Danfoss将注意力集中在IT安全上

CVE：
公开披露的计算机安全缺陷的列表列出了常见的漏洞和暴露。

DDO：
分布式拒绝服务：当100000秒的远程设备攻击网络上的单个设备时，使用此术语。这是对系统的高效攻击。甚至大型公司和安全组织都无法在此类攻击期间维护运营。这些攻击已被衡量，包括400多次/第二次攻击率，这些攻击率只是淹没了与设备的连接。除了互联网骨干外，这在任何级别都无法缓解。  

对这类攻击没有廉价的防御，减轻这些攻击的唯一有效方法是躲藏起来。 

远程利用：
可以假设所有面对Internet的软件都将包含利用。因此，研究人员正在不断搜索这些内容，当发现软件提供商会创建减轻利用的补丁程序。因此，更新软件并保持最新版本以防止系统中的漏洞非常重要。 

例如，较旧的系统经理使用了1.12.1版本的Nginx版本，在该版本中发现了几个漏洞并修补了几个漏洞，因此最新的系统管理器版本3.1.9现在使用1.21.0版本的NGINX版本，该版本目前尚无已知漏洞。因此，重要的是要升级到最新的Danfoss版本 - 由于不断发现新的利用，因此发行号可能会增加。

1. 设备应始终完全更新到Danfoss发布的最新可用软件版本。 In every newer version, there might be some security updates, which are explained in the appendix.
2. 确保始终保护设备免受直接互联网的影响。  (Install network devices behind a firewall)

开始将网络分为区域/细分市场。将Danfoss设备放置在单独的网络上将减少攻击表面。

通常，这是在您的网络中考虑的一种实践，与您使用的设备无关。

该分割甚至可以扩展到微分割，因此，如果将一种设备损害，则不会扩展到网络的其余部分。

请参阅下面的典型分割网络示例：

始终将Danfoss系统和设备放置在防火墙和其他安全保护设备后面，这些设备仅限于仅授权远程连接。建立一个受到高度保护的网络来防止外部访问是针对网络攻击的最关键的防御线。

我们建议您遵循以下准则：

• 限制对放置Danfoss设备的网络的访问。
• 确保无法从Internet访问Danfoss系统和设备，除非放在防火墙和其他安全保护设备后面。
• 限制外部网络连接到您的系统和设备。
• 不断监视可能指示未经授权访问的事件。
• 限制对设备居住的内部网络的访问。
• 隔离业务网络的控制和安全系统网络和远程设备。

对于安全连接/访问，您还可以使用VPN连接。

实施安全的方法供远程用户访问您的网络。要求所有远程用户在进行软件升级，维护和其他系统支持活动之前，通过单个托管接口进行连接和身份验证。

当需要从远程位置访问设备时，重要的是，设备的曝光受到尽可能多的限制。以下解决方案提出了保护设备和网络的方法，同时提供了远程访问设备的灵活性。

修复了移动设备上的IP：

在远程移动设备上使用固定的IP地址是维护对系统的远程访问的最简单解决方案，同时保持设备的完全安全性，以防止敌对攻击 - 它还保护设备免受DDOS攻击。

代理解决方案更为复杂。但是，它们提供了更大的安全性以及提供适当的有效SSL（安全套接字层）证书以访问系统的能力。代理系统公开了对Internet的身份验证的系统访问，此身份验证的访问将带来任何系统攻击中最糟糕的部分，从而保护系统管理器免于受到损害。 

代理可以使用诸如身份验证者，2因子身份验证和其他安全机制之类的方法来确保仅允许授权访问。

代理被IP锁定到保护系统管理器的防火墙，所有移动客户端都使用随机IP地址，并对代理进行身份验证（通常使用证书，2因子身份验证或类似的验证），创建强大的验证客户端。

防火墙和代理人都无法提供所有敌对客户的直接访问权限，因为它无法提供与代理人交谈所需的凭据。 

这意味着代理将持续所有安全攻击，在最坏的情况下，代理将是DDOS，并且仍然有可能对系统管理器进行本地访问。

ALSENSE可以通过基于VPN（虚拟专用网络）连接或IP结合的代理解决方案提供此解决方案，在该解决方案中，连接可以限于Alsense Cloud System-再次最大程度地减少系统对Internet的曝光，从而允许Alsense提供系统保护。

Alsense是用于访问系统经理的Danfoss云解决方案，等等。该解决方案提供了与代理解决方案相同的，但是它由Danfoss管理，因此不需要客户来实施，也不维护和操作代理。

应通过身份验证/审核日志（例如VPN或防火墙）执行对工业网络的访问，以便可以审核访问权限，因此如果发生一次，则可以研究安全事件。通过监视和审核系统事件24/7最小化数据泄露的机会。使用入侵检测系统，入侵预防系统，防病毒软件和用法日志来检测数据泄露或最早的事件。

作为一个很好的做法，我们建议将网络监控软件用于任何不寻常的流量警报，不成功的访问尝试等。指南从ISO 27001中涵盖的一般IT要求到IEC 62443中的具体内容都是广泛的，可以在这些国际标准中找到。

工厂或机械通常由一个以上的人操作，因此建议中央用户管理。

更改调试时的默认密码，并使用产品创建用户访问级别。

这对于管理员帐户和控制系统设备特别重要。使用基于角色的访问和多因素身份验证来帮助防止安全漏洞并提供访问活动日志。

用户应避免共享密码，因为这可以帮助审核访问权限，并防止密码泄露给总体。共享密码通常最终被每个人都知道，并防止对安全问题进行审核。

考虑添加密码安全功能，例如当输入太多不正确的密码时激活的帐户锁定。

基本：

• 白名单机制为不需要的应用程序或恶意软件以及对安装应用程序的未经授权更改提供了额外的保护。

• 白名单软件创建或包含允许在PC上运行的程序和应用程序的列表。

使用白名单来定义哪些应用程序，IPS等，因为白名单是安全控制的最强形式，因为它阻止了绕过它。但是，如果出于任何原因，白名单不是一个可行的选择，那么如果可能的话，请实施黑名单以阻止已知的安全问题，但是知道黑名单可以轻松规避。

黑名单是一种基本的访问控制机制，它允许阻止有害的元素（电子邮件地址，用户，密码，URL，IP地址，域名，文件哈希等），但明确提到的内容除外。列表中的那些项目被拒绝访问。

黑名单可以帮助防止已知的病毒，间谍软件，特洛伊木马，蠕虫和其他类型的恶意软件访问您的系统。

通常，将黑名单和白名单一起使用是理想的选择。您可以在基础架构的不同级别上使用不同的方法，甚至可以在同一级别内使用两者。

许多组织都将黑名单和白名单都用于其安全策略的不同部分。例如，使用密码控制对计算机或帐户的访问是白名单。只有那些具有密码的人可以访问，并且所有其他人都无法进入。许多相同的组织还运行使用已知恶意软件黑名单来阻止有害程序的反恶意软件程序。

向您的员工提供网络安全培训，以帮助您的组织安全。说明网络钓鱼电子邮件，受感染的附件，恶意网站以及其他直接攻击它们的方法。

尽管这不仅是网络安全问题，但重要的是要进行身体控制，以便没有未经授权的人可以访问您的设备。将所有控制器保持在锁定的柜子中，并限制对任何连接的设备的访问。