Bezpieczeństwo instalacji i uruchomienia
Przed podłączeniem Ekip Connect do jakiejkolwiek sieci lub urządzeń, abyzminimalizować ryzyko naruszeń bezpieczeństwa i złośliwego oprogramowania, postępuj zgodnie z tą listą kontrolną:
1. System operacyjny
Ograniczenie zagrożeń: Znane luki systemu operacyjnego, niezałatane narzuty bezpieczeństwa oraz ataki eskalujące uprawnienia na poziomie systemowym.
Ograniczenie zagrożeń: ataki bootkit, nieautoryzowane wykonywanie kodu na poziomie bootu oraz manipulacje procesem uruchamiania
2. Bezpieczeństwo stanowiska roboczego
Ogranicz fizyczny dostęp do stacji roboczych Ekip Connect
Ograniczenie zagrożeń: Fizyczne manipulacje, nieautoryzowany dostęp do urządzeń oraz bezpośrednia manipulacja sprzętem.
Włącz pełne szyfrowanie dysku (BitLocker lub odpowiednik)
Ograniczenie zagrożenia: Ekstrakcja danych, jeśli stacja robocza zostanie skradziona lub fizycznie naruszona; nieautoryzowany dostęp do wrażliwych przechowywanych danych.
Wyłącz autologowanie; konfiguruj logowanie chronione hasłem
Ograniczenie zagrożeń: Nieautoryzowany dostęp przez podmioty z fizycznym dostępem lub uzyskujące dostęp do odblokowanej stacji roboczej.
Konfiguruj automatyczne blokowanie ekranu (zalecane 15 minut)
Ograniczenie zagrożeń: Nieautoryzowany dostęp do aplikacji EkipConnect i połączonych systemów podczas nieobecności użytkownika
Włącz zaporę Windows z regułami domyślnymi odrzucaniem przychodzących
Ograniczenie zagrożeń: nieautoryzowany dostęp do sieci, niezamówiony ruch przychodzący oraz komunikacja poleceń i kontroli złośliwego oprogramowania.
3. Ochrona oprogramowania
Zainstaluj oprogramowanie antywirusowe + antymalware
Ograniczenie zagrożeń: infekcja malware, wykonanie trojanów i złośliwy kod działający na stacji roboczej.
Konfiguruj Scanning w czasie rzeczywistym oraz codzienne pełne skany.
Ograniczenie zagrożeń: wykrywanie i zapobieganie uruchamianiu złośliwego oprogramowania w czasie rzeczywistym; identyfikacja uśpionych lub niedawno wprowadzonych zagrożeń.
Włącz automatyczne aktualizacje definicji antywirusa
Ograniczenie zagrożeń: Unikanie wykrywania antywirusa przez nowe lub niedawno odkryte warianty złośliwego oprogramowania.
4. Uwierzytelnianie użytkownika
Wszyscy użytkownicy muszą uwierzytelnić się przez MyABB (jeśli laptopy ABB)
Ograniczenie zagrożeń: Nieautoryzowany dostęp do EkipConnect przez użytkowników nieuwierzytelnionych lub podszywanych pod nich.
Wymuszanie silnych haseł (minimum 8 znaków, 3 typy znaków)
Ograniczenie zagrożenia: ataki brute force, ataki słownikowe oraz zgadywanie haseł przez podmioty zagrożenie.
Włącz uwierzytelnianie wieloskładnikowe (MFA) dla MyABB
Ograniczenie zagrożeń: Przejęcie konta i nieautoryzowany dostęp nawet jeśli dane uwierzytelniające użytkownika zostaną przejęte lub skradzione
Wyłącz sesje równoległe z tego samego konta użytkownika
Ograniczenie zagrożenia: Nieautoryzowany dostęp przy użyciu skradzionych lub skompromitowanych danych uwierzytelniających na innej stacji roboczej lub urządzeniu.
5. Konfiguracja sieci
Wdrożenie na dedykowanym segmencie sieci zarządzania (osobny VLAN)
Ograniczenie zagrożeń: Ruch boczny atakujących z przejętych systemów korporacyjnych; nieautoryzowany dostęp do kluczowych funkcji zarządzania.
• Port 443/TCP (łączność HTTPS w chmurze)
• Port 53/UDP (DNS)
• Port 123/UDP (NTP)
Ograniczenie zagrożeń: nieautoryzowana komunikacja wychodząca, oddzwonienia polecenia i kontroli złośliwego oprogramowania oraz wyciąganie danych do infrastruktury atakującej.
