Usmernenia pre nasadenie kybernetickej bezpečnosti

This article has been translated automatically. See the original version.

Bezpečnosť inštalácie a uvedenia do prevádzky
Pred pripojením Ekip Connect k akejkoľvek sieti alebo zariadeniam, aby steminimalizovali riziko bezpečnostných incidentov a malvéru, postupujte podľa tohto bezpečnostného zoznamu:

1. Operačný systém

  • Nasadenie na Windows 11 s najnovšími bezpečnostnými záplatami (minimálne: Windows 10, koniec oficiálnej podpory január 2027)

    Zmiernené hrozby: Známe zraniteľnosti operačného systému, nepatchované bezpečnostné zneužitia a útoky na eskaláciu privilégií na systémovej úrovni.

  • Povoliť Secure Boot v BIOSe (povinné pre Windows 11)

    Zmiernené hrozby: Útoky bootkitmi, neoprávnené vykonávanie bootovacieho kódu a manipulácia s bootovacím procesom

2. Bezpečnosť pracovnej stanice

  • Obmedzte fyzický prístup k pracovným staniciam Ekip Connect

    Zmiernené hrozby: Fyzické zásahy, neoprávnený prístup k zariadeniam a priama manipulácia s hardvérom.

  • Povoliť úplné šifrovanie disku (BitLocker alebo ekvivalent)

    Zmiernené hrozby: Exfiltrácia dát, ak je pracovná stanica ukradnutá alebo fyzicky kompromitovaná; neoprávnený prístup k citlivým uloženým dátam.

  • Vypnúť autologin; Konfigurovať prihlásenie chránené heslom

    Zmiernené hrozby: Neoprávnený prístup zo strany aktérov s fyzickým prístupom alebo tých, ktorí získajú prístup k odomknutej pracovnej stanici.

  • Nastavte automatické zamykanie obrazovky (odporúčaných 15 minút)

    Zmiernené hrozby: Neoprávnený prístup k aplikácii EkipConnect a pripojeným systémom počas neprítomnosti používateľa

  • Povoliť Windows Firewall s pravidlami default-deny pre prichádzajúci vstup

    Zmiernené hrozby: Neoprávnený prístup do siete, nevyžiadaná prichádzajúca prevádzka a príkazová komunikácia s malvérom.

3. Ochrana softvéru

  • Nainštalujte antivírus + antimalware softvér

    Zmiernené hrozby: Infekcia škodlivým softvérom, spustenie trójskeho koňa a škodlivý kód bežiaci na pracovnej stanici.

  • Nastavte si Scanning v reálnom čase a denné úplné skeny.

    Zmiernené hrozby: Detekcia a prevencia vykonávania malvéru v reálnom čase; identifikácia neaktívnych alebo nedávno zavedených hrozieb.

  • Povoliť automatické aktualizácie antivírusovej definície

    Zmiernené hrozby: Obchádzanie detekcie antivírusu novými alebo nedávno objavenými variantmi malvéru.

4. Autentifikácia používateľa

  • Všetci používatelia sa musia autentifikovať cez MyABB (ak je ABB notebook)

    Zmiernené hrozby: Neoprávnený prístup k EkipConnect neautentifikovanými alebo napodobňovanými používateľmi.

  • Vynuťte silné heslá (minimálne 8 znakov, 3 typy znakov)

    Zmiernenie hrozieb: Útoky hrubou silou, slovníkové útoky a hádanie hesiel zo strany aktérov hrozieb.

  • Povoliť viacfaktorovú autentifikáciu (MFA) pre MyABB

    Zmiernené hrozby: Prevzatie účtu a neoprávnený prístup aj v prípade, že používateľské prihlasovacie údaje sú kompromitované alebo ukradnuté

  • Vypnúť súbežné relácie z toho istého používateľského účtu

    Zmiernené hrozby: Neoprávnený prístup pomocou ukradnutých alebo kompromitovaných prihlasovacích údajov na inej pracovnej stanici alebo zariadení.

5. Konfigurácia siete

  •  Nasadenie na vyhradenom segmente správy siete (samostatná VLAN)

    Zmiernené hrozby: Bočný pohyb útočníkov z kompromitovaných podnikových systémov; neoprávnený prístup ku kritickým riadiacim funkciám.

  • Nakonfigurujte firewall tak, aby povoľoval iba požadované odchádzajúce porty:

      • Port 443/TCP (HTTPS cloudové pripojenie)

      • Port 53/UDP (DNS)

      • Port 123/UDP (NTP)

    Zmiernenie hrozieb: Neoprávnená odchádzajúca komunikácia, spätné volania na príkaz a kontrolu malvéru a exfiltrácia dát do útočníckej infraštruktúry.

  • Izolujte siete zariadení od podnikových sietí (vyžaduje sa firewall)

    Zmiernené hrozby: Bočný pohyb medzi podnikovými a kritickými sieťami zariadení; neoprávnený prístup k zariadeniam kritickým pre bezpečnosť.

