Installatie & Inbedrijfstellingsbeveiliging
Voordat je Ekip Connect verbindt met een netwerk of apparaten,volg om het risico op beveiligingslekken en malware te minimaliseren deze beveiligingschecklist:
1. Besturingssysteem
Threat Mitigated: Bekende OS-kwetsbaarheden, niet-gepatchte beveiligingsexploits en systeemniveau privilege-escalatieaanvallen.
Threat Mitigered: Bootkit-aanvallen, ongeautoriseerde code-uitvoering op opstartniveau en het knoeien met het opstartproces
2. Werkstationbeveiliging
Beperk fysieke toegang tot Ekip Connect-werkstations
Dreiging verminderd: Fysieke manipulatie, ongeautoriseerde toegang tot apparaten en directe hardwaremanipulatie.
Schakel volledige schijfversleuteling in (BitLocker of gelijkwaardig)
Dreiging verminderd: Data-exfiltratie als het werkstation wordt gestolen of fysiek wordt gecompromitteerd; ongeautoriseerde toegang tot gevoelige opgeslagen gegevens.
Schakel autologin uit; Stel wachtwoordbeveiligde login in
Threat Mitigated: Ongeautoriseerde toegang door dreigingsactoren met fysieke toegang of die toegang krijgen tot een ontgrendeld werkstation.
Automatische schermvergrendeling instellen (15 minuten aanbevolen)
Dreiging verminderd: Ongeautoriseerde toegang tot de EkipConnect-applicatie en verbonden systemen tijdens afwezigheid van gebruikers
Schakel Windows Firewall in met standaard-ontzegde inkomende regels
Threat Mitigated: Ongeautoriseerde netwerktoegang, ongevraagd inkomend verkeer en malware-commando-en-control communicatie.
3. Softwarebescherming
Antivirus + antimalwaresoftware installeren
Threat Mitigered: Malware-infectie, trojan-uitvoering en kwaadaardige code die op het werkstation draait.
Configureer realtime Scanning en dagelijkse volledige scans.
Threat Mitigated: Realtime detectie en preventie van malware-uitvoering; identificatie van sluimerende of recent geïntroduceerde dreigingen.
Schakel automatische antivirusdefinitie-updates in
Threat Mitigered: Ontwijking van antivirusdetectie door nieuwe of recent ontdekte malwarevarianten.
4. Gebruikersauthenticatie
Alle gebruikers moeten zich authenticeren via MyABB (als het een ABB-laptop is)
Threat Mitigated: Ongeautoriseerde toegang tot EkipConnect door niet-geauthenticeerde of geïmiteerde gebruikers.
Handhaaf sterke wachtwoorden (minimaal 8 tekens, 3 tekentypes)
Threat Mitigered: Brute force-aanvallen, woordenboekaanvallen en wachtwoordraden door dreigingsactoren.
Schakel Multi-Factor Authentication (MFA) in voor MyABB
Dreiging verminderd: Accountovername en ongeautoriseerde toegang zelfs als gebruikersgegevens worden gecompromitteerd of gestolen
Schakel gelijktijdige sessies uit vanaf hetzelfde gebruikersaccount
Threat Mitigered: Ongeautoriseerde toegang met gestolen of gecompromitteerde inloggegevens op een ander werkstation of apparaat.
5. Netwerkconfiguratie
Deploy op een dedicated beheernetwerksegment (apart VLAN)
Dreiging verminderd: Laterale beweging door aanvallers vanuit gecompromitteerde bedrijfssystemen; ongeautoriseerde toegang tot kritieke beheerfuncties.
• Port 443/TCP (HTTPS cloudconnectiviteit)
• Port 53/UDP (DNS)
• Port 123/UDP (NTP)
Threat Mitigered: Ongeautoriseerde uitgaande communicatie, malware-command-and-control callbacks en data-exfiltratie naar de infrastructuur van aanvallers.
