Obsah:
Video: The Evolution of Voice Over IP (VoIP) (Listopad 2024)
Zabezpečení je nutností pro každou cloudovou službu připojenou k vaší firmě a vektory útoků se vyvíjejí každý den. V případě aplikace pro připojení k internetu, jako je aplikace VoIP (Voice-over-IP), která slouží jako rozbočovač podnikové komunikace, jsou bezpečnostní opatření zvnějšku ještě naléhavější, zejména vědět, kterým praktikám a problémovým oblastem je třeba se vyhnout.
Ať už je to zabezpečení zabezpečeného ověřování uživatelů a konfigurace sítě nebo umožnění šifrování typu end-to-end při veškeré komunikaci VoIP a ukládání dat, musí organizace usilovat o dohled nad správou IT a úzce spolupracovat se svým obchodním poskytovatelem VoIP, aby zajistily splnění bezpečnostních požadavků se setkal a vynutil.
Michael Machado, hlavní bezpečnostní pracovník (CSO) v RingCentral, dohlíží na bezpečnost všech cloudových a VoIP služeb RingCentral. Machado strávil posledních 15 let v oblasti IT a cloud security, nejprve jako bezpečnostní architekt a provozní manažer ve společnosti WebEx a poté ve společnosti Cisco poté, co společnost získala videokonferenční službu.
Bezpečnostní aspekty ve vaší firemní VoIP komunikaci začínají ve fázi výzkumu a nákupu ještě předtím, než si vyberete poskytovatele VoIP, a přetrvávají prostřednictvím implementace a správy. Machado prošel celým procesem z bezpečnostního hlediska a zastavil se, aby vysvětlil spoustu úkolů a ne pro podniky všech velikostí.
Výběr poskytovatele VoIP
NEDĚLEJTE: zanedbejte sdílený bezpečnostní model
Ať už jste malý podnik nebo velký podnik, první věc, kterou musíte pochopit - nezávisle na VoIP a Unified Communications-as-a-Service (UCaaS) - je, že všechny cloudové služby obecně musí mít sdílené zabezpečení Modelka. Machado řekl, že jako zákazník vaše firma vždy sdílí určitou odpovědnost za bezpečnou implementaci všech cloudových služeb, které přijímáte.
„Je to klíčové pro to, aby zákazníci porozuměli, zejména když je společnost menší a má méně zdrojů, “ řekl Machado. „Lidé si myslí, že VoIP je mechanické zařízení připojené k měděné lince. Není to. Telefon VoIP, ať už se jedná o fyzické sluchátko, počítač se spuštěným softwarem nebo o něj, mobilní aplikaci nebo aplikaci pro softwarové telefony, není to totéž jako mechanický telefon zapojený do PSTN. Není to jako běžný telefon - budete mít nějakou odpovědnost za to, že zabezpečení bude mezi zákazníkem a prodejcem uzavřeno. ““
DO: Dodavatelská due diligence
Jakmile pochopíte tuto sdílenou odpovědnost a chcete přijmout cloudovou VoIP službu, je rozumné při výběru dodavatele provést náležitou péči. V závislosti na vaší velikosti a odbornosti, kterou máte na zaměstnance, Machado vysvětlil, jak to mohou podniky a malé a střední podniky podniknout různými způsoby.
"Pokud jste velká společnost, která si může dovolit trávit čas povinnou péčí, můžete přijít se seznamem otázek, zeptat se každého dodavatele, zkontrolovat jeho zprávu z auditu a mít několik schůzek k projednání bezpečnosti, " řekl Machado. „Pokud jste malý podnik, možná nemáte odborné znalosti na analýzu auditorské zprávy SOC 2 nebo čas na investování do diskuse o těžkém výtahu.
"Místo toho se můžete podívat na věci, jako je Gartnerova zpráva Magic Quadrant, a podívat se, zda mají k dispozici zprávu SOC 1 nebo SOC 2, i když nemáte čas ani odborné znalosti, abyste si ji mohli přečíst a porozuměli jí, " řekl Machado vysvětlil. „Zpráva o auditu je dobrým signálem pro společnosti, které silně investují do zabezpečení, proti společnostem, které nejsou. Můžete si kromě zprávy SOC 2 také vyhledat zprávu SOC 3. Je to lehká verze stejných standardů podobná certifikaci. To jsou věci, které můžete hledat jako malý podnik, aby se začalo pohybovat správným směrem v oblasti bezpečnosti. “
DO: Dohodněte si bezpečnostní podmínky ve své smlouvě
Nyní jste v okamžiku, kdy jste vybrali dodavatele VoIP a uvažujete o možnosti učinit rozhodnutí o nákupu. Společnost Machado doporučila, aby se podniky, kdykoli je to možné, pokusily získat písemné výslovné dohody o zabezpečení a podmínky při sjednávání smlouvy s dodavatelem cloudu.
