Linee guida per il dispiegamento della sicurezza informatica

Questo articolo è stato tradotto automaticamente. Vedi la versione originale.

Sicurezza dell'installazione e della messa in servizio
Prima di collegare Ekip Connect a qualsiasi rete o dispositivo, perminimizzare il rischio di violazioni di sicurezza e malware, segui questa checklist di sicurezza:

1. Sistema operativo

  • Distribuisci su Windows 11 con le ultime patch di sicurezza (minimo: Windows 10, fine del supporto ufficiale gennaio 2027)

    Minacce mitigate: Vulnerabilità note del sistema operativo, exploit di sicurezza non aggiornati e attacchi di escalation dei privilegi a livello di sistema.

  • Abilita l'avvio sicuro nel BIOS (obbligatorio per Windows 11)

    Minacce mitigate: attacchi al bootkit, esecuzione non autorizzata del codice a livello di avvio e manomissioni del processo di avvio

2. Sicurezza delle postazioni di lavoro

  • Limitare l'accesso fisico alle postazioni di lavoro Ekip Connect

    Minaccia mitigata: Manomissioni fisiche, accesso non autorizzato ai dispositivi e manipolazione diretta dell'hardware.

  • Abilita la crittografia completa del disco (BitLocker o equivalente)

    Minaccia mitigata: esfiltrazione dati se la postazione viene rubata o fisicamente compromessa; accesso non autorizzato a dati sensibili memorizzati.

  • Disabilita l'autologin; Configura l'accesso protetto da password

    Minaccia mitigata: Accesso non autorizzato da parte di attori minacciosi con accesso fisico o che ottengono accesso a una postazione di lavoro sbloccata.

  • Configura il blocco automatico dello schermo (consigliato 15 minuti)

    Minaccia mitigata: Accesso non autorizzato all'applicazione EkipConnect e ai sistemi connessi durante l'assenza dell'utente

  • Abilita il firewall di Windows con le regole predefinite di negazione in ingresso

    Minacce mitigate: Accesso non autorizzato alla rete, traffico in entrata non richiesto e comunicazione tramite comando e controllo malware.

3. Protezione del software

  • Installa antivirus + software antimalware

    Minacce mitigate: Infezione da malware, esecuzione di trojan e codice malevolo in esecuzione sulla workstation.

  • Configura la Scanning in tempo reale e le scansioni complete giornaliere.

    Minacce mitigate: Rilevamento e prevenzione in tempo reale dell'esecuzione di malware; identificazione di minacce dormienti o recentemente introdotte.

  • Abilita gli aggiornamenti automatici delle definizioni antivirus

    Minaccia mitigata: Evasione del rilevamento antivirus da parte di nuove o recenti varianti di malware scoperte.

4. Autenticazione utente

  • Tutti gli utenti devono autenticarsi tramite MyABB (se laptop ABB)

    Minaccia mitigata: Accesso non autorizzato a EkipConnect da parte di utenti non autenticati o impersonati.

  • Far rispettare password forti (minimo 8 caratteri, 3 tipi di caratteri)

    Minaccia mitigata: attacchi con forza bruta, attacchi con dizionario e indovinare password da parte degli attori minacci.

  • Abilita l'autenticazione multifattore (MFA) per MyABB

    Minaccia mitigata: Appropriazione dell'account e accesso non autorizzato anche se le credenziali degli utenti vengono compromesse o rubate

  • Disabilita le sessioni concorrenti dallo stesso account utente

    Minaccia mitigata: Accesso non autorizzato utilizzando credenziali rubate o compromesse su una workstation o dispositivo diverso.

5. Configurazione della rete

  •  Distribuzione su un segmento di rete di gestione dedicato (VLAN separata)

    Minaccia mitigata: movimento laterale da parte di attaccanti da sistemi aziendali compromessi; accesso non autorizzato a funzioni di gestione critiche.

  • Configura il firewall per consentire solo le porte in uscita necessarie:

      • Porta 443/TCP (connettività cloud HTTPS)

      • Port 53/UDP (DNS)

      • Porta 123/UDP (NTP)

    Minacce mitigate: Comunicazione in uscita non autorizzata, callback di comando e controllo malware ed esfiltrazione dati verso l'infrastruttura degli attaccanti.

  • Isolare le reti di dispositivi dalle reti aziendali (firewall richiesto)

    Minaccia mitigata: movimento laterale tra reti aziendali e di dispositivi critici; accesso non autorizzato a dispositivi critici per la sicurezza.

6. Aggiornamenti automatici

  • Abilita gli aggiornamenti automatici di Windows

    Minacce mitigate: Le vulnerabilità note del sistema operativo e le patch di sicurezza a livello di sistema vengono distribuite tempestivamente.

