แนวทางการปรับใช้ความปลอดภัยทางไซเบอร์

This article has been translated automatically. See the original version.

การติดตั้งและการว่าจ้างความปลอดภัย
ก่อนเชื่อมต่อ Ekip Connect กับเครือข่ายหรืออุปกรณ์ใดๆเพื่อลดความเสี่ยงของการละเมิดความปลอดภัยและมัลแวร์ ให้ทําตามรายการตรวจสอบความปลอดภัยนี้:

1. ระบบปฏิบัติการ

  • ปรับใช้บน Windows 11 ด้วยแพตช์ความปลอดภัยล่าสุด (ขั้นต่ํา: Windows 10 สิ้นสุดการสนับสนุนอย่างเป็นทางการในเดือนมกราคม 2027)

    ภัยคุกคามที่บรรเทา: ช่องโหว่ของระบบปฏิบัติการที่ทราบ ช่องโหว่ด้านความปลอดภัยที่ยังไม่ได้แพตช์ และการโจมตีการยกระดับสิทธิ์ระดับระบบ

  • เปิดใช้งาน Secure Boot ใน BIOS (บังคับสําหรับ Windows 11)

    บรรเทาภัยคุกคาม: การโจมตี Bootkit การเรียกใช้โค้ดระดับบูตโดยไม่ได้รับอนุญาต และการดัดแปลงกระบวนการบูต

2. ความปลอดภัยของเวิร์กสเตชัน

  • จํากัดการเข้าถึงเวิร์กสเตชัน Ekip Connect ทางกายภาพ

    ภัยคุกคามที่บรรเทาลง: การดัดแปลงทางกายภาพ การเข้าถึงอุปกรณ์โดยไม่ได้รับอนุญาต และการจัดการฮาร์ดแวร์โดยตรง

  • เปิดใช้งานการเข้ารหัสดิสก์แบบเต็ม (BitLocker หรือเทียบเท่า)

    ภัยคุกคามที่บรรเทา: การขโมยข้อมูลหากเวิร์กสเตชันถูกขโมยหรือถูกบุกรุกทางกายภาพการเข้าถึงข้อมูลที่จัดเก็บที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต

  • ปิดใช้งานการเข้าสู่ระบบอัตโนมัติ กําหนดค่าการเข้าสู่ระบบที่ป้องกันด้วยรหัสผ่าน

    บรรเทาภัยคุกคาม: การเข้าถึงโดยไม่ได้รับอนุญาตโดยผู้คุกคามที่มีการเข้าถึงทางกายภาพหรือผู้ที่สามารถเข้าถึงเวิร์กสเตชันที่ปลดล็อกได้

  • กําหนดค่าการล็อกหน้าจออัตโนมัติ (แนะนํา 15 นาที)

    บรรเทาภัยคุกคาม: การเข้าถึงแอปพลิเคชัน EkipConnect และระบบที่เชื่อมต่อโดยไม่ได้รับอนุญาตในระหว่างที่ผู้ใช้ไม่อยู่

  • เปิดใช้งานไฟร์วอลล์ Windows ด้วยกฎขาเข้าที่ปฏิเสธเริ่มต้น

    ภัยคุกคามที่บรรเทาได้: การเข้าถึงเครือข่ายโดยไม่ได้รับอนุญาต การรับส่งข้อมูลขาเข้าที่ไม่พึงประสงค์ และการสื่อสารคําสั่งและควบคุมมัลแวร์

3. การป้องกันซอฟต์แวร์

  • ติดตั้งซอฟต์แวร์ป้องกันไวรัส + มัลแวร์

    ภัยคุกคามที่บรรเทาลง: การติดมัลแวร์ การเรียกใช้โทรจัน และโค้ดที่เป็นอันตรายที่ทํางานบนเวิร์กสเตชัน

