Securitatea Instalării și Punere în Funcțiune
Înainte de a conecta Ekip Connect la orice rețea sau dispozitive, pentrua minimiza riscul de breșe de securitate și malware, urmează această listă de verificare a securității:
1. Sistem de operare
Amenințări atenuate: Vulnerabilități cunoscute ale sistemului de operare, exploatări de securitate nepatch-uite și atacuri de escaladare a privilegiilor la nivel de sistem.
Amenințări atenuate: Atacuri tip bootkit, execuție neautorizată a codului la nivel de boot și manipularea procesului de boot
2. Securitatea stațiilor de lucru
Restricționarea accesului fizic la stațiile de lucru Ekip Connect
Amenințarea atenuată: Manipulare fizică, acces neautorizat la dispozitive și manipulare directă a hardware-ului.
Activează criptarea completă a discului (BitLocker sau echivalent)
Amenințare atenuată: Exfiltrarea datelor dacă stația de lucru este furată sau compromisă fizic; acces neautorizat la date sensibile stocate.
Dezactivează autentificarea automată; Configurează autentificarea protejată cu parolă
Amenințare atenuată: Acces neautorizat de către actorii amenințători cu acces fizic sau care obțin acces la o stație de lucru deblocată.
Configurează blocarea automată a ecranului (recomandă 15 minute)
Amenințare redusă: Acces neautorizat la aplicația EkipConnect și la sistemele conectate în absența utilizatorului
Activează Windows Firewall cu reguli implicite de respingere a intrărilor
Amenințări atenuate: Acces neautorizat la rețea, trafic nesolicitat și comunicare de comandă și control cu malware.
3. Protecția software-ului
Instalează software antivirus + antimalware
Amenințări atenuate: Infectare cu malware, execuție de troieni și cod malițios care rulează pe stația de lucru.
Configurează Scanning în timp real și scanări complete zilnice.
Amenințări atenuate: Detectarea și prevenirea în timp real a execuției malware-ului; identificarea amenințărilor latente sau recent introduse.
Activează actualizările automate ale definiției antivirus
Amenințarea atenuată: Evitarea detectării antivirus de către variante noi sau recent descoperite de malware.
4. Autentificare a utilizatorului
Toți utilizatorii trebuie să se autentifice prin MyABB (dacă laptopul ABB)
Amenințări reduse: Acces neautorizat la EkipConnect de către utilizatori neautentificați sau impersonați.
Impune parole puternice (minim 8 caractere, 3 tipuri de caractere)
Amenințare atenuată: Atacuri prin forță brută, atacuri în dicționar și ghicirea parolelor de către actorii de amenințare.
Activează autentificarea multifactor (MFA) pentru MyABB
Amenințări reduse: Preluarea contului și acces neautorizat chiar dacă datele de identitate sunt compromise sau furate
Dezactivează sesiunile concurente de pe același cont de utilizator
Reducerea amenințărilor: Acces neautorizat folosind acreditări furate sau compromise pe o altă stație de lucru sau dispozitiv.
5. Configurația rețelei
Implementare pe segment dedicat de rețea de management (VLAN separat)
Amenințare atenuată: Mișcare laterală de către atacatori din sisteme compromise; acces neautorizat la funcții critice de management.
• Port 443/TCP (conectivitate HTTPS cloud)
• Port 53/UDP (DNS)
• Port 123/UDP (NTP)
Amenințări atenuate: Comunicare neautorizată la ieșire, callback-uri de comandă și control cu malware și exfiltrare de date către infrastructura atacatorilor.
Izolarea rețelelor de dispozitive de rețelele enterprise (necesită firewall)
Amenințare atenuată: Mișcare laterală între rețelele enterprise și cele ale dispozitivelor critice; acces neautorizat la dispozitive critice pentru siguranță.
6. Actualizări automate
Activează actualizările automate de Windows
Reducerea amenințărilor: Vulnerabilitățile cunoscute ale sistemului de operare și patch-urile de securitate la nivel de sistem sunt implementate într-un timp util.
Configurați antivirus pentru a actualiza automat definițiile
Amenințarea atenuată: Evitarea detectării prin noi variante de malware și amenințări de tip zero-day malware.
7. Verificare inițială
Verifică dacă antivirus funcționează și este actualizat
Amenințare atenuată: Erori de configurare, controale de securitate ratate și implementarea incompletă a unor baze de securitate obligatorii.
Configurarea firewall-ului și securitatea
Ekip Connect folosește porturi specifice pentru diferite tipuri de comunicare. O configurare corectă a firewall-ului este esențială pentru securitate.
Portări obligatorii (necesare pentru funcționalitățile cloud)
Port 443/TCP (HTTPS - Conectivitate Cloud)
ÎNTOTDEAUNA criptat (TLS 1.2 sau mai mare)
Amenințări atenuate: Atacuri Man-in-the-Middle (MITM) asupra comunicațiilor în cloud (atenuate prin criptare TLS); Acces neautorizat la API-uri cloud și biblioteci de firmware; Interceptarea actualizărilor de firmware și a patch-urilor de securitate
Portul 53/UDP (DNS - Rezoluția numelor de domeniu)
Recomand să folosești servere DNS de încredere
Amenințări atenuate: Atacuri de falsificare DNS care redirecționează EkipConnect către puncte web malițioase din cloud; Intoxicarea cache-ului DNS; Redirecționarea neautorizată a conectivității în cloud
Portări recomandate (foarte recomandate)
Portul 123/UDP (NTP - sincronizare a timpului)
Activează dacă configurația rețelei permite
Amenințare atenuată: Manipularea și modificarea timpului jurnalului; Atacuri de tip ceas-înclinare care invalidează controalele de securitate bazate pe timp; Traseul inexact al auditului și reconstrucția incidentelor
Porturi de comunicare ale dispozitivelor (pentru conexiuni între dispozitive)
Portul 502/TCP (Modbus TCP)
Firewall-ul ar trebui să restricționeze acest port doar la dispozitive autorizate
Amenințări atenuate: Comunicare neautorizată a dispozitivelor și manipulare a parametrilor; Dispozitive neautorizate care se conectează la interfața de management; Interceptarea traficului necriptat al dispozitivelor (atenuat prin segmentarea rețelei); Atacuri de tip denial-of-service din segmente neautorizate de rețea
Portul 69/UDP (TFTP - Protocolul Trivial de Transfer de Fișiere)
Poate fi dezactivat în afara ferestrelor de întreținere
Amenințări atenuate: Descărcare și implementare neautorizată de firmware; Injectarea de firmware malițioasă prin atacuri Man-in-the-middle TFTP asupra transferului de firmware (atenuată prin izolarea rețelei); Aprovizionare neautorizată a dispozitivelor; Interceptarea transferurilor de firmware necriptate
Notă: în timp ce procesul de aprovizionare a dispozitivelor în ABB Ability™ EM & AM, asigură-te că firewall-ul tău este configurat corect, conform porturilor active raportate mai sus. Dacă apar probleme de comunicare, încearcă să dezactivezi temporar firewall-ul, activându-l din nou la finalul procesului de Provisioning.
Pentru mai multe detalii despre ghidurile de implementare a securității Modbus și informații despre siguranță, vă rugăm să faceți clic aici.