Montavimo ir paleidimo saugumas
Prieš prijungdami "Ekip Connect" prie bet kokio tinklo ar įrenginių, kad sumažintumėtesaugumo pažeidimų ir kenkėjiškų programų riziką, vadovaukitės šiuo saugos kontroliniu sąrašu:
1. Operacinė sistema
Grėsmė sumažinta: žinomi OS pažeidžiamumai, nepataisyti saugos pažeidimai ir sistemos lygio privilegijų eskalavimo atakos.
Sumažinta grėsmė: įkrovos atakos, neteisėtas įkrovos lygio kodo vykdymas ir įkrovos proceso klastojimas
2. Darbo vietos saugumas
Apriboti fizinę prieigą prie "Ekip Connect" darbo vietų
Grėsmė sumažinta: fizinis klastojimas, neteisėta prieiga prie įrenginio ir tiesioginis manipuliavimas aparatine įranga.
Įgalinti viso disko šifravimą ("BitLocker" arba lygiavertį)
Grėsmė sumažinta: duomenų išfiltravimas, jei darbo vieta pavogta arba fiziškai pažeista; neteisėta prieiga prie slaptų saugomų duomenų.
Išjungti automatinį prisijungimą; Slaptažodžiu apsaugoto prisijungimo konfigūravimas
Grėsmė sumažinta: neteisėta grėsmės veikėjų, turinčių fizinę prieigą arba gaunančių prieigą prie atrakintos darbo vietos, prieiga.
Automatinio ekrano užrakto konfigūravimas (rekomenduojama 15 minučių)
Grėsmė sumažinta: neteisėta prieiga prie "EkipConnect" programos ir prijungtų sistemų vartotojo nebuvimo metu
Įgalinti Windows užkardą su numatytosiomis gaunamo ryšio taisyklėmis
Grėsmė sumažinta: neteisėta prieiga prie tinklo, nepageidaujamas gaunamas srautas ir kenkėjiškų programų komandų ir valdymo ryšys.
3. Programinės įrangos apsauga
Įdiekite antivirusinę + apsaugos nuo kenkėjiškų programų programinę įrangą
Sumažinta grėsmė: kenkėjiškų programų užkrėtimas, Trojos arklys vykdymas ir darbo vietoje veikiantis kenkėjiškas kodas.
Konfigūruokite "Scanning" realiuoju laiku ir kasdienius pilnus nuskaitymus.
Grėsmės mažinimas: kenkėjiškų programų vykdymo aptikimas ir prevencija realiuoju laiku; neveikiančių ar neseniai įvestų grėsmių nustatymas.
Įgalinti automatinius antivirusinių apibrėžimų naujinimus
Grėsmė sumažinta: vengiama antivirusinių programų aptikimo naudojant naujus arba neseniai atrastus kenkėjiškų programų variantus.
4. Vartotojo autentifikavimas
Visi vartotojai turi autentifikuotis per MyABB (jei ABB nešiojamas kompiuteris)
Grėsmė sumažinta: neteisėta prieiga prie "EkipConnect" neautentifikuotų arba apsimetinėjančių vartotojų.
Įvesti stiprius slaptažodžius (mažiausiai 8 simboliai, 3 simbolių tipai)
Grėsmės mažinimas: brutalios jėgos atakos, žodyno atakos ir grėsmės veikėjų slaptažodžių atspėjimas.
Įgalinkite "MyABB" kelių veiksnių autentifikavimą (MFA)
Grėsmė sumažinta: paskyros perėmimas ir neteisėta prieiga, net jei vartotojo kredencialai yra pažeisti arba pavogti
Išjungti vienu metu vykstančius seansus iš tos pačios vartotojo paskyros
Grėsmė sumažinta: neteisėta prieiga naudojant pavogtus arba pažeistus kredencialus kitoje darbo vietoje ar įrenginyje.
5. Tinklo konfigūracija
Diegti dedikuotame valdymo tinklo segmente (atskirame VLAN)
Grėsmės mažinimas: šoninis užpuolikų judėjimas iš pažeistų įmonės sistemų; neteisėta prieiga prie svarbių valdymo funkcijų.
• 443/TCP prievadas (HTTPS debesies ryšys)
• 53 prievadas / UDP (DNS)
• 123 prievadas / UDP (NTP)
Grėsmė sumažinta: neteisėtas siunčiamas ryšys, kenkėjiškų programų komandų ir valdymo atgaliniai skambučiai ir duomenų išfiltravimas į užpuolikų infrastruktūrą.
