安装与调试安全
在将Ekip Connect连接到任何网络或设备之前,为了最大限度地减少安全漏洞和恶意软件的风险,请遵循以下安全检查清单:
1. 操作系统
威胁缓解:已知操作系统漏洞、未修补的安全漏洞以及系统级权限升级攻击。
威胁缓解: Bootkit攻击、未经授权的启动级代码执行及对启动过程的篡改
2. 工作站安全
限制对 Ekip Connect 工作站的物理访问
威胁缓解: 物理篡改、未经授权的设备访问和直接硬件操作。
启用全盘加密(BitLocker 或等效工具)
威胁缓解: 如果工作站被盗或物理损坏,数据被盗;未经授权访问敏感存储数据。
禁用自动登录;配置密码保护登录
威胁缓解:威胁行为者拥有物理访问权限或获得解锁工作站访问权限的未经授权访问。
配置自动屏幕锁定(建议15分钟)
威胁缓解: 用户缺席期间对EkipConnect应用及连接系统的未经授权访问
启用Windows防火墙并默认拒绝入站规则
威胁缓解: 未授权网络访问、未经请求的进站流量以及恶意软件的命令控制通信。
3. 软件保护
安装杀毒软件 + 反恶意软件
威胁缓解: 恶意软件感染、木马执行以及工作站上运行的恶意代码。
配置实时Scanning和每日全扫描。
威胁缓解:实时检测和防止恶意软件执行;识别休眠或近期引入的威胁。
启用自动杀毒软件定义更新
威胁缓解:新发现或新发现的恶意软件变种规避杀毒检测。
4. 用户认证
所有用户必须通过MyABB(如果是ABB笔记本电脑)进行身份验证
威胁缓解: 未经认证或冒充用户未经授权访问EkipConnect。
强制执行强密码(至少8个字符,3个字符类型)
威胁缓解:暴力破解攻击、字典攻击以及威胁行为者的密码猜测。
为MyABB启用多因素认证(MFA)
威胁缓解:即使用户凭证被泄露或被盗,账户接管和未经授权访问也无妨
禁用同一用户账户中的并发会话
威胁缓解: 使用被盗或被泄露的凭证在不同工作站或设备上进行未经授权的访问。
5. 网络配置
部署到专用管理网络段(独立VLAN)
威胁缓解: 攻击者从被攻破的企业系统横向移动;对关键管理功能的未经授权访问。
• 端口443/TCP(HTTPS云连接)
• 端口53/UDP(DNS)
• 端口123/UDP(NTP)
威胁缓解:防止未经授权的外发通信、恶意软件的命令与控制回调,以及数据泄露到攻击者基础设施。
将设备网络与企业网络隔离(需要防火墙)
威胁缓解: 企业与关键设备网络之间的横向移动;对安全关键设备的未经授权访问。
6. 自动更新
启用自动Windows更新
威胁缓解:及时部署已知操作系统漏洞和系统级安全补丁。
配置杀毒软件以自动更新定义
威胁缓解: 新型恶意软件变种和零日恶意软件威胁的侦测规避。
7. 初步验证
确认杀毒软件是否运行并更新
威胁缓解: 配置错误、安全控制遗漏以及强制安全基线部署不完整。
防火墙配置与安全性
Ekip Connect 使用特定端口进行不同类型的通信。正确的防火墙配置对安全至关重要。
强制移植(云功能必需)
端口443/TCP(HTTPS - 云连接)
始终加密(TLS 1.2及以上)
威胁缓解:云通信中的中间人(MITM)攻击(通过TLS加密缓解);未经授权访问云API和固件库;固件更新和安全补丁的拦截
端口53/UDP(DNS - 域名解析)
建议使用可信赖的DNS服务器
威胁缓解:将EkipConnect重定向到恶意云端点的DNS伪装攻击;DNS缓存中毒;未经授权的云连接重定向
推荐移植(强烈推荐)
端口123/UDP(NTP - 时间同步)
如果网络配置允许,请启用
威胁缓解: 日志时间戳篡改与操控;时钟偏移攻击使基于时间的安全控制失效;不准确的审计追踪与事件重建
设备通信端口(用于设备连接)
端口502/TCP(Modbus TCP)
防火墙应该只允许授权设备访问该端口
威胁缓解:未经授权的设备通信和参数操作;连接管理界面的恶意设备;对未加密设备流量进行窃听(通过网络分段来缓解);来自未授权网络段的拒绝服务攻击
端口69/UDP(TFTP - 简单文件传输协议)
可以在维护窗口外禁用
威胁缓解:未经授权的固件下载和部署;通过TFTP进行恶意固件注入,中间人攻击(通过网络隔离缓解);未经授权的设备配置;未加密固件传输时的窃听
注意:在设备配置到ABB Ability™ EM和AM过程中,确保防火墙配置正确,符合上述活跃端口。如果遇到通信问题,尝试暂时禁用防火墙,在配置过程结束时重新启用防火墙。
有关Modbus安全部署指南和安全信息的更多详情,请点击 这里。