Kiberbiztonsági telepítési irányelvek

This article has been translated automatically. See the original version.

Telepítés és üzembe helyezés biztonsága
Mielőtt az Ekip Connect-et bármilyen hálózathoz vagy eszközhöz csatlakoztatnád, hogyminimalizáljuk a biztonsági incidensek és kártevők kockázatát, kövesse ezt a biztonsági ellenőrzőlistát:

1. Operációs rendszer

  • Telepítsd Windows 11-en a legújabb biztonsági javításokkal (minimum: Windows 10, a hivatalos támogatás vége 2027 januárjában)

    Fenyegetésmérsékelés: Ismert operációs rendszer sebezhetőségek, javítatlan biztonsági kihasználások és rendszerszintű jogosultságnövelő támadások.

  • Engedélyezd a Secure Bootot a BIOS-ban (kötelező Windows 11-hez)

    Fenyegetésmentesített: Bootkit támadások, jogosulatlan boot-szintű kód végrehajtása és a boot folyamat manipulálása

2. Munkaállomás biztonsága

  • Korlátozza a fizikai hozzáférést az Ekip Connect munkaállomásokhoz

    Fenyegetés mérsékelése: Fizikai manipuláció, jogosulatlan eszköz-hozzáférés és közvetlen hardvermanipuláció.

  • Teljes lemeztitkosítás engedélyezése (BitLocker vagy annak megfelelője)

    Fenyegetés mérsékelése: Adatkimentés, ha a munkaállomást ellopják vagy fizikailag kompromittálják; jogosulatlan hozzáférés érzékeny tárolt adatokhoz.

  • Kapcsold ki az autobejelentkezést; Jelszóval védett bejelentkezés konfigurálása

    Fenyegetés mérsékelése: Engedély nélküli hozzáférés olyan fenyegető szereplők részéről, akik fizikai hozzáféréssel rendelkeznek, vagy akik hozzáférnek egy felolt munkaállomáshoz.

  • Automatikus képernyőzárolás konfigurálása (15 perc ajánlott)

    Fenyegetéscsökkentett: Engedély nélküli hozzáférés az EkipConnect alkalmazáshoz és a kapcsolódó rendszerekhez a felhasználó távollétében

  • Engedélyezd a Windows tűzfalat alapértelmezett elutasító bejövő szabályokkal.

    Fenyegetéscsökkentés: Jogosulatlan hálózati hozzáférés, kéretlen bejövő forgalom és rosszindulatú szoftver parancs-irányítási kommunikáció.

3. Szoftvervédelem

  • Telepíts antivirus + antimalware szoftvert

    Fenyegetéscsökkentés: Kártevő fertőzés, trójai végrehajtás és rosszindulatú kód fut a munkaállomáson.

  • Állítsd be a valós idejű Scanning és a napi teljes szkenneléseket.

    Fenyegetéscsökkentett: Valós idejű kártevő végrehajtás felismerése és megelőzése; szunnyadó vagy nemrég bevezetett fenyegetések azonosítása.

  • Automatikus antivírus-definíciós frissítések engedélyezése

    Fenyegetés mérsékelése: Új vagy nemrég felfedezett kártevő változatok kikerülik az antivírus-észlelést.

4. Felhasználói hitelesítés

  • Minden felhasználónak hitelesítést kell a MyABB-n keresztül (ha ABB laptop esetén)

    Fenyegetéscsökkentés: Engedély nélküli hozzáférés az EkipConnecthez hitelesítetlen vagy beazonosított felhasználók részéről.

  • Erős jelszavakat kényszerítsd (minimum 8 karakter, 3 karaktertípus)

    Fenyegetés mérsékelése: Brute force támadások, szótártámadások és jelszótalálgatás fenyegető szereplők részéről.

  • Engedélyezze a többfaktoros hitelesítést (MFA) MyABB számára

    Fenyegetéscsökkentett: Fiókfoglalás és jogosulatlan hozzáférés, még akkor is, ha a felhasználói igazolványokat kompromittálják vagy ellopják

  • Kapcsold ki az egyidejű üléseket ugyanabból a felhasználói fiókból

    Fenyegetéscsökkentés: Jogosulatlan hozzáférés ellopott vagy kompromitált igazolványokkal egy másik munkaállomáson vagy eszközön.

5. Hálózati konfiguráció

  •  Telepítés dedikált menedzsment hálózati szegmensben (külön VLAN)

    Fenyegetésmérsékelés: A támadók oldalirányú mozgása kompromittált vállalati rendszerekről; jogosulatlan hozzáférés kritikus menedzsment funkciókhoz.

  • Konfiguráld be a tűzfalat úgy, hogy csak a szükséges kimenő portokat engedélyezze:

      • 443/TCP port (HTTPS felhőkapcsolat)

      • 53-as port/UDP (DNS)

      • 123-as port/UDP (NTP)

    Fenyegetéscsökkentett: Engedély nélküli kimenő kommunikáció, kárindulatú parancs-kontroll visszahívások, valamint adatkimentés a támadó infrastruktúrához.

  • Az eszközhálózatok izolálása a vállalati hálózatoktól (tűzfal szükséges)

    Fenyegetésmérsékelés: Oldalirányú mozgás vállalati és kritikus eszközhálózatok között; jogosulatlan hozzáférés biztonsági kritikus eszközökhöz.

