant.
3. Protection logicielle
Installer un logiciel antivirus + antimalware
Menace atténuée : Infection par malware, exécution de chevaux de Troie et code malveillant fonctionnant sur la station de travail.
Configurez le Scanning en temps réel et les scans complets quotidiens.
Menace atténuée : détection et prévention en temps réel de l’exécution de logiciels malveillants ; identification des menaces dormantes ou récemment introduites.
Activer les mises à jour automatiques des définitions antivirus
Menace atténuée : Évitement de la détection antivirus par des variantes de malwares nouvelles ou récemment découvertes.
4. Authentification utilisateur
Tous les utilisateurs doivent s’authentifier via MyABB (si l’ordinateur portable est ABB)
Menace atténuée : Accès non autorisé à EkipConnect par des utilisateurs non authentifiés ou usurpés d’identité.
Imposer des mots de passe forts (minimum 8 caractères, 3 types de caractères)
Menace atténuée : attaques par force brute, attaques de dictionnaire et devinette de mot de passe par les acteurs malveillants.
Activer l’authentification multifacteur (MFA) pour MyABB
Menace atténuée : prise de contrôle de compte et accès non autorisé même si les identifiants utilisateurs sont compromis ou volés
Désactivez les sessions concurrentes depuis le même compte utilisateur
Menace atténuée : Accès non autorisé utilisant des identifiants volés ou compromis sur un autre poste de travail ou appareil.
5. Configuration du réseau
Déploiement sur un segment de réseau de gestion dédié (VLAN séparé)
Menace atténuée : déplacement latéral des attaquants depuis des systèmes d’entreprise compromis ; accès non autorisé aux fonctions de gestion critiques.
• Port 443/TCP (connectivité cloud HTTPS)
• Port 53/UDP (DNS)
• Port 123/UDP (NTP)
Menace atténuée : Communication sortante non autorisée, rappels de commandes et contrôle de logiciels malveillants, et exfiltration de données vers l’infrastructure des attaquants.
Isoler les réseaux d’appareils des réseaux d’entreprise (pare-feu requis)
Menace atténuée : déplacement latéral entre réseaux d’appareils d’entreprise et critiques ; accès non autorisé à des dispositifs critiques pour la sécurité.
6. Mises à jour automatiques
Activer les mises à jour automatiques de Windows
Réduction des menaces : Les vulnérabilités connues du système d’exploitation et les correctifs de sécurité au niveau système sont déployés en temps voulu.
Configurez l’antivirus pour mettre à jour automatiquement les définitions
Menace atténuée : Détection d’évasion par de nouvelles variantes de malwares et menaces de malwares zero-day.
7. Vérification initiale
Vérifiez que l’antivirus fonctionne et est mis à jour
Menace atténuée : Erreurs de configuration, manquements de contrôles de sécurité et déploiement incomplet des bases de sécurité obligatoires.
Configuration et sécurité du pare-feu
Ekip Connect utilise des ports spécifiques pour différents types de communication. Une configuration correcte du pare-feu est essentielle pour la sécurité.
Ports obligatoires (nécessaires pour les fonctionnalités cloud)
Port 443/TCP (HTTPS - Connectivité cloud)
TOUJOURS chiffré (TLS 1.2 ou supérieur)
Menace atténuée : attaques Man-in-the-middle (MITM) sur la communication cloud (atténuées par le chiffrement TLS) ; Accès non autorisé aux API cloud et aux bibliothèques de firmwares ; Interception des mises à jour du firmware et des correctifs de sécurité
Port 53/UDP (DNS - Résolution des noms de domaine)
Je recommande d’utiliser des serveurs DNS de confiance
Menace atténuée : attaques de spoofing DNS qui redirigent EkipConnect vers des points de terminaison cloud malveillants ; empoisonnement du cache DNS ; Redirection non autorisée de la connectivité cloud
Ports recommandés (fortement recommandés)
Port 123/UDP (NTP - Synchronisation temporelle)
Activer si la configuration réseau le permet
Menace atténuée : manipulation et falsification temporelle des journaux ; Les attaques de décalage horloge qui invalident les contrôles de sécurité basés sur le temps ; Trace d’audit inexacte et reconstruction des incidents
Ports de communication des appareils (pour les connexions des périphériques)
Port 502/TCP (Modbus TCP)
Le pare-feu devrait restreindre ce port uniquement aux appareils autorisés
Menace atténuée : communication non autorisée des appareils et manipulation des paramètres ; Des appareils malveillants se connectant à l’interface de gestion ; L’écoute clandestine du trafic de dispositifs non chiffré (atténué par la segmentation réseau) ; Attaques par déni de service provenant de segments réseau non autorisés
Port 69/UDP (TFTP - Trivial File Transfer Protocol)
Peut être désactivé en dehors des fenêtres de maintenance
Menace atténuée : téléchargement et déploiement non autorisés du firmware ; Injection malveillante de firmware via des attaques Man-in-the-middle TFTP sur le transfert de firmware (atténuées par l’isolement réseau) ; Provisionnement non autorisé de dispositifs ; Écoute clandestine de transferts de firmware non chiffrés
Note : pendant que le provisionnement des appareils est intégré à ABB Ability™ EM & AM, assurez-vous que votre pare-feu est correctement configuré, selon les ports actifs mentionnés ci-dessus. Si des problèmes de communication surviennent, essayez de désactiver temporairement votre pare-feu, en le réactivant à la fin du processus de provisionnement.
Pour plus de détails sur les directives de déploiement de sécurité Modbus et les informations sur la sécurité, veuillez cliquer ici.