Obsah:
Video: VoIPShark Open Source VoIP Analysis Platform - N. Sharma, J. Mathai, A. Bhangale - DEF CON China 1 (November 2024)
Bezpečnosť je nevyhnutnosťou pre každú cloudovú službu, ktorá je zapojená do vášho podnikania, a vektory útoku sa vyvíjajú každý deň. Pre aplikácie na pripojenie k internetu, ako je aplikácia VoIP (Voice-over-IP), ktorá slúži ako centrum vašej podnikovej komunikácie, sú bezpečnostné opatrenia zvnútra ešte naliehavejšie, najmä vedieť, ktorým praktikám a problémovým oblastiam je potrebné sa vyhnúť.
Či už zaisťuje bezpečné overenie totožnosti používateľa a konfiguráciu siete, alebo umožňuje šifrovanie end-to-end vo všetkej komunikácii VoIP a ukladaní údajov, organizácie musia byť obozretné pri dohľade nad správou IT a úzko spolupracovať so svojím obchodným poskytovateľom VoIP, aby zabezpečili splnenie bezpečnostných požiadaviek sa stretol a presadil.
Michael Machado, hlavný bezpečnostný riaditeľ (CSO) v RingCentral, dohliada na bezpečnosť všetkých cloudových a VoIP služieb RingCentral. Machado strávil posledných 15 rokov v oblasti IT a cloudovej bezpečnosti, najskôr ako bezpečnostný architekt a prevádzkový manažér v spoločnosti WebEx a potom v spoločnosti Cisco potom, čo spoločnosť získala videokonferenčnú službu.
Bezpečnostné aspekty vo vašej podnikovej VoIP komunikácii začínajú vo fáze výskumu a nákupu ešte predtým, ako si vyberiete poskytovateľa VoIP, a pretrvávajú prostredníctvom implementácie a správy. Machado prešiel celým procesom z bezpečnostného hľadiska a prestal vysvetľovať veľa vecí, ktoré nie sú pre podniky všetkých veľkostí.
Výber poskytovateľa VoIP
NEDOSTATOK: Zanedbajte model zdieľaného zabezpečenia
Či už ste malý podnik alebo veľký podnik, prvá vec, ktorú musíte pochopiť - nezávisle od služieb VoIP a Unified Communications ako služba (UCaaS) - je, že všetky cloudové služby všeobecne musia mať zdieľané zabezpečenie Model. Machado uviedol, že ako zákazník vaše podnikanie vždy nesie určitú zodpovednosť za bezpečnú implementáciu všetkých cloudových služieb, ktoré prijímate.
„Je pre zákazníkov kľúčové, aby im porozumeli, najmä keď je spoločnosť menšia a má menej zdrojov, “ uviedol Machado. „Ľudia si myslia, že VoIP je mechanické zariadenie pripojené k medenej linke. Nie je to. VoIP telefón, či už je to fyzické slúchadlo, počítač so spusteným softvérom alebo mobilná aplikácia alebo softvérová aplikácia, nie je to to isté ako mechanický telefón zapojený do PSTN. Nie je to ako obyčajný telefón - budete mať určitú zodpovednosť za zabezpečenie toho, aby bezpečnosť medzi zákazníkom a predajcom bola uzavretá. ““
DO: Dodávateľská starostlivosť
Keď pochopíte túto spoločnú zodpovednosť a chcete prijať službu VoIP v cloude, pri výbere dodávateľa je rozumné vykonať náležitú starostlivosť. V závislosti od vašej veľkosti a odbornosti, ktorú máte na zamestnancov, Machado vysvetlil, ako to môžu podniky a malé a stredné podniky (SMB) dosiahnuť rôznymi spôsobmi.
„Ak ste veľká spoločnosť, ktorá si môže dovoliť tráviť čas povinnou starostlivosťou, môžete prísť so zoznamom otázok, na ktoré sa môžete opýtať každého dodávateľa, skontrolovať jeho audítorskú správu a uskutočniť niekoľko stretnutí na prediskutovanie bezpečnosti, “ uviedol Machado., „Ak ste malý podnik, možno nemáte odborné znalosti na analýzu audítorskej správy SOC 2 alebo čas na investovanie do diskusie o ťažkých nákladoch.
„Namiesto toho sa môžete pozrieť na veci, ako je správa spoločnosti Magic Quadrant spoločnosti Gartner, a zistiť, či majú k dispozícii správu SOC 1 alebo SOC 2, aj keď nemáte čas ani odborné znalosti, aby ste si ju mohli prečítať a porozumieť jej, “ uviedol Machado vysvetlené. „Správa z auditu je dobrým znakom toho, že spoločnosti výrazne investujú do bezpečnosti v porovnaní so spoločnosťami, ktoré nie sú. Okrem správy SOC 2 môžete hľadať aj správu SOC 3. Je to ľahká verzia rovnakých štandardov podobná certifikácii. Toto sú veci, ktoré môžete hľadať ako malú firmu, aby ste sa v oblasti bezpečnosti mohli pohnúť správnym smerom. ““
DO: Dohodnite si vo svojej zmluve bezpečnostné podmienky
Teraz ste v bode, keď ste vybrali dodávateľa VoIP a zvažujete možnosť rozhodnutia o kúpe. Spoločnosť Machado odporučila, aby sa podniky, kedykoľvek je to možné, pri uzatváraní zmluvy s dodávateľom cloudu snažili získať výslovné bezpečnostné dohody a podmienky v písomnej forme.
