Руководство по внедрению кибербезопасности

This article has been translated automatically. See the original version.

Безопасность установки и ввода в эксплуатацию
Перед подключением Ekip Connect к какой-либо сети или устройствам, чтобыминимизировать риск утечек безопасности и вредоносного ПО, следуйте следующему контрольному списку безопасности:

1. Операционная система

  • Развертывание на Windows 11 с последними патчами безопасности (минимум: Windows 10, официальная поддержка заканчивается в январе 2027 года)

    Устранение угроз: известные уязвимости ОС, неисправленные уязвимости безопасности и системные атаки на уровне эскалации привилегий.

  • Включите безопасную загрузку в BIOS (обязательно для Windows 11)

    Устранение угроз: атаки bootkit, несанкционированное выполнение кода на загрузочном уровне и вмешательство в процесс загрузки

2. Безопасность рабочих станций

  • Ограничить физический доступ к рабочим станциям Ekip Connect

    Снижение угрозы: физическое вмешательство, несанкционированный доступ к устройствам и прямое управление аппаратным обеспечением.

  • Включить полное шифрование диска (BitLocker или эквивалент)

    Снижение угрозы: удаление данных при краже или физической компрометации рабочей станции; несанкционированный доступ к конфиденциально хранимым данным.

  • Отключить автологин; Настройте защищённый пароль вход

    Снижение угроз: несанкционированный доступ со стороны злоумышленников с физическим доступом или тех, кто получает доступ к разблокированной рабочей станции.

  • Настройте автоматическую блокировку экрана (рекомендуется 15 минут)

    Снижение угроз: несанкционированный доступ к приложению EkipConnect и подключённым системам во время отсутствия пользователя

  • Включите межсетевой экран Windows с правилами по умолчанию запрещаю входящие данные

    Снижение угроз: несанкционированный доступ к сети, незапрошенный входящий трафик и командно-контрольная связь с вредоносным ПО.

3. Защита программного обеспечения

  • Установите антивирус + программное обеспечение против вредоносного ПО

    Устранение угроз: заражение вредоносным ПО, троянское исполнение и вредоносный код, работающий на рабочей поверхности.

  • Настройте Scanning в реальном времени и ежедневные полные сканирования.

    Снижение угроз: обнаружение и предотвращение исполнения вредоносного ПО в реальном времени; выявление спящих или недавно введённых угроз.

  • Включить автоматические обновления определения антивируса

    Снижение угроз: Уклонение от обнаружения антивирусов новыми или недавно обнаруженными вариантами вредоносного ПО.

4. Аутентификация пользователей

  • Все пользователи должны пройти аутентификацию через MyABB (если ABB ноутбук)

    Снижение угрозы: несанкционированный доступ к EkipConnect со стороны неаутентифицированных или выдавших себя за них пользователей.

  • Соблюдайте надёжные пароли (минимум 8 символов, 3 типа символов)

    Снижение угрозы: атаки грубой силы, атаки на словарь и угадывания пароля со стороны злоумышленников.

  • Включите многофакторную аутентификацию (MFA) для MyABB

    Снижение угрозы: захват аккаунта и несанкционированный доступ даже в случае скомпрометации или кражи пользователей

  • Отключите параллельные сессии с одной и той же учётной записи пользователя

    Снижение угрозы: несанкционированный доступ с использованием украденных или скомпрометированных учетных данных на другой рабочей станции или устройстве.

5. Конфигурация сети

  •  Развертывание на выделенном сегменте управляющей сети (отдельный VLAN)

    Снижение угрозы: боковое перемещение злоумышленников из скомпрометированных корпоративных систем; несанкционированный доступ к критически важным функциям управления.

  • Настройте межсетевой экран так, чтобы разрешать только необходимые исходящие порты:

      • Порт 443/TCP (облачное подключение HTTPS)

      • Порт 53/UDP (DNS)

      • Порт 123/UDP (NTP)

    Снижение угроз: несанкционированная исходящая связь, командно-контрольные вызовы вредоносного ПО и оттечка данных в инфраструктуру злоумышленников.

  • Изолировать сети устройств от корпоративных сетей (требуется межсетевой экран)

    Снижение угрозы: боковое перемещение между сетями корпоративных и критически важных устройств; несанкционированный доступ к устройствам, критически важным для безопасности.