  • กําหนดค่า Scanning แบบเรียลไทม์และการสแกนแบบเต็มรายวัน

    บรรเทาภัยคุกคาม: การตรวจจับและป้องกันการเรียกใช้มัลแวร์แบบเรียลไทม์การระบุภัยคุกคามที่อยู่เฉยๆ หรือเพิ่งเปิดตัว

  • เปิดใช้งานการอัปเดตคําจํากัดความของโปรแกรมป้องกันไวรัสอัตโนมัติ

    ภัยคุกคามที่บรรเทาลง: การหลบเลี่ยงการตรวจจับโปรแกรมป้องกันไวรัสโดยมัลแวร์ตัวแปรใหม่หรือที่เพิ่งค้นพบ

4. การรับรองความถูกต้องของผู้ใช้

  • ผู้ใช้ทุกคนต้องตรวจสอบสิทธิ์ผ่าน MyABB (หากเป็นแล็ปท็อป ABB)

    บรรเทาภัยคุกคาม: การเข้าถึง EkipConnect โดยไม่ได้รับอนุญาตโดยผู้ใช้ที่ไม่ได้รับการรับรองความถูกต้องหรือแอบอ้างเป็นบุคคลอื่น

  • บังคับใช้รหัสผ่านที่รัดกุม (ขั้นต่ํา 8 อักขระ 3 ประเภทอักขระ)

    บรรเทาภัยคุกคาม: การโจมตีด้วยกําลังดุร้าย การโจมตีด้วยพจนานุกรม และการคาดเดารหัสผ่านโดยผู้คุกคาม

  • เปิดใช้งานการรับรองความถูกต้องแบบหลายปัจจัย (MFA) สําหรับ MyABB

    ภัยคุกคามที่บรรเทา: การเข้าครอบครองบัญชีและการเข้าถึงโดยไม่ได้รับอนุญาตแม้ว่าข้อมูลประจําตัวของผู้ใช้จะถูกบุกรุกหรือถูกขโมย

  • ปิดใช้งานเซสชันพร้อมกันจากบัญชีผู้ใช้เดียวกัน

    ภัยคุกคามที่บรรเทา: การเข้าถึงโดยไม่ได้รับอนุญาตโดยใช้ข้อมูลประจําตัวที่ถูกขโมยหรือถูกบุกรุกบนเวิร์กสเตชันหรืออุปกรณ์อื่น

5. การกําหนดค่าเครือข่าย

  •  ปรับใช้ในส่วนเครือข่ายการจัดการเฉพาะ (VLAN แยกต่างหาก)

    ภัยคุกคามที่บรรเทา: การเคลื่อนไหวด้านข้างโดยผู้โจมตีจากระบบองค์กรที่ถูกบุกรุกการเข้าถึงฟังก์ชันการจัดการที่สําคัญโดยไม่ได้รับอนุญาต

  • กําหนดค่าไฟร์วอลล์เพื่ออนุญาตเฉพาะพอร์ตขาออกที่จําเป็นเท่านั้น:

      • พอร์ต 443/TCP (การเชื่อมต่อคลาวด์ HTTPS)

      • พอร์ต 53/UDP (DNS)

      • พอร์ต 123/UDP (NTP)

    ภัยคุกคามที่บรรเทา: การสื่อสารขาออกโดยไม่ได้รับอนุญาต การเรียกกลับคําสั่งและควบคุมของมัลแวร์ และการขโมยข้อมูลไปยังโครงสร้างพื้นฐานของผู้โจมตี

  • แยกเครือข่ายอุปกรณ์ออกจากเครือข่ายองค์กร (ต้องใช้ไฟร์วอลล์)

    บรรเทาภัยคุกคาม: การเคลื่อนย้ายด้านข้างระหว่างเครือข่ายองค์กรและอุปกรณ์ที่สําคัญการเข้าถึงอุปกรณ์ที่มีความสําคัญต่อความปลอดภัยโดยไม่ได้รับอนุญาต

6. การอัปเดตอัตโนมัติ

  • เปิดใช้งานการอัปเดต Windows อัตโนมัติ

    บรรเทาภัยคุกคาม: ช่องโหว่ของระบบปฏิบัติการที่ทราบและแพตช์ความปลอดภัยระดับระบบจะถูกปรับใช้อย่างทันท่วงที