„Malá spoločnosť, veľká spoločnosť, na tom nezáleží. Čím je spoločnosť menšia, tým menej sily budete musieť vyjednávať o týchto konkrétnych podmienkach, ale je to scenár„ nepýtajte sa, nedostaňte “, “ uviedol Machado. „Zistite, čo môžete získať vo svojich dodávateľských dohodách, pokiaľ ide o bezpečnostné povinnosti dodávateľa.“
Nasadenie bezpečnostných opatrení VoIP
DO: Používajte šifrované VoIP služby
Pokiaľ ide o nasadenie, Machado povedal, že neexistuje žiadna ospravedlnenie pre modernú službu VoIP, ktorá neponúka end-to-end šifrovanie. Spoločnosť Machado odporučila, aby organizácie hľadali služby, ktoré podporujú šifrovanie Transport Layer Security (TLS) alebo Secure Protocol v reálnom čase (SRTP), a to v ideálnom prípade bez zvýšenia základných bezpečnostných opatrení.
„Nie vždy hľadajte najlacnejšie služby; môže byť užitočné platiť poistné za bezpečnejšie VoIP. Ešte lepšie je, keď nemusíte platiť poplatky za bezpečnosť vo svojich cloudových službách, “ povedal Machado. „Ako zákazník by ste mali mať možnosť iba povoliť šifrované VoIP a môžete ísť. Je tiež dôležité, aby poskytovateľ používal nielen šifrovanú signalizáciu, ale aj šifrovacie médiá v pokoji. Ľudia chcú, aby ich konverzácie boli súkromné, nie prechádzanie internetom. pomocou hlasu vo formáte obyčajného textu. Uistite sa, že predajca bude podporovať túto úroveň šifrovania a nebude vás to stáť viac.
NEDOSTATOK: Zmiešajte svoje siete LAN
Na strane nasadenia má väčšina organizácií kombináciu mobilných telefónov a cloudových rozhraní. Mnoho zamestnancov možno práve používa mobilnú aplikáciu VoIP alebo softphone, ale často bude k sieti VoIP pripojená aj kombinácia stolových telefónov a konferenčných telefónov. Pre všetky tieto tvarové faktory Machado uviedol, že je nevyhnutné nemiešať tvarové faktory a pripojené zariadenia v rámci rovnakého návrhu siete.
„Chcete vytvoriť samostatnú hlasovú sieť LAN. Nechcete, aby sa vaše telefóny s tvrdým hlasom miešali v rovnakej sieti s vašimi pracovnými stanicami a tlačiarňami. To nie je dobrý návrh siete, “ povedal Machado. „Ak máte, v riadku sú problematické bezpečnostné dôsledky. Nie je dôvod, aby vaše pracovné priestory hovorili medzi sebou. Môj laptop nemusí hovoriť s vašimi; nie je to rovnaké ako serverová farma s aplikáciami, s ktorými sa hovorí databáz."
Namiesto toho Machado odporúča…
DO: Nastaviť súkromné siete VLAN
Súkromná VLAN (virtuálna LAN), ako vysvetlil Machado, umožňuje IT manažérom lepšie segmentovať a riadiť vašu sieť. Súkromná sieť VLAN slúži ako jediný prístupový a vzostupný bod na pripojenie zariadenia k smerovaču, serveru alebo sieti.
„Z hľadiska bezpečnostnej architektúry koncového bodu sú súkromné siete VLAN dobrým návrhom siete, pretože vám umožňujú zapnúť túto funkciu na prepínači, ktorý hovorí:„ táto pracovná stanica nemôže hovoriť s druhou pracovnou stanicou. “ Ak máte vaše VoIP telefóny alebo hlasové zariadenia v rovnakej sieti ako všetko ostatné, nefunguje to, “uviedol Machado. „Je dôležité nastaviť vyhradenú hlasovú sieť LAN ako súčasť privilegovanejšieho bezpečnostného návrhu.“
NEDOSTATOK: Nechajte svoje VoIP mimo brány Firewall
Váš telefón VoIP je výpočtové zariadenie zapojené do siete Ethernet. Ako pripojený koncový bod spoločnosť Machado uviedla, že je dôležité, aby si zákazníci pamätali, že rovnako ako akékoľvek iné počítačové zariadenie musí byť aj za firemnou bránou firewall.