"Malá společnost, velká společnost, na tom nezáleží. Čím menší je společnost, tím menší síla budete muset vyjednat o těchto konkrétních podmínkách, ale je to scénář" neptej se, nedostávej ", " řekl Machado. „Podívejte se, co můžete získat ve svých dodavatelských dohodách ohledně bezpečnostních povinností dodavatele.“
Nasazení bezpečnostních opatření VoIP
DO: Používejte šifrované VoIP služby
Pokud jde o nasazení, Machado řekl, že neexistuje žádná omluva pro moderní službu VoIP, která nenabízí end-to-end šifrování. Společnost Machado doporučila, aby organizace hledaly služby, které podporují šifrování Transport Layer Security (TLS) nebo SSL (Secure Real-Time Transport Protocol), a to v ideálním případě bez zvýšení základních bezpečnostních opatření.
„Ne vždy hledejte nejlevnější službu. Může být užitečné zaplatit pojistné za bezpečnější VoIP. Ještě lepší je, když nemusíte platit pojistné za zabezpečení ve svých cloudových službách, “ řekl Machado. „Jako zákazník byste měli mít možnost povolit šifrované VoIP i mimo provoz. Je také důležité, aby poskytovatel používal nejen šifrovanou signalizaci, ale také šifrovaná média v klidu. Lidé chtějí, aby jejich konverzace byla soukromá, nikoli procházení internetem pomocí hlasu prostého textu. Ujistěte se, že váš dodavatel bude podporovat tuto úroveň šifrování a že vás to nebude stát dražší. ““
NECHTE: Mixujte své LAN
Na síťové straně vašeho nasazení má většina organizací kombinaci telefonů a cloudových rozhraní. Mnoho zaměstnanců může používat mobilní aplikaci VoIP nebo softphone, ale často bude k síti VoIP připojena také kombinace stolních telefonů a konferenčních telefonů. U všech těchto tvarových faktorů Machado uvedl, že je zásadní nemíchat tvarové faktory a připojená zařízení v rámci stejného návrhu sítě.
„Chcete nastavit samostatnou hlasovou síť LAN. Nechcete, aby se vaše pevné hlasové telefony mísily ve stejné síti s vašimi pracovními stanicemi a tiskárnami. To není dobrý design sítě, “ řekl Machado. „Máte-li, existuje řada problematických bezpečnostních důsledků. Není důvod, aby vaše pracovní prostory spolu mluvily. Můj notebook nemusí s vámi mluvit; není to totéž jako serverová farma s aplikacemi, které mluví databází. “
Místo toho Machado doporučuje…
DO: Nastavení soukromých sítí VLAN
Soukromá síť VLAN (virtuální LAN), jak vysvětlil Machado, umožňuje IT manažerům lépe segmentovat a řídit vaši síť. Soukromá síť VLAN slouží jako jediný přístupový a uplinkový bod pro připojení zařízení k routeru, serveru nebo síti.
„Z hlediska architektury zabezpečení koncového bodu jsou soukromé sítě VLAN dobrým návrhem sítě, protože vám umožňují zapnout tuto funkci na přepínači, který říká:„ tato pracovní stanice nemůže mluvit s druhou pracovní stanicí. “ Pokud máte vaše VoIP telefony nebo hlasová zařízení ve stejné síti jako všechno ostatní, nefunguje to, “řekl Machado. "Je důležité nastavit vyhrazenou hlasovou síť LAN jako součást privilegovanějšího bezpečnostního návrhu."
NEDĚLEJTE: Nechte VoIP mimo bránu firewall
Váš VoIP telefon je výpočetní zařízení připojené k Ethernetu. Machado jako připojený koncový bod uvedl, že je důležité, aby si zákazníci pamatovali, že stejně jako jakékoli jiné výpočetní zařízení musí být také za podnikovým firewallem.
„Telefon VoIP má uživatelské rozhraní, pomocí kterého se mohou uživatelé přihlásit a administrátoři provádět správu systému v telefonu. Ne každý telefon VoIP má firmware, který chrání před útoky brutální síly, “ řekl Machado. „Váš e-mailový účet se uzamkne po několika pokusech, ale ne každý telefon VoIP funguje stejným způsobem. Pokud před něj nevložíte firewall, je to jako otevřít tuto webovou aplikaci každému na internetu, který chce skriptovat útok hrubou silou a přihlášení. “
Správa systému VoIP
DO: Změňte výchozí hesla
Bez ohledu na výrobce, od kterého obdržíte vaše VoIP telefony, zařízení budou dodána s výchozími přihlašovacími údaji jako jakýkoli jiný hardware, který je dodáván s webovým uživatelským rozhraním. Aby se zabránilo jednoduchým zranitelnostem, které vedly k útoku DDoS na botu Mirai, Machado řekl, že nejjednodušší věcí je jednoduše změnit tato výchozí nastavení.