  • กําหนดค่าโปรแกรมป้องกันไวรัสเพื่ออัปเดตคําจํากัดความอัตโนมัติ

    บรรเทาภัยคุกคาม: การหลบเลี่ยงการตรวจจับโดยมัลแวร์ตัวแปรใหม่และภัยคุกคามจากมัลแวร์ซีโร่เดย์

7. การตรวจสอบเบื้องต้น

  • ตรวจสอบว่า Secure Boot ทํางานอยู่
  • ตรวจสอบว่า Windows Firewall เปิดใช้งานอยู่
  •  ตรวจสอบว่าโปรแกรมป้องกันไวรัสกําลังทํางานและอัปเดต

    บรรเทาภัยคุกคาม: ข้อผิดพลาดในการกําหนดค่า การควบคุมความปลอดภัยที่พลาดไป และการปรับใช้พื้นฐานการรักษาความปลอดภัยที่จําเป็นไม่สมบูรณ์

     

การกําหนดค่าไฟร์วอลล์และความปลอดภัย

Ekip Connect ใช้พอร์ตเฉพาะสําหรับการสื่อสารประเภทต่างๆ การกําหนดค่าไฟร์วอลล์ที่เหมาะสมเป็นสิ่งสําคัญสําหรับการรักษาความปลอดภัย

 

พอร์ตบังคับ (จําเป็นสําหรับคุณสมบัติระบบคลาวด์)

พอร์ต 443/TCP (HTTPS - การเชื่อมต่อระบบคลาวด์)

  • API ตัวจัดการดิจิทัล ABB ELSP
  • การเชื่อมต่อแพลตฟอร์มความสามารถของ ABB
  • การเข้าถึงไลบรารีเฟิร์มแวร์
  • ดาวน์โหลดการอัปเดตและแพตช์
  • ต้องเปิดใช้งานสําหรับคุณสมบัติระบบคลาวด์
  • เข้ารหัสเสมอ (TLS 1.2 หรือสูงกว่า)

    บรรเทาภัยคุกคาม: การโจมตีแบบ Man-in-the-middle (MITM) ในการสื่อสารบนคลาวด์ (บรรเทาด้วยการเข้ารหัส TLS) การเข้าถึง API บนคลาวด์และไลบรารีเฟิร์มแวร์โดยไม่ได้รับอนุญาต การสกัดกั้นการอัปเดตเฟิร์มแวร์และแพตช์ความปลอดภัย

พอร์ต 53/UDP (DNS - การแก้ไขชื่อโดเมน)

  • จําเป็นในการแก้ไขปลายทางระบบคลาวด์ของ ABB
  • ต้องเปิดใช้งานสําหรับการเชื่อมต่อระบบคลาวด์
  • ไม่มีการเข้ารหัส (โปรโตคอล DNS มาตรฐาน)
  • แนะนําให้ใช้เซิร์ฟเวอร์ DNS ที่เชื่อถือได้

    ภัยคุกคามที่บรรเทา: การโจมตีปลอมแปลง DNS ที่เปลี่ยนเส้นทาง EkipConnect ไปยังปลายทางระบบคลาวด์ที่เป็นอันตราย พิษของแคช DNS; การเปลี่ยนเส้นทางการเชื่อมต่อระบบคลาวด์โดยไม่ได้รับอนุญาต

     

พอร์ตที่แนะนํา (แนะนําเป็นอย่างยิ่ง)

พอร์ต 123/UDP (NTP - การซิงโครไนซ์เวลา)

  • Network Time Protocol เพื่อความแม่นยําของนาฬิการะบบ
  • สําคัญต่อความถูกต้องและความปลอดภัยของการประทับเวลาบันทึก
  • แนะนําเป็นอย่างยิ่ง แต่ไม่บังคับอย่างเคร่งครัด
  • เปิดใช้งานหากการกําหนดค่าเครือข่ายอนุญาต

