A VoIP kommunikáció biztonságának szükségessége és elkerülése

A biztonság minden olyan felhőalapú szolgáltatásnak elengedhetetlen, amely be van kapcsolva az üzleti vállalkozásába, és a támadási vektorok minden nap fejlődnek. Egy olyan Internet-Connect alkalmazáshoz, mint például a VoIP-alkalmazás (VoIP), amely a vállalati kommunikáció csomópontja, a beépített biztonsági intézkedések még inkább szükségesek, különösen annak ismerete, hogy milyen gyakorlatokat és problémás területeket kell elkerülni.

Függetlenül attól, hogy biztosítja a biztonságos felhasználói hitelesítést és a hálózati konfigurációt, vagy lehetővé teszi a végpontok közötti titkosítást az összes VoIP kommunikációban és adattárolásban, a szervezeteknek szorgalmasnak kell lenniük az informatikai menedzsment felügyelete és az üzleti VoIP szolgáltatóval szoros együttműködés mellett annak biztosítása érdekében, hogy a biztonsági követelmények teljesüljenek. találkoztak és végrehajtottak.

Michael Machado, a RingCentral biztonsági vezérigazgatója (CSO) felügyeli a RingCentral összes felhő- és VoIP-szolgáltatásának biztonságát. Machado az elmúlt 15 évben informatikai és felhőbiztonsági tevékenységeket töltött, először biztonsági építészként és üzemeltetési menedzserként a WebExnél, majd a Ciscon, miután a vállalat megvásárolta a videokonferencia szolgáltatást.

A vállalati VoIP kommunikáció biztonsági szempontjai a kutatás és a vásárlás szakaszában kezdődnek, még mielőtt kiválasztanánk a VoIP szolgáltatót, és a megvalósítás és a kezelés során is fennmaradnak. Machado biztonsági szempontból végigjárta az egész folyamatot, megállítva, hogy elmagyarázza rengeteg tennivalóját és teendőit bármilyen méretű vállalkozás számára az út mentén.

A VoIP szolgáltató kiválasztása

NE: Ne hagyja figyelmen kívül a megosztott biztonsági modellt

Akár kisvállalkozás, akár nagyvállalat, az első dolog, amit meg kell értenie - függetlenül a VoIP-től és az Unified Communications-as-a-Service-től (UCaaS) is - az kell, hogy az összes felhőalapú szolgáltatásnak közös biztonsággal kell rendelkeznie. modell. Machado elmondta, hogy ügyfeleként az Ön vállalkozása mindig bizonyos felelősséget vállal az Ön által elfogadott felhőalapú szolgáltatások biztonságos megvalósításában.

"Kulcsfontosságú, hogy az ügyfelek megértsék, különösen akkor, ha egy vállalat kisebb és kevesebb erőforrással rendelkezik" - mondta Machado. "Az emberek azt gondolják, hogy a VoIP egy rézvezetékhez csatlakoztatott mechanikus eszköz. Nem. VoIP telefon, akár fizikai kézibeszélő, akár futó szoftver, akár egy mobilalkalmazás vagy egy softphone alkalmazás, nem ugyanaz, mint egy telefon. egy mechanikus telefon, amely csatlakoztatva van a PSTN-hez. Ez nem olyan, mint a szokásos telefonok - bizonyos felelősséget vállal annak biztosításáért, hogy a biztonság zárt hurkú legyen az ügyfél és az eladó között."

DO: Szállítói átvilágítás

Miután megértette ezt a megosztott felelősséget és el akarja fogadni a felhő VoIP szolgáltatást, akkor érdemes megtenni az átvilágítást az eladó kiválasztásakor. A méretétől és az alkalmazottak szakértelmétől függően Machado elmagyarázta, hogy a kis- és középvállalkozások (SMB-k) hogyan kezelhetik ezt különféle módon.

