A Danfoss mantém o foco na Segurança de TI

CVE:
Abreviatura de Vulnerabilidades e Exposições Comuns, é uma lista de falhas de segurança informática divulgadas publicamente.  

DDOS:
Negação de Serviço Distribuída: esse termo é usado quando 100.000s de dispositivos remotos atacam um único dispositivo na rede. Este é um ataque altamente eficaz a um sistema. Nem mesmo grandes corporações e organizações de segurança podem manter as operações durante esses ataques. Esses ataques foram medidos para incluir taxas de ataque de 400+ terabits/segundo, o que simplesmente inunda a conexão com o dispositivo. Isso não pode ser mitigado em nenhum nível além da rede principal da internet.   

Não há proteção barata contra esse tipo de ataque, e a única maneira eficaz de mitigá-los é evitá-los, escondendo-se.   

Possibilidade de invasão remota:
Pode-se presumir que todos os softwares voltados para a Internet conterão possibilidades de invasão. Portanto, pesquisadores buscam incessantemente por elas e, quando as encontram, os fornecedores de software criam patches que mitigam essa vulnerabilidade. Portanto, é extremamente importante atualizar o software e mantê-lo atualizado com a Versão mais recente para evitar vulnerabilidades no Sistema.  

Por exemplo, Gerenciadores de Sistema mais antigos usavam a Versão 1.12.1 do Nginx, onde várias vulnerabilidades foram descobertas e corrigidas. Assim, o Gerenciador de Sistema Versão 3.1.9 mais Novo agora usa a Versão 1.21.0 do Nginx, que atualmente não tem vulnerabilidades conhecidas. Portanto, é importante atualizar para a versão mais recente da Danfoss — os números de versões podem ter aumentado após a redação deste documento porque novos exploits são continuamente descobertos.

1. Os dispositivos devem sempre ser totalmente atualizados para as últimas versões de software disponíveis, emitidas pela Danfoss. Em cada versão mais recente, pode haver algumas atualizações de segurança, que são explicadas no apêndice.
2. Certifique-se de que o dispositivo esteja sempre protegido da exposição direta à Internet.  (Instale os dispositivos de rede atrás de um firewall)

Este curso tem o objetivo de oferecer um entendimento básico sobre algumas das futuras regulamentações europeias de segurança cibernética e sua relação com a segurança adicional do produto do System Manager AK-SM 800A.

https://event.on24.com/wcc/r/4542217/9DD4DD6F9BA5CA9B3DABDA48E088158A

Após este treinamento, você entenderá por que a segurança cibernética é importante e estará ciente das regulamentações futuras relacionadas.
Além disso, você saberá sobre alguns requisitos de segurança do produto e como usar a segurança adicional do produto no AK-SM 800A com a versão mais recente do software 4.0.

Inicio para dividir sua rede em zonas/segmentos. A colocação de dispositivos Danfoss em uma Rede separada reduzirá a superfície de ataque.

Geralmente, isso é uma prática a ser considerada na rede, independentemente dos Controladores usados.

A segmentação pode até ser estendida para microsegmentação, de modo que, caso um dispositivo seja comprometido, ele não se espalhará para o resto da rede.

Veja abaixo um exemplo típico de rede segmentada:

Sempre coloque sistemas e dispositivos Danfoss atrás de firewalls e outros dispositivos de proteção de segurança que limitem o acesso somente a conexões remotas autorizadas. Construir uma Rede Altamente Protegida que Ajuda a Prevenir o Acesso Externo é a linha de defesa mais crítica contra ataques cibernéticos.

Recomendamos que você siga estas diretrizes:

• Limitar o acesso às redes nas quais os dispositivos Danfoss são colocados.
• Certifique-se de que os sistemas e dispositivos Danfoss não estejam acessíveis a partir da internet, a menos que estejam colocados atrás de firewalls e outros aparelhos de proteção de segurança.
• Restrinja a conectividade de Rede externo a seus Sistema e Controladores.
• Monitore continuamente eventos que possam indicar tentativas de acesso não autorizado.
• Limitar o acesso às redes internas onde os dispositivos residem.
• Isole Rede de Sistema de Segurança e Controladores e Dispositivos Remotos da Rede Empresarial.

Para uma conexão/acesso seguro, você também pode usar uma conexão VPN.

Implemente métodos seguros para que os usuários remotos acessem sua rede. Exigir que todos os usuários remotos se conectem e autentiquem por meio de uma única Interface Gerenciada antes de conduzir atualizações de software, manutenção e outras atividades de Suporte ao Sistema.

Quando houver necessidade de acessar dispositivos a partir de locais remotos, é importante que a exposição do dispositivo seja limitada o máximo possível. As soluções a seguir apresentam maneiras de proteger o dispositivo e a rede, ao mesmo tempo em que oferecem a flexibilidade de acessar o dispositivo remotamente.

IP fixo nos dispositivos móveis: 

O uso de endereços IP fixos em dispositivos móveis remotos é a solução mais simples para manter o acesso remoto ao sistema enquanto mantém a segurança total do dispositivo contra ataques hostis — ele também protege o dispositivo contra ataques DDOS. 

As soluções de proxy são mais complexas de configurar; no entanto, oferecem maior segurança, bem como a capacidade de fornecer um certificado SSL (Secure Sockets Layer) válido adequado para o acesso ao Sistema. O sistema proxy expõe um acesso de sistema autenticado à internet, e esse acesso autenticado levará a pior peça de qualquer ataque ao sistema, protegendo o Gerenciador do Sistema contra comprometimento.  