6. Automatikus frissítések

  • Automatikus Windows frissítések engedélyezése

    Fenyegetéscsökkentés: Az ismert operációs rendszer sebezhetőségeit és rendszerszintű biztonsági javításokat időben telepítik.

  • Állítsd be az antiró definíciókat automatikusan frissíteni

    Fenyegetés mérsékelése: Észlelés elkerülése új kártevő változatok és zero-day kártevő fenyegetések által.

7. Kezdeti ellenőrzés

  • Ellenőrizd, hogy a biztonságos boot aktív-e
  • Ellenőrizd, hogy a Windows tűzfal engedélyezve van-e
  •  Ellenőrizd, hogy az antivírus fut és frissített van-e

    Fenyegetéscsökkentett: Konfigurációs hibák, kihagyott biztonsági ellenőrzések és a kötelező biztonsági alapvonalak hiányos beépítése.

     

Tűzfal konfiguráció és biztonság

Az Ekip Connect speciális portokat használ különböző kommunikációs típusokhoz. A megfelelő tűzfal konfigurációja elengedhetetlen a biztonság érdekében.

 

Kötelező portok (felhőfunkciókhoz kötelező)

443/TCP port (HTTPS - Felhőkapcsolat)

  • ABB ELSP Digital Manager API
  • ABB Ability Platform kapcsolat
  • Firmware könyvtár hozzáférés
  • Frissítések és javítások letöltése
  • Felhőfunkciókhoz BE kell kapcsolni
  • MINDIG titkosított (TLS 1.2 vagy annál magasabb)

    Fenyegetéscsökkentés: Középen belüli ember-támadások (MITM) a felhőkommunikáció ellen (TLS titkosítással mérsékelve); Engedély nélküli hozzáférés felhőalapú API-khoz és firmware könyvtárakhoz; Firmware frissítések és biztonsági javítások elfogása

53-as port/UDP (DNS - Domain Name Resolution)

  • Szükséges az ABB felhővégpontok megoldásához
  • Bármely felhőkapcsolathoz BE kell kapcsolni
  • Nincs titkosítás (szabványos DNS protokoll)
  • Ajánlom megbízható DNS szerverek használatát

    Fenyegetéscsökkentett: DNS hamisítási támadások, amelyek az EkipConnectet rosszindulatú felhővégpontokra irányítják; DNS gyorsítótár mérgezése; Felhőkapcsolat jogosulatlan átirányítása

     

Ajánlott portok (erősen ajánlottak)

123/UDP port (NTP - Időszinkronizáció)

  • Network Time Protocol a rendszer órajel pontosságához
  • Fontos a napló időbélyegének pontossága és biztonsága szempontjából
  • Nagyon ajánlott, de nem szigorúan kötelező
  • Kapcsold be, ha a hálózati konfiguráció engedi

    Fenyegetés mérsékelése: napló időbélyegének manipulálása és manipulációja; Óratorzítású támadások, amelyek érvénytelenítik az időalapú biztonsági ellenőrzéseket; Pontatlan audit nyomkövetés és incidens rekonstrukció

     

Eszközkommunikációs portok (eszközkapcsolatokhoz)

Port 502/TCP (Modbus TCP)

  • Eszköz-Ekip Connect kommunikáció Etherneten keresztül
  • KÉTIRÁNYÚ (az eszköz visszacsatlakozhat)
  • Titkosítatlan protokoll (hálózati szegmentálás szükséges)
  • Csak az eszközhálózatokon engedélyezve (nem internetkapcsolat)
  • A tűzfalnak ezt a portot csak engedélyezett eszközökre kell korlátoznia

    Fenyegetés mérsékelése: Engedély nélküli eszközkommunikáció és paramétermanipuláció; A kezelőfelülethez csatlakozó rogue eszközök; Titkosítatlan eszközforgalom lehallgatása (hálózati szegmentációval mérsékelve); Szolgáltatásmegtagadási támadások jogosulatlan hálózati szegmensekből

69/UDP port (TFTP - Trivial fájlátviteli protokoll)

  • Firmware letöltés és eszköz provisionálás
  • KÉTIRÁNYÚ kommunikáció
  • Titkosítatlan (csak elszigetelt hálózatokon használat)
  • Csak firmware frissítés közben kell
  • A karbantartási ablakokon kívül ki lehet tiltani

    Fenyegetés mérsékelése: Engedély nélküli firmware letöltés és telepítés; Rosszindulatú firmware befecskendezés TFTP-n keresztül, Man-in-the-middle támadások firmware-átvitel ellen (hálózati izolációval mérsékelve); Engedély nélküli eszköz biztosítás; Titkosítatlan firmware-átvitelek lehallgatása

 

Megjegyzés: miközben az eszköz előállítása az ABB Ability™ EM & AM-be zajlik, győződj meg róla, hogy a tűzfal megfelelően be van állítva, a fent említett aktív portok szerint. Ha kommunikációs problémák merülnek fel, próbáld meg ideiglenesen letiltani a tűzfalat, és a Provisioning végén újra engedélyezni.

 

További részletekért a Modbus biztonsági telepítési irányelveiről és biztonsági információkért kérjük , kattintson ide.