Isoleer apparaatnetwerken van bedrijfsnetwerken (firewall vereist)
Dreiging verminderd: Laterale beweging tussen enterprise- en kritieke apparaatnetwerken; ongeautoriseerde toegang tot veiligheidskritische apparaten.
6. Automatische updates
Schakel automatische Windows-updates in
Dreiging verminderd: Bekende OS-kwetsbaarheden en systeemniveau-beveiligingspatches worden tijdig ingezet.
Antivirus configureer om definities automatisch bij te werken
Dreiging verminderd: Detectieontwijking door nieuwe malwarevarianten en zero-day malwaredreigingen.
7. Eerste verificatie
Controleer of antivirus draait en is bijgewerkt
Threat Mitigered: Configuratiefouten, gemiste beveiligingscontroles en onvolledige implementatie van verplichte beveiligingsbaselines.
Firewallconfiguratie & beveiliging
Ekip Connect gebruikt specifieke poorten voor verschillende soorten communicatie. Een juiste firewallconfiguratie is essentieel voor de beveiliging.
Verplichte poorten (vereist voor cloudfuncties)
Poort 443/TCP (HTTPS - Cloudconnectiviteit)
ALTIJD versleuteld (TLS 1.2 of hoger)
Threat Mitigered: Man-in-the-middle (MITM) aanvallen op cloudcommunicatie (gemitigeerd door TLS-encryptie); Ongeautoriseerde toegang tot cloud-API's en firmwarebibliotheken; Onderschepping van firmware-updates en beveiligingspatches
Port 53/UDP (DNS - Domeinnaamresolutie)
Aanbevolen om vertrouwde DNS-servers te gebruiken
Dreiging verminderd: DNS-spoofing-aanvallen die EkipConnect omleiden naar kwaadaardige cloud-endpoints; DNS-cachevergiftiging; Ongeoorloofde omleiding van cloudconnectiviteit
Aanbevolen poorten (Zeer Aanbevolen)
Poort 123/UDP (NTP - Tijdsynchronisatie)
Schakel in als netwerkconfiguratie dat toestaat
Dreiging verminderd: Logg tijdstempelmanipulatie en manipulatie; Klokskew-aanvallen die tijdgebaseerde beveiligingsmaatregelen ongeldig maken; Onnauwkeurige audittrail en reconstructie van incidenten
Apparaatcommunicatiepoorten (voor apparaatverbindingen)
Poort 502/TCP (Modbus TCP)
De firewall zou deze poort alleen moeten beperken tot geautoriseerde apparaten
Threat Mitigered: Ongeautoriseerde apparaatcommunicatie en parametermanipulatie; Rogue-apparaten die verbinding maken met de beheerinterface; Afluisteren van onversleuteld apparaatverkeer (gemitigeerd door netwerksegmentatie); Denial-of-service-aanvallen vanuit ongeautoriseerde netwerksegmenten
Port 69/UDP (TFTP - Triviaal Bestandsoverdrachtprotocol)
Kan buiten onderhoudsvensters worden uitgeschakeld
Threat Mitigered: Ongeautoriseerde firmwaredownload en -deployment; Kwaadaardige firmware-injectie via TFTP Man-in-the-middle-aanvallen op firmwareoverdracht (gemitigeerd door netwerkisolatie); Ongeautoriseerde apparaatprovisionering; Afluisteren van niet-versleutelde firmware-overdrachten
Let op: terwijl het apparaat wordt geprovisioneerd in ABB Ability™ EM & AM, zorg ervoor dat je firewall correct is geconfigureerd, volgens de hierboven gerapporteerde actieve poorten. Als er communicatieproblemen optreden, probeer dan tijdelijk je firewall uit te schakelen en deze aan het einde van het provisioningproces weer in te schakelen.
Voor meer details over de Modbus-beveiligingsrichtlijnen en veiligheidsinformatie, klik hier.