Telepítés és üzembe helyezés biztonsága
Mielőtt az Ekip Connect-et bármilyen hálózathoz vagy eszközhöz csatlakoztatnád, hogyminimalizáljuk a biztonsági incidensek és kártevők kockázatát, kövesse ezt a biztonsági ellenőrzőlistát:
1. Operációs rendszer
Fenyegetésmérsékelés: Ismert operációs rendszer sebezhetőségek, javítatlan biztonsági kihasználások és rendszerszintű jogosultságnövelő támadások.
Fenyegetésmentesített: Bootkit támadások, jogosulatlan boot-szintű kód végrehajtása és a boot folyamat manipulálása
2. Munkaállomás biztonsága
Korlátozza a fizikai hozzáférést az Ekip Connect munkaállomásokhoz
Fenyegetés mérsékelése: Fizikai manipuláció, jogosulatlan eszköz-hozzáférés és közvetlen hardvermanipuláció.
Teljes lemeztitkosítás engedélyezése (BitLocker vagy annak megfelelője)
Fenyegetés mérsékelése: Adatkimentés, ha a munkaállomást ellopják vagy fizikailag kompromittálják; jogosulatlan hozzáférés érzékeny tárolt adatokhoz.
Kapcsold ki az autobejelentkezést; Jelszóval védett bejelentkezés konfigurálása
Fenyegetés mérsékelése: Engedély nélküli hozzáférés olyan fenyegető szereplők részéről, akik fizikai hozzáféréssel rendelkeznek, vagy akik hozzáférnek egy felolt munkaállomáshoz.
Automatikus képernyőzárolás konfigurálása (15 perc ajánlott)
Fenyegetéscsökkentett: Engedély nélküli hozzáférés az EkipConnect alkalmazáshoz és a kapcsolódó rendszerekhez a felhasználó távollétében
Engedélyezd a Windows tűzfalat alapértelmezett elutasító bejövő szabályokkal.
Fenyegetéscsökkentés: Jogosulatlan hálózati hozzáférés, kéretlen bejövő forgalom és rosszindulatú szoftver parancs-irányítási kommunikáció.
3. Szoftvervédelem
Telepíts antivirus + antimalware szoftvert
Fenyegetéscsökkentés: Kártevő fertőzés, trójai végrehajtás és rosszindulatú kód fut a munkaállomáson.
Állítsd be a valós idejű Scanning és a napi teljes szkenneléseket.
Fenyegetéscsökkentett: Valós idejű kártevő végrehajtás felismerése és megelőzése; szunnyadó vagy nemrég bevezetett fenyegetések azonosítása.
Automatikus antivírus-definíciós frissítések engedélyezése
Fenyegetés mérsékelése: Új vagy nemrég felfedezett kártevő változatok kikerülik az antivírus-észlelést.
4. Felhasználói hitelesítés
Minden felhasználónak hitelesítést kell a MyABB-n keresztül (ha ABB laptop esetén)
Fenyegetéscsökkentés: Engedély nélküli hozzáférés az EkipConnecthez hitelesítetlen vagy beazonosított felhasználók részéről.
Erős jelszavakat kényszerítsd (minimum 8 karakter, 3 karaktertípus)
Fenyegetés mérsékelése: Brute force támadások, szótártámadások és jelszótalálgatás fenyegető szereplők részéről.
Engedélyezze a többfaktoros hitelesítést (MFA) MyABB számára
Fenyegetéscsökkentett: Fiókfoglalás és jogosulatlan hozzáférés, még akkor is, ha a felhasználói igazolványokat kompromittálják vagy ellopják
Kapcsold ki az egyidejű üléseket ugyanabból a felhasználói fiókból
Fenyegetéscsökkentés: Jogosulatlan hozzáférés ellopott vagy kompromitált igazolványokkal egy másik munkaállomáson vagy eszközön.
5. Hálózati konfiguráció
Telepítés dedikált menedzsment hálózati szegmensben (külön VLAN)
Fenyegetésmérsékelés: A támadók oldalirányú mozgása kompromittált vállalati rendszerekről; jogosulatlan hozzáférés kritikus menedzsment funkciókhoz.