6. Автоматические обновления

  • Включите автоматические обновления Windows

    Устранение угроз: известные уязвимости ОС и системные патчи безопасности внедряются своевременно.

  • Настройте антивирус для автоматического обновления определений

    Снижение угрозы: уклонение от обнаружения новыми вариантами вредоносного ПО и угрозы вредоносного ПО нулевого дня.

7. Первичная проверка

  • Проверьте, что защищённая загрузка активна
  • Проверьте, что Firewall Windows включён
  •  Проверьте, что антивирус работает и обновлён

    Снижение угроз: ошибки в конфигурации, пропущенные системы контроля безопасности и неполное развертывание обязательных базовых уровней безопасности.

     

Конфигурация и безопасность межсетевого экрана

Ekip Connect использует специальные порты для различных типов коммуникации. Правильная конфигурация межсетевого экрана крайне важна для безопасности.

 

Обязательные порты (обязательные для облачных функций)

Порт 443/TCP (HTTPS - облачное подключение)

  • ABB ELSP Digital Manager API
  • Подключение платформы ABB Ability
  • Доступ к библиотеке прошивки
  • Обновления и скачание патчей
  • Для облачных функций обязательно ВКЛЮЧЕНО
  • ВСЕГДА шифруется (TLS 1.2 или выше)

    Снижение угроз: атаки типа «человек посередине» (MITM) на облачную связь (смягчённые с помощью TLS-шифрования); Несанкционированный доступ к облачным API и библиотекам прошивки; Перехват обновлений прошивки и патчей безопасности

Порт 53/UDP (DNS - Разрешение доменных имён)

  • Требуется для разрешения конечных точек облака ABB
  • Для любого облачного подключения должно быть ВКЛЮЧЕНО
  • Нет шифрования (стандартный протокол DNS)
  • Рекомендую использовать доверенные DNS-серверы

    Снижение угроз: DNS-атаки, перенаправляющие EkipConnect на вредоносные облачные конечные точки; отравление DNS-кэшем; Несанкционированное перенаправление облачного подключения

     

Рекомендуемые порты (настоятельно рекомендую)

Порт 123/UDP (NTP — синхронизация времени)

  • Протокол сетевого времени для точности системного тактового сигнала
  • Важно для точности и безопасности временных меток журналов
  • Очень рекомендую, но не строго обязательно
  • Включить, если конфигурация сети позволяет

    Снижение угрозы: подделка и манипуляции с временной меткой журналов; Атаки с смещением часов, которые аннулируют временные меры безопасности; Неточная реконструкция аудиторских следов и инцидентов

     

Порты связи устройств (для подключения устройств)

Порт 502/TCP (Modbus TCP)

  • Связь устройство с Ekip Connect через Ethernet
  • ДВУНАПРАВЛЕННЫЙ (устройство может подключаться обратно)
  • Незашифрованный протокол (требуется сегментация сети)
  • Включайте только в сетях устройств (не в интернете)
  • Файрвол должен ограничивать этот порт только авторизованными устройствами

    Снижение угрозы: несанкционированная связь с устройствами и управление параметрами; Злоумышленные устройства, подключаемые к интерфейсу управления; Прослушивание незашифрованного трафика устройств (смягчённое сегментацией сети); Атаки типа отказ в обслуживании из несанкционированных сегментов сети

Порт 69/UDP (TFTP — протокол передачи тривиальных файлов)

  • Загрузка прошивки и настройка устройств
  • ДВУНАПРАВЛЕННАЯ связь
  • Незашифрованный (используется только в изолированных сетях)
  • Требуется только при обновлении прошивки
  • Можно отключить вне окон технического обслуживания

    Снижение угроз: несанкционированная загрузка и развертывание прошивки; Вредоносная инъекция прошивки через TFTP-атаки Man-in-the-middle при передаче прошивки (смягчённая сетевой изоляцией); Несанкционированная настройка устройств; Прослушивание незашифрованных передач прошивки

 

Примечание: при процессе провизии устройства в ABB Ability™ EM &AM убедитесь, что ваш файрвол настроен корректно, согласно вышеуказанным активным портам. Если возникнут проблемы с коммуникацией, попробуйте временно отключить файрвол, включив его снова в конце процесса Provisioning.

 

Для получения дополнительной информации о рекомендациях по безопасности Modbus и информации о безопасности, пожалуйста, нажмите здесь.