"Ha Ön egy nagyvállalat, amely megengedheti magának, hogy időt fordítson az átvilágításra, akkor felállíthat egy kérdéslistát, amelyet feltehet minden eladótól, felülvizsgálhatja könyvvizsgálói jelentését, és néhány találkozót tarthat a biztonság megvitatására" - mondta Machado. "Ha kisvállalkozás vagy, akkor nem biztos, hogy rendelkezik szakértelemmel egy SOC 2 könyvvizsgálói jelentés elemzéséhez, vagy ideje beruházni egy nehéz tárgyalásba.

"Ehelyett megnézheti például a Gartner Magic Quadrant jelentését, és megnézheti, van-e elérhető SOC 1 vagy SOC 2 jelentés, még akkor sem, ha nincs ideje vagy szaktudása az olvasáshoz és megértéshez." - Machado magyarázható. "Az ellenőrzési jelentés jó jelzés arra, hogy a vállalatok erőteljesen beruháznak a biztonságba, szemben a nem vállalkozásokkal. A SOC 2-n kívül SOC 3 jelentést is kereshet. Ez ugyanazon szabványok könnyű, tanúsítási formájú változata. Ezek azok a dolgok, amelyeket kisvállalkozásként kereshet, hogy a biztonság felé a megfelelő irányba kezdjen."

DO: Tárgyalja meg a biztonsági feltételeket a szerződésében

Most azon a helyen áll, ahol kiválasztotta a VoIP szolgáltatót, és fontolgatja a vásárlási döntés meghozatalának lehetőségét. Machado azt javasolta, hogy amikor csak lehetséges, a vállalkozások írásban próbáljanak kifejezett biztonsági megállapodásokat és feltételeket megszerezni, amikor egy felhő-szolgáltatóval tárgyalnak szerződésről.

"Kicsi, nagy cég, nem számít. Minél kisebb a társaság, annál kevesebb energiát kell majd megbeszélnie ezekről a konkrét feltételekről, de ez egy" ne kérdezz, ne kapj "forgatókönyv" - mondta Machado. "Nézze meg, mit szerezhet a szállítói megállapodásokban a szállító biztonsági kötelezettségeivel kapcsolatban."

A VoIP biztonsági intézkedéseinek telepítése

DO: Használjon titkosított VoIP szolgáltatásokat

A telepítésről Machado azt mondta, hogy nincs mentség arra, hogy a modern VoIP-szolgáltatás nem kínál végpont közötti titkosítást. Machado azt javasolta a szervezeteknek, hogy keressenek olyan szolgáltatásokat, amelyek támogatják a szállítási réteg biztonságát (TLS) vagy a biztonságos valósidejű szállítási protokoll (SRTP) titkosítást, és ezt tegyék meg, ideális esetben, anélkül, hogy az alapvető biztonsági intézkedésekre fel kellene meríteni.

"Ne mindig keresse a legolcsóbb szolgáltatást; érdemes lehet fizetni egy prémiumot a biztonságosabb VoIPért. Még jobb, ha nem kell díjat fizetnie a felhőalapú szolgáltatások biztonságáért" - mondta Machado. "Mint ügyfél, akkor képesnek kell lennie arra, hogy engedélyezze a titkosított VoIP szolgáltatást, és távolítsa el magát. Fontos az is, hogy a szolgáltató nem csak titkosított jelzést ad, hanem nyugalmi állapotban is titkosítja a médiát. Az emberek azt akarják, hogy privát beszélgetéseik privát jellegűek legyenek, és ne zavarják az internetet. sima szöveges hanggal. Győződjön meg arról, hogy az eladó támogatja a titkosítás ezen szintjét, és hogy ez nem fog többet fizetni."

NE: keverje össze a LAN-okat

A telepítés hálózati oldalán a legtöbb szervezet kézibeszélők és felhőalapú interfészek keverékével rendelkezik. Lehet, hogy sok alkalmazott csak VoIP mobilalkalmazást vagy softphone-t használ, de gyakran találkoznak asztali telefonok és konferenciatelefonok is, amelyek csatlakoznak a VoIP hálózathoz. Mindezen forma tényezők esetében Machado elmondta, hogy döntő fontosságú, hogy az alaktényezőket és a csatlakoztatott eszközöket ne keverjék ugyanabba a hálózati tervbe.