• 443/TCP port (HTTPS felhőkapcsolat)
• 53-as port/UDP (DNS)
• 123-as port/UDP (NTP)
Fenyegetéscsökkentett: Engedély nélküli kimenő kommunikáció, kárindulatú parancs-kontroll visszahívások, valamint adatkimentés a támadó infrastruktúrához.
Az eszközhálózatok izolálása a vállalati hálózatoktól (tűzfal szükséges)
Fenyegetésmérsékelés: Oldalirányú mozgás vállalati és kritikus eszközhálózatok között; jogosulatlan hozzáférés biztonsági kritikus eszközökhöz.
6. Automatikus frissítések
Automatikus Windows frissítések engedélyezése
Fenyegetéscsökkentés: Az ismert operációs rendszer sebezhetőségeit és rendszerszintű biztonsági javításokat időben telepítik.
Állítsd be az antiró definíciókat automatikusan frissíteni
Fenyegetés mérsékelése: Észlelés elkerülése új kártevő változatok és zero-day kártevő fenyegetések által.
7. Kezdeti ellenőrzés
Ellenőrizd, hogy az antivírus fut és frissített van-e
Fenyegetéscsökkentett: Konfigurációs hibák, kihagyott biztonsági ellenőrzések és a kötelező biztonsági alapvonalak hiányos beépítése.
Tűzfal konfiguráció és biztonság
Az Ekip Connect speciális portokat használ különböző kommunikációs típusokhoz. A megfelelő tűzfal konfigurációja elengedhetetlen a biztonság érdekében.
Kötelező portok (felhőfunkciókhoz kötelező)
443/TCP port (HTTPS - Felhőkapcsolat)
MINDIG titkosított (TLS 1.2 vagy annál magasabb)
Fenyegetéscsökkentés: Középen belüli ember-támadások (MITM) a felhőkommunikáció ellen (TLS titkosítással mérsékelve); Engedély nélküli hozzáférés felhőalapú API-khoz és firmware könyvtárakhoz; Firmware frissítések és biztonsági javítások elfogása
53-as port/UDP (DNS - Domain Name Resolution)
Ajánlom megbízható DNS szerverek használatát
Fenyegetéscsökkentett: DNS hamisítási támadások, amelyek az EkipConnectet rosszindulatú felhővégpontokra irányítják; DNS gyorsítótár mérgezése; Felhőkapcsolat jogosulatlan átirányítása
Ajánlott portok (erősen ajánlottak)
123/UDP port (NTP - Időszinkronizáció)
Kapcsold be, ha a hálózati konfiguráció engedi
Fenyegetés mérsékelése: napló időbélyegének manipulálása és manipulációja; Óratorzítású támadások, amelyek érvénytelenítik az időalapú biztonsági ellenőrzéseket; Pontatlan audit nyomkövetés és incidens rekonstrukció
Eszközkommunikációs portok (eszközkapcsolatokhoz)
Port 502/TCP (Modbus TCP)
A tűzfalnak ezt a portot csak engedélyezett eszközökre kell korlátoznia
Fenyegetés mérsékelése: Engedély nélküli eszközkommunikáció és paramétermanipuláció; A kezelőfelülethez csatlakozó rogue eszközök; Titkosítatlan eszközforgalom lehallgatása (hálózati szegmentációval mérsékelve); Szolgáltatásmegtagadási támadások jogosulatlan hálózati szegmensekből
69/UDP port (TFTP - Trivial fájlátviteli protokoll)
A karbantartási ablakokon kívül ki lehet tiltani
Fenyegetés mérsékelése: Engedély nélküli firmware letöltés és telepítés; Rosszindulatú firmware befecskendezés TFTP-n keresztül, Man-in-the-middle támadások firmware-átvitel ellen (hálózati izolációval mérsékelve); Engedély nélküli eszköz biztosítás; Titkosítatlan firmware-átvitelek lehallgatása
Megjegyzés: miközben az eszköz előállítása az ABB Ability™ EM & AM-be zajlik, győződj meg róla, hogy a tűzfal megfelelően be van állítva, a fent említett aktív portok szerint. Ha kommunikációs problémák merülnek fel, próbáld meg ideiglenesen letiltani a tűzfalat, és a Provisioning végén újra engedélyezni.
További részletekért a Modbus biztonsági telepítési irányelveiről és biztonsági információkért kérjük , kattintson ide.