Izoluj sieci urządzeń od sieci korporacyjnych (wymagana zapora)
Ograniczenie zagrożeń: Ruch boczny między sieciami korporacyjnymi a krytycznymi urządzeniami; nieautoryzowany dostęp do urządzeń krytycznych dla bezpieczeństwa.
6. Automatyczne aktualizacje
Włącz automatyczne aktualizacje Windows
Ograniczenie zagrożeń: Znane luki w systemie operacyjnym oraz poprawki bezpieczeństwa na poziomie systemu są wdrażane w odpowiednim czasie.
Konfiguruj antywirus do automatycznego aktualizowania definicji
Ograniczenie zagrożeń: unikanie wykrywania przez nowe warianty złośliwego oprogramowania oraz zagrożenia zero-day.
7. Weryfikacja początkowa
Sprawdź, czy antywirus działa i jest zaktualizowany
Ograniczenie zagrożeń: błędy konfiguracyjne, niezadane kontrolki bezpieczeństwa oraz niepełne wdrożenie obowiązkowych punktów bezpieczeństwa.
Konfiguracja zapory i bezpieczeństwo
Ekip Connect wykorzystuje specjalne porty do różnych rodzajów komunikacji. Prawidłowa konfiguracja zapory jest niezbędna dla bezpieczeństwa.
Obowiązkowe porty (wymagane dla funkcji chmurowych)
Port 443/TCP (HTTPS - Łączność w chmurze)
ZAWSZE szyfrowane (TLS 1.2 lub wyższe)
Ograniczenie zagrożeń: ataki typu man-in-the-middle (MITM) na komunikację w chmurze (łagodzone szyfrowaniem TLS); Nieautoryzowany dostęp do API w chmurze i bibliotek firmware; Przechwytywanie aktualizacji oprogramowania i łatek bezpieczeństwa
Port 53/UDP (DNS - Domain Name Resolution)
Polecam korzystanie z zaufanych serwerów DNS
Ograniczenie zagrożeń: ataki oparte pod DNS przekierowujące EkipConnect na złośliwe punkty końcowe chmury; Zatrucie pamięci podręcznej DNS; Nieautoryzowane przekierowanie łączności chmurowej
Zalecane porty (gorąco polecane)
Port 123/UDP (NTP - synchronizacja czasu)
Włącz, jeśli konfiguracja sieciowa na to pozwala
Ograniczenie zagrożenia: manipulacja i manipulacja znacznikami czasowymi w logach; Ataki z przesunięciem zegara, które unieważniają kontrolę bezpieczeństwa opartą na czasie; Nieprawidłowy ślad audytu i rekonstrukcja incydentów
Porty komunikacyjne urządzeń (dla połączeń z urządzeniami)
Port 502/TCP (Modbus TCP)
Zapora powinna ograniczać ten port tylko do urządzeń autoryzowanych
Ograniczenie zagrożeń: Nieautoryzowana komunikacja urządzeń i manipulacja parametrami; Nieuczciwe urządzenia łączące się z interfejsem zarządzania; Podsłuchiwanie nieszyfrowanego ruchu urządzeń (ograniczonego przez segmentację sieci); Ataki typu denial-of-service ze strony nieautoryzowanych segmentów sieci
Port 69/UDP (TFTP - Protokół Trywialnego Transferu Plików)
Można wyłączyć poza oknami konserwacyjnymi
Ograniczenie zagrożeń: Nieautoryzowane pobieranie i wdrażanie oprogramowania; Złośliwe wstrzykiwanie oprogramowania oprogramowania poprzez ataki TFTP Man-in-the-middle na transfer oprogramowania (łagodzone przez izolację sieciową); Nieautoryzowane udostępnianie urządzeń; Podsłuchiwanie nieszyfrowanych transferów firmware'u
Uwaga: podczas procesu provisioningu urządzenia do ABB Ability™ EM i AM, upewnij się, że zapora sieciowa jest prawidłowo skonfigurowana, zgodnie z aktywnymi portami opisanymi powyżej. Jeśli pojawią się problemy z komunikacją, spróbuj tymczasowo wyłączyć zaporę, włączając ją ponownie po zakończeniu procesu Provisioning.
Aby uzyskać więcej informacji na temat bezpieczeństwa, kliknij tutaj.