Kibernetinio saugumo diegimo gairės

This article has been translated automatically. See the original version.

Montavimo ir paleidimo saugumas
Prieš prijungdami "Ekip Connect" prie bet kokio tinklo ar įrenginių, kad sumažintumėtesaugumo pažeidimų ir kenkėjiškų programų riziką, vadovaukitės šiuo saugos kontroliniu sąrašu:

1. Operacinė sistema

  • Įdiekite "Windows 11" naudodami naujausius saugos pataisymus (mažiausiai: "Windows 10", oficialaus palaikymo pabaiga 2027 m. sausio mėn.)

    Grėsmė sumažinta: žinomi OS pažeidžiamumai, nepataisyti saugos pažeidimai ir sistemos lygio privilegijų eskalavimo atakos.

  • Įgalinkite saugų įkrovimą BIOS (privaloma "Windows 11")

    Sumažinta grėsmė: įkrovos atakos, neteisėtas įkrovos lygio kodo vykdymas ir įkrovos proceso klastojimas

2. Darbo vietos saugumas

  • Apriboti fizinę prieigą prie "Ekip Connect" darbo vietų

    Grėsmė sumažinta: fizinis klastojimas, neteisėta prieiga prie įrenginio ir tiesioginis manipuliavimas aparatine įranga.

  • Įgalinti viso disko šifravimą ("BitLocker" arba lygiavertį)

    Grėsmė sumažinta: duomenų išfiltravimas, jei darbo vieta pavogta arba fiziškai pažeista; neteisėta prieiga prie slaptų saugomų duomenų.

  • Išjungti automatinį prisijungimą; Slaptažodžiu apsaugoto prisijungimo konfigūravimas

    Grėsmė sumažinta: neteisėta grėsmės veikėjų, turinčių fizinę prieigą arba gaunančių prieigą prie atrakintos darbo vietos, prieiga.

  • Automatinio ekrano užrakto konfigūravimas (rekomenduojama 15 minučių)

    Grėsmė sumažinta: neteisėta prieiga prie "EkipConnect" programos ir prijungtų sistemų vartotojo nebuvimo metu

  • Įgalinti Windows užkardą su numatytosiomis gaunamo ryšio taisyklėmis

    Grėsmė sumažinta: neteisėta prieiga prie tinklo, nepageidaujamas gaunamas srautas ir kenkėjiškų programų komandų ir valdymo ryšys.

3. Programinės įrangos apsauga

  • Įdiekite antivirusinę + apsaugos nuo kenkėjiškų programų programinę įrangą

    Sumažinta grėsmė: kenkėjiškų programų užkrėtimas, Trojos arklys vykdymas ir darbo vietoje veikiantis kenkėjiškas kodas.

  • Konfigūruokite "Scanning" realiuoju laiku ir kasdienius pilnus nuskaitymus.

    Grėsmės mažinimas: kenkėjiškų programų vykdymo aptikimas ir prevencija realiuoju laiku; neveikiančių ar neseniai įvestų grėsmių nustatymas.

  • Įgalinti automatinius antivirusinių apibrėžimų naujinimus

    Grėsmė sumažinta: vengiama antivirusinių programų aptikimo naudojant naujus arba neseniai atrastus kenkėjiškų programų variantus.

4. Vartotojo autentifikavimas

  • Visi vartotojai turi autentifikuotis per MyABB (jei ABB nešiojamas kompiuteris)

    Grėsmė sumažinta: neteisėta prieiga prie "EkipConnect" neautentifikuotų arba apsimetinėjančių vartotojų.

  • Įvesti stiprius slaptažodžius (mažiausiai 8 simboliai, 3 simbolių tipai)

    Grėsmės mažinimas: brutalios jėgos atakos, žodyno atakos ir grėsmės veikėjų slaptažodžių atspėjimas.

  • Įgalinkite "MyABB" kelių veiksnių autentifikavimą (MFA)

    Grėsmė sumažinta: paskyros perėmimas ir neteisėta prieiga, net jei vartotojo kredencialai yra pažeisti arba pavogti

  • Išjungti vienu metu vykstančius seansus iš tos pačios vartotojo paskyros

    Grėsmė sumažinta: neteisėta prieiga naudojant pavogtus arba pažeistus kredencialus kitoje darbo vietoje ar įrenginyje.

5. Tinklo konfigūracija

  •  Diegti dedikuotame valdymo tinklo segmente (atskirame VLAN)

    Grėsmės mažinimas: šoninis užpuolikų judėjimas iš pažeistų įmonės sistemų; neteisėta prieiga prie svarbių valdymo funkcijų.

  • Konfigūruoti užkardą, kad būtų leidžiami tik būtini siunčiami prievadai:

      • 443/TCP prievadas (HTTPS debesies ryšys)

      • 53 prievadas / UDP (DNS)

      • 123 prievadas / UDP (NTP)

    Grėsmė sumažinta: neteisėtas siunčiamas ryšys, kenkėjiškų programų komandų ir valdymo atgaliniai skambučiai ir duomenų išfiltravimas į užpuolikų infrastruktūrą.

  • Įrenginių tinklų atskyrimas nuo įmonės tinklų (reikalinga užkarda)

    Grėsmės mažinimas: šoninis judėjimas tarp įmonės ir kritinių įrenginių tinklų; neteisėta prieiga prie saugai svarbių įrenginių.

