Безпека монтажу та введення в експлуатацію
Перед підключенням Ekip Connect до будь-якої мережі чи пристроїв, щобмінімізувати ризик порушень безпеки та шкідливого ПЗ, дотримуйтесь цього списку безпеки:
1. Операційна система
Зменшення загроз: Відомі вразливості ОС, невиправлені експлойти безпеки та атаки на ескалацію привілеїв на рівні системи.
Зменшення загроз: атаки bootkit, несанкціоноване виконання коду на рівні завантаження та втручання у процес завантаження
2. Безпека робочих станцій
Обмежити фізичний доступ до робочих станцій Ekip Connect
Зменшення загроз: фізичне втручання, несанкціонований доступ до пристрою та прямі апаратні маніпуляції.
Увімкнути повне шифрування диска (BitLocker або еквівалент)
Зменшення загроз: Вилучення даних у разі викрадення або фізичного компромета робочої станції; несанкціонований доступ до чутливих збережених даних.
Вимкніть автологін; Налаштуйте вхід із захистом паролем
Зменшення загроз: Несанкціонований доступ зловмисників із фізичним доступом або тих, хто отримує доступ до розблокованої робочої станції.
Налаштуйте автоматичне блокування екрану (рекомендовано 15 хвилин)
Зменшення загроз: несанкціонований доступ до додатку EkipConnect та підключених систем під час відсутності користувача
Увімкніть міжмережевий екран Windows за допомогою правил заборони вхідних даних за замовчуванням
Зменшення загроз: несанкціонований доступ до мережі, небажаний вхідний трафік та командно-контрольована комунікація шкідливого ПЗ.
3. Захист програмного забезпечення
Встановіть антивірус + антишкідливе програмне забезпечення
Зменшення загроз: зараження шкідливим ПЗ, виконання троянів і шкідливий код на робочій станції.
Налаштуйте Scanning у реальному часі та щоденні повні сканування.
Зменшення загроз: виявлення та запобігання виконанню шкідливого ПЗ у реальному часі; виявлення сплячих або нещодавно введених загроз.
Увімкнути автоматичні оновлення визначення антивірусів
Зменшення загроз: Ухилення від виявлення антивірусу новими або нещодавно виявленими варіантами шкідливого ПЗ.
4. Автентифікація користувача
Усі користувачі повинні автентифікуватися через MyABB (якщо ABB ноутбук)
Зменшення загроз: Несанкціонований доступ до EkipConnect неавтентифікованими або виданими за себе користувачів.
Застосувати сильні паролі (мінімум 8 символів, 3 типи символів)
Зменшення загроз: грубі атаки, словникові атаки та вгадування паролів зловмисниками.
Увімкнути багатофакторну автентифікацію (MFA) для MyABB
Зменшення загроз: захоплення акаунта та несанкціонований доступ навіть у разі компрометованого або викрадення облікових даних користувача
Вимкніть паралельні сесії з одного й того ж облікового запису користувача
Зменшення загроз: Несанкціонований доступ із використанням викрадених або скомпрометованих облікових даних на іншій робочій станції або пристрої.
5. Конфігурація мережі
Розгортання на виділеному сегменті мережі керування (окремий VLAN)
Зменшення загроз: Латеральний переміщення зловмисників із скомпрометованих корпоративних систем; несанкціонований доступ до критично важливих управлінських функцій.
• Порт 443/TCP (HTTPS-хмарне підключення)
• Порт 53/UDP (DNS)
• Порт 123/UDP (NTP)
Зменшення загроз: Несанкціонована вихідна комунікація, командно-контрольні виклики шкідливого ПЗ та вилучення даних до інфраструктури зловмисників.
Ізолювати мережі пристроїв від корпоративних мереж (потрібен міжмережевий екран)
Зменшення загроз: Бічний рух між мережами корпоративних і критичних пристроїв; несанкціонований доступ до пристроїв, критично важливих для безпеки.
6. Автоматичні оновлення
Увімкнути автоматичні оновлення Windows
Зменшення загроз: Відомі вразливості ОС та системні патчі безпеки розгортаються вчасно.
Налаштуйте антивірус для автоматичного оновлення визначень
Зменшення загроз: Ухилення від виявлення новими варіантами шкідливого ПЗ та загрозами шкідливого ПЗ нульового дня.
7. Початкова верифікація
Перевірте, чи працює антивірус і оновлено
Зменшення загроз: помилки конфігурації, пропущені контролі безпеки та неповне розгортання обов'язкових базових ліній безпеки.
Конфігурація та безпека міжмережевого екрану
Ekip Connect використовує специфічні порти для різних типів зв'язку. Правильна конфігурація міжмережевого екрану є необхідною для безпеки.
Обов'язкові порти (обов'язкові для хмарних функцій)
Порт 443/TCP (HTTPS - хмарне підключення)
ЗАВЖДИ зашифрований (TLS 1.2 або вище)
Зменшення загроз: атаки «людина посередині» (MITM) на хмарний зв'язок (пом'якшені за допомогою TLS-шифрування); Несанкціонований доступ до хмарних API та бібліотек прошивки; Перехоплення оновлень прошивки та патчі безпеки
Порт 53/UDP (DNS - Розділення доменних імен)
Рекомендую використовувати довірені DNS-сервери
Зменшення загроз: DNS-спуфинг атаки, які перенаправляють EkipConnect на шкідливі хмарні кінцеві точки; отруєння кешом DNS; Несанкціоноване перенаправлення хмарного зв'язку
Рекомендовані порти (Дуже рекомендую)
Порт 123/UDP (NTP — синхронізація часу)
Увімкніть, якщо дозволяє конфігурація мережі
Зменшення загрози: Втручання та маніпуляції з часними мітками журналу; Атаки з тактовим зсувом, які анулюють часові контролі безпеки; Неточний аудиторський слід і реконструкція інциденту
Порти зв'язку пристроїв (для підключень пристроїв)
Порт 502/TCP (Modbus TCP)
Міжмережевий екран має обмежити цей порт лише авторизованими пристроями
Зменшення загроз: несанкціонована комунікація пристроїв і маніпуляція параметрами; Злодійні пристрої, що підключаються до інтерфейсу керування; Прослуховування незашифрованого трафіку пристроїв (пом'якшене сегментацією мережі); Атаки на відмову в обслуговуванні з несанкціонованих мережевих сегментів
Порт 69/UDP (TFTP — протокол тривіальної передачі файлів)
Можна вимкнути поза вікнами обслуговування
Зменшення загроз: несанкціоноване завантаження та розгортання прошивки; Ін'єкція шкідливого прошивки через TFTP-атаки Man-in-the-middle на передачу прошивки (пом'якшена ізоляцією мережі); Несанкціоноване налаштування пристроїв; Підслуховування незашифрованих передач прошивки
Примітка: під час процесу налаштування пристрою в ABB Ability™ EM &AM переконайтеся, що ваш фаєрвол правильно налаштований відповідно до активних портів, зазначених вище. Якщо виникнуть проблеми зі зв'язком, спробуйте тимчасово вимкнути фаєрвол, увімкнувши його знову після завершення процесу Provisioning.
Для отримання додаткової інформації про безпеку, будь ласка, натисніть тут.