Diretrizes de Implantação de Segurança Cibernética

Este artigo foi traduzido automaticamente. Veja a versão original.

Segurança de Instalação e Comissionamento
Antes de conectar o Ekip Connect a qualquer rede ou dispositivo, paraminimizar o risco de violações de segurança e malwares, siga esta lista de verificação de segurança:

1. Sistema Operacional

  • Implantar no Windows 11 com os últimos patches de segurança (mínimo: Windows 10, fim do suporte oficial em janeiro de 2027)

    Ameaça Mitigada: Vulnerabilidades conhecidas do sistema operacional, exploits de segurança não corrigidos e ataques de escalonamento de privilégios em nível de sistema.

  • Ativar o Secure Boot na BIOS (obrigatório para Windows 11)

    Ameaça Mitigada: Ataques de bootkit, execução não autorizada de código em nível de boot e interferência no processo de boot

2. Segurança de Estação de Trabalho

  • Restringa o acesso físico às estações de trabalho Ekip Connect

    Ameaça Mitigada: Manipulação física, acesso não autorizado a dispositivos e manipulação direta de hardware.

  • Habilitar criptografia total de disco (BitLocker ou equivalente)

    Ameaça Mitigada: Exfiltração de dados se a estação de trabalho for roubada ou fisicamente comprometida; acesso não autorizado a dados sensíveis armazenados.

  • Desative o login automático; Configurar login protegido por senha

    Ameaça Mitigada: Acesso não autorizado por agentes ameaçadores com acesso físico ou que obtenham acesso a uma estação de trabalho desbloqueada.

  • Configurar bloqueio automático de tela (recomendado 15 minutos)

    Ameaça Mitigada: Acesso não autorizado à aplicação EkipConnect e aos sistemas conectados durante ausência do usuário

  • Habilitar o Firewall do Windows com regras padrão de entrada de negação

    Ameaça Mitigada: Acesso não autorizado à rede, tráfego de entrada não solicitado e comunicação de comando e controle de malware.

3. Proteção de Software

  • Instale antivírus + antimalware

    Ameaça Mitigada: Infecção por malware, execução de trojans e código malicioso rodando na estação de trabalho.

  • Configure Scanning em tempo real e varreduras completas diárias.

    Mitigação de Ameaças: Detecção e prevenção em tempo real da execução de malware; identificação de ameaças dormentes ou recentemente introduzidas.

  • Habilitar atualizações automáticas de definições de antivírus

    Ameaça Mitigada: Evasão da detecção de antivírus por novas ou recentes variantes de malware.

4. Autenticação do Usuário

  • Todos os usuários devem se autenticar via MyABB (se for um laptop ABB)

    Ameaça Mitigada: Acesso não autorizado ao EkipConnect por usuários não autenticados ou se passando por pessoa.

  • Impor senhas fortes (mínimo 8 caracteres, 3 tipos de caracteres)

    Ameaça Mitigada: Ataques de força bruta, ataques de dicionário e adivinhação de senhas por agentes ameaçadores.

  • Habilitar a Autenticação Multifator (MFA) para MyABB

    Ameaça Mitigada: Tomada de controle de conta e acesso não autorizado mesmo que as credenciais dos usuários sejam comprometidas ou roubadas

  • Desative sessões simultâneas a partir da mesma conta de usuário

    Ameaça Mitigada: Acesso não autorizado usando credenciais roubadas ou comprometidas em outra estação de trabalho ou dispositivo.

5. Configuração da Rede

  •  Implantação em um segmento dedicado de rede de gerenciamento (VLAN separada)

    Ameaça Mitigada: Movimentação lateral de atacantes a partir de sistemas corporativos comprometidos; acesso não autorizado a funções críticas de gestão.

  • Configure o firewall para permitir apenas as portas de saída necessárias:

      • Porta 443/TCP (conectividade HTTPS em nuvem)

      • Porta 53/UDP (DNS)

      • Porta 123/UDP (NTP)

    Ameaça Mitigada: Comunicação não autorizada de saída, callbacks de comando e controle de malware e exfiltração de dados para infraestrutura do atacante.

  • Isolar redes de dispositivos de redes empresariais (firewall necessário)

    Ameaça Mitigada: Movimento lateral entre redes empresariais e de dispositivos críticos; acesso não autorizado a dispositivos críticos para a segurança.

6. Atualizações Automáticas

  • Habilitar atualizações automáticas do Windows

    Mitigação de Ameaças: Vulnerabilidades conhecidas do sistema operacional e patches de segurança em nível de sistema são implantados em tempo hábil.

