Smernice za raspoređivanje sajber bezbednosti

Bezbednost instalacije i puštanja u rad
Pre povezivanja Ekip Connect na bilo koju mrežu ili uređaje, kakobi se smanjio rizik od narušavanja bezbednosti i zlonamernog softvera, pratite ovu bezbednosnu kontrolnu listu:

1. Operativni sistem

• Primena na Vindovs 11 sa najnovijim bezbednosnim zakrpama (minimum: Vindovs 10, kraj zvanične podrške Jan 2027)

    Ublažena pretnja: Poznate ranjivosti operativnog sistema, nepopravljeni bezbednosni eksploatacije i napadi eskalacije privilegija na nivou sistema.

• Omogućite Secure Boot u BIOS-u (obavezno za Vindovs KSNUMKS)

    Pretnja ublažena: Bootkit napadi, neovlašćeno izvršenje koda na nivou pokretanja i ometanje procesa pokretanja

2. Bezbednost radne stanice

• Ograničite fizički pristup Ekip Connect radnim stanicama

  Ublažena pretnja: Fizičko ometanje, neovlašćeni pristup uređaju i direktna manipulacija hardverom.

• Omogući punu enkripciju diska (BitLocker ili ekvivalent)

  Pretnja ublažena: Eksfiltracija podataka ako je radna stanica ukradena ili fizički ugrožena; neovlašćeni pristup osetljivim pohranjenim podacima.

• Onemogućavanje autologin; Konfigurišite prijavu zaštićenu lozinkom

  Ublažena pretnja: Neovlašćeni pristup aktera pretnji sa fizičkim pristupom ili koji dobijaju pristup otključanoj radnoj stanici.

• Konfigurišite automatsko zaključavanje ekrana (preporučuje se 15 minuta)

  Ublažena pretnja: Neovlašćeni pristup aplikaciji EkipConnect i povezanim sistemima tokom odsustva korisnika

• Omogućite Vindovs zaštitni zid sa podrazumevanim odbijanjem dolaznih pravila

  Ublažena pretnja: Neovlašćeni pristup mreži, neželjeni dolazni saobraćaj i komunikacija sa komandom i kontrolom zlonamernog softvera.

3. Zaštita softvera

• Instalirajte antivirus + antimalvare softver

  Pretnja ublažena: Malvare infekcija, izvršenje trojanaca, i zlonamerni kod koji radi na radnoj stanici.

• Konfigurišite u realnom vremenu Scanning i dnevne pune skeniranja.

  Ublažena pretnja: Detekcija i sprečavanje izvršenja malvera u realnom vremenu; identifikacija uspavanih ili nedavno uvedenih pretnji.

• Omogućite automatsko ažuriranje antivirusnih definicija

  Ublažena pretnja: Izbegavanje antivirusne detekcije od strane novih ili nedavno otkrivenih varijanti malvera.

4. Autentifikacija korisnika

• Svi korisnici moraju da se autentifikuju preko MiABB (ako ABB laptop)

  Ublažena pretnja: Neovlašćeni pristup EkipConnect-u od strane neautentifikovanih ili lažnih korisnika.

• Sprovodi jake lozinke (minimum 8 znakova, 3 vrste znakova)

  Ublažena pretnja: Napadi brute force, napadi rečnika i pogađanje lozinki od strane aktera pretnji.

• Omogućite višestruku autentifikaciju (MFA) za MiABB

  Pretnja ublažena: Preuzimanje naloga i neovlašćeni pristup čak i ako su korisnički akreditivi ugroženi ili ukradeni

• Onemogući istovremene sesije sa istog korisničkog naloga

  Ublažena pretnja: Neovlašćeni pristup korišćenjem ukradenih ili kompromitovanih akreditiva na drugoj radnoj stanici ili uređaju.

KSNUMKS. Konfiguracija mreže

•  Primena na namenskom segmentu mreže za upravljanje (odvojeni VLAN)

  Ublažena pretnja: Bočno kretanje napadača iz kompromitovanih sistema preduzeća; neovlašćeni pristup kritičnim funkcijama upravljanja.

• Konfigurišite zaštitni zid da dozvoli samo potrebne odlazne portove:

      • Port 443 / TCP (HTTPS povezivanje u oblaku)

      • Port 53 / UDP (DNS)

      • Port 123/UDP (NTP)

    Ublažena pretnja: Neovlašćena odlazna komunikacija, povratni pozivi za komandu i kontrolu zlonamernog softvera i eksfiltracija podataka u infrastrukturu napadača.

• Izolujte mreže uređaja iz poslovnih mreža (potreban je zaštitni zid)

  Ublažena pretnja: Bočno kretanje između preduzeća i kritičnih mreža uređaja; neovlašćeni pristup uređajima koji su kritični za bezbednost.

