Керівні принципи з розгортання кібербезпеки

Цю статтю перекладено автоматично. Дивіться оригінальну версію.

Безпека монтажу та введення в експлуатацію
Перед підключенням Ekip Connect до будь-якої мережі чи пристроїв, щобмінімізувати ризик порушень безпеки та шкідливого ПЗ, дотримуйтесь цього списку безпеки:

1. Операційна система

  • Розгортання на Windows 11 з останніми патчами безпеки (мінімум: Windows 10, офіційна підтримка закінчується у січні 2027 року)

    Зменшення загроз: Відомі вразливості ОС, невиправлені експлойти безпеки та атаки на ескалацію привілеїв на рівні системи.

  • Увімкнути безпечне завантаження в BIOS (обов'язково для Windows 11)

    Зменшення загроз: атаки bootkit, несанкціоноване виконання коду на рівні завантаження та втручання у процес завантаження

2. Безпека робочих станцій

  • Обмежити фізичний доступ до робочих станцій Ekip Connect

    Зменшення загроз: фізичне втручання, несанкціонований доступ до пристрою та прямі апаратні маніпуляції.

  • Увімкнути повне шифрування диска (BitLocker або еквівалент)

    Зменшення загроз: Вилучення даних у разі викрадення або фізичного компромета робочої станції; несанкціонований доступ до чутливих збережених даних.

  • Вимкніть автологін; Налаштуйте вхід із захистом паролем

    Зменшення загроз: Несанкціонований доступ зловмисників із фізичним доступом або тих, хто отримує доступ до розблокованої робочої станції.

  • Налаштуйте автоматичне блокування екрану (рекомендовано 15 хвилин)

    Зменшення загроз: несанкціонований доступ до додатку EkipConnect та підключених систем під час відсутності користувача

  • Увімкніть міжмережевий екран Windows за допомогою правил заборони вхідних даних за замовчуванням

    Зменшення загроз: несанкціонований доступ до мережі, небажаний вхідний трафік та командно-контрольована комунікація шкідливого ПЗ.

3. Захист програмного забезпечення

  • Встановіть антивірус + антишкідливе програмне забезпечення

    Зменшення загроз: зараження шкідливим ПЗ, виконання троянів і шкідливий код на робочій станції.

  • Налаштуйте Scanning у реальному часі та щоденні повні сканування.

    Зменшення загроз: виявлення та запобігання виконанню шкідливого ПЗ у реальному часі; виявлення сплячих або нещодавно введених загроз.

  • Увімкнути автоматичні оновлення визначення антивірусів

    Зменшення загроз: Ухилення від виявлення антивірусу новими або нещодавно виявленими варіантами шкідливого ПЗ.

4. Автентифікація користувача

  • Усі користувачі повинні автентифікуватися через MyABB (якщо ABB ноутбук)

    Зменшення загроз: Несанкціонований доступ до EkipConnect неавтентифікованими або виданими за себе користувачів.

  • Застосувати сильні паролі (мінімум 8 символів, 3 типи символів)

    Зменшення загроз: грубі атаки, словникові атаки та вгадування паролів зловмисниками.

  • Увімкнути багатофакторну автентифікацію (MFA) для MyABB

    Зменшення загроз: захоплення акаунта та несанкціонований доступ навіть у разі компрометованого або викрадення облікових даних користувача

  • Вимкніть паралельні сесії з одного й того ж облікового запису користувача

    Зменшення загроз: Несанкціонований доступ із використанням викрадених або скомпрометованих облікових даних на іншій робочій станції або пристрої.

5. Конфігурація мережі

  •  Розгортання на виділеному сегменті мережі керування (окремий VLAN)

    Зменшення загроз: Латеральний переміщення зловмисників із скомпрометованих корпоративних систем; несанкціонований доступ до критично важливих управлінських функцій.

  • Налаштуйте міжмережевий екран так, щоб дозволяти лише необхідні вихідні порти:

      • Порт 443/TCP (HTTPS-хмарне підключення)

      • Порт 53/UDP (DNS)

      • Порт 123/UDP (NTP)

    Зменшення загроз: Несанкціонована вихідна комунікація, командно-контрольні виклики шкідливого ПЗ та вилучення даних до інфраструктури зловмисників.

  • Ізолювати мережі пристроїв від корпоративних мереж (потрібен міжмережевий екран)

    Зменшення загроз: Бічний рух між мережами корпоративних і критичних пристроїв; несанкціонований доступ до пристроїв, критично важливих для безпеки.

6. Автоматичні оновлення

  • Увімкнути автоматичні оновлення Windows

    Зменшення загроз: Відомі вразливості ОС та системні патчі безпеки розгортаються вчасно.

