Smjernice za implementaciju kibernetičke sigurnosti

This article has been translated automatically. See the original version.

Sigurnost instalacije i puštanja u rad
Prije nego što povežete Ekip Connect na bilo koju mrežu ili uređaje, kako bistesmanjili rizik od sigurnosnih proboja i zlonamjernog softvera, slijedite ovaj sigurnosni popis:

1. Operativni sustav

  • Implementirajte na Windows 11 s najnovijim sigurnosnim zakrpama (minimalno: Windows 10, kraj službene podrške siječanj 2027.)

    Ublažene prijetnje: Poznate ranjivosti operativnog sustava, neispravljene sigurnosne propuste i napadi eskalacije privilegija na razini sustava.

  • Omogući Secure Boot u BIOS-u (obavezno za Windows 11)

    Ublažavanje prijetnji: Napadi bootkitovima, neovlašteno izvršavanje koda na razini pokretanja i manipulacija procesom pokretanja

2. Sigurnost radnih stanica

  • Ograničite fizički pristup Ekip Connect radnim stanicama

    Ublažavanje prijetnji: Fizičko miješanje, neovlašteni pristup uređajima i izravna manipulacija hardverom.

  • Omogućite potpunu enkripciju diska (BitLocker ili ekvivalent)

    Prijetnja ublažena: Izvlačenje podataka ako je radna stanica ukradena ili fizički kompromitirana; neovlašteni pristup osjetljivim pohranjenim podacima.

  • Onemogući autologin; Konfigurirajte prijavu zaštićenu lozinkom

    Prijetnja ublažena: Neovlašteni pristup od strane prijetnji s fizičkim pristupom ili onih koji dobiju pristup otključanoj radnoj stanici.

  • Konfigurirajte automatsko zaključavanje zaslona (preporučuje se 15 minuta)

    Prijetnja ublažena: Neovlašteni pristup aplikaciji EkipConnect i povezanim sustavima tijekom odsutnosti korisnika

  • Omogućite Windows Firewall s pravilima za dolazne uskraćivanja po defaultu

    Prijetnja ublažena: Neovlašteni pristup mreži, neželjeni dolazni promet i komunikacija naredbama i kontrolama zlonamjernog softvera.

3. Zaštita softvera

  • Instaliraj antivirus + antimalware softver

    Prijetnja ublažena: Infekcija zlonamjernim softverom, izvršavanje trojanaca i zlonamjerni kod koji se pokreće na radnoj stanici.

  • Konfigurirajte Scanning u stvarnom vremenu i dnevna potpuna skeniranja.

    Ublažavanje prijetnji: Otkrivanje i sprječavanje izvršenja zlonamjernog softvera u stvarnom vremenu; identifikacija uspavanih ili nedavno uvedenih prijetnji.

  • Omogućite automatska ažuriranja definicije antivirusa

    Ublažavanje prijetnji: Izbjegavanje antivirusne detekcije od strane novih ili nedavno otkrivenih varijanti zlonamjernog softvera.

4. Autentifikacija korisnika

  • Svi korisnici moraju se autentificirati putem MyABB-a (ako je ABB laptop)

    Prijetnja ublažena: Neovlašteni pristup EkipConnectu od strane neautentificiranih ili lažno lažnih korisnika.

  • Provedite jake lozinke (minimalno 8 znakova, 3 vrste znakova)

    Ublažavanje prijetnji: Brute force napadi, napadi rječnicima i pogađanje lozinki od strane aktera prijetnji.

  • Omogućite višefaktorsku autentifikaciju (MFA) za MyABB

    Prijetnja ublažena: preuzimanje računa i neovlašteni pristup čak i ako su korisničke vjerodajnice kompromitirane ili ukradene

  • Onemogućite istovremene sesije s istog korisničkog računa

    Prijetnja ublažena: Neovlašteni pristup korištenjem ukradenih ili kompromitiranih vjerodajnica na drugoj radnoj stanici ili uređaju.

5. Konfiguracija mreže

  •  Implementacija na namjenskom segmentu upravljačke mreže (zaseban VLAN)

    Prijetnja ublažena: Lateralno kretanje napadača iz kompromitiranih poslovnih sustava; neovlašteni pristup kritičnim upravljačkim funkcijama.

  • Konfigurirajte firewall da dopušta samo potrebne izlazne portove:

      • Port 443/TCP (HTTPS povezivanje u oblaku)

      • Port 53/UDP (DNS)

      • Port 123/UDP (NTP)

    Ublažavanje prijetnji: Neovlaštena odlazna komunikacija, povratni pozivi za naredbu i kontrolu zlonamjernog softvera te eksfiltracija podataka u infrastrukturu napadača.

  • Izolirajte mreže uređaja od poslovnih mreža (potreban vatrozid)

    Ublažavanje prijetnji: Bočno kretanje između poslovnih i kritičnih mreža uređaja; neovlašteni pristup sigurnosno kritičnim uređajima.