"Szeretne külön hangos LAN-t beállítani. Nem akarja, hogy a kemény hangú telefonok ugyanabban a hálózatban egybeolvadjanak a munkaállomásokkal és a nyomtatókkal. Ez nem jó hálózati tervezés" - mondta Machado. "Ha van, problémás biztonsági következményekkel jár a sorban. Nincs oka annak, hogy a munkaterületei egymással beszéljenek. A laptopomnak nem kell beszélnie a tiéddel; ez nem ugyanaz, mint egy szerverfarm, ahol az alkalmazások beszélnek adatbázisok.”

Ehelyett Machado azt ajánlja…

DO: Állítsa be a privát VLAN-okat

A privát VLAN (virtuális LAN) - amint Machado kifejtette - lehetővé teszi az informatikai vezetőknek, hogy jobban szegmentálhassák és irányítsák a hálózatot. A magán VLAN egyetlen hozzáférési és felfelé irányuló összekötő pontként működik az eszköz csatlakoztatása útválasztóhoz, szerverhez vagy hálózathoz.

"A végpont biztonsági architektúrájának szempontjából a magán VLAN egy jó hálózati kialakítás, mivel lehetőséget ad arra, hogy ezt a funkciót kapcsolja be azon a kapcsolón, amely azt mondja:" ez a munkaállomás nem tud beszélni a másik munkaállomással. " Ha a VoIP-telefonok vagy a hangkompatibilis készülékeik ugyanabban a hálózatban vannak, mint minden más, akkor ez nem működik "- mondta Machado. "Fontos, hogy a privát hanghálózatot egy kiváltságosabb biztonsági terv részeként állítsuk be."

NE: hagyja a VoIP-t a tűzfalon kívül

A VoIP-telefonja egy Ethernet-hez csatlakoztatott számítástechnikai eszköz. Kapcsolt végpontként Machado elmondta, hogy az ügyfelek számára fontos emlékezni arra, hogy a többi számítógépes eszközhez hasonlóan a vállalati tűzfal mögött is kell lennie.

"A VoIP telefon felhasználói felülettel rendelkezik a felhasználók számára a bejelentkezéshez és az adminisztrátorok számára a telefon rendszergazdálkodásához. Nem minden VoIP telefon rendelkezik firmware-rel a brutális erőszakos támadások ellen" - mondta Machado. "Az e-mail fiókod néhány kísérlet után bezáródik, de nem minden VoIP telefon működik ugyanúgy. Ha nem tesz tűzfalat előtte, ez olyan, mintha megnyitná ezt a webalkalmazást az interneten bárki számára, aki egy brute force támadás és bejelentkezés."

VoIP rendszerkezelés

DO: Változtassa meg az alapértelmezett jelszavait

Függetlenül attól a gyártótól, amelytől megkapja a VoIP telefonjait, az eszközök alapértelmezett hitelesítő adatokkal lesznek elküldve, mint bármely más hardver, amely a webes felhasználói felülethez tartozik. A Mirai botnet DDoS támadáshoz vezető egyszerű sérülékenységek elkerülése érdekében Machado szerint a legegyszerűbb lépés az ilyen alapértelmezések megváltoztatása.

"Az ügyfeleknek proaktív lépéseket kell tenniük telefonjaik biztonságossá tétele érdekében" - mondta Machado. "Az alapértelmezett jelszavakat azonnal módosítsa, vagy ha az eladó kezeli az Ön telefonvégpontjait, akkor ellenőrizze, hogy megváltoztatja-e ezeket az alapértelmezett jelszavakat az Ön nevében."