  • Налаштуйте антивірус для автоматичного оновлення визначень

    Зменшення загроз: Ухилення від виявлення новими варіантами шкідливого ПЗ та загрозами шкідливого ПЗ нульового дня.

7. Початкова верифікація

  • Перевірте, що Secure Boot активний
  • Перевірте, що увімкнено міжмережевий екран Windows
  •  Перевірте, чи працює антивірус і оновлено

    Зменшення загроз: помилки конфігурації, пропущені контролі безпеки та неповне розгортання обов'язкових базових ліній безпеки.

     

Конфігурація та безпека міжмережевого екрану

Ekip Connect використовує специфічні порти для різних типів зв'язку. Правильна конфігурація міжмережевого екрану є необхідною для безпеки.

 

Обов'язкові порти (обов'язкові для хмарних функцій)

Порт 443/TCP (HTTPS - хмарне підключення)

  • ABB ELSP Digital Manager API
  • Підключення платформи ABB Ability
  • Доступ до бібліотеки прошивки
  • Оновлення та завантаження патчів
  • Для хмарних функцій має бути УВІМКНЕНО
  • ЗАВЖДИ зашифрований (TLS 1.2 або вище)

    Зменшення загроз: атаки «людина посередині» (MITM) на хмарний зв'язок (пом'якшені за допомогою TLS-шифрування); Несанкціонований доступ до хмарних API та бібліотек прошивки; Перехоплення оновлень прошивки та патчі безпеки

Порт 53/UDP (DNS - Розділення доменних імен)

  • Потрібно для розв'язання кінцевих точок ABB cloud
  • Для будь-якого хмарного підключення має бути УВІМКНЕНО
  • Без шифрування (стандартний протокол DNS)
  • Рекомендую використовувати довірені DNS-сервери

    Зменшення загроз: DNS-спуфинг атаки, які перенаправляють EkipConnect на шкідливі хмарні кінцеві точки; отруєння кешом DNS; Несанкціоноване перенаправлення хмарного зв'язку

     

Рекомендовані порти (Дуже рекомендую)

Порт 123/UDP (NTP — синхронізація часу)

  • Протокол мережевого часу для точності системного тактового сигналу
  • Важливо для точності та безпеки часових позначок журналу
  • Дуже рекомендую, але не є суворо обов'язковим
  • Увімкніть, якщо дозволяє конфігурація мережі

    Зменшення загрози: Втручання та маніпуляції з часними мітками журналу; Атаки з тактовим зсувом, які анулюють часові контролі безпеки; Неточний аудиторський слід і реконструкція інциденту

     

Порти зв'язку пристроїв (для підключень пристроїв)

Порт 502/TCP (Modbus TCP)

  • Зв'язок від пристрою до Ekip Connect через Ethernet
  • ДВОНАПРАВЛЕНИЙ (пристрій може підключатися назад)
  • Незашифрований протокол (потрібна сегментація мережі)
  • Увімкніть лише в мережах пристроїв (не в інтернеті)
  • Міжмережевий екран має обмежити цей порт лише авторизованими пристроями

    Зменшення загроз: несанкціонована комунікація пристроїв і маніпуляція параметрами; Злодійні пристрої, що підключаються до інтерфейсу керування; Прослуховування незашифрованого трафіку пристроїв (пом'якшене сегментацією мережі); Атаки на відмову в обслуговуванні з несанкціонованих мережевих сегментів

Порт 69/UDP (TFTP — протокол тривіальної передачі файлів)

  • Завантаження прошивки та налаштування пристрою
  • ДВОНАПРАВЛЕНА комунікація
  • Незашифрована (використовується лише в ізольованих мережах)
  • Потрібен лише під час оновлення прошивки
  • Можна вимкнути поза вікнами обслуговування

    Зменшення загроз: несанкціоноване завантаження та розгортання прошивки; Ін'єкція шкідливого прошивки через TFTP-атаки Man-in-the-middle на передачу прошивки (пом'якшена ізоляцією мережі); Несанкціоноване налаштування пристроїв; Підслуховування незашифрованих передач прошивки

 

Примітка: під час процесу налаштування пристрою в ABB Ability™ EM &AM переконайтеся, що ваш фаєрвол правильно налаштований відповідно до активних портів, зазначених вище. Якщо виникнуть проблеми зі зв'язком, спробуйте тимчасово вимкнути фаєрвол, увімкнувши його знову після завершення процесу Provisioning.

 

Для отримання додаткової інформації про рекомендації щодо безпеки Modbus та інформацію про безпеку, будь ласка, натисніть тут.