6. Automatsko ažuriranje

• Omogućite automatsko ažuriranje operativnog sistema Vindovs

  Ublažena pretnja: Poznate ranjivosti operativnog sistema i bezbednosne zakrpe na nivou sistema su blagovremeno raspoređene.

• Konfigurišite antivirus za automatsko ažuriranje definicija

  Ublažena pretnja: Otkrivanje utaje od strane novih varijanti malvera i pretnji malvera nultog dana.

7. Inicijalna verifikacija

• Proverite da li je Secure Boot aktivan
• Proverite da li je Vindovs zaštitni zid omogućen

•  Proverite da li je antivirus pokrenut i ažuriran

  Ublažena pretnja: Greške u konfiguraciji, propuštene bezbednosne kontrole i nepotpuna primena obaveznih bezbednosnih osnova.

   

Konfiguracija i bezbednost zaštitnog zida

Ekip Connect koristi specifične portove za različite vrste komunikacije. Pravilna konfiguracija zaštitnog zida je od suštinskog značaja za bezbednost.

Obavezni portovi (potrebni za funkcije oblaka)

Port 443 / TCP (HTTPS - Cloud Povezivanje)

• ABB ELSP Digital Manager API
• ABB Sposobnost Platforma za povezivanje
• Pristup biblioteci firmvera
• Ažuriranja i zakrpe za preuzimanje
• Mora biti OMOGUĆEN za funkcije oblaka

• UVEK kodiran (TLS 1.2 ili noviji)

  Ublažena pretnja: Man-in-the-middle (MITM) napadi na komunikaciju u oblaku (ublaženi TLS enkripcijom); Neovlašćeni pristup oblak API-jima i bibliotekama firmvera; Presretanje ažuriranja firmvera i bezbednosnih zakrpa

Port 53 / UDP (DNS - Rezolucija imena domena)

• Potrebno za rešavanje ABB cloud krajnjih tačaka
• Mora biti OMOGUĆEN za bilo koju vezu u oblaku
• Nema enkripcije (standardni DNS protokol)

• Preporučite korišćenje pouzdanih DNS servera

  Ublažena pretnja: DNS spoofing napadi koji preusmeravaju EkipConnect na zlonamerne krajnje tačke oblaka; Trovanje DNS keša; Neovlašćeno preusmeravanje cloud povezivanja

   

Preporučeni portovi (preporučuje se)

Port 123 / UDP (NTP - Sinhronizacija vremena)

• Mrežni vremenski protokol za tačnost sistemskog sata
• Važno za tačnost i sigurnost vremenskih oznaka dnevnika
• Preporučuje se, ali nije strogo obavezno

• Omogući ako konfiguracija mreže dozvoljava

  Ublažena pretnja: Log timestamp manipulacije i manipulacije; Napadi iskrivljenja sata koji poništavaju bezbednosne kontrole zasnovane na vremenu; Netačan revizijski trag i rekonstrukcija incidenata

   

Komunikacioni portovi uređaja (za veze uređaja)

Port 502 / TCP (Modbus TCP)

• Device-to-Ekip Connect komunikacija preko Etherneta
• DVOSMERNO (uređaj može da se poveže nazad)
• Nešifrovani protokol (potrebna je segmentacija mreže)
• Omogućite samo na mrežama uređaja (ne sa internetom)

• Zaštitni zid treba da ograniči ovaj port samo na ovlašćene uređaje

  Ublažena pretnja: Neovlašćena komunikacija uređaja i manipulacija parametrima; Rogue uređaji koji se povezuju sa interfejsom za upravljanje; Prisluškivanje nešifrovanog saobraćaja uređaja (ublaženo segmentacijom mreže); Napadi odbijanja usluge iz neovlašćenih mrežnih segmenata

Port 69 / UDP (TFTP - Trivijalni protokol za prenos datoteka)

• Preuzimanje firmvera i obezbeđivanje uređaja
• DVOSMERNA KOMUNIKACIJA
• Nešifrovano (koristi se samo na izolovanim mrežama)
• Potrebno samo tokom operacija ažuriranja firmvera

• Može se onemogućiti izvan prozora za održavanje

  Ublažena pretnja: Neovlašćeno preuzimanje i raspoređivanje firmvera; Zlonamerno ubrizgavanje firmvera preko TFTP Man-in-the-middle napada na prenos firmvera (ublaženo izolacijom mreže); Neovlašćeno obezbeđivanje uređaja; Prisluškivanje nešifrovanih prenosa firmvera

Napomena: dok uređaj Provisioning proces u ABB Abiliti™ EM & AM, budite sigurni da je vaš zaštitni zid pravilno konfigurisan, u skladu sa aktivnim portovima prijavljenim gore. Ako se naiđu na probleme u komunikaciji, pokušajte da privremeno onemogućite zaštitni zid, omogućavajući ga ponovo na kraju procesa obezbeđivanja.

Za više detalja o bezbednosnim informacijama, kliknite ovde.