6. Automatska ažuriranja

  • Omogući automatska Windows ažuriranja

    Ublažavanje prijetnji: Poznate ranjivosti operativnih sustava i sigurnosne zakrpe na razini sustava implementiraju se pravovremeno.

  • Konfigurirajte antivirus da automatski ažurira definicije

    Prijetnja ublažena: Izbjegavanje detekcije novim varijantama zlonamjernog softvera i prijetnjama zero-day zlonamjernim softverom.

7. Početna verifikacija

  • Provjeri je li Secure Boot aktivan
  • Provjerite je li Windows vatrozid omogućen
  •  Provjerite radi li antivirus i je li ažuriran

    Ublažavanje prijetnji: Konfiguracijske pogreške, propuštene sigurnosne kontrole i nepotpuna implementacija obaveznih sigurnosnih osnova.

     

Konfiguracija vatrozida i sigurnost

Ekip Connect koristi specifične portove za različite vrste komunikacije. Pravilna konfiguracija vatrozida ključna je za sigurnost.

 

Obavezni portovi (obavezni za cloud značajke)

Port 443/TCP (HTTPS - Cloud Connectivity)

  • ABB ELSP Digital Manager API
  • Povezivanje ABB Ability platforme
  • Pristup bibliotekama firmwarea
  • Ažuriranja i zakrpe za preuzimanje
  • Mora biti OMOGUĆENO za cloud značajke
  • UVIJEK šifrirano (TLS 1.2 ili novije)

    Ublažavanje prijetnji: Man-in-the-middle (MITM) napadi na komunikaciju u oblaku (ublaženi TLS enkripcijom); Neovlašteni pristup cloud API-jima i bibliotekama firmvera; Presretanje ažuriranja firmvera i sigurnosnih zakrpa

Port 53/UDP (DNS - Rješenje domena)

  • Potrebno za rješavanje ABB cloud endpointa
  • Mora biti OMOGUĆENO za svaku cloud povezanost
  • Nema enkripcije (standardni DNS protokol)
  • Preporučujem korištenje pouzdanih DNS poslužitelja

    Prijetnja ublažena: DNS lažni napadi koji preusmjeravaju EkipConnect na zlonamjerne cloud krajnje točke; Trovanje DNS cachea; Neovlašteno preusmjeravanje povezivosti u oblaku

     

Preporučeni portovi (Toplo preporučeni)

Port 123/UDP (NTP - sinkronizacija vremena)

  • Mrežni vremenski protokol za točnost sustavnog sata
  • Važno za točnost i sigurnost vremenskih oznaka zapisa
  • Toplo preporučujem, ali nije strogo obavezno
  • Omogući ako mrežna konfiguracija to dopušta

    Ublažavanje prijetnji: Bilježenje manipulacije vremenskim oznakama; Napadi pomaka sata koji poništavaju sigurnosne kontrole temeljene na vremenu; Netočna revizijska evidencija i rekonstrukcija incidenata

     

Komunikacijski portovi uređaja (za povezivanje uređaja)

Port 502/TCP (Modbus TCP)

  • Komunikacija uređaj-Ekip Connect putem Ethernet-a
  • BIDIRECTIONAL (uređaj se može ponovno spojiti)
  • Nešifrirani protokol (potrebna segmentacija mreže)
  • Omogući samo mreže na uređaju (ne na internetu)
  • Firewall bi trebao ograničiti ovaj port samo na ovlaštene uređaje

    Ublažavanje prijetnji: Neovlaštena komunikacija uređaja i manipulacija parametrima; Zlonamjerni uređaji koji se povezuju na upravljačko sučelje; Prisluškivanje nešifriranog prometa uređaja (ublaženo mrežnom segmentacijom); Napadi uskraćivanja usluge iz neovlaštenih mrežnih segmenata

Port 69/UDP (TFTP - Trivial File Transfer Protocol)

  • Preuzimanje firmwarea i provisioniranje uređaja
  • Dvosmjerna komunikacija
  • Nešifrirano (koristi se samo na izoliranim mrežama)
  • Potrebno je samo tijekom operacija ažuriranja firmwarea
  • Može se onemogućiti izvan vremenskih okvira održavanja

    Ublažavanje prijetnji: neovlašteno preuzimanje i implementacija firmwarea; Zlonamjerno ubrizgavanje firmwarea putem TFTP Man-in-the-middle napada na prijenos firmwarea (ublaženo mrežnom izolacijom); Neovlašteno provisioniranje uređaja; Prisluškivanje nešifriranih prijenosa firmvera

 

Napomena: dok uređaj Provisionira u ABB Ability™ EM i AM, provjerite je li vaš vatrozid pravilno konfiguriran, prema aktivnim portovima navedenim gore. Ako naiđete na probleme s komunikacijom, pokušajte privremeno onemogućiti firewall, a zatim ga ponovno uključiti na kraju procesa Provisioninga.

 

Za više detalja o sigurnosnim informacijama, molimo kliknite ovdje.