Richtlijnen voor cyberbeveiligingsimplementatie

Dit artikel is automatisch vertaald. Zie de originele versie.

Installatie & Inbedrijfstellingsbeveiliging
Voordat je Ekip Connect verbindt met een netwerk of apparaten,volg om het risico op beveiligingslekken en malware te minimaliseren deze beveiligingschecklist:

1. Besturingssysteem

  • Deploy op Windows 11 met de nieuwste beveiligingspatches (minimum: Windows 10, einde van officiële ondersteuning januari 2027)

    Threat Mitigated: Bekende OS-kwetsbaarheden, niet-gepatchte beveiligingsexploits en systeemniveau privilege-escalatieaanvallen.

  • Schakel Secure Boot in BIOS in (verplicht voor Windows 11)

    Threat Mitigered: Bootkit-aanvallen, ongeautoriseerde code-uitvoering op opstartniveau en het knoeien met het opstartproces

2. Werkstationbeveiliging

  • Beperk fysieke toegang tot Ekip Connect-werkstations

    Dreiging verminderd: Fysieke manipulatie, ongeautoriseerde toegang tot apparaten en directe hardwaremanipulatie.

  • Schakel volledige schijfversleuteling in (BitLocker of gelijkwaardig)

    Dreiging verminderd: Data-exfiltratie als het werkstation wordt gestolen of fysiek wordt gecompromitteerd; ongeautoriseerde toegang tot gevoelige opgeslagen gegevens.

  • Schakel autologin uit; Stel wachtwoordbeveiligde login in

    Threat Mitigated: Ongeautoriseerde toegang door dreigingsactoren met fysieke toegang of die toegang krijgen tot een ontgrendeld werkstation.

  • Automatische schermvergrendeling instellen (15 minuten aanbevolen)

    Dreiging verminderd: Ongeautoriseerde toegang tot de EkipConnect-applicatie en verbonden systemen tijdens afwezigheid van gebruikers

  • Schakel Windows Firewall in met standaard-ontzegde inkomende regels

    Threat Mitigated: Ongeautoriseerde netwerktoegang, ongevraagd inkomend verkeer en malware-commando-en-control communicatie.

3. Softwarebescherming

  • Antivirus + antimalwaresoftware installeren

    Threat Mitigered: Malware-infectie, trojan-uitvoering en kwaadaardige code die op het werkstation draait.

  • Configureer realtime Scanning en dagelijkse volledige scans.

    Threat Mitigated: Realtime detectie en preventie van malware-uitvoering; identificatie van sluimerende of recent geïntroduceerde dreigingen.

  • Schakel automatische antivirusdefinitie-updates in

    Threat Mitigered: Ontwijking van antivirusdetectie door nieuwe of recent ontdekte malwarevarianten.

4. Gebruikersauthenticatie

  • Alle gebruikers moeten zich authenticeren via MyABB (als het een ABB-laptop is)

    Threat Mitigated: Ongeautoriseerde toegang tot EkipConnect door niet-geauthenticeerde of geïmiteerde gebruikers.

  • Handhaaf sterke wachtwoorden (minimaal 8 tekens, 3 tekentypes)

    Threat Mitigered: Brute force-aanvallen, woordenboekaanvallen en wachtwoordraden door dreigingsactoren.

  • Schakel Multi-Factor Authentication (MFA) in voor MyABB

    Dreiging verminderd: Accountovername en ongeautoriseerde toegang zelfs als gebruikersgegevens worden gecompromitteerd of gestolen

  • Schakel gelijktijdige sessies uit vanaf hetzelfde gebruikersaccount

    Threat Mitigered: Ongeautoriseerde toegang met gestolen of gecompromitteerde inloggegevens op een ander werkstation of apparaat.

5. Netwerkconfiguratie

  •  Deploy op een dedicated beheernetwerksegment (apart VLAN)

    Dreiging verminderd: Laterale beweging door aanvallers vanuit gecompromitteerde bedrijfssystemen; ongeautoriseerde toegang tot kritieke beheerfuncties.

  • Stel de firewall zo in dat alleen de vereiste uitgaande poorten zijn toegestaan:

      • Port 443/TCP (HTTPS cloudconnectiviteit)

      • Port 53/UDP (DNS)

      • Port 123/UDP (NTP)

    Threat Mitigered: Ongeautoriseerde uitgaande communicatie, malware-command-and-control callbacks en data-exfiltratie naar de infrastructuur van aanvallers.

  • Isoleer apparaatnetwerken van bedrijfsnetwerken (firewall vereist)

    Dreiging verminderd: Laterale beweging tussen enterprise- en kritieke apparaatnetwerken; ongeautoriseerde toegang tot veiligheidskritische apparaten.

6. Automatische updates

  • Schakel automatische Windows-updates in

    Dreiging verminderd: Bekende OS-kwetsbaarheden en systeemniveau-beveiligingspatches worden tijdig ingezet.

