Riktlinjer för cybersäkerhetsimplementering

This article has been translated automatically. See the original version.

Installation och driftsättningssäkerhet
Innan du ansluter Ekip Connect till något nätverk eller några enheter, för attminimera risken för säkerhetsintrång och skadlig kod, följ denna säkerhetschecklista:

1. Operativsystem

  • Distribuera på Windows 11 med de senaste säkerhetsuppdateringarna (minst: Windows 10, slutet på officiellt stöd januari 2027)

    Hotbegränsad: Kända OS-sårbarheter, opatchade säkerhetssårbarheter och systemnivå-eskaleringsattacker för privilegier.

  • Aktivera Secure Boot i BIOS (obligatoriskt för Windows 11)

    Hot-minskad: Bootkit-attacker, obehörig kodexekvering på uppstartsnivå och manipulation av startprocessen

2. Arbetsstationssäkerhet

  • Begränsa fysisk åtkomst till Ekip Connect-arbetsstationer

    Hotet minskat: Fysisk manipulation, obehörig åtkomst till enheter och direkt hårdvarumanipulation.

  • Aktivera fullständig diskkryptering (BitLocker eller motsvarande)

    Hotet minskat: Dataexfiltration om arbetsstationen blir stulen eller fysiskt komprometterad; obehörig åtkomst till känslig lagrad data.

  • Inaktivera autologin; Konfigurera lösenordsskyddad inloggning

    Hotminskad: Obehörig åtkomst av hotaktörer med fysisk åtkomst eller som får tillgång till en olåst arbetsstation.

  • Konfigurera automatisk skärmlåsning (rekommenderas 15 minuter)

    Hotåtgärdat: Obehörig åtkomst till EkipConnect-applikationen och anslutna system under användarfrånvaro

  • Aktivera Windows-brandväggen med inkommande regler för att förhindra inkommande standardinställningar

    Hotbegränsat: Obehörig nätverksåtkomst, oönskad inkommande trafik och kommunikation via skadlig kod och kontroll.

3. Mjukvaruskydd

  • Installera antivirus + antimalware-programvara

    Hotbegränsad: Malware-infektion, trojankörning och skadlig kod som körs på arbetsstationen.

  • Konfigurera realtids-Scanning och dagliga fullständiga skanningar.

    Hotbegränsad: Realtidsupptäckt och förebyggande av hantering av skadlig kod; identifiering av vilande eller nyligen introducerade hot.

  • Aktivera automatiska uppdateringar av antivirusdefinitioner

    Hotbegränsad: Undvikande av antivirusdetektion av nya eller nyligen upptäckta malwarevarianter.

4. Användarautentisering

  • Alla användare måste autentisera via MyABB (om ABB-laptop)

    Hotminskad: Obehörig åtkomst till EkipConnect av oautentiserade eller utgav sig för att vara användare.

  • Upprätthåll starka lösenord (minst 8 tecken, 3 teckentyper)

    Hotreducering: Brute force-attacker, ordboksattacker och lösenordsgissning av hotaktörer.

  • Aktivera multifaktorautentisering (MFA) för MyABB

    Hotet minskat: Kontoövertagande och obehörig åtkomst även om användaruppgifter komprometteras eller stjälas

  • Inaktivera samtidiga sessioner från samma användarkonto

    Hotbegränsad: Obehörig åtkomst med stulna eller komprometterade inloggningsuppgifter på en annan arbetsstation eller enhet.

5. Nätverkskonfiguration

  •  Distribuera på ett dedikerat hanteringsnätverkssegment (separat VLAN)

    Hotminskning: Lateral rörelse av angripare från komprometterade företagssystem; obehörig åtkomst till kritiska hanteringsfunktioner.

  • Konfigurera brandväggen så att endast nödvändiga utgående portar tillåts:

      • Port 443/TCP (HTTPS-molnanslutning)

      • Port 53/UDP (DNS)

      • Port 123/UDP (NTP)

    Hotminskning: Obehörig utgående kommunikation, återkallelser till kommando och kontroll via skadlig kod och dataexfiltration till angriparinfrastruktur.

  • Isolera enhetsnätverk från företagsnätverk (brandvägg krävs)

    Hotminskning: Lateral förflyttning mellan företags- och kritiska enhetsnätverk; obehörig åtkomst till säkerhetskritiska enheter.

6. Automatiska uppdateringar

  • Aktivera automatiska Windows-uppdateringar

    Hotåtgärd: Kända OS-sårbarheter och systemnivå-säkerhetspatchar distribueras i tid.