  • Configure antivírus para atualizar definições automaticamente

    Ameaça Mitigada: Evasão de detecção por novas variantes de malware e ameaças de malware zero-day.

7. Verificação Inicial

  • Verifique se o Secure Boot está ativo
  • Verifique se o Firewall do Windows está ativado
  •  Verifique se o antivírus está rodando e atualizado

    Ameaça Mitigada: Erros de configuração, falhas em controles de segurança e implantação incompleta de linhas de base obrigatórias de segurança.

     

Configuração e segurança do firewall

Ekip Connect utiliza portas específicas para diferentes tipos de comunicação. A configuração adequada do firewall é essencial para a segurança.

 

Portas obrigatórias (necessárias para recursos em nuvem)

Porta 443/TCP (HTTPS - Conectividade em Nuvem)

  • API do Gerenciador Digital ABB ELSP
  • Conectividade da Plataforma ABB Ability
  • Acesso à biblioteca de firmware
  • Atualizações e patches para download
  • Deve ser ATIVADO para recursos em nuvem
  • SEMPRE criptografado (TLS 1.2 ou superior)

    Ameaça Mitigada: Ataques Man-in-the-Middle (MITM) à comunicação na nuvem (mitigados por criptografia TLS); Acesso não autorizado a APIs em nuvem e bibliotecas de firmware; Interceptação de atualizações de firmware e patches de segurança

Porta 53/UDP (DNS - Resolução de Nomes de Domínio)

  • Necessário para resolver endpoints de nuvem ABB
  • Deve estar ATIVADO para qualquer conectividade na nuvem
  • Sem criptografia (protocolo DNS padrão)
  • Recomendo usar servidores DNS confiáveis

    Ameaça Mitigada: ataques de falsificação de DNS que redirecionam o EkipConnect para endpoints maliciosos na nuvem; Envenenamento do cache DNS; Redirecionamento não autorizado da conectividade da nuvem

     

Ports Recomendados (Altamente Recomendados)

Porta 123/UDP (NTP - Sincronização de Tempo)

  • Protocolo de Tempo de Rede para precisão do clock do sistema
  • Importante para precisão e segurança dos registros de carimbo de tempo
  • Altamente recomendado, mas não estritamente obrigatório
  • Ative se a configuração da rede permitir

    Ameaça Mitigada: Manipulação e manipulação de registros de data/hora; Ataques de desorientamento de clock que invalidam controles de segurança baseados em tempo; Trilha de auditoria imprecisa e reconstrução de incidentes

     

Portas de Comunicação de Dispositivos (Para Conexões de Dispositivos)

Porta 502/TCP (Modbus TCP)

  • Comunicação Device-to-Ekip Connect via Ethernet
  • BIDIRECIONAL (dispositivo pode se conectar de volta)
  • Protocolo não criptografado (segmentação de rede necessária)
  • Ativar apenas em redes de dispositivos (não voltadas para a internet)
  • O firewall deve restringir essa porta apenas a dispositivos autorizados

    Ameaça Mitigada: Comunicação não autorizada de dispositivos e manipulação de parâmetros; Dispositivos desonestos conectando-se à interface de gerenciamento; Escuta clandestina do tráfego de dispositivos não criptografado (mitigado pela segmentação da rede); Ataques de negação de serviço de segmentos de rede não autorizados

Porta 69/UDP (TFTP - Protocolo Trivial de Transferência de Arquivos)

  • Download de firmware e provisionamento de dispositivos
  • Comunicação BIDIRECIONAL
  • Sem criptografia (uso apenas em redes isoladas)
  • Só é necessário durante as operações de atualização de firmware
  • Pode ser desativado fora das janelas de manutenção

    Ameaça Mitigada: Download e implantação não autorizados de firmware; Injeção maliciosa de firmware via ataques Man-in-the-middle do TFTP na transferência de firmware (mitigada pelo isolamento da rede); Provisionamento não autorizado de dispositivos; Escuta de transferências de firmware não criptografadas

 

Observação: enquanto o provisionamento do dispositivo é processado para o ABB Ability™ EM & AM, certifique-se de que seu firewall está devidamente configurado, de acordo com as portas ativas mencionadas acima. Se houver problemas de comunicação, tente desativar temporariamente seu firewall, ativando-o novamente ao final do processo de provisionamento.

 

Para mais detalhes sobre as diretrizes de implantação de segurança do Modbus e informações de segurança, por favor clique aqui.