Bezpečnosť inštalácie a uvedenia do prevádzky
Pred pripojením Ekip Connect k akejkoľvek sieti alebo zariadeniam, aby steminimalizovali riziko bezpečnostných incidentov a malvéru, postupujte podľa tohto bezpečnostného zoznamu:
1. Operačný systém
Zmiernené hrozby: Známe zraniteľnosti operačného systému, nepatchované bezpečnostné zneužitia a útoky na eskaláciu privilégií na systémovej úrovni.
Zmiernené hrozby: Útoky bootkitmi, neoprávnené vykonávanie bootovacieho kódu a manipulácia s bootovacím procesom
2. Bezpečnosť pracovnej stanice
Obmedzte fyzický prístup k pracovným staniciam Ekip Connect
Zmiernené hrozby: Fyzické zásahy, neoprávnený prístup k zariadeniam a priama manipulácia s hardvérom.
Povoliť úplné šifrovanie disku (BitLocker alebo ekvivalent)
Zmiernené hrozby: Exfiltrácia dát, ak je pracovná stanica ukradnutá alebo fyzicky kompromitovaná; neoprávnený prístup k citlivým uloženým dátam.
Vypnúť autologin; Konfigurovať prihlásenie chránené heslom
Zmiernené hrozby: Neoprávnený prístup zo strany aktérov s fyzickým prístupom alebo tých, ktorí získajú prístup k odomknutej pracovnej stanici.
Nastavte automatické zamykanie obrazovky (odporúčaných 15 minút)
Zmiernené hrozby: Neoprávnený prístup k aplikácii EkipConnect a pripojeným systémom počas neprítomnosti používateľa
Povoliť Windows Firewall s pravidlami default-deny pre prichádzajúci vstup
Zmiernené hrozby: Neoprávnený prístup do siete, nevyžiadaná prichádzajúca prevádzka a príkazová komunikácia s malvérom.
3. Ochrana softvéru
Nainštalujte antivírus + antimalware softvér
Zmiernené hrozby: Infekcia škodlivým softvérom, spustenie trójskeho koňa a škodlivý kód bežiaci na pracovnej stanici.
Nastavte si Scanning v reálnom čase a denné úplné skeny.
Zmiernené hrozby: Detekcia a prevencia vykonávania malvéru v reálnom čase; identifikácia neaktívnych alebo nedávno zavedených hrozieb.
Povoliť automatické aktualizácie antivírusovej definície
Zmiernené hrozby: Obchádzanie detekcie antivírusu novými alebo nedávno objavenými variantmi malvéru.
4. Autentifikácia používateľa
Všetci používatelia sa musia autentifikovať cez MyABB (ak je ABB notebook)
Zmiernené hrozby: Neoprávnený prístup k EkipConnect neautentifikovanými alebo napodobňovanými používateľmi.
Vynuťte silné heslá (minimálne 8 znakov, 3 typy znakov)
Zmiernenie hrozieb: Útoky hrubou silou, slovníkové útoky a hádanie hesiel zo strany aktérov hrozieb.
Povoliť viacfaktorovú autentifikáciu (MFA) pre MyABB
Zmiernené hrozby: Prevzatie účtu a neoprávnený prístup aj v prípade, že používateľské prihlasovacie údaje sú kompromitované alebo ukradnuté
Vypnúť súbežné relácie z toho istého používateľského účtu
Zmiernené hrozby: Neoprávnený prístup pomocou ukradnutých alebo kompromitovaných prihlasovacích údajov na inej pracovnej stanici alebo zariadení.
5. Konfigurácia siete
Nasadenie na vyhradenom segmente správy siete (samostatná VLAN)
Zmiernené hrozby: Bočný pohyb útočníkov z kompromitovaných podnikových systémov; neoprávnený prístup ku kritickým riadiacim funkciám.