Įrenginių tinklų atskyrimas nuo įmonės tinklų (reikalinga užkarda)
Grėsmės mažinimas: šoninis judėjimas tarp įmonės ir kritinių įrenginių tinklų; neteisėta prieiga prie saugai svarbių įrenginių.
6. Automatiniai atnaujinimai
Įgalinti automatinius "Windows" naujinimus
Grėsmės mažinimas: žinomi OS pažeidžiamumai ir sistemos lygio saugos pataisos įdiegiamos laiku.
Konfigūruokite antivirusinę programą, kad automatiškai atnaujintumėte apibrėžimus
Grėsmė sumažinta: aptikimo vengimas dėl naujų kenkėjiškų programų variantų ir nulinės dienos kenkėjiškų programų grėsmių.
7. Pradinis patikrinimas
Patikrinkite, ar antivirusinė programa veikia ir atnaujinama
Grėsmės mažinimas: konfigūracijos klaidos, praleistos saugos kontrolės priemonės ir neišsamus privalomų saugos bazinių linijų diegimas.
Ugniasienės konfigūracija ir sauga
"Ekip Connect" naudoja konkrečius prievadus skirtingiems ryšio tipams. Tinkama ugniasienės konfigūracija yra būtina saugumui.
Privalomi prievadai (reikalingi debesies funkcijoms)
443/TCP prievadas (HTTPS – debesies ryšys)
VISADA užšifruotas (TLS 1.2 arba naujesnė versija)
Grėsmė sumažinta: "Man-in-the-middle" (MITM) atakos prieš debesies ryšį (sušvelnintos naudojant TLS šifravimą); Neteisėta prieiga prie debesies API ir programinės įrangos bibliotekų; Programinės įrangos atnaujinimų ir saugos pataisų perėmimas
53 prievadas / UDP (DNS - domeno vardo skiriamoji geba)
Rekomenduoti naudoti patikimus DNS serverius
Grėsmė sumažinta: DNS klastojimo atakos, nukreipiančios "EkipConnect" į kenkėjiškus debesies galinius punktus; DNS talpyklos apsinuodijimas; Neteisėtas debesies ryšio nukreipimas
Rekomenduojami prievadai (labai rekomenduojami)
123/UDP prievadas (NTP – laiko sinchronizavimas)
Įjungti, jei tinklo konfigūracija leidžia
Grėsmė sumažinta: žurnalo laiko žymos klastojimas ir manipuliavimas; Laikrodžio iškreipimo atakos, kurios panaikina laiko saugos valdiklius; Netiksli audito seka ir incidentų rekonstrukcija
Įrenginio ryšio prievadai (įrenginių jungtims)
Prievadas 502/TCP (Modbus TCP)
Ugniasienė turėtų apriboti šį prievadą tik įgaliotiems įrenginiams
Grėsmė sumažinta: neteisėtas įrenginio ryšys ir manipuliavimas parametrais; Nesąžiningi įrenginiai, jungiantys prie valdymo sąsajos; Neužšifruoto įrenginio srauto pasiklausymas (sušvelnintas tinklo segmentavimu); Paslaugų atsisakymo atakos iš neteisėtų tinklo segmentų
69 prievadas / UDP (TFTP - Trivial File Transfer Protocol)
Galima išjungti už priežiūros langų ribų
Grėsmė sumažinta: neteisėtas programinės įrangos atsisiuntimas ir diegimas; Kenkėjiškos programinės įrangos injekcija per TFTP "Man-in-the-middle" programinės įrangos perdavimo atakas (sušvelninta tinklo izoliacija); Neteisėtas įrenginio aprūpinimas; Neužšifruotų programinės įrangos perdavimų pasiklausymas
Pastaba: kol įrenginys Provisioning procesas į ABB Ability™ EM & AM, įsitikinkite, kad jūsų ugniasienė yra tinkamai sukonfigūruota, atsižvelgiant į aktyvius prievadus, apie kuriuos pranešta aukščiau. Jei kyla ryšio problemų, pabandykite laikinai išjungti užkardą ir vėl įjungti ją parengimo proceso pabaigoje.
Norėdami gauti daugiau informacijos apie saugos informaciją, spustelėkite čia.