Sadržaj:
Video: Вебинар: IP телефония - обзор технологии (Prosinac 2024)
Sigurnost je potrebna za svaku uslugu utemeljenu u oblaku koja je uključena u vaše poslovanje, a vektori napada svakodnevno se razvijaju. Za aplikaciju za internetsko povezivanje poput Voice-over-IP (VoIP) aplikacije koja služi kao središte komunikacije vašeg poduzeća, sigurnosne mjere iznutra su još važnije, posebno znajući koje prakse i problematična područja treba izbjegavati.
Bilo da se osigurava sigurna provjera autentičnosti korisnika i mrežna konfiguracija ili omogućuje krajnje šifriranje u svim VoIP komunikacijama i pohrani podataka, organizacije moraju biti oprezne u nadzoru IT upravljanja i usko surađivati sa svojim poslovnim VoIP pružateljem kako bi se osiguralo da sigurnosni zahtjevi budu ispunjeni upoznali i prisilili.
Michael Machado, glavni sigurnosni direktor (OCD) u RingCentralu, nadgleda sigurnost svih oblaka i VoIP usluga RingCentrala. Machado je posljednjih 15 godina proveo u IT i oblačnoj sigurnosti, najprije kao sigurnosni arhitekt i rukovoditelj operacija u WebExu, a potom i u Ciscu nakon što je tvrtka stekla uslugu videokonferencija.
Sigurnosna pitanja u VoIP komunikaciji vaše tvrtke započinju u fazi istraživanja i kupnje prije nego što čak odaberete VoIP-pružatelja usluga i istraju kroz implementaciju i upravljanje. Machado je prošao kroz čitav proces iz sigurnosne perspektive, zaustavljajući se da objasni obilje poslova i posla, a ne za posao svih veličina.
Odabir vašeg pružatelja usluga VoIP-a
NE: Zanemarite model zajedničke sigurnosti
Bez obzira jeste li mala ili velika poduzeća, prvo što morate razumjeti - neovisno o VoIP-u i objedinjenoj komunikaciji kao usluzi (UCaaS) - je da sve usluge oblaka općenito trebaju imati zajedničku sigurnost model. Machado je rekao da, kao kupac, vaše poslovanje uvijek snosi neku odgovornost u sigurnoj implementaciji svih usluga u oblaku koje prihvaćate.
"Ključno je da kupci shvate, pogotovo kada je tvrtka manja i ima manje resursa", rekao je Machado. "Ljudi misle da je VoIP mehanički uređaj spojen na bakreni vod. To nije. VoIP telefon, bilo da je u pitanju fizička slušalica, računalo s pokrenutim softverom ili njega, mobilna aplikacija ili softver za softver, to nije ista stvar kao mehanički telefon uključen u PSTN. To nije poput uobičajenog telefona - imat ćete određenu odgovornost osigurati da sigurnosno računalo ima zatvorenu petlju između kupca i dobavljača."
DO: Doli prodavaonica
Jednom kada shvatite da je zajednička odgovornost i želite prihvatiti oblak VoIP uslugu, ima smisla obaviti dužnu revnost prilikom odabira vašeg dobavljača. Ovisno o vašoj veličini i stručnosti koju imate o osoblju, Machado je objasnio kako poduzeća i mala i srednja poduzeća (SMBs) mogu to riješiti na različite načine.
"Ako ste velika tvrtka koja si može priuštiti da trošite vrijeme na skrbnu skrb, možete smisliti popis pitanja koja ćete postaviti svakom dobavljaču, pregledati njegovo revizijsko izvješće i imati nekoliko sastanaka za raspravu o sigurnosti", rekao je Machado, "Ako ste mala tvrtka, možda nećete imati stručnost za analizu izvještaja o reviziji SOC 2 ili vrijeme za ulaganje u tešku raspravu.
"Umjesto toga, možete pogledati stvari poput Gartnerovog izvješća o Magic Quadrantu i provjeriti imaju li oni dostupni SOC 1 ili SOC 2 izvještaj, čak i ako nemate vremena ili stručnosti da ga pročitate i razumijete", Machado objasnio je. "Izvještaj o reviziji dobar je pokazatelj da tvrtke ulažu u sigurnost u odnosu na tvrtke koje to nisu. Također možete potražiti SOC 3 izvješće pored SOC 2. To je lagana verzija istih standarda slična certifikatu. To su stvari koje možete potražiti kao mala tvrtka koja će se početi kretati u pravom smjeru u pogledu sigurnosti."
