Ghiduri pentru implementarea securității cibernetice

This article has been translated automatically. See the original version.

Securitatea Instalării și Punere în Funcțiune
Înainte de a conecta Ekip Connect la orice rețea sau dispozitive, pentrua minimiza riscul de breșe de securitate și malware, urmează această listă de verificare a securității:

1. Sistem de operare

  • Implementare pe Windows 11 cu cele mai recente patch-uri de securitate (minim: Windows 10, sfârșitul suportului oficial în ianuarie 2027)

    Amenințări atenuate: Vulnerabilități cunoscute ale sistemului de operare, exploatări de securitate nepatch-uite și atacuri de escaladare a privilegiilor la nivel de sistem.

  • Activează Secure Boot în BIOS (obligatoriu pentru Windows 11)

    Amenințări atenuate: Atacuri tip bootkit, execuție neautorizată a codului la nivel de boot și manipularea procesului de boot

2. Securitatea stațiilor de lucru

  • Restricționarea accesului fizic la stațiile de lucru Ekip Connect

    Amenințarea atenuată: Manipulare fizică, acces neautorizat la dispozitive și manipulare directă a hardware-ului.

  • Activează criptarea completă a discului (BitLocker sau echivalent)

    Amenințare atenuată: Exfiltrarea datelor dacă stația de lucru este furată sau compromisă fizic; acces neautorizat la date sensibile stocate.

  • Dezactivează autentificarea automată; Configurează autentificarea protejată cu parolă

    Amenințare atenuată: Acces neautorizat de către actorii amenințători cu acces fizic sau care obțin acces la o stație de lucru deblocată.

  • Configurează blocarea automată a ecranului (recomandă 15 minute)

    Amenințare redusă: Acces neautorizat la aplicația EkipConnect și la sistemele conectate în absența utilizatorului

  • Activează Windows Firewall cu reguli implicite de respingere a intrărilor

    Amenințări atenuate: Acces neautorizat la rețea, trafic nesolicitat și comunicare de comandă și control cu malware.

3. Protecția software-ului

  • Instalează software antivirus + antimalware

    Amenințări atenuate: Infectare cu malware, execuție de troieni și cod malițios care rulează pe stația de lucru.

  • Configurează Scanning în timp real și scanări complete zilnice.

    Amenințări atenuate: Detectarea și prevenirea în timp real a execuției malware-ului; identificarea amenințărilor latente sau recent introduse.

  • Activează actualizările automate ale definiției antivirus

    Amenințarea atenuată: Evitarea detectării antivirus de către variante noi sau recent descoperite de malware.

4. Autentificare a utilizatorului

  • Toți utilizatorii trebuie să se autentifice prin MyABB (dacă laptopul ABB)

    Amenințări reduse: Acces neautorizat la EkipConnect de către utilizatori neautentificați sau impersonați.

  • Impune parole puternice (minim 8 caractere, 3 tipuri de caractere)

    Amenințare atenuată: Atacuri prin forță brută, atacuri în dicționar și ghicirea parolelor de către actorii de amenințare.

  • Activează autentificarea multifactor (MFA) pentru MyABB

    Amenințări reduse: Preluarea contului și acces neautorizat chiar dacă datele de identitate sunt compromise sau furate

  • Dezactivează sesiunile concurente de pe același cont de utilizator

    Reducerea amenințărilor: Acces neautorizat folosind acreditări furate sau compromise pe o altă stație de lucru sau dispozitiv.

5. Configurația rețelei

  •  Implementare pe segment dedicat de rețea de management (VLAN separat)

    Amenințare atenuată: Mișcare laterală de către atacatori din sisteme compromise; acces neautorizat la funcții critice de management.

  • Configurați firewall-ul pentru a permite doar porturile de ieșire necesare:

      • Port 443/TCP (conectivitate HTTPS cloud)

      • Port 53/UDP (DNS)

      • Port 123/UDP (NTP)

    Amenințări atenuate: Comunicare neautorizată la ieșire, callback-uri de comandă și control cu malware și exfiltrare de date către infrastructura atacatorilor.

  • Izolarea rețelelor de dispozitive de rețelele enterprise (necesită firewall)

    Amenințare atenuată: Mișcare laterală între rețelele enterprise și cele ale dispozitivelor critice; acces neautorizat la dispozitive critice pentru siguranță.

6. Actualizări automate

  • Activează actualizările automate de Windows

    Reducerea amenințărilor: Vulnerabilitățile cunoscute ale sistemului de operare și patch-urile de securitate la nivel de sistem sunt implementate într-un timp util.

