Безопасность установки и ввода в эксплуатацию
Перед подключением Ekip Connect к какой-либо сети или устройствам, чтобыминимизировать риск утечек безопасности и вредоносного ПО, следуйте следующему контрольному списку безопасности:
1. Операционная система
Устранение угроз: известные уязвимости ОС, неисправленные уязвимости безопасности и системные атаки на уровне эскалации привилегий.
Устранение угроз: атаки bootkit, несанкционированное выполнение кода на загрузочном уровне и вмешательство в процесс загрузки
2. Безопасность рабочих станций
Ограничить физический доступ к рабочим станциям Ekip Connect
Снижение угрозы: физическое вмешательство, несанкционированный доступ к устройствам и прямое управление аппаратным обеспечением.
Включить полное шифрование диска (BitLocker или эквивалент)
Снижение угрозы: удаление данных при краже или физической компрометации рабочей станции; несанкционированный доступ к конфиденциально хранимым данным.
Отключить автологин; Настройте защищённый пароль вход
Снижение угроз: несанкционированный доступ со стороны злоумышленников с физическим доступом или тех, кто получает доступ к разблокированной рабочей станции.
Настройте автоматическую блокировку экрана (рекомендуется 15 минут)
Снижение угроз: несанкционированный доступ к приложению EkipConnect и подключённым системам во время отсутствия пользователя
Включите межсетевой экран Windows с правилами по умолчанию запрещаю входящие данные
Снижение угроз: несанкционированный доступ к сети, незапрошенный входящий трафик и командно-контрольная связь с вредоносным ПО.
3. Защита программного обеспечения
Установите антивирус + программное обеспечение против вредоносного ПО
Устранение угроз: заражение вредоносным ПО, троянское исполнение и вредоносный код, работающий на рабочей поверхности.
Настройте Scanning в реальном времени и ежедневные полные сканирования.
Снижение угроз: обнаружение и предотвращение исполнения вредоносного ПО в реальном времени; выявление спящих или недавно введённых угроз.
Включить автоматические обновления определения антивируса
Снижение угроз: Уклонение от обнаружения антивирусов новыми или недавно обнаруженными вариантами вредоносного ПО.
4. Аутентификация пользователей
Все пользователи должны пройти аутентификацию через MyABB (если ABB ноутбук)
Снижение угрозы: несанкционированный доступ к EkipConnect со стороны неаутентифицированных или выдавших себя за них пользователей.
Соблюдайте надёжные пароли (минимум 8 символов, 3 типа символов)
Снижение угрозы: атаки грубой силы, атаки на словарь и угадывания пароля со стороны злоумышленников.
Включите многофакторную аутентификацию (MFA) для MyABB
Снижение угрозы: захват аккаунта и несанкционированный доступ даже в случае скомпрометации или кражи пользователей
Отключите параллельные сессии с одной и той же учётной записи пользователя
Снижение угрозы: несанкционированный доступ с использованием украденных или скомпрометированных учетных данных на другой рабочей станции или устройстве.
5. Конфигурация сети
Развертывание на выделенном сегменте управляющей сети (отдельный VLAN)
Снижение угрозы: боковое перемещение злоумышленников из скомпрометированных корпоративных систем; несанкционированный доступ к критически важным функциям управления.
• Порт 443/TCP (облачное подключение HTTPS)
• Порт 53/UDP (DNS)
• Порт 123/UDP (NTP)
Снижение угроз: несанкционированная исходящая связь, командно-контрольные вызовы вредоносного ПО и оттечка данных в инфраструктуру злоумышленников.
Изолировать сети устройств от корпоративных сетей (требуется межсетевой экран)
Снижение угрозы: боковое перемещение между сетями корпоративных и критически важных устройств; несанкционированный доступ к устройствам, критически важным для безопасности.
6. Автоматические обновления
Включите автоматические обновления Windows
Устранение угроз: известные уязвимости ОС и системные патчи безопасности внедряются своевременно.
Настройте антивирус для автоматического обновления определений
Снижение угрозы: уклонение от обнаружения новыми вариантами вредоносного ПО и угрозы вредоносного ПО нулевого дня.
7. Первичная проверка
Проверьте, что антивирус работает и обновлён
Снижение угроз: ошибки в конфигурации, пропущенные системы контроля безопасности и неполное развертывание обязательных базовых уровней безопасности.
Конфигурация и безопасность межсетевого экрана
Ekip Connect использует специальные порты для различных типов коммуникации. Правильная конфигурация межсетевого экрана крайне важна для безопасности.
Обязательные порты (обязательные для облачных функций)
Порт 443/TCP (HTTPS - облачное подключение)
ВСЕГДА шифруется (TLS 1.2 или выше)
Снижение угроз: атаки типа «человек посередине» (MITM) на облачную связь (смягчённые с помощью TLS-шифрования); Несанкционированный доступ к облачным API и библиотекам прошивки; Перехват обновлений прошивки и патчей безопасности
Порт 53/UDP (DNS - Разрешение доменных имён)
Рекомендую использовать доверенные DNS-серверы
Снижение угроз: DNS-атаки, перенаправляющие EkipConnect на вредоносные облачные конечные точки; отравление DNS-кэшем; Несанкционированное перенаправление облачного подключения
Рекомендуемые порты (настоятельно рекомендую)
Порт 123/UDP (NTP — синхронизация времени)
Включить, если конфигурация сети позволяет
Снижение угрозы: подделка и манипуляции с временной меткой журналов; Атаки с смещением часов, которые аннулируют временные меры безопасности; Неточная реконструкция аудиторских следов и инцидентов
Порты связи устройств (для подключения устройств)
Порт 502/TCP (Modbus TCP)
Файрвол должен ограничивать этот порт только авторизованными устройствами
Снижение угрозы: несанкционированная связь с устройствами и управление параметрами; Злоумышленные устройства, подключаемые к интерфейсу управления; Прослушивание незашифрованного трафика устройств (смягчённое сегментацией сети); Атаки типа отказ в обслуживании из несанкционированных сегментов сети
Порт 69/UDP (TFTP — протокол передачи тривиальных файлов)
Можно отключить вне окон технического обслуживания
Снижение угроз: несанкционированная загрузка и развертывание прошивки; Вредоносная инъекция прошивки через TFTP-атаки Man-in-the-middle при передаче прошивки (смягчённая сетевой изоляцией); Несанкционированная настройка устройств; Прослушивание незашифрованных передач прошивки
Примечание: при процессе провизии устройства в ABB Ability™ EM &AM убедитесь, что ваш файрвол настроен корректно, согласно вышеуказанным активным портам. Если возникнут проблемы с коммуникацией, попробуйте временно отключить файрвол, включив его снова в конце процесса Provisioning.
Для получения дополнительной информации о рекомендациях по безопасности Modbus и информации о безопасности, пожалуйста, нажмите здесь.