• Port 443/TCP (HTTPS cloudové pripojenie)
• Port 53/UDP (DNS)
• Port 123/UDP (NTP)
Zmiernenie hrozieb: Neoprávnená odchádzajúca komunikácia, spätné volania na príkaz a kontrolu malvéru a exfiltrácia dát do útočníckej infraštruktúry.
Izolujte siete zariadení od podnikových sietí (vyžaduje sa firewall)
Zmiernené hrozby: Bočný pohyb medzi podnikovými a kritickými sieťami zariadení; neoprávnený prístup k zariadeniam kritickým pre bezpečnosť.
6. Automatické aktualizácie
Povoliť automatické aktualizácie Windows
Zmiernenie hrozieb: Známe zraniteľnosti OS a bezpečnostné záplaty na systémovej úrovni sú nasadzované včas.
Nakonfigurujte antivírus tak, aby automaticky aktualizoval definície
Zmiernené hrozby: Vyhýbanie sa detekcii novými variantmi malvéru a hrozbami zero-day malvéru.
7. Počiatočné overenie
Overte, či antivírus beží a je aktualizovaný
Zmiernené hrozby: Chyby v konfigurácii, vynechané bezpečnostné kontroly a neúplné nasadenie povinných bezpečnostných základov.
Konfigurácia firewallu a bezpečnosť
Ekip Connect používa špecifické porty pre rôzne typy komunikácie. Správna konfigurácia firewallu je nevyhnutná pre bezpečnosť.
Povinné porty (povinné pre cloudové funkcie)
Port 443/TCP (HTTPS - Cloudové pripojenie)
VŽDY šifrované (TLS 1.2 alebo vyššie)
Zmiernené hrozby: Man-in-the-middle (MITM) útoky na cloudovú komunikáciu (zmiernené TLS šifrovaním); Neoprávnený prístup ku cloudovým API a firmvérovým knižniciam; Zachytávanie aktualizácií firmvéru a bezpečnostných záplat
Port 53/UDP (DNS - Domain Name Resolution)
Odporúčam používať dôveryhodné DNS servery
Zmiernené hrozby: DNS spoofingové útoky, ktoré presmerujú EkipConnect na škodlivé cloudové koncové body; DNS cache poisoning; Neoprávnené presmerovanie cloudovej konektivity
Odporúčané porty (veľmi odporúčané)
Port 123/UDP (NTP - synchronizácia času)
Povoliť, ak to sieťová konfigurácia umožňuje
Zmiernené hrozby: Manipulácia a manipulácia s časovými pečiatkami v záznamoch; Útoky s časovým posunom, ktoré zneplatňujú časové bezpečnostné kontroly; Nepresná auditná stopa a rekonštrukcia incidentov
Komunikačné porty zariadení (pre pripojenie zariadení)
Port 502/TCP (Modbus TCP)
Firewall by mal tento port obmedziť len na autorizované zariadenia
Zmiernené hrozby: Neoprávnená komunikácia zariadení a manipulácia s parametrami; Neautorizované zariadenia pripájajúce sa k správcovskému rozhraniu; Odpočúvanie nešifrovanej prevádzky zariadení (zmiernené segmentáciou siete); Útoky typu denial-of-service z neautorizovaných sieťových segmentov
Port 69/UDP (TFTP - Triviálny protokol na prenos súborov)
Dá sa vypnúť mimo údržbových okien
Zmiernené hrozby: Neoprávnené sťahovanie a nasadenie firmvéru; Škodlivé injekcie firmvéru prostredníctvom TFTP Man-in-the-middle útokov na prenos firmvéru (zmiernené izoláciou v sieti); Neoprávnené provisionovanie zariadení; Odpočúvanie nešifrovaných prenosov firmvéru
Poznámka: počas procesu provisioningu zariadenia do ABB Ability™ EM & AM sa uistite, že váš firewall je správne nakonfigurovaný podľa aktívnych portov uvedených vyššie. Ak narazíte na komunikačné problémy, skúste dočasne vypnúť firewall a zapnite ho znova na konci procesu Provisioning.
Pre viac informácií o bezpečnosti kliknite sem.