  • Antivirus configureer om definities automatisch bij te werken

    Dreiging verminderd: Detectieontwijking door nieuwe malwarevarianten en zero-day malwaredreigingen.

7. Eerste verificatie

  • Controleer of Secure Boot actief is
  • Controleer of de Windows-firewall is ingeschakeld
  •  Controleer of antivirus draait en is bijgewerkt

    Threat Mitigered: Configuratiefouten, gemiste beveiligingscontroles en onvolledige implementatie van verplichte beveiligingsbaselines.

     

Firewallconfiguratie & beveiliging

Ekip Connect gebruikt specifieke poorten voor verschillende soorten communicatie. Een juiste firewallconfiguratie is essentieel voor de beveiliging.

 

Verplichte poorten (vereist voor cloudfuncties)

Poort 443/TCP (HTTPS - Cloudconnectiviteit)

  • ABB ELSP Digital Manager API
  • ABB Ability Platform-connectiviteit
  • Toegang tot firmwarebibliotheek
  • Updates en patches downloaden
  • Moet INGESCHAKELD zijn voor cloudfuncties
  • ALTIJD versleuteld (TLS 1.2 of hoger)

    Threat Mitigered: Man-in-the-middle (MITM) aanvallen op cloudcommunicatie (gemitigeerd door TLS-encryptie); Ongeautoriseerde toegang tot cloud-API's en firmwarebibliotheken; Onderschepping van firmware-updates en beveiligingspatches

Port 53/UDP (DNS - Domeinnaamresolutie)

  • Vereist om ABB-cloudeindpunten op te lossen
  • Moet INGESCHAKELD zijn voor elke cloudconnectiviteit
  • Geen encryptie (standaard DNS-protocol)
  • Aanbevolen om vertrouwde DNS-servers te gebruiken

    Dreiging verminderd: DNS-spoofing-aanvallen die EkipConnect omleiden naar kwaadaardige cloud-endpoints; DNS-cachevergiftiging; Ongeoorloofde omleiding van cloudconnectiviteit

     

Aanbevolen poorten (Zeer Aanbevolen)

Poort 123/UDP (NTP - Tijdsynchronisatie)

  • Network Time Protocol voor de nauwkeurigheid van de systeemklok
  • Belangrijk voor de nauwkeurigheid en beveiliging van logboeken met tijdstempels
  • Sterk aanbevolen, maar niet strikt verplicht
  • Schakel in als netwerkconfiguratie dat toestaat

    Dreiging verminderd: Logg tijdstempelmanipulatie en manipulatie; Klokskew-aanvallen die tijdgebaseerde beveiligingsmaatregelen ongeldig maken; Onnauwkeurige audittrail en reconstructie van incidenten

     

Apparaatcommunicatiepoorten (voor apparaatverbindingen)

Poort 502/TCP (Modbus TCP)

  • Device-to-Ekip Connect-communicatie via Ethernet
  • BIDIRECTIONEEL (apparaat kan weer verbinden)
  • Onversleuteld protocol (netwerksegmentatie vereist)
  • Alleen netwerken op apparaten inschakelen (niet internetgericht)
  • De firewall zou deze poort alleen moeten beperken tot geautoriseerde apparaten

    Threat Mitigered: Ongeautoriseerde apparaatcommunicatie en parametermanipulatie; Rogue-apparaten die verbinding maken met de beheerinterface; Afluisteren van onversleuteld apparaatverkeer (gemitigeerd door netwerksegmentatie); Denial-of-service-aanvallen vanuit ongeautoriseerde netwerksegmenten

Port 69/UDP (TFTP - Triviaal Bestandsoverdrachtprotocol)

  • Firmware downloaden en apparaatprovisionering
  • BIDIRECTIONELE communicatie
  • Onversleuteld (alleen gebruikt op geïsoleerde netwerken)
  • Alleen nodig tijdens firmware-updates
  • Kan buiten onderhoudsvensters worden uitgeschakeld

    Threat Mitigered: Ongeautoriseerde firmwaredownload en -deployment; Kwaadaardige firmware-injectie via TFTP Man-in-the-middle-aanvallen op firmwareoverdracht (gemitigeerd door netwerkisolatie); Ongeautoriseerde apparaatprovisionering; Afluisteren van niet-versleutelde firmware-overdrachten

 

Let op: terwijl het apparaat wordt geprovisioneerd in ABB Ability™ EM & AM, zorg ervoor dat je firewall correct is geconfigureerd, volgens de hierboven gerapporteerde actieve poorten. Als er communicatieproblemen optreden, probeer dan tijdelijk je firewall uit te schakelen en deze aan het einde van het provisioningproces weer in te schakelen.

 

Voor meer details over de Modbus-beveiligingsrichtlijnen en veiligheidsinformatie, klik hier.