Wytyczne dotyczące wdrażania cyberbezpieczeństwa

This article has been translated automatically. See the original version.

Bezpieczeństwo instalacji i uruchomienia
Przed podłączeniem Ekip Connect do jakiejkolwiek sieci lub urządzeń, abyzminimalizować ryzyko naruszeń bezpieczeństwa i złośliwego oprogramowania, postępuj zgodnie z tą listą kontrolną:

1. System operacyjny

  • Wdrożenie na Windows 11 z najnowszymi poprawkami bezpieczeństwa (minimum: Windows 10, koniec oficjalnego wsparcia styczeń 2027)

    Ograniczenie zagrożeń: Znane luki systemu operacyjnego, niezałatane narzuty bezpieczeństwa oraz ataki eskalujące uprawnienia na poziomie systemowym.

  • Włącz Secure Boot w BIOS-ie (obowiązkowe w Windows 11)

    Ograniczenie zagrożeń: ataki bootkit, nieautoryzowane wykonywanie kodu na poziomie bootu oraz manipulacje procesem uruchamiania

2. Bezpieczeństwo stanowiska roboczego

  • Ogranicz fizyczny dostęp do stacji roboczych Ekip Connect

    Ograniczenie zagrożeń: Fizyczne manipulacje, nieautoryzowany dostęp do urządzeń oraz bezpośrednia manipulacja sprzętem.

  • Włącz pełne szyfrowanie dysku (BitLocker lub odpowiednik)

    Ograniczenie zagrożenia: Ekstrakcja danych, jeśli stacja robocza zostanie skradziona lub fizycznie naruszona; nieautoryzowany dostęp do wrażliwych przechowywanych danych.

  • Wyłącz autologowanie; konfiguruj logowanie chronione hasłem

    Ograniczenie zagrożeń: Nieautoryzowany dostęp przez podmioty z fizycznym dostępem lub uzyskujące dostęp do odblokowanej stacji roboczej.

  • Konfiguruj automatyczne blokowanie ekranu (zalecane 15 minut)

    Ograniczenie zagrożeń: Nieautoryzowany dostęp do aplikacji EkipConnect i połączonych systemów podczas nieobecności użytkownika

  • Włącz zaporę Windows z regułami domyślnymi odrzucaniem przychodzących

    Ograniczenie zagrożeń: nieautoryzowany dostęp do sieci, niezamówiony ruch przychodzący oraz komunikacja poleceń i kontroli złośliwego oprogramowania.

3. Ochrona oprogramowania

  • Zainstaluj oprogramowanie antywirusowe + antymalware

    Ograniczenie zagrożeń: infekcja malware, wykonanie trojanów i złośliwy kod działający na stacji roboczej.

  • Konfiguruj Scanning w czasie rzeczywistym oraz codzienne pełne skany.

    Ograniczenie zagrożeń: wykrywanie i zapobieganie uruchamianiu złośliwego oprogramowania w czasie rzeczywistym; identyfikacja uśpionych lub niedawno wprowadzonych zagrożeń.

  • Włącz automatyczne aktualizacje definicji antywirusa

    Ograniczenie zagrożeń: Unikanie wykrywania antywirusa przez nowe lub niedawno odkryte warianty złośliwego oprogramowania.

4. Uwierzytelnianie użytkownika

  • Wszyscy użytkownicy muszą uwierzytelnić się przez MyABB (jeśli laptopy ABB)

    Ograniczenie zagrożeń: Nieautoryzowany dostęp do EkipConnect przez użytkowników nieuwierzytelnionych lub podszywanych pod nich.

  • Wymuszanie silnych haseł (minimum 8 znaków, 3 typy znaków)

    Ograniczenie zagrożenia: ataki brute force, ataki słownikowe oraz zgadywanie haseł przez podmioty zagrożenie.

  • Włącz uwierzytelnianie wieloskładnikowe (MFA) dla MyABB

    Ograniczenie zagrożeń: Przejęcie konta i nieautoryzowany dostęp nawet jeśli dane uwierzytelniające użytkownika zostaną przejęte lub skradzione

  • Wyłącz sesje równoległe z tego samego konta użytkownika

    Ograniczenie zagrożenia: Nieautoryzowany dostęp przy użyciu skradzionych lub skompromitowanych danych uwierzytelniających na innej stacji roboczej lub urządzeniu.

5. Konfiguracja sieci

  •  Wdrożenie na dedykowanym segmencie sieci zarządzania (osobny VLAN)

    Ograniczenie zagrożeń: Ruch boczny atakujących z przejętych systemów korporacyjnych; nieautoryzowany dostęp do kluczowych funkcji zarządzania.

  • Skonfiguruj zaporę tak, aby zezwalała tylko na wymagane porty wychodzące:

      • Port 443/TCP (łączność HTTPS w chmurze)

      • Port 53/UDP (DNS)

      • Port 123/UDP (NTP)

    Ograniczenie zagrożeń: nieautoryzowana komunikacja wychodząca, oddzwonienia polecenia i kontroli złośliwego oprogramowania oraz wyciąganie danych do infrastruktury atakującej.

  • Izoluj sieci urządzeń od sieci korporacyjnych (wymagana zapora)

    Ograniczenie zagrożeń: Ruch boczny między sieciami korporacyjnymi a krytycznymi urządzeniami; nieautoryzowany dostęp do urządzeń krytycznych dla bezpieczeństwa.

