Installation och driftsättningssäkerhet
Innan du ansluter Ekip Connect till något nätverk eller några enheter, för attminimera risken för säkerhetsintrång och skadlig kod, följ denna säkerhetschecklista:
1. Operativsystem
Hotbegränsad: Kända OS-sårbarheter, opatchade säkerhetssårbarheter och systemnivå-eskaleringsattacker för privilegier.
Hot-minskad: Bootkit-attacker, obehörig kodexekvering på uppstartsnivå och manipulation av startprocessen
2. Arbetsstationssäkerhet
Begränsa fysisk åtkomst till Ekip Connect-arbetsstationer
Hotet minskat: Fysisk manipulation, obehörig åtkomst till enheter och direkt hårdvarumanipulation.
Aktivera fullständig diskkryptering (BitLocker eller motsvarande)
Hotet minskat: Dataexfiltration om arbetsstationen blir stulen eller fysiskt komprometterad; obehörig åtkomst till känslig lagrad data.
Inaktivera autologin; Konfigurera lösenordsskyddad inloggning
Hotminskad: Obehörig åtkomst av hotaktörer med fysisk åtkomst eller som får tillgång till en olåst arbetsstation.
Konfigurera automatisk skärmlåsning (rekommenderas 15 minuter)
Hotåtgärdat: Obehörig åtkomst till EkipConnect-applikationen och anslutna system under användarfrånvaro
Aktivera Windows-brandväggen med inkommande regler för att förhindra inkommande standardinställningar
Hotbegränsat: Obehörig nätverksåtkomst, oönskad inkommande trafik och kommunikation via skadlig kod och kontroll.
3. Mjukvaruskydd
Installera antivirus + antimalware-programvara
Hotbegränsad: Malware-infektion, trojankörning och skadlig kod som körs på arbetsstationen.
Konfigurera realtids-Scanning och dagliga fullständiga skanningar.
Hotbegränsad: Realtidsupptäckt och förebyggande av hantering av skadlig kod; identifiering av vilande eller nyligen introducerade hot.
Aktivera automatiska uppdateringar av antivirusdefinitioner
Hotbegränsad: Undvikande av antivirusdetektion av nya eller nyligen upptäckta malwarevarianter.
4. Användarautentisering
Alla användare måste autentisera via MyABB (om ABB-laptop)
Hotminskad: Obehörig åtkomst till EkipConnect av oautentiserade eller utgav sig för att vara användare.
Upprätthåll starka lösenord (minst 8 tecken, 3 teckentyper)
Hotreducering: Brute force-attacker, ordboksattacker och lösenordsgissning av hotaktörer.
Aktivera multifaktorautentisering (MFA) för MyABB
Hotet minskat: Kontoövertagande och obehörig åtkomst även om användaruppgifter komprometteras eller stjälas
Inaktivera samtidiga sessioner från samma användarkonto
Hotbegränsad: Obehörig åtkomst med stulna eller komprometterade inloggningsuppgifter på en annan arbetsstation eller enhet.
5. Nätverkskonfiguration
Distribuera på ett dedikerat hanteringsnätverkssegment (separat VLAN)
Hotminskning: Lateral rörelse av angripare från komprometterade företagssystem; obehörig åtkomst till kritiska hanteringsfunktioner.
• Port 443/TCP (HTTPS-molnanslutning)
• Port 53/UDP (DNS)
• Port 123/UDP (NTP)
Hotminskning: Obehörig utgående kommunikation, återkallelser till kommando och kontroll via skadlig kod och dataexfiltration till angriparinfrastruktur.
Isolera enhetsnätverk från företagsnätverk (brandvägg krävs)
Hotminskning: Lateral förflyttning mellan företags- och kritiska enhetsnätverk; obehörig åtkomst till säkerhetskritiska enheter.
6. Automatiska uppdateringar
Aktivera automatiska Windows-uppdateringar
Hotåtgärd: Kända OS-sårbarheter och systemnivå-säkerhetspatchar distribueras i tid.
Konfigurera antivirus för att automatiskt uppdatera definitioner
Hotbegränsad: Upptäcktsundvikande av nya malwarevarianter och zero-day-malwarehot.
7. Initial verifiering
Kontrollera att antivirusprogrammet körs och är uppdaterat
Hotminskning: Konfigurationsfel, missade säkerhetskontroller och ofullständig implementering av obligatoriska säkerhetsbaslinjer.
Brandväggskonfiguration och säkerhet
Ekip Connect använder specifika portar för olika typer av kommunikation. Korrekt brandväggskonfiguration är avgörande för säkerheten.
Obligatoriska portar (krävs för molnfunktioner)
Port 443/TCP (HTTPS - molnanslutning)
ALLTID krypterad (TLS 1.2 eller högre)
Hotminskad: Man-in-the-middle (MITM)-attacker mot molnkommunikation (mildrade med TLS-kryptering); Obehörig åtkomst till moln-API:er och firmwarebibliotek; Avlyssning av firmwareuppdateringar och säkerhetsuppdateringar
Port 53/UDP (DNS - Domännamnsupplösning)
Rekommenderar att använda betrodda DNS-servrar
Hotbegränsad: DNS-förfalskningsattacker som omdirigerar EkipConnect till skadliga molnendpoints; DNS-cacheförgiftning; Obehörig omdirigering av molnanslutning
Rekommenderade portar (Starkt rekommenderade)
Port 123/UDP (NTP - Tidssynkronisering)
Aktivera om nätverkskonfigurationen tillåter
Hotbegränsad: Logga tidsstämpelmanipulation och manipulation; Klockskev-attacker som ogiltigförklarar tidsbaserade säkerhetskontroller; Felaktig granskning av spår och rekonstruktion av incidenter
Enhetskommunikationsportar (för enhetsanslutningar)
Port 502/TCP (Modbus TCP)
Brandväggen bör begränsa denna port till endast auktoriserade enheter
Hotreducerat: Obehörig enhetskommunikation och parametermanipulation; Felaktiga enheter som ansluter till hanteringsgränssnittet; Avlyssning av okrypterad enhetstrafik (mildras av nätverkssegmentering); Denial-of-service-attacker från obehöriga nätverkssegment
Port 69/UDP (TFTP - Trivial File Transfer Protocol)
Kan inaktiveras utanför underhållsfönster
Hotminskning: Obehörig firmwarenedladdning och distribution; Skadlig firmwareinjektion via TFTP Man-in-the-middle-attacker vid firmwareöverföring (mildrade genom nätverksisolering); Provisionering av obehöriga enheter; Avlyssning av okrypterade firmwareöverföringar
Obs: medan enheten provisionerar in i ABB Ability™ EM & AM, se till att din brandvägg är korrekt konfigurerad, enligt de aktiva portarna som rapporterats ovan. Om kommunikationsproblem uppstår, försök att tillfälligt inaktivera din brandvägg och aktivera den igen i slutet av provisioneringsprocessen.
För mer information om Modbus säkerhetsutplaceringsriktlinjer och säkerhetsinformation, klicka här.