DO: Pregovarajte o sigurnosnim uvjetima u ugovoru
Sada ste na mjestu gdje ste odabrali dobavljača VoIP-a i razmišljate o mogućnosti donošenja odluke o kupnji. Machado je preporučio da, kad god je to moguće, tvrtke trebaju pokušati dobiti izričite sigurnosne sporazume i uvjete u pisanom obliku prilikom pregovora o ugovoru s dobavljačem oblaka.
"Mala tvrtka, velika tvrtka, nema veze. Što je kompanija manja, manje ćete snage morati pregovarati o tim određenim uvjetima, ali to je scenarij 'ne pitajte, ne shvaćajte'", rekao je Machado. "Pogledajte što možete dobiti u svojim dobavljačkim ugovorima u vezi sa sigurnosnim obvezama dobavljača."
Uvođenje sigurnosnih mjera VoIP-a
DO: Koristite šifrirane VoIP usluge
Kad je u pitanju implementacija, Machado je rekao da nema izgovora da moderna VoIP usluga ne nudi cjelovito šifriranje. Machado je preporučio organizacijama da traže usluge koje podržavaju šifriranje transportnog sloja (TLS) ili sigurnu enkripciju transportnog protokola u stvarnom vremenu (SRTP), i to u idealnom slučaju, bez nadogradnje za osnovne sigurnosne mjere.
"Ne tražite uvijek najjeftiniju uslugu; može se isplatiti platiti premiju za sigurniji VoIP. Još je bolje kad za sigurnost u svojim oblačnim uslugama ne morate plaćati premiju", rekao je Machado. "Kao klijent, jednostavno biste trebali omogućiti šifrirani VoIP i isključiti se. Također je važno da pružatelj usluge koristi ne samo šifriranu signalizaciju, već i šifrira medije u mirovanju. Ljudi žele da njihovi razgovori budu privatni, a ne da putuju internetom. glasovnim tekstom. Provjerite hoće li vaš dobavljač podržati tu razinu šifriranja i da vas to neće koštati više."
NE: Miješajte svoje LAN-ove
Na mrežnoj strani vaše implementacije većina organizacija ima kombinaciju mobilnih telefona i sučelja koja se temelje na oblaku. Mnogi zaposlenici možda samo koriste VoIP mobilnu aplikaciju ili softverski telefon, ali često će biti i miks stolnih telefona i konferencijskih telefona spojen na VoIP mrežu. Za sve te faktore oblika, Machado je rekao da je ključno ne miješati faktore oblika i povezane uređaje unutar istog mrežnog dizajna.
"Želite postaviti zasebnu glasovnu LAN mrežu. Ne želite da se vaši telefoni s tvrdim glasom stapaju u istu mrežu s vašim radnim stanicama i pisačima. To nije dobar mrežni dizajn", rekao je Machado. "Ako imate, postoje problematične sigurnosne posljedice u nizu. Nema razloga da vaši radni prostori razgovaraju jedni s drugima. Moj laptop ne mora razgovarati s vašim; to nije isto što i farma poslužitelja s aplikacijama za razgovor baze podataka.”
Umjesto toga, Machado preporučuje…
DO: Postavljanje privatnih VLAN-ova
Privatni VLAN (virtualni LAN), kako je objasnio Machado, omogućuje IT menadžerima bolji segment i kontrolu mreže. Privatni VLAN djeluje kao jedna pristupna i uzlazna točka za povezivanje uređaja s usmjerivačem, serverom ili mrežom.
"Iz perspektive sigurnosne arhitekture krajnje točke, privatni VLAN-ovi su dobar mrežni dizajn jer vam omogućuju uključivanje ove značajke na prekidaču koji kaže" ova radna stanica ne može razgovarati s drugom radnom stanicom. " Ako imate VoIP telefone ili uređaje s omogućenim glasom na istoj mreži kao i sve drugo, to ne funkcionira ", rekao je Machado. "Važno je postaviti svoj namjenski govorni LAN kao dio povlaštenijeg sigurnosnog dizajna."
NE: Ostavite svoj VoIP van vatrozida
Vaš VoIP telefon računski je uređaj priključen na Ethernet. Kao spojena krajnja točka, Machado je rekao da je važno da se kupci zapamte da, kao i svaki drugi računalni uređaj, također mora biti iza korporativnog vatrozida.
"VoIP telefon ima korisničko sučelje za korisnike koji se mogu prijaviti, a za administratore da administriraju sistemsku administraciju na telefonu. Nije svaki VoIP telefon dostupan firmver za zaštitu od brutalnih napada", rekao je Machado. "Vaš će se račun e-pošte zaključati nakon nekoliko pokušaja, ali ne može svaki VoIP telefon funkcionirati na isti način. Ako ne postavite vatrozid ispred njega, to je kao otvaranje te web aplikacije svima koji žele na skriptu bruta force napada i prijavi se."