DO: Kövesse nyomon felhasználását

Legyen szó felhő telefonrendszerről, helyszíni hangrendszerről vagy magántulajdonról (PBX), a Machado elmondta, hogy minden VoIP szolgáltatás támadási felülettel rendelkezik, és végül megtörténhet. Amikor ez megtörténik, azt mondta, hogy az egyik legjellemzőbb támadás a számlaátvétel (ATO), más néven telekommunikációs csalás vagy forgalomszivattyú. Ez azt jelenti, hogy ha egy VoIP rendszert feltörnek, a támadó megpróbálja olyan hívásokat kezdeményezni, amelyek a tulajdonos számára pénzt fizetnek. A legjobb védelem az, hogy nyomon kövesse felhasználását.

"Tegyük fel, hogy fenyegető színész. Ha hozzáféréssel rendelkezik a hangszolgáltatásokhoz, és megpróbál hívásokat kezdeményezni. Ha a szervezet figyeli annak használatát, akkor észreveheti, hogy van-e szokatlanul magas számla, vagy valami olyan, mint egy 45 percig tartó telefonos felhasználó telefonján, olyan helyen, amellyel az alkalmazottaknak nincs oka hívni. A figyelem odafigyelésére szól "- mondta Machado.

"Ha ezt felhőszakoskodik (azaz nem használ hagyományos alközpontot vagy a helyszíni VoIP-t), akkor beszéljen az eladóval, és kérdezd meg, hogy mit teszel, hogy megvédjek" - tette hozzá. "Vannak-e gombok és tárcsák, amelyeket be lehet kapcsolni és kikapcsolni a szolgáltatás szempontjából? Háttér-csalások figyelését vagy felhasználói viselkedés elemzését végez, anomáliát használva a nevében? Ezek fontos kérdések, amelyeket fel kell tennem."

NE: Túl széles biztonsági engedélyekkel rendelkezik

A használat szempontjából az ATO esetleges károsodásának korlátozásának egyik módja az engedélyek és funkciók kikapcsolása, amelyekről tudod, hogy vállalkozásának nincs szüksége minden esetre. Machado példaként említette a nemzetközi hívást.

"Ha vállalkozásának nem kell a világ minden részére hívnia, akkor ne kapcsolja be a hívást a világ minden részére" - mondta. "Ha csak az Egyesült Államokban, Kanadában és Mexikóban végez üzletet, szeretné, hogy minden más ország rendelkezésre álljon a híváshoz, vagy van-e értelme az ATO esetén csak azt lezárni? Ne hagyjon semmilyen túl széles engedélyt az a felhasználók bármilyen technológiai szolgáltatást igénybe vehetnek, és minden, ami az üzleti felhasználásához nem szükséges, túl széles körűnek minősül."

Ne felejtsd el a javítást

A frissítések javítása és naprakészen tartása kritikus jelentőségű bármilyen szoftver esetében. Függetlenül attól, hogy szoftvert használ, VoIP mobilalkalmazást vagy bármilyen hardvert firmware-frissítésekkel -, Machado szerint ez nem bátor.

"Saját VoIP telefonjait kezeli? Ha az eladó kiadja a firmware-t, tesztelje és gyorsan telepítse - ezek gyakran mindenféle javítással foglalkoznak. Időnként a biztonsági javítások olyan gyártótól származnak, amelyik a telefont kezeli az Ön nevében, így ebben az esetben feltétlenül kérdezd meg, ki kezeli a foltozást és mi a ciklus "- mondta Machado.

DO: Engedélyezze az erős hitelesítést

Az erős kétfaktoros hitelesítés és a nehezebb identitáskezelésbe történő befektetés egy másik intelligens biztonsági gyakorlat. A VoIP mellett Machado szerint a hitelesítés mindig fontos tényező a helyén.

"Mindig kapcsolja be az erős hitelesítést. Ez nem különbözik egymástól, ha bejelentkezik a felhő alközpontjába, az e-mailbe vagy a CRM-be. Keresse meg ezeket a szolgáltatásokat és használja őket" - mondta Machado. "Nem csak az asztalán lévő telefonokról beszélünk, hanem a webes alkalmazásokról és a szolgáltatás minden különféle részéről. Tudjuk meg, hogy a darabok összekapcsolódnak, és az egyes darabokat egymás után rögzítik."