6. Automatiniai atnaujinimai

  • Įgalinti automatinius "Windows" naujinimus

    Grėsmės mažinimas: žinomi OS pažeidžiamumai ir sistemos lygio saugos pataisos įdiegiamos laiku.

  • Konfigūruokite antivirusinę programą, kad automatiškai atnaujintumėte apibrėžimus

    Grėsmė sumažinta: aptikimo vengimas dėl naujų kenkėjiškų programų variantų ir nulinės dienos kenkėjiškų programų grėsmių.

7. Pradinis patikrinimas

  • Patikrinkite, ar saugus įkrovimas aktyvus
  • Patikrinkite, ar įjungta Windows užkarda
  •  Patikrinkite, ar antivirusinė programa veikia ir atnaujinama

    Grėsmės mažinimas: konfigūracijos klaidos, praleistos saugos kontrolės priemonės ir neišsamus privalomų saugos bazinių linijų diegimas.

     

Ugniasienės konfigūracija ir sauga

"Ekip Connect" naudoja konkrečius prievadus skirtingiems ryšio tipams. Tinkama ugniasienės konfigūracija yra būtina saugumui.

 

Privalomi prievadai (reikalingi debesies funkcijoms)

443/TCP prievadas (HTTPS – debesies ryšys)

  • ABB ELSP Digital Manager API
  • ABB Ability platformos ryšys
  • Prieiga prie programinės aparatinės įrangos bibliotekos
  • Atnaujinimų ir pataisų atsisiuntimas
  • Turi būti ĮJUNGTA debesies funkcijos
  • VISADA užšifruotas (TLS 1.2 arba naujesnė versija)

    Grėsmė sumažinta: "Man-in-the-middle" (MITM) atakos prieš debesies ryšį (sušvelnintos naudojant TLS šifravimą); Neteisėta prieiga prie debesies API ir programinės įrangos bibliotekų; Programinės įrangos atnaujinimų ir saugos pataisų perėmimas

53 prievadas / UDP (DNS - domeno vardo skiriamoji geba)

  • Reikalinga ABB debesies galiniams punktams išspręsti
  • Turi būti įjungtas bet kokiam debesies ryšiui
  • Nėra šifravimo (standartinis DNS protokolas)
  • Rekomenduoti naudoti patikimus DNS serverius

    Grėsmė sumažinta: DNS klastojimo atakos, nukreipiančios "EkipConnect" į kenkėjiškus debesies galinius punktus; DNS talpyklos apsinuodijimas; Neteisėtas debesies ryšio nukreipimas

     

Rekomenduojami prievadai (labai rekomenduojami)

123/UDP prievadas (NTP – laiko sinchronizavimas)

  • Tinklo laiko protokolas sistemos laikrodžio tikslumui
  • Svarbu žurnalo laiko žymos tikslumui ir saugumui
  • Labai rekomenduojama, bet ne griežtai privaloma
  • Įjungti, jei tinklo konfigūracija leidžia

    Grėsmė sumažinta: žurnalo laiko žymos klastojimas ir manipuliavimas; Laikrodžio iškreipimo atakos, kurios panaikina laiko saugos valdiklius; Netiksli audito seka ir incidentų rekonstrukcija

     

Įrenginio ryšio prievadai (įrenginių jungtims)

Prievadas 502/TCP (Modbus TCP)

  • "Device-to-Ekip Connect" ryšys per Ethernet
  • DVIKRYPTIS (įrenginys gali prisijungti atgal)
  • Nešifruotas protokolas (reikalingas tinklo segmentavimas)
  • Įjungti tik įrenginių tinkluose (ne internete)
  • Ugniasienė turėtų apriboti šį prievadą tik įgaliotiems įrenginiams

    Grėsmė sumažinta: neteisėtas įrenginio ryšys ir manipuliavimas parametrais; Nesąžiningi įrenginiai, jungiantys prie valdymo sąsajos; Neužšifruoto įrenginio srauto pasiklausymas (sušvelnintas tinklo segmentavimu); Paslaugų atsisakymo atakos iš neteisėtų tinklo segmentų

69 prievadas / UDP (TFTP - Trivial File Transfer Protocol)

  • Programinės įrangos atsisiuntimas ir įrenginio parengimas
  • DVIKRYPTIS RYŠYS
  • Neužšifruotas (naudoti tik izoliuotuose tinkluose)
  • Reikalingas tik programinės įrangos atnaujinimo operacijų metu
  • Galima išjungti už priežiūros langų ribų

    Grėsmė sumažinta: neteisėtas programinės įrangos atsisiuntimas ir diegimas; Kenkėjiškos programinės įrangos injekcija per TFTP "Man-in-the-middle" programinės įrangos perdavimo atakas (sušvelninta tinklo izoliacija); Neteisėtas įrenginio aprūpinimas; Neužšifruotų programinės įrangos perdavimų pasiklausymas

 

Pastaba: kol įrenginys Provisioning procesas į ABB Ability™ EM & AM, įsitikinkite, kad jūsų ugniasienė yra tinkamai sukonfigūruota, atsižvelgiant į aktyvius prievadus, apie kuriuos pranešta aukščiau. Jei kyla ryšio problemų, pabandykite laikinai išjungti užkardą ir vėl įjungti ją parengimo proceso pabaigoje.

 

Norėdami gauti daugiau informacijos apie saugos informaciją, spustelėkite čia.