A Danfoss mantém o foco na Segurança de TI

Edifícios de rede

A Danfoss incorpora as melhores práticas e soluções de segurança cibernética em nossos produtos, sistemas e serviços. Nossa abordagem de segurança por projeto torna nossos produtos mais resilientes contra ataques cibernéticos. Implementamos mecanismos para mitigar ameaças, reduzir fraquezas exploráveis e nos defender contra violações de dados e ataques cibernéticos evitáveis no início do desenvolvimento de nossos produtos.

A Danfoss tem como objetivo cumprir a IEC-62443, levando em conta, é claro, outros requisitos de padrões de segurança adicionais.

Ler mais Ler menos

A Danfoss Electronic Controllers está acompanhando o desenvolvimento seguro em direção à IEC-62443 em suas equipes de desenvolvimento

Recomendações para os clientes

Para ajudar a manter seus produtos Danfoss seguros e protegidos, recomendamos que você implemente as práticas recomendadas de segurança cibernética abaixo.

Seguir essas recomendações pode ajudar a reduzir significativamente o risco de segurança cibernética da sua empresa.

CVE:
Abreviatura de Vulnerabilidades e Exposições Comuns, é uma lista de falhas de segurança informática divulgadas publicamente.  

DDOS:
Negação de Serviço Distribuída: esse termo é usado quando 100.000s de dispositivos remotos atacam um único dispositivo na rede. Este é um ataque altamente eficaz a um sistema. Nem mesmo grandes corporações e organizações de segurança podem manter as operações durante esses ataques. Esses ataques foram medidos para incluir taxas de ataque de 400+ terabits/segundo, o que simplesmente inunda a conexão com o dispositivo. Isso não pode ser mitigado em nenhum nível além da rede principal da internet.   

Não há proteção barata contra esse tipo de ataque, e a única maneira eficaz de mitigá-los é evitá-los, escondendo-se.   

Possibilidade de invasão remota:
Pode-se presumir que todos os softwares voltados para a Internet conterão possibilidades de invasão. Portanto, pesquisadores buscam incessantemente por elas e, quando as encontram, os fornecedores de software criam patches que mitigam essa vulnerabilidade. Portanto, é extremamente importante atualizar o software e mantê-lo atualizado com a Versão mais recente para evitar vulnerabilidades no Sistema.  

Por exemplo, Gerenciadores de Sistema mais antigos usavam a Versão 1.12.1 do Nginx, onde várias vulnerabilidades foram descobertas e corrigidas. Assim, o Gerenciador de Sistema Versão 3.1.9 mais Novo agora usa a Versão 1.21.0 do Nginx, que atualmente não tem vulnerabilidades conhecidas. Portanto, é importante atualizar para a versão mais recente da Danfoss — os números de versões podem ter aumentado após a redação deste documento porque novos exploits são continuamente descobertos.

  1. Os dispositivos devem sempre ser totalmente atualizados para as últimas versões de software disponíveis, emitidas pela Danfoss. Em cada versão mais recente, pode haver algumas atualizações de segurança, que são explicadas no apêndice.
  2. Certifique-se de que o dispositivo esteja sempre protegido da exposição direta à Internet.  (Instale os dispositivos de rede atrás de um firewall)

Este curso tem o objetivo de oferecer um entendimento básico sobre algumas das futuras regulamentações europeias de segurança cibernética e sua relação com a segurança adicional do produto do System Manager AK-SM 800A.

https://event.on24.com/wcc/r/4542217/9DD4DD6F9BA5CA9B3DABDA48E088158A

Após este treinamento, você entenderá por que a segurança cibernética é importante e estará ciente das regulamentações futuras relacionadas.
Além disso, você saberá sobre alguns requisitos de segurança do produto e como usar a segurança adicional do produto no AK-SM 800A com a versão mais recente do software 4.0.

A Danfoss recomenda enfaticamente a proteção de todos os dispositivos de rede com um firewall e princípios de acesso remoto seguro.

O problema que pode ocorrer é que os sistemas que não estão totalmente atualizados podem conter explorações remotas conhecidas, que podem ter efeitos negativos no sistema. As explorações conhecidas são frequentemente publicadas nos bancos de dados CVE e em muitos sites de pesquisa de segurança.