6. Automatické aktualizácie

  • Povoliť automatické aktualizácie Windows

    Zmiernenie hrozieb: Známe zraniteľnosti OS a bezpečnostné záplaty na systémovej úrovni sú nasadzované včas.

  • Nakonfigurujte antivírus tak, aby automaticky aktualizoval definície

    Zmiernené hrozby: Vyhýbanie sa detekcii novými variantmi malvéru a hrozbami zero-day malvéru.

7. Počiatočné overenie

  • Overiť, že Secure Boot je aktívny
  • Overiť, že je Windows Firewall zapnutý
  •  Overte, či antivírus beží a je aktualizovaný

    Zmiernené hrozby: Chyby v konfigurácii, vynechané bezpečnostné kontroly a neúplné nasadenie povinných bezpečnostných základov.

     

Konfigurácia firewallu a bezpečnosť

Ekip Connect používa špecifické porty pre rôzne typy komunikácie. Správna konfigurácia firewallu je nevyhnutná pre bezpečnosť.

 

Povinné porty (povinné pre cloudové funkcie)

Port 443/TCP (HTTPS - Cloudové pripojenie)

  • ABB ELSP Digital Manager API
  • Konektivita ABB Ability Platform
  • Prístup k knižnici firmvéru
  • Aktualizácie a aktualizácie na stiahnutie
  • Musí byť ZAPNUTÝ pre cloudové funkcie
  • VŽDY šifrované (TLS 1.2 alebo vyššie)

    Zmiernené hrozby: Man-in-the-middle (MITM) útoky na cloudovú komunikáciu (zmiernené TLS šifrovaním); Neoprávnený prístup ku cloudovým API a firmvérovým knižniciam; Zachytávanie aktualizácií firmvéru a bezpečnostných záplat

Port 53/UDP (DNS - Domain Name Resolution)

  • Potrebné na vyriešenie ABB cloudových koncových bodov
  • Musí byť ZAPNUTÝ pre akékoľvek cloudové pripojenie
  • Žiadne šifrovanie (štandardný DNS protokol)
  • Odporúčam používať dôveryhodné DNS servery

    Zmiernené hrozby: DNS spoofingové útoky, ktoré presmerujú EkipConnect na škodlivé cloudové koncové body; DNS cache poisoning; Neoprávnené presmerovanie cloudovej konektivity

     

Odporúčané porty (veľmi odporúčané)

Port 123/UDP (NTP - synchronizácia času)

  • Protokol Network Time pre presnosť systémových hodín
  • Dôležité pre presnosť a bezpečnosť časových značiek v logoch
  • Veľmi odporúčané, ale nie je to úplne povinné
  • Povoliť, ak to sieťová konfigurácia umožňuje

    Zmiernené hrozby: Manipulácia a manipulácia s časovými pečiatkami v záznamoch; Útoky s časovým posunom, ktoré zneplatňujú časové bezpečnostné kontroly; Nepresná auditná stopa a rekonštrukcia incidentov

     

Komunikačné porty zariadení (pre pripojenie zariadení)

Port 502/TCP (Modbus TCP)

  • Komunikácia medzi zariadeniami a Ekip Connect cez Ethernet
  • OBOJSMERNÉ (zariadenie sa môže pripojiť späť)
  • Nešifrovaný protokol (vyžaduje sa segmentácia siete)
  • Zapnite len siete na zariadení (nie na internet)
  • Firewall by mal tento port obmedziť len na autorizované zariadenia

    Zmiernené hrozby: Neoprávnená komunikácia zariadení a manipulácia s parametrami; Neautorizované zariadenia pripájajúce sa k správcovskému rozhraniu; Odpočúvanie nešifrovanej prevádzky zariadení (zmiernené segmentáciou siete); Útoky typu denial-of-service z neautorizovaných sieťových segmentov

Port 69/UDP (TFTP - Triviálny protokol na prenos súborov)

  • Sťahovanie firmvéru a nastavenie zariadení
  • Obojsmerná komunikácia
  • Nešifrované (použitie iba v izolovaných sieťach)
  • Vyžaduje sa len počas aktualizácie firmvéru
  • Dá sa vypnúť mimo údržbových okien

    Zmiernené hrozby: Neoprávnené sťahovanie a nasadenie firmvéru; Škodlivé injekcie firmvéru prostredníctvom TFTP Man-in-the-middle útokov na prenos firmvéru (zmiernené izoláciou v sieti); Neoprávnené provisionovanie zariadení; Odpočúvanie nešifrovaných prenosov firmvéru

 

Poznámka: počas procesu provisioningu zariadenia do ABB Ability™ EM & AM sa uistite, že váš firewall je správne nakonfigurovaný podľa aktívnych portov uvedených vyššie. Ak narazíte na komunikačné problémy, skúste dočasne vypnúť firewall a zapnite ho znova na konci procesu Provisioning.

 

Pre viac informácií o bezpečnosti kliknite sem.