"Zákazníci musí podniknout aktivní kroky, aby si zabezpečili své telefony, " řekl Machado. „Okamžitě změňte výchozí hesla nebo, pokud váš dodavatel za vás spravuje koncové body telefonu, ujistěte se, že tato výchozí hesla mění vaším jménem.“
DO: Sledujte své použití
Ať už se jedná o cloudový telefonní systém, místní hlasový systém nebo soukromou pobočkovou ústřednu (PBX), Machado řekl, že všechny služby VoIP mají útočný povrch a nakonec se mohou hacknout. Když k tomu dojde, řekl, že jedním z nejtypičtějších útoků je převzetí účtu (ATO), také známé jako telekomunikační podvod nebo dopravní pumpování. To znamená, že když je systém VoIP napaden, útočník se pokusí uskutečnit hovory, které stojí majitele peněz. Nejlepší obranou je sledovat vaše využití.
"Řekněme, že jste herec v ohrožení. Máte přístup k hlasovým službám a pokoušíte se zavolat. Pokud vaše organizace sleduje jeho používání, budete moci zjistit, zda existuje neobvykle vysoký účet nebo uvidíte něco jako uživatel na telefonu po dobu 45 minut s místem, na které žádný zaměstnanec nemá důvod zavolat. Je to všechno o pozornosti, “řekl Machado.
„Pokud to cloudové myšlení (což znamená, že nepoužíváte tradiční pobočkovou ústřednu nebo místní VoIP), pak si promluvte s prodejcem a zeptejte se, co děláte, abyste mě ochránili, “ dodal. „Existují knoflíky a ciferníky, které mohu zapnout a vypnout, pokud jde o služby? Děláte monitorování back-end podvodů nebo analýzy chování uživatelů, kteří hledají neobvyklé používání za mě? Jsou to důležité otázky, které je třeba položit.“
NEDĚLEJTE: Máte nadměrná bezpečnostní oprávnění
Pokud jde o použití, jedním ze způsobů, jak omezit potenciální poškození ATO, je vypnout oprávnění a funkce, o kterých víte, že vaše firma nepotřebuje, jen pro případ. Jako příklad uvedl Machado mezinárodní volání.
"Pokud vaše firma nemusí volat do všech částí světa, pak nezapínejte volání do všech částí světa, " řekl. „Pokud podnikáte pouze v USA, Kanadě a Mexiku, chcete, aby byla k dispozici každá jiná země pro volání, nebo má smysl pouze ji uzavřít v případě ATO? Nenechávejte příliš široká povolení pro vaši uživatelé pro jakoukoli technologickou službu a vše, co není nutné pro vaše obchodní použití, je kvalifikováno jako příliš široké. “
NEDĚLEJTE: Zapomeňte na oprava
Oprava a udržování aktuálnosti pomocí aktualizací je u jakéhokoli softwaru rozhodující. Ať už používáte softwarový telefon, VoIP mobilní aplikaci nebo jakýkoli druh hardwaru s aktualizacemi firmwaru, Machado řekl, že tohle není nic důležitého.
„Spravujete své vlastní VoIP telefony? Pokud prodejce vydává firmware, otestujte jej a rychle jej nasaďte - často se jedná o záplaty všech typů. Někdy bezpečnostní záplaty pocházejí od dodavatele spravujícího telefon vaším jménem, takže v tomto případě nezapomeňte se zeptat, kdo kontroluje záplatování a jaký je cyklus, “řekl Machado.
DO: Povolit silnou autentizaci
Silná dvoufaktorová autentizace a investice do těžší správy identit jsou další inteligentní bezpečnostní praxí. Kromě VoIP Machado řekl, že autentizace je vždy důležitým faktorem.
"Vždy zapněte silnou autentizaci. To se nijak neliší, pokud se přihlašujete do cloudové ústředny nebo do e-mailu nebo CRM. Hledejte tyto funkce a používejte je, " řekl Machado. "Nemluvíme jen o telefonech na vašem stole; mluvíme také o webových aplikacích a všech různých částech služby. Pochopte, jak se jednotlivé kousky spojují a každý kus zajišťuje."