Isso significa que não é recomendado mapear os dispositivos diretamente na Internet, mas, se for necessário, é importante usar várias salvaguardas para proteger o sistema do acesso direto à Internet. 

As preocupações gerais com os dispositivos são.

  • DDOS - nenhum patch de software pode proteger contra esse tipo de ataque. (Portanto, a proteção por firewall é necessária)
  • Execuções remotas conhecidas podem permitir que um invasor entre no dispositivo; portanto, todas as atualizações de software são necessárias para remover as explorações conhecidas.
  • A exploração de várias vulnerabilidades de segurança conhecidas e desconhecidas pode causar tempo de inatividade do sistema.

Inicio para dividir sua rede em zonas/segmentos. A colocação de dispositivos Danfoss em uma Rede separada reduzirá a superfície de ataque.

Geralmente, isso é uma prática a ser considerada na rede, independentemente dos Controladores usados.

A segmentação pode até ser estendida para microsegmentação, de modo que, caso um dispositivo seja comprometido, ele não se espalhará para o resto da rede.

Veja abaixo um exemplo típico de rede segmentada:

Rede segmentada

Sempre coloque sistemas e dispositivos Danfoss atrás de firewalls e outros dispositivos de proteção de segurança que limitem o acesso somente a conexões remotas autorizadas. Construir uma Rede Altamente Protegida que Ajuda a Prevenir o Acesso Externo é a linha de defesa mais crítica contra ataques cibernéticos.

Recomendamos que você siga estas diretrizes:

  • Limitar o acesso às redes nas quais os dispositivos Danfoss são colocados.
  • Certifique-se de que os sistemas e dispositivos Danfoss não estejam acessíveis a partir da internet, a menos que estejam colocados atrás de firewalls e outros aparelhos de proteção de segurança.
  • Restrinja a conectividade de Rede externo a seus Sistema e Controladores.
  • Monitore continuamente eventos que possam indicar tentativas de acesso não autorizado.
  • Limitar o acesso às redes internas onde os dispositivos residem.
  • Isole Rede de Sistema de Segurança e Controladores e Dispositivos Remotos da Rede Empresarial.

Para uma conexão/acesso seguro, você também pode usar uma conexão VPN.

Internet firewall

Implemente métodos seguros para que os usuários remotos acessem sua rede. Exigir que todos os usuários remotos se conectem e autentiquem por meio de uma única Interface Gerenciada antes de conduzir atualizações de software, manutenção e outras atividades de Suporte ao Sistema.

Quando houver necessidade de acessar dispositivos a partir de locais remotos, é importante que a exposição do dispositivo seja limitada o máximo possível. As soluções a seguir apresentam maneiras de proteger o dispositivo e a rede, ao mesmo tempo em que oferecem a flexibilidade de acessar o dispositivo remotamente.

IP fixo nos dispositivos móveis: 

O uso de endereços IP fixos em dispositivos móveis remotos é a solução mais simples para manter o acesso remoto ao sistema enquanto mantém a segurança total do dispositivo contra ataques hostis — ele também protege o dispositivo contra ataques DDOS. 

Gateway remoto

As soluções de proxy são mais complexas de configurar; no entanto, oferecem maior segurança, bem como a capacidade de fornecer um certificado SSL (Secure Sockets Layer) válido adequado para o acesso ao Sistema. O sistema proxy expõe um acesso de sistema autenticado à internet, e esse acesso autenticado levará a pior peça de qualquer ataque ao sistema, protegendo o Gerenciador do Sistema contra comprometimento.  

O proxy pode usar métodos como autenticadores, autenticação de dois fatores e outros mecanismos de segurança para garantir que somente o acesso autorizado seja permitido.

O proxy é IP bloqueado para o firewall que está protegendo o Gerenciador de Sistema e todos os clientes móveis, usam Endereço IP aleatório e se autenticam no proxy (normalmente usando certificados, autenticação de 2 fatores ou semelhante), criando uma validação forte do cliente.

Todos os clientes hostis são negados o acesso direto pelo firewall e pelo proxy, pois ele não pode fornecer as credenciais necessárias para falar com o proxy.  