    ภัยคุกคามที่บรรเทาลง: การปลอมแปลงและการบิดเบือนการประทับเวลาของบันทึก การโจมตีแบบเอียงของนาฬิกาที่ทําให้การควบคุมความปลอดภัยตามเวลาเป็นโมฆะ เส้นทางการตรวจสอบที่ไม่ถูกต้องและการสร้างเหตุการณ์ใหม่

     

พอร์ตสื่อสารอุปกรณ์ (สําหรับการเชื่อมต่ออุปกรณ์)

พอร์ต 502/TCP (Modbus TCP)

  • การสื่อสารระหว่างอุปกรณ์กับ Ekip Connect ผ่านอีเธอร์เน็ต
  • แบบสองทิศทาง (อุปกรณ์สามารถเชื่อมต่อกลับได้)
  • โปรโตคอลที่ไม่ได้เข้ารหัส (จําเป็นต้องมีการแบ่งส่วนเครือข่าย)
  • เปิดใช้งานบนเครือข่ายอุปกรณ์เท่านั้น (ไม่หันหน้าเข้าหาอินเทอร์เน็ต)
  • ไฟร์วอลล์ควรจํากัดพอร์ตนี้ไว้เฉพาะอุปกรณ์ที่ได้รับอนุญาตเท่านั้น

    ภัยคุกคามที่บรรเทาลง: การสื่อสารอุปกรณ์โดยไม่ได้รับอนุญาตและการจัดการพารามิเตอร์ อุปกรณ์หลอกลวงที่เชื่อมต่อกับอินเทอร์เฟซการจัดการ การดักฟังการรับส่งข้อมูลอุปกรณ์ที่ไม่ได้เข้ารหัส (บรรเทาโดยการแบ่งส่วนเครือข่าย) การโจมตีแบบปฏิเสธการให้บริการจากกลุ่มเครือข่ายที่ไม่ได้รับอนุญาต

พอร์ต 69/UDP (TFTP - โปรโตคอลการถ่ายโอนไฟล์เล็กน้อย)

  • การดาวน์โหลดเฟิร์มแวร์และการจัดเตรียมอุปกรณ์
  • การสื่อสารแบบสองทิศทาง
  • ไม่เข้ารหัส (ใช้เฉพาะบนเครือข่ายที่แยกจากกัน)
  • จําเป็นระหว่างการดําเนินการอัพเดตเฟิร์มแวร์เท่านั้น
  • สามารถปิดใช้งานนอกหน้าต่างการบํารุงรักษา

    บรรเทาภัยคุกคาม: การดาวน์โหลดและปรับใช้เฟิร์มแวร์โดยไม่ได้รับอนุญาต การแทรกเฟิร์มแวร์ที่เป็นอันตรายผ่านการโจมตี TFTP Man-in-the-middle ในการถ่ายโอนเฟิร์มแวร์ (บรรเทาโดยการแยกเครือข่าย) การจัดเตรียมอุปกรณ์โดยไม่ได้รับอนุญาต ดักฟังการถ่ายโอนเฟิร์มแวร์ที่ไม่ได้เข้ารหัส

 

หมายเหตุ: ในขณะที่กระบวนการจัดเตรียมอุปกรณ์ใน ABB Ability™ EM & AM ตรวจสอบให้แน่ใจว่าไฟร์วอลล์ของคุณได้รับการกําหนดค่าอย่างถูกต้องตามพอร์ตที่ใช้งานอยู่ที่รายงานข้างต้น หากพบปัญหาในการสื่อสาร ให้ลองปิดใช้งานไฟร์วอลล์ของคุณชั่วคราว โดยเปิดใช้งานอีกครั้งเมื่อสิ้นสุดกระบวนการจัดเตรียม

 

สําหรับรายละเอียดเพิ่มเติมเกี่ยวกับข้อมูลด้านความปลอดภัย โปรดคลิกที่นี่