O proxy pode usar métodos como autenticadores, autenticação de dois fatores e outros mecanismos de segurança para garantir que somente o acesso autorizado seja permitido.

O proxy é IP bloqueado para o firewall que está protegendo o Gerenciador de Sistema e todos os clientes móveis, usam Endereço IP aleatório e se autenticam no proxy (normalmente usando certificados, autenticação de 2 fatores ou semelhante), criando uma validação forte do cliente.

Todos os clientes hostis são negados o acesso direto pelo firewall e pelo proxy, pois ele não pode fornecer as credenciais necessárias para falar com o proxy.  

Isso significa que o proxy suportará a maioria de todos os ataques de segurança e, no pior dos casos, o proxy será DDOS e o acesso local ao gerenciador do sistema ainda será possível.

A Alsense pode fornecer essa solução por meio de uma conexão baseada em VPN (Rede Privada Virtual) ou por meio de uma solução de proxy ligada a IP, onde a conexão pode ser limitada ao sistema em nuvem da Alsense, minimizando novamente a exposição do sistema à internet, permitindo que a Alsense forneça a proteção do sistema.

O Alsense é uma solução em nuvem da Danfoss para acessar Gerenciadores de Sistema e muito mais. Esta solução fornece o mesmo que a solução proxy, no entanto, ela é gerenciada pela Danfoss e, como tal, não precisa que o cliente implemente, mantenha e opere o proxy.

O acesso a redes industriais deve ser realizado por meio de logs de autenticação/auditoria, por exemplo, VPN ou firewalls, para que o acesso possa ser auditado e, portanto, eventos de segurança possam ser investigados se ocorrerem. Minimize as chances de violações de dados monitorando e auditando eventos do sistema 24 horas por dia, 7 dias por semana. Use sistemas de detecção de intrusão, sistemas de prevenção de intrusão, software antivírus e registros de uso para detectar violações de dados ou incidentes nos estágios mais precoces.

Como boa prática, sugerimos o uso de software de monitoramento de rede para alertas de tráfego incomuns, tentativas de acesso sem sucesso, etc. As diretrizes são vastas, desde os requisitos gerais de TI cobertos pela ISO 27001 até as especificações da IEC 62443 e podem ser encontradas nestas Normas internacionais.

Uma instalação ou máquina é normalmente operada por mais de uma pessoa, portanto, recomenda-se a administração central de usuários.

Altere as senhas padrão no comissionamento e use o produto para criar níveis de acesso do usuário.

Isso é particularmente importante para contas de administrador e Controladores de sistema de controle. Use o acesso baseado em funções com autenticação multifator para ajudar a evitar violações de segurança e fornecer um registro de atividade de acesso.

Os usuários devem evitar compartilhar senhas, pois isso pode ajudar na auditoria do acesso e evitar que as senhas sejam vazadas para a população em geral. Uma Password compartilhada geralmente acaba por ser conhecida por todos e impede a auditoria de problemas de segurança.

Considere adicionar uma característica de segurança de Password, como um bloqueio de conta que é ativado quando são inseridas demasiadas Password incorretas.

Princípios:

• Mecanismos de whitelisting oferecem proteção adicional contra aplicativos indesejados ou malware, bem como alterações não autorizadas em aplicativos instalados.
• O software de lista branca cria ou contém uma lista de programas e aplicações que podem ser executados no PC.

Use listas brancas para definir quais aplicativos, IPs, etc. são permitidos, pois a lista branca é a forma mais forte de controle de segurança, pois bloqueia tentativas de contorná-la. No entanto, se, por qualquer motivo, a lista branca não for uma opção viável, então, se possível, implemente uma lista negra para bloquear problemas de segurança conhecidos, mas sabendo que as listas negras podem ser contornadas facilmente.

A lista negra é um mecanismo básico de controle de acesso que permite bloquear elementos indesejados (Endereço de e-mail, Usuários, Password, URLs, Endereço IP, Nome de Domínio, Hash de Ficheiro, etc.), exceto os mencionados explicitamente. Os itens na lista não têm acesso.

Ajuda a impedir que vírus, spyware, cavalos de Troia, worms e outros tipos de malware conhecidos acessem o Sistema.

Muitas vezes, usar listas negras e brancas em conjunto é a opção ideal. Você pode usar abordagens diferentes em diferentes níveis de sua infraestrutura e até mesmo usar ambas dentro do mesmo nível.

Muitas organizações usam listas negras e brancas para diferentes peças de suas estratégias de segurança. Por exemplo, controlar o acesso a um computador ou a uma conta usando uma Password é whitelisting. Apenas aqueles com a Password têm acesso e todos os Outros não podem entrar. Muitas dessas mesmas organizações também executam programas antimalware que usam uma lista negra de malware conhecido para bloquear programas nocivos.

Ajuda a manter sua organização segura com treinamento em cibersegurança para seus funcionários. Explique e-mails de phishing, anexos infectados, sites maliciosos e outros métodos que os atacam diretamente.

Embora isso não seja apenas um problema de segurança cibernética, é importante implementar controles físicos para que nenhuma pessoa não autorizada possa acessar seu equipamento. Mantenha todos os Controladores em gabinetes bloqueados e limite o acesso a qualquer dispositivo conectada.