Isso significa que o proxy suportará a maioria de todos os ataques de segurança e, no pior dos casos, o proxy será DDOS e o acesso local ao gerenciador do sistema ainda será possível.

Soluções de proxy

A Alsense pode fornecer essa solução por meio de uma conexão baseada em VPN (Rede Privada Virtual) ou por meio de uma solução de proxy ligada a IP, onde a conexão pode ser limitada ao sistema em nuvem da Alsense, minimizando novamente a exposição do sistema à internet, permitindo que a Alsense forneça a proteção do sistema.

O Alsense é uma solução em nuvem da Danfoss para acessar Gerenciadores de Sistema e muito mais. Esta solução fornece o mesmo que a solução proxy, no entanto, ela é gerenciada pela Danfoss e, como tal, não precisa que o cliente implemente, mantenha e opere o proxy.

Instruções técnicas e explicação para configurar um firewall
TP Link 2

O acesso a redes industriais deve ser realizado por meio de logs de autenticação/auditoria, por exemplo, VPN ou firewalls, para que o acesso possa ser auditado e, portanto, eventos de segurança possam ser investigados se ocorrerem. Minimize as chances de violações de dados monitorando e auditando eventos do sistema 24 horas por dia, 7 dias por semana. Use sistemas de detecção de intrusão, sistemas de prevenção de intrusão, software antivírus e registros de uso para detectar violações de dados ou incidentes nos estágios mais precoces.

Como boa prática, sugerimos o uso de software de monitoramento de rede para alertas de tráfego incomuns, tentativas de acesso sem sucesso, etc. As diretrizes são vastas, desde os requisitos gerais de TI cobertos pela ISO 27001 até as especificações da IEC 62443 e podem ser encontradas nestas Normas internacionais.

Acerca de todas as ofertas da Danfoss relacionadas a soluções de monitoramento, você pode ler mais no link a seguir.

Nossa solução Alsense Cloud já está em conformidade com OWASP, NIST e, claro, com o Regulamento de Proteção de dados em geral: Soluções e Monitoramento Alsense IoT para HVAC-R | Danfoss

FAQ Alsense iot

Uma instalação ou máquina é normalmente operada por mais de uma pessoa, portanto, recomenda-se a administração central de usuários.

Altere as senhas padrão no comissionamento e use o produto para criar níveis de acesso do usuário.

Como exemplo: o Gerenciador de Sistema Danfoss é um produto possível, onde você pode definir o nível de acesso do usuário no dispositivo para outros usuários possíveis.

Isso é particularmente importante para contas de administrador e Controladores de sistema de controle. Use o acesso baseado em funções com autenticação multifator para ajudar a evitar violações de segurança e fornecer um registro de atividade de acesso.

Os usuários devem evitar compartilhar senhas, pois isso pode ajudar na auditoria do acesso e evitar que as senhas sejam vazadas para a população em geral. Uma Password compartilhada geralmente acaba por ser conhecida por todos e impede a auditoria de problemas de segurança.

Considere adicionar uma característica de segurança de Password, como um bloqueio de conta que é ativado quando são inseridas demasiadas Password incorretas.

Princípios:

  • Mecanismos de whitelisting oferecem proteção adicional contra aplicativos indesejados ou malware, bem como alterações não autorizadas em aplicativos instalados.
  • O software de lista branca cria ou contém uma lista de programas e aplicações que podem ser executados no PC.

Use listas brancas para definir quais aplicativos, IPs, etc. são permitidos, pois a lista branca é a forma mais forte de controle de segurança, pois bloqueia tentativas de contorná-la. No entanto, se, por qualquer motivo, a lista branca não for uma opção viável, então, se possível, implemente uma lista negra para bloquear problemas de segurança conhecidos, mas sabendo que as listas negras podem ser contornadas facilmente.

A lista negra é um mecanismo básico de controle de acesso que permite bloquear elementos indesejados (Endereço de e-mail, Usuários, Password, URLs, Endereço IP, Nome de Domínio, Hash de Ficheiro, etc.), exceto os mencionados explicitamente. Os itens na lista não têm acesso.