6. Automatyczne aktualizacje

  • Włącz automatyczne aktualizacje Windows

    Ograniczenie zagrożeń: Znane luki w systemie operacyjnym oraz poprawki bezpieczeństwa na poziomie systemu są wdrażane w odpowiednim czasie.

  • Konfiguruj antywirus do automatycznego aktualizowania definicji

    Ograniczenie zagrożeń: unikanie wykrywania przez nowe warianty złośliwego oprogramowania oraz zagrożenia zero-day.

7. Weryfikacja początkowa

  • Sprawdź, czy Secure Boot jest aktywny
  • Sprawdź, czy zapora Windows jest włączona
  •  Sprawdź, czy antywirus działa i jest zaktualizowany

    Ograniczenie zagrożeń: błędy konfiguracyjne, niezadane kontrolki bezpieczeństwa oraz niepełne wdrożenie obowiązkowych punktów bezpieczeństwa.

     

Konfiguracja zapory i bezpieczeństwo

Ekip Connect wykorzystuje specjalne porty do różnych rodzajów komunikacji. Prawidłowa konfiguracja zapory jest niezbędna dla bezpieczeństwa.

 

Obowiązkowe porty (wymagane dla funkcji chmurowych)

Port 443/TCP (HTTPS - Łączność w chmurze)

  • ABB ELSP Digital Manager API
  • Łączność z platformą ABB Ability
  • Dostęp do biblioteki firmware'u
  • Aktualizacje i poprawki do pobrania
  • Musi być WŁĄCZONY dla funkcji chmurowych
  • ZAWSZE szyfrowane (TLS 1.2 lub wyższe)

    Ograniczenie zagrożeń: ataki typu man-in-the-middle (MITM) na komunikację w chmurze (łagodzone szyfrowaniem TLS); Nieautoryzowany dostęp do API w chmurze i bibliotek firmware; Przechwytywanie aktualizacji oprogramowania i łatek bezpieczeństwa

Port 53/UDP (DNS - Domain Name Resolution)

  • Wymagane do rozwiązania punktów końcowych chmury ABB
  • Musi być WŁĄCZONY dla każdej łączności w chmurze
  • Brak szyfrowania (standardowy protokół DNS)
  • Polecam korzystanie z zaufanych serwerów DNS

    Ograniczenie zagrożeń: ataki oparte pod DNS przekierowujące EkipConnect na złośliwe punkty końcowe chmury; Zatrucie pamięci podręcznej DNS; Nieautoryzowane przekierowanie łączności chmurowej

     

Zalecane porty (gorąco polecane)

Port 123/UDP (NTP - synchronizacja czasu)

  • Protokół Network Time Protocol do dokładności zegara systemu
  • Ważne dla dokładności i bezpieczeństwa znaczników czasowych w logach
  • Gorąco polecam, ale nie jest to absolutnie obowiązkowe
  • Włącz, jeśli konfiguracja sieciowa na to pozwala

    Ograniczenie zagrożenia: manipulacja i manipulacja znacznikami czasowymi w logach; Ataki z przesunięciem zegara, które unieważniają kontrolę bezpieczeństwa opartą na czasie; Nieprawidłowy ślad audytu i rekonstrukcja incydentów

     

Porty komunikacyjne urządzeń (dla połączeń z urządzeniami)

Port 502/TCP (Modbus TCP)

  • Komunikacja urządzenia do Ekip Connect przez Ethernet
  • Dwukierunkowy (urządzenie może się ponownie połączyć)
  • Nieszyfrowany protokół (wymagana segmentacja sieci)
  • Włączaj tylko sieci na urządzeniu (nie w internecie)
  • Zapora powinna ograniczać ten port tylko do urządzeń autoryzowanych

    Ograniczenie zagrożeń: Nieautoryzowana komunikacja urządzeń i manipulacja parametrami; Nieuczciwe urządzenia łączące się z interfejsem zarządzania; Podsłuchiwanie nieszyfrowanego ruchu urządzeń (ograniczonego przez segmentację sieci); Ataki typu denial-of-service ze strony nieautoryzowanych segmentów sieci

Port 69/UDP (TFTP - Protokół Trywialnego Transferu Plików)

  • Pobieranie oprogramowania firmware'owego i konfiguracja urządzeń
  • Komunikacja dwukierunkowa
  • Nieszyfrowane (używane tylko w sieciach izolowanych)
  • Wymagane tylko podczas aktualizacji oprogramowania
  • Można wyłączyć poza oknami konserwacyjnymi

    Ograniczenie zagrożeń: Nieautoryzowane pobieranie i wdrażanie oprogramowania; Złośliwe wstrzykiwanie oprogramowania oprogramowania poprzez ataki TFTP Man-in-the-middle na transfer oprogramowania (łagodzone przez izolację sieciową); Nieautoryzowane udostępnianie urządzeń; Podsłuchiwanie nieszyfrowanych transferów firmware'u

 

Uwaga: podczas procesu provisioningu urządzenia do ABB Ability™ EM i AM, upewnij się, że zapora sieciowa jest prawidłowo skonfigurowana, zgodnie z aktywnymi portami opisanymi powyżej. Jeśli pojawią się problemy z komunikacją, spróbuj tymczasowo wyłączyć zaporę, włączając ją ponownie po zakończeniu procesu Provisioning.

 

Aby uzyskać więcej informacji na temat bezpieczeństwa, kliknij tutaj.