  • Configurați antivirus pentru a actualiza automat definițiile

    Amenințarea atenuată: Evitarea detectării prin noi variante de malware și amenințări de tip zero-day malware.

7. Verificare inițială

  • Verifică că Secure Boot este activ
  • Verifică dacă firewall-ul Windows este activat
  •  Verifică dacă antivirus funcționează și este actualizat

    Amenințare atenuată: Erori de configurare, controale de securitate ratate și implementarea incompletă a unor baze de securitate obligatorii.

     

Configurarea firewall-ului și securitatea

Ekip Connect folosește porturi specifice pentru diferite tipuri de comunicare. O configurare corectă a firewall-ului este esențială pentru securitate.

 

Portări obligatorii (necesare pentru funcționalitățile cloud)

Port 443/TCP (HTTPS - Conectivitate Cloud)

  • API-ul ABB ELSP Digital Manager
  • Conectivitatea Platformei ABB Ability
  • Acces la bibliotecă de firmware
  • Descărcare actualizări și patch-uri
  • Trebuie să fie ACTIVAT pentru funcționalitățile cloud
  • ÎNTOTDEAUNA criptat (TLS 1.2 sau mai mare)

    Amenințări atenuate: Atacuri Man-in-the-Middle (MITM) asupra comunicațiilor în cloud (atenuate prin criptare TLS); Acces neautorizat la API-uri cloud și biblioteci de firmware; Interceptarea actualizărilor de firmware și a patch-urilor de securitate

Portul 53/UDP (DNS - Rezoluția numelor de domeniu)

  • Necesar pentru a rezolva punctele finale cloud ABB
  • Trebuie să fie ACTIVAT pentru orice conectivitate la cloud
  • Fără criptare (protocol DNS standard)
  • Recomand să folosești servere DNS de încredere

    Amenințări atenuate: Atacuri de falsificare DNS care redirecționează EkipConnect către puncte web malițioase din cloud; Intoxicarea cache-ului DNS; Redirecționarea neautorizată a conectivității în cloud

     

Portări recomandate (foarte recomandate)

Portul 123/UDP (NTP - sincronizare a timpului)

  • Protocolul de Timp de Rețea pentru acuratețea ceasului de sistem
  • Important pentru acuratețea și securitatea marcării temporale a jurnalelor
  • Foarte recomandat, dar nu strict obligatoriu
  • Activează dacă configurația rețelei permite

    Amenințare atenuată: Manipularea și modificarea timpului jurnalului; Atacuri de tip ceas-înclinare care invalidează controalele de securitate bazate pe timp; Traseul inexact al auditului și reconstrucția incidentelor

     

Porturi de comunicare ale dispozitivelor (pentru conexiuni între dispozitive)

Portul 502/TCP (Modbus TCP)

  • Comunicarea dispozitiv-la-Ekip Connect prin Ethernet
  • BIDIRECȚIONAL (dispozitivul se poate conecta înapoi)
  • Protocol necriptat (segmentarea rețelei necesară)
  • Activează doar pe rețelele de dispozitive (nu conectate la internet)
  • Firewall-ul ar trebui să restricționeze acest port doar la dispozitive autorizate

    Amenințări atenuate: Comunicare neautorizată a dispozitivelor și manipulare a parametrilor; Dispozitive neautorizate care se conectează la interfața de management; Interceptarea traficului necriptat al dispozitivelor (atenuat prin segmentarea rețelei); Atacuri de tip denial-of-service din segmente neautorizate de rețea

Portul 69/UDP (TFTP - Protocolul Trivial de Transfer de Fișiere)

  • Descărcare de firmware și aprovizionare a dispozitivelor
  • Comunicare bidirecțională
  • Necriptat (folosit doar pe rețele izolate)
  • Este necesar doar în timpul operațiunilor de actualizare a firmware-ului
  • Poate fi dezactivat în afara ferestrelor de întreținere

    Amenințări atenuate: Descărcare și implementare neautorizată de firmware; Injectarea de firmware malițioasă prin atacuri Man-in-the-middle TFTP asupra transferului de firmware (atenuată prin izolarea rețelei); Aprovizionare neautorizată a dispozitivelor; Interceptarea transferurilor de firmware necriptate

 

Notă: în timp ce procesul de aprovizionare a dispozitivelor în ABB Ability™ EM & AM, asigură-te că firewall-ul tău este configurat corect, conform porturilor active raportate mai sus. Dacă apar probleme de comunicare, încearcă să dezactivezi temporar firewall-ul, activându-l din nou la finalul procesului de Provisioning.

 

Pentru mai multe detalii despre ghidurile de implementare a securității Modbus și informații despre siguranță, vă rugăm să faceți clic aici.