Ajuda a impedir que vírus, spyware, cavalos de Troia, worms e outros tipos de malware conhecidos acessem o Sistema.

Muitas vezes, usar listas negras e brancas em conjunto é a opção ideal. Você pode usar abordagens diferentes em diferentes níveis de sua infraestrutura e até mesmo usar ambas dentro do mesmo nível.

Muitas organizações usam listas negras e brancas para diferentes peças de suas estratégias de segurança. Por exemplo, controlar o acesso a um computador ou a uma conta usando uma Password é whitelisting. Apenas aqueles com a Password têm acesso e todos os Outros não podem entrar. Muitas dessas mesmas organizações também executam programas antimalware que usam uma lista negra de malware conhecido para bloquear programas nocivos.

Ajuda a manter sua organização segura com treinamento em cibersegurança para seus funcionários. Explique e-mails de phishing, anexos infectados, sites maliciosos e outros métodos que os atacam diretamente.

Como examplo: O Departamento de TI da Danfoss, em conformidade com a ISO 27001, fornece todos os anos um treinamento on-line obrigatório para todos os funcionários, a fim de treinar as pessoas e entender como todos em uma empresa podem contribuir para a cibersegurança.

Embora isso não seja apenas um problema de segurança cibernética, é importante implementar controles físicos para que nenhuma pessoa não autorizada possa acessar seu equipamento. Mantenha todos os Controladores em gabinetes bloqueados e limite o acesso a qualquer dispositivo conectada.

Informações gerais

A segurança cibernética só pode ser eficiente quando todos contribuem para tornar o sistema de instalação seguro.

Conforme mostrado na visualização acima na família de normas IEC-62443, isso exigirá um esforço e uma atividade compartilhados, uma vez que a segurança é uma responsabilidade compartilhada. Como fornecedora de produtos, a Danfoss pretende cumprir as normas IEC 62443-4-1 e IEC 62443-4-2.

Além disso, exigirá responsabilidade e mitigação por parte do integrador do sistema e do proprietário do ativo.

Verifique a documentação para obter informações específicas do produto

A Danfoss fornece informações detalhadas com cada produto. Revise os guias de produtos no site ou aqueles que acompanham seus produtos para encontrar recomendações de segurança cibernética e melhores práticas diretamente relacionadas aos seus produtos Danfoss.

Verifique também informações específicas on-line, como a página de perguntas frequentes da Danfoss, onde este guia de práticas recomendadas foi colocado.

Electronic Controllers & Services FAQs | Danfoss

Para obter mais informações sobre as práticas recomendadas de segurança cibernética, consulte estes recursos:

Isenção de responsabilidade:

ESTE DOCUMENTO TEM O OBJETIVO DE AJUDAR A FORNECER RECOMENDAÇÕES GERAIS DE SEGURANÇA E É FORNECIDO “NO ESTADO EM QUE SE ENCONTRA”, SEM QUALQUER TIPO DE GARANTIA. A DANFOSS SE ISENTA DE TODAS AS GARANTIAS, EXPRESSAS OU IMPLÍCITAS, INCLUINDO GARANTIAS DE COMERCIALIZAÇÃO OU ADEQUAÇÃO A UMA FINALIDADE ESPECÍFICA. EM NENHUM CASO A DANFOSS SERÁ RESPONSÁVEL POR QUAISQUER DANOS, INCLUINDO DANOS DIRETOS, INDIRETOS, INCIDENTAIS, CONSEQUENCIAIS, PERDA DE LUCROS COMERCIAIS OU DANOS ESPECIAIS, MESMO QUE A DANFOSS TENHA SIDO AVISADA DA POSSIBILIDADE DE TAIS DANOS. O USO DESTE DOCUMENTO, DAS INFORMAÇÕES NELE CONTIDAS OU DOS MATERIAIS A ELE VINCULADOS É FEITO POR SUA PRÓPRIA CONTA E RISCO. A DANFOSS SE RESERVA O DIREITO DE ATUALIZAR OU ALTERAR ESTE DOCUMENTO A QUALQUER MOMENTO E A SEU EXCLUSIVO CRITÉRIO.