Segurança de Instalação e Comissionamento
Antes de conectar o Ekip Connect a qualquer rede ou dispositivo, paraminimizar o risco de violações de segurança e malwares, siga esta lista de verificação de segurança:
1. Sistema Operacional
Ameaça Mitigada: Vulnerabilidades conhecidas do sistema operacional, exploits de segurança não corrigidos e ataques de escalonamento de privilégios em nível de sistema.
Ameaça Mitigada: Ataques de bootkit, execução não autorizada de código em nível de boot e interferência no processo de boot
2. Segurança de Estação de Trabalho
Restringa o acesso físico às estações de trabalho Ekip Connect
Ameaça Mitigada: Manipulação física, acesso não autorizado a dispositivos e manipulação direta de hardware.
Habilitar criptografia total de disco (BitLocker ou equivalente)
Ameaça Mitigada: Exfiltração de dados se a estação de trabalho for roubada ou fisicamente comprometida; acesso não autorizado a dados sensíveis armazenados.
Desative o login automático; Configurar login protegido por senha
Ameaça Mitigada: Acesso não autorizado por agentes ameaçadores com acesso físico ou que obtenham acesso a uma estação de trabalho desbloqueada.
Configurar bloqueio automático de tela (recomendado 15 minutos)
Ameaça Mitigada: Acesso não autorizado à aplicação EkipConnect e aos sistemas conectados durante ausência do usuário
Habilitar o Firewall do Windows com regras padrão de entrada de negação
Ameaça Mitigada: Acesso não autorizado à rede, tráfego de entrada não solicitado e comunicação de comando e controle de malware.
3. Proteção de Software
Instale antivírus + antimalware
Ameaça Mitigada: Infecção por malware, execução de trojans e código malicioso rodando na estação de trabalho.
Configure Scanning em tempo real e varreduras completas diárias.
Mitigação de Ameaças: Detecção e prevenção em tempo real da execução de malware; identificação de ameaças dormentes ou recentemente introduzidas.
Habilitar atualizações automáticas de definições de antivírus
Ameaça Mitigada: Evasão da detecção de antivírus por novas ou recentes variantes de malware.
4. Autenticação do Usuário
Todos os usuários devem se autenticar via MyABB (se for um laptop ABB)
Ameaça Mitigada: Acesso não autorizado ao EkipConnect por usuários não autenticados ou se passando por pessoa.
Impor senhas fortes (mínimo 8 caracteres, 3 tipos de caracteres)
Ameaça Mitigada: Ataques de força bruta, ataques de dicionário e adivinhação de senhas por agentes ameaçadores.
Habilitar a Autenticação Multifator (MFA) para MyABB
Ameaça Mitigada: Tomada de controle de conta e acesso não autorizado mesmo que as credenciais dos usuários sejam comprometidas ou roubadas
Desative sessões simultâneas a partir da mesma conta de usuário
Ameaça Mitigada: Acesso não autorizado usando credenciais roubadas ou comprometidas em outra estação de trabalho ou dispositivo.
5. Configuração da Rede
Implantação em um segmento dedicado de rede de gerenciamento (VLAN separada)
Ameaça Mitigada: Movimentação lateral de atacantes a partir de sistemas corporativos comprometidos; acesso não autorizado a funções críticas de gestão.
• Porta 443/TCP (conectividade HTTPS em nuvem)
• Porta 53/UDP (DNS)
• Porta 123/UDP (NTP)
Ameaça Mitigada: Comunicação não autorizada de saída, callbacks de comando e controle de malware e exfiltração de dados para infraestrutura do atacante.
Isolar redes de dispositivos de redes empresariais (firewall necessário)
Ameaça Mitigada: Movimento lateral entre redes empresariais e de dispositivos críticos; acesso não autorizado a dispositivos críticos para a segurança.
6. Atualizações Automáticas
Habilitar atualizações automáticas do Windows
Mitigação de Ameaças: Vulnerabilidades conhecidas do sistema operacional e patches de segurança em nível de sistema são implantados em tempo hábil.
Configure antivírus para atualizar definições automaticamente
Ameaça Mitigada: Evasão de detecção por novas variantes de malware e ameaças de malware zero-day.
7. Verificação Inicial
Verifique se o antivírus está rodando e atualizado
Ameaça Mitigada: Erros de configuração, falhas em controles de segurança e implantação incompleta de linhas de base obrigatórias de segurança.
Configuração e segurança do firewall
Ekip Connect utiliza portas específicas para diferentes tipos de comunicação. A configuração adequada do firewall é essencial para a segurança.
Portas obrigatórias (necessárias para recursos em nuvem)
Porta 443/TCP (HTTPS - Conectividade em Nuvem)
SEMPRE criptografado (TLS 1.2 ou superior)
Ameaça Mitigada: Ataques Man-in-the-Middle (MITM) à comunicação na nuvem (mitigados por criptografia TLS); Acesso não autorizado a APIs em nuvem e bibliotecas de firmware; Interceptação de atualizações de firmware e patches de segurança
Porta 53/UDP (DNS - Resolução de Nomes de Domínio)
Recomendo usar servidores DNS confiáveis
Ameaça Mitigada: ataques de falsificação de DNS que redirecionam o EkipConnect para endpoints maliciosos na nuvem; Envenenamento do cache DNS; Redirecionamento não autorizado da conectividade da nuvem
Ports Recomendados (Altamente Recomendados)
Porta 123/UDP (NTP - Sincronização de Tempo)
Ative se a configuração da rede permitir
Ameaça Mitigada: Manipulação e manipulação de registros de data/hora; Ataques de desorientamento de clock que invalidam controles de segurança baseados em tempo; Trilha de auditoria imprecisa e reconstrução de incidentes
Portas de Comunicação de Dispositivos (Para Conexões de Dispositivos)
Porta 502/TCP (Modbus TCP)
O firewall deve restringir essa porta apenas a dispositivos autorizados
Ameaça Mitigada: Comunicação não autorizada de dispositivos e manipulação de parâmetros; Dispositivos desonestos conectando-se à interface de gerenciamento; Escuta clandestina do tráfego de dispositivos não criptografado (mitigado pela segmentação da rede); Ataques de negação de serviço de segmentos de rede não autorizados
Porta 69/UDP (TFTP - Protocolo Trivial de Transferência de Arquivos)
Pode ser desativado fora das janelas de manutenção
Ameaça Mitigada: Download e implantação não autorizados de firmware; Injeção maliciosa de firmware via ataques Man-in-the-middle do TFTP na transferência de firmware (mitigada pelo isolamento da rede); Provisionamento não autorizado de dispositivos; Escuta de transferências de firmware não criptografadas
Observação: enquanto o provisionamento do dispositivo é processado para o ABB Ability™ EM & AM, certifique-se de que seu firewall está devidamente configurado, de acordo com as portas ativas mencionadas acima. Se houver problemas de comunicação, tente desativar temporariamente seu firewall, ativando-o novamente ao final do processo de provisionamento.
Para mais detalhes sobre as diretrizes de implantação de segurança do Modbus e informações de segurança, por favor clique aqui.