„Telefón VoIP má užívateľské rozhranie, do ktorého sa používatelia môžu prihlásiť a aby administrátori vykonávali správu systému v telefóne. Nie každý telefón VoIP má firmvér na ochranu pred útokmi hrubou silou, “ uviedol Machado. „Váš e-mailový účet sa uzamkne po niekoľkých pokusoch, ale nie každý telefón VoIP funguje rovnako. Ak pred ním nevložíte bránu firewall, je to ako otvoriť túto webovú aplikáciu každému na internete, ktorý chce skriptovať. útok hrubou silou a prihláste sa. ““
Správa systému VoIP
DO: Zmeňte svoje predvolené heslá
Bez ohľadu na výrobcu, od ktorého dostanete vaše telefóny VoIP, budú zariadenia dodané s predvolenými povereniami ako akýkoľvek iný hardvér dodávaný s webovým používateľským rozhraním. Aby sa predišlo jednoduchým zraniteľnostiam, ktoré viedli k útoku DDoS na botu Mirai, Machado povedal, že najjednoduchšie je jednoducho zmeniť tieto predvolené hodnoty.
„Zákazníci musia podniknúť proaktívne kroky na zabezpečenie svojich telefónov, “ uviedol Machado. „Okamžite zmeňte predvolené heslá, alebo ak váš dodávateľ spravuje koncové body telefónu za vás, uistite sa, že tieto predvolené heslá vo vašom mene menia.“
DO: Sledujte svoje použitie
Či už je to cloudový telefónny systém, miestny hlasový systém alebo súkromná pobočková ústredňa (PBX), Machado povedal, že všetky služby VoIP majú útočný povrch a nakoniec môžu byť napadnuté hackermi. Keď k tomu dôjde, povedal, že jedným z najtypickejších útokov je prevzatie účtu (ATO), známe tiež ako telekomunikačný podvod alebo dopravné čerpanie. To znamená, že keď je systém VoIP napadnutý, útočník sa pokúša uskutočniť hovory, ktoré stoja tieto peniaze majiteľa. Najlepšou obranou je sledovať vaše použitie.
„Povedzme, že ste aktérom hrozieb. Máte prístup k hlasovým službám a snažíte sa telefonovať. Ak vaša organizácia sleduje jej používanie, budete môcť zistiť, či existuje nezvyčajne vysoký účet alebo uvidíte, niečo ako užívateľ na telefóne počas 45 minút s miestom, na ktoré nemajú žiadni zamestnanci dôvod na volanie. Je to všetko o pozornosti, “povedal Machado.
„Ak to cloudové prepojenie (znamená to, že nepoužívate tradičnú pobočkovú ústredňu alebo miestne VoIP), potom sa porozprávajte so svojím predajcom a požiadajte ho, čo robíte, aby ste ma ochránili, “ dodal. „Existujú gombíky a číselníky, ktoré môžem zapnúť a vypnúť v súvislosti so službou? Robíte back-end monitoring podvodov alebo analýzy správania používateľov, ktorí hľadajú moje neobvyklé používanie v mojom mene? To sú dôležité otázky, ktoré si treba položiť.“
NEDOSTATOK: Majú príliš široké bezpečnostné povolenia
Pokiaľ ide o používanie, jedným zo spôsobov, ako obmedziť potenciálne škody ATO, je vypnúť povolenia a funkcie, ktoré vaša firma nepotrebuje, len pre prípad. Ako príklad uviedol Machado medzinárodné volanie.
„Ak vaše podnikanie nemusí volať do všetkých častí sveta, potom nezačnite volať do všetkých častí sveta, “ povedal. „Ak podnikáte iba v USA, Kanade a Mexiku, chcete, aby bola k dispozícii každá iná krajina, alebo má zmysel len to uzavrieť v prípade ATO? Nenechajte žiadne nadmerné povolenia pre vaši používatelia pre akékoľvek technologické služby a všetko, čo nie je potrebné pre vaše obchodné použitie, sa kvalifikuje ako príliš široké. ““
NEZABUDNITE: Zabudnite na opravu
Oprava a udržiavanie aktuálnosti pomocou aktualizácií je pri akomkoľvek softvéri rozhodujúca. Či už používate aktualizáciu firmvéru softphone, VoIP mobilnú aplikáciu alebo akýkoľvek druh hardvéru, spoločnosť Machado povedala, že toto nie je dôležité.
„Spravujete svoje vlastné telefóny VoIP? Ak dodávateľ vydáva firmvér, otestujte ho a rýchlo ho nasaďte - často sa zaoberajú záplatami všetkých typov. Niekedy bezpečnostné záplaty pochádzajú od dodávateľa, ktorý spravuje telefón vo vašom mene, takže v takom prípade nezabudnite sa opýtať, kto riadi záplatovanie a aký je cyklus, “povedal Machado.
DO: Povoliť silné overenie
Silná dvojfaktorová autentifikácia a investície do ťažšej správy identít sú ďalším inteligentným bezpečnostným postupom. Okrem iba VoIP Machado povedal, že autentifikácia je vždy dôležitým faktorom, ktorý treba mať.
„Vždy zapnite silnú autentizáciu. To sa nijako nelíši, ak sa prihlasujete do cloudovej pobočkovej ústredne alebo do e-mailu alebo svojho CRM. Vyhľadajte tieto funkcie a použite ich, “ povedal Machado. „Nehovoríme iba o telefónoch na stole, ale aj o webových aplikáciách a všetkých rôznych častiach služby. Pochopte, ako sa jednotlivé časti spájajú a každý kus zaisťuje.“