  • Configura l'antivirus per aggiornare automaticamente le definizioni

    Minacce mitigate: Evasione del rilevamento da parte di nuove varianti di malware e minacce malware zero-day.

7. Verifica iniziale

  • Verifica che Secure Boot sia attivo
  • Verifica che il firewall di Windows sia abilitato
  •  Verifica che l'antivirus sia in esecuzione e aggiornato

    Minaccia mitigata: Errori di configurazione, mancati controlli di sicurezza e implementazione incompleta di linee di base obbligatorie di sicurezza.

     

Configurazione e sicurezza del firewall

Ekip Connect utilizza porte specifiche per diversi tipi di comunicazione. Una corretta configurazione del firewall è essenziale per la sicurezza.

 

Porte obbligatorie (necessarie per le funzionalità cloud)

Porta 443/TCP (HTTPS - Connettività Cloud)

  • ABB ELSP Digital Manager API
  • Connettività con la piattaforma ABB Ability
  • Accesso alla libreria firmware
  • Download aggiornamenti e patch
  • Deve essere ABILITATO per le funzionalità cloud
  • SEMPRE criptato (TLS 1.2 o superiore)

    Minacce mitigate: attacchi Man-in-the-middle (Man-in-the-middle) sulle comunicazioni cloud (mitigati dalla crittografia TLS); Accesso non autorizzato a API cloud e librerie firmware; Intercettazione di aggiornamenti firmware e patch di sicurezza

Porta 53/UDP (DNS - Risoluzione dei nomi di dominio)

  • Richiesto per risolvere gli endpoint cloud ABB
  • Deve essere ABILITATO per qualsiasi connettività cloud
  • Nessuna crittografia (protocollo DNS standard)
  • Consiglio di usare server DNS affidabili

    Minacce mitigate: attacchi di spoofing DNS che reindirizzano EkipConnect verso endpoint cloud dannosi; avvelenamento della cache DNS; Dirottamento non autorizzato della connettività cloud

     

Porte consigliate (Altamente consigliate)

Porta 123/UDP (NTP - sincronizzazione temporale)

  • Network Time Protocol per l'accuratezza dell'orologio di sistema
  • Importante per l'accuratezza e la sicurezza del timestamp dei log.
  • Altamente consigliato ma non strettamente obbligatorio
  • Abilita se la configurazione di rete lo consente

    Minaccia mitigata: Registro di manipolazione e manipolazione di timestamp; attacchi di clock skew che invalidano i controlli di sicurezza basati sul tempo; Traccia di audit imprecisa e ricostruzione degli incidenti

     

Porte di comunicazione dei dispositivi (per le connessioni dei dispositivi)

Porta 502/TCP (Modbus TCP)

  • Comunicazione dispositivo-to-Ekip Connect tramite Ethernet
  • Bidirezionale (il dispositivo può riconnettersi)
  • Protocollo non criptato (segmentazione di rete richiesta)
  • Abilita solo sulle reti dei dispositivi (non rivolte a internet)
  • Il firewall dovrebbe limitare questa porta solo ai dispositivi autorizzati

    Minacce mitigate: Comunicazione non autorizzata con dispositivi e manipolazione dei parametri; Dispositivi malvagci che si collegano all'interfaccia di gestione; Intercettazione del traffico di dispositivi non criptato (mitigato dalla segmentazione della rete); Attacchi di denial-of-service da segmenti di rete non autorizzati

Porta 69/UDP (TFTP - Protocollo di trasferimento file triviale)

  • Download del firmware e provisioning del dispositivo
  • Comunicazione bidirezionale
  • Non criptato (uso solo su reti isolate)
  • Richiesto solo durante le operazioni di aggiornamento firmware
  • Può essere disabilitato al di fuori delle finestre di manutenzione

    Minaccia mitigata: download e distribuzione non autorizzata del firmware; Iniezione di firmware dannosa tramite attacchi Man-in-the-middle TFTP sul trasferimento firmware (mitigato dall'isolamento di rete); Provisioning non autorizzato dei dispositivi; Intercettazione di trasferimenti firmware non criptati

 

Nota: mentre il provisioning del dispositivo viene effettuato in ABB Ability™ EM & AM, assicurati che il firewall sia configurato correttamente, secondo le porte attive riportate sopra. Se si riscontrano problemi di comunicazione, prova a disabilitare temporaneamente il firewall, riabilitandolo alla fine del processo di provisioning.

 

Per maggiori dettagli sulle informazioni sulla sicurezza, clicca qui.