  • Konfigurera antivirus för att automatiskt uppdatera definitioner

    Hotbegränsad: Upptäcktsundvikande av nya malwarevarianter och zero-day-malwarehot.

7. Initial verifiering

  • Verifiera att Secure Boot är aktiv
  • Verifiera att Windows-brandväggen är aktiverad
  •  Kontrollera att antivirusprogrammet körs och är uppdaterat

    Hotminskning: Konfigurationsfel, missade säkerhetskontroller och ofullständig implementering av obligatoriska säkerhetsbaslinjer.

     

Brandväggskonfiguration och säkerhet

Ekip Connect använder specifika portar för olika typer av kommunikation. Korrekt brandväggskonfiguration är avgörande för säkerheten.

 

Obligatoriska portar (krävs för molnfunktioner)

Port 443/TCP (HTTPS - molnanslutning)

  • ABB ELSP Digital Manager API
  • ABB Ability Platform-anslutning
  • Firmwarebiblioteksåtkomst
  • Uppdateringar och patchar nedladdning
  • Måste AKTIVERAS för molnfunktioner
  • ALLTID krypterad (TLS 1.2 eller högre)

    Hotminskad: Man-in-the-middle (MITM)-attacker mot molnkommunikation (mildrade med TLS-kryptering); Obehörig åtkomst till moln-API:er och firmwarebibliotek; Avlyssning av firmwareuppdateringar och säkerhetsuppdateringar

Port 53/UDP (DNS - Domännamnsupplösning)

  • Krävs för att lösa ABB-molnendpoints
  • Måste vara AKTIVERAT för all molnanslutning
  • Ingen kryptering (standard DNS-protokoll)
  • Rekommenderar att använda betrodda DNS-servrar

    Hotbegränsad: DNS-förfalskningsattacker som omdirigerar EkipConnect till skadliga molnendpoints; DNS-cacheförgiftning; Obehörig omdirigering av molnanslutning

     

Rekommenderade portar (Starkt rekommenderade)

Port 123/UDP (NTP - Tidssynkronisering)

  • Network Time Protocol för systemklockans noggrannhet
  • Viktigt för loggtidsstämpels noggrannhet och säkerhet
  • Starkt rekommenderat men inte strikt obligatoriskt
  • Aktivera om nätverkskonfigurationen tillåter

    Hotbegränsad: Logga tidsstämpelmanipulation och manipulation; Klockskev-attacker som ogiltigförklarar tidsbaserade säkerhetskontroller; Felaktig granskning av spår och rekonstruktion av incidenter

     

Enhetskommunikationsportar (för enhetsanslutningar)

Port 502/TCP (Modbus TCP)

  • Device-to-Ekip Connect-kommunikation via Ethernet
  • BIDIREKTIONELL (enheten kan ansluta tillbaka)
  • Okrypterat protokoll (nätverkssegmentering krävs)
  • Aktivera endast nätverk på enheten (inte internetvända)
  • Brandväggen bör begränsa denna port till endast auktoriserade enheter

    Hotreducerat: Obehörig enhetskommunikation och parametermanipulation; Felaktiga enheter som ansluter till hanteringsgränssnittet; Avlyssning av okrypterad enhetstrafik (mildras av nätverkssegmentering); Denial-of-service-attacker från obehöriga nätverkssegment

Port 69/UDP (TFTP - Trivial File Transfer Protocol)

  • Firmwarenedladdning och enhetsprovisionering
  • TVÅVÄGSKOMMUNIKATION
  • Okrypterad (används endast på isolerade nätverk)
  • Endast nödvändigt vid firmwareuppdateringar
  • Kan inaktiveras utanför underhållsfönster

    Hotminskning: Obehörig firmwarenedladdning och distribution; Skadlig firmwareinjektion via TFTP Man-in-the-middle-attacker vid firmwareöverföring (mildrade genom nätverksisolering); Provisionering av obehöriga enheter; Avlyssning av okrypterade firmwareöverföringar

 

Obs: medan enheten provisionerar in i ABB Ability™ EM & AM, se till att din brandvägg är korrekt konfigurerad, enligt de aktiva portarna som rapporterats ovan. Om kommunikationsproblem uppstår, försök att tillfälligt inaktivera din brandvägg och aktivera den igen i slutet av provisioneringsprocessen.

 

För mer information om Modbus säkerhetsutplaceringsriktlinjer och säkerhetsinformation, klicka här.