Upravljanje VoIP sustavom
DO: Promijenite zadane lozinke
Bez obzira na proizvođača od kojeg dobijate svoje VoIP mobilne slušalice, uređaji će se isporučivati sa zadanim vjerodajnicama kao i bilo koji drugi hardver koji dolazi s web sučeljem. Kako bi izbjegao vrstu jednostavnih ranjivosti koje su dovele do napada Mirai botnet DDoS-a, Machado je rekao da je najlakše učiniti jednostavno promijeniti te zadane vrijednosti.
"Kupci moraju poduzeti proaktivne korake kako bi osigurali svoje telefone", rekao je Machado. "Odmah promijenite zadane lozinke ili, ako vaš dobavljač upravlja krajnjim točkama telefona, provjerite da li u vaše ime mijenjaju te zadane lozinke."
DO: Pratite svoju upotrebu
Bilo da se radi o oblačnom telefonskom sustavu, lokalnom govornom sustavu ili privatnoj poslovnici (PBX), Machado je rekao da sve VoIP usluge imaju površinu napada i na kraju mogu dobiti hakiranje. Kad se to dogodi, rekao je da je jedan od najtipičnijih napada preuzimanje računa (ATO), također poznat kao telekomunikacijska prevara ili crtanje prometa. To znači da, kada je hakiran VoIP sustav, napadač pokušava upućivati pozive koji koštaju taj novac vlasnika. Najbolja obrana je pratiti svoju upotrebu.
"Recite da ste akter prijetnje. Dobivate pristup glasovnim uslugama i pokušavate upućivati pozive. Ako vaša organizacija gleda njegovo korištenje, moći ćete uočiti ako postoji neobično visok račun ili pogledajte nešto poput korisnika koji telefonira na 45 minuta s lokacije na koju niti jedan zaposlenik nema razloga nazvati. Sve je stvar u tome da obratite pažnju ", rekao je Machado.
"Ako ovo igrate u oblaku (što znači da ne koristite tradicionalnu PBX ili lokalni VoIP), onda razgovarajte s prodavateljem i pitajte me što radite da biste me zaštitili", dodao je. "Postoje li tipke i biranja koja mogu uključiti i isključiti s obzirom na uslugu? Izvodite li zamjenu prijevara ili analizu ponašanja korisnika u potrazi za neuobičajenim korištenjem u moje ime? Ovo su važna pitanja koja treba postaviti."
NE: Imajte prevelika sigurnosna dopuštenja
U slučaju upotrebe, jedan od načina ograničavanja potencijalne ATO štete je isključivanje dozvola i značajki za koje znate da vaš posao ne treba, za svaki slučaj. Machado je kao primjer naveo međunarodno pozivanje.
"Ako vašoj tvrtki ne treba zvati sve dijelove svijeta, nemojte uključivati sve dijelove svijeta", kazao je. "Ako poslujete samo u SAD-u, Kanadi i Meksiku, želite li da je bilo koja druga država dostupna za pozivanje ili je samo smisla isključiti je u slučaju ATO-a? Ne ostavljajte nikakve preširoke dozvole za vašim korisnicima za bilo koju tehnološku uslugu, a sve što nije neophodno za vašu poslovnu upotrebu kvalificira se kao općenito."
NE: Zaboravi na krpanje
Promatranje i održavanje aktualizacije s ažuriranjima presudno je kod bilo koje vrste softvera. Bez obzira koristite li softver, mobilnu aplikaciju VoIP ili bilo koji drugi oblik hardvera s ažuriranjima firmvera, Machado je rekao da ovo nije problem.
"Upravljate li vlastitim VoIP telefonima? Ako dobavljač izda firmver, testirajte ga i brzo ga implementirajte - često se radi o zakrpama svih vrsta. Ponekad sigurnosne zakrpe dolaze od dobavljača koji upravlja telefonom u vaše ime, tako da, u tom slučaju, svakako pitajte tko kontrolira krpljenje i koji je ciklus ", rekao je Machado.
DO: Omogući jaku provjeru autentičnosti
Snažna dvofaktorska provjera autentičnosti i ulaganje u teže upravljanje identitetom je još jedna pametna sigurnosna praksa. Osim VoIP-a, Machado je rekao da je provjera autentičnosti uvijek važan faktor koji mora postojati.
"Uvijek uključite snažnu provjeru autentičnosti. To se ne razlikuje ako se prijavljujete na svoju oblak PBX ili e-poštu ili svoj CRM. Potražite te značajke i koristite ih", rekao je Machado. "Ne govorimo samo o telefonima na vašem stolu; govorimo o web aplikacijama i svim različitim dijelovima usluge. Shvatite kako se komadi spajaju i osigurajte svaki dio zauzvrat."
