Detaliile și noțiunile de securizare a comunicațiilor voip

Securitatea este o necesitate pentru fiecare serviciu bazat pe cloud conectat la afacerea dvs., iar vectorii de atac evoluează în fiecare zi. Pentru o aplicație de conectare la internet precum o aplicație VoIP-over-IP (VoIP) care servește ca hub-ul comunicațiilor dvs. de întreprindere, măsurile de securitate în interior sunt chiar mai imperative, în special știind ce practici și domenii problemă trebuie evitate.

Indiferent dacă asigură autentificarea securizată a utilizatorului și configurarea rețelei sau care permite criptarea end-to-end în toate comunicările VoIP și stocarea datelor, organizațiile trebuie să fie diligente atât în ​​supravegherea gestionării IT, cât și în colaborarea strânsă cu furnizorul de servicii VoIP pentru a se asigura că cerințele de securitate sunt îndeplinite îndeplinit și executat.

Michael Machado, Chief Security Officer (CSO) la RingCentral, supraveghează securitatea pentru toate serviciile cloud și VoIP RingCentral. Machado a petrecut ultimii 15 ani în IT și securitate cloud, mai întâi ca arhitect de securitate și manager de operații la WebEx, apoi la Cisco, după ce compania a achiziționat serviciul de videoconferință.

Considerațiile de securitate în comunicațiile VoIP ale companiei dvs. încep în etapa de cercetare și cumpărare înainte de a selecta chiar un furnizor VoIP și persistă prin implementare și management. Machado a străbătut întregul proces dintr-o perspectivă de securitate, oprindu-se să explice o mulțime de lucruri făcute și nu pentru afaceri de toate dimensiunile pe parcurs.

Selectarea furnizorului VoIP

NU: neglijați modelul de securitate partajat

Indiferent dacă sunteți o companie mică sau o întreprindere mare, primul lucru pe care trebuie să-l înțelegeți - independent chiar de VoIP și Unified Communications-as-a-Service (UCaaS) - este faptul că toate serviciile cloud în general trebuie să aibă o securitate partajată model. Machado a spus că, în calitate de client, afacerea dvs. are întotdeauna o anumită responsabilitate în implementarea sigură a tuturor serviciilor cloud pe care le adoptați.

„Este esențial să înțeleagă clienții, mai ales atunci când o companie este mai mică și are mai puține resurse”, a spus Machado. "Oamenii cred că VoIP-ul este un dispozitiv mecanic conectat la o linie de cupru. Nu este. Un telefon VoIP, fie că este un telefon fizic, un computer cu software care rulează, o aplicație mobilă sau o aplicație de telefon soft, nu este același lucru ca un telefon mecanic conectat la PSTN. Nu este ca un telefon obișnuit - veți avea o anumită responsabilitate pentru a vă asigura că securitatea are o buclă închisă între client și vânzător."

DO: Diligența vânzătorului

După ce înțelegeți această responsabilitate partajată și doriți să adoptați un serviciu VoIP cloud, este logic să vă faceți diligența cuvenită atunci când selectați furnizorul. În funcție de dimensiunea dvs. și de expertiza pe care o aveți asupra personalului, Machado a explicat modul în care întreprinderile și întreprinderile mici și mijlocii (SMB) pot merge în acest sens în diferite moduri.

„Dacă sunteți o companie mare care își poate permite să-și petreacă timpul pe due diligence, puteți veni cu o listă de întrebări pentru a pune fiecare vânzător, a revizui raportul de audit și a avea câteva întâlniri pentru a discuta despre securitate”, a spus Machado. „Dacă sunteți o companie mică, s-ar putea să nu aveți expertiza pentru a analiza un raport de audit SOC 2 sau timpul necesar pentru a investi într-o discuție intensă.

"În schimb, puteți privi lucruri precum raportul Magic Quadrant al lui Gartner și căutați să vedeți dacă au la dispoziție un raport SOC 1 sau SOC 2, chiar dacă nu aveți timp sau expertiză pentru a-l citi și înțelege", a spus Machado. a explicat. "Raportul de audit este un indiciu bun pentru companiile care fac o investiție puternică în securitate față de companii care nu sunt. Puteți căuta și un raport SOC 3 în plus față de SOC 2. Este o versiune ușoară, asemănătoare certificării, din aceleași standarde. Acestea sunt lucrurile pe care le puteți căuta ca o companie mică pentru a începe să vă deplasați în direcția corectă pentru securitate."

DO: Negociază condițiile de securitate din contractul tău

Acum sunteți în punctul în care ați selectat un furnizor VoIP și aveți în vedere posibilitatea de a lua o decizie de cumpărare. Machado a recomandat ca, ori de câte ori este posibil, întreprinderile să încerce să obțină acorduri și condiții de securitate explicite în scris atunci când negociază un contract cu un furnizor cloud.

"Companie mică, companie mare, nu contează. Cu cât este mai mică compania, cu atât va fi mai mică puterea de a negocia acei termeni specifici, dar este un scenariu„ nu întrebați, nu primiți ", a spus Machado. "Vedeți ce puteți obține în acordurile dvs. de furnizor cu privire la obligațiile de securitate din partea furnizorului."

Implementarea măsurilor de securitate VoIP

DO: Utilizați servicii VoIP criptate

Când vine vorba de implementare, Machado a spus că nu există nicio scuză pentru ca un serviciu VoIP modern să nu ofere criptare end-to-end. Machado a recomandat organizațiilor să caute servicii care acceptă securitatea transportului straturilor (TLS) sau criptarea Secure Real-Time Transport Protocol (SRTP) și să o facă, în mod ideal, fără a supăra măsurile de securitate de bază.

"Nu mergi întotdeauna pentru cel mai ieftin serviciu; poate merita să plătești o primă pentru un VoIP mai sigur. Chiar și mai bine este atunci când nu trebuie să plătești o primă pentru securitate în serviciile cloud", a spus Machado. "În calitate de client, ar trebui să fii capabil să activezi VoIP criptat și să te duci. De asemenea, este important ca furnizorul să folosească nu doar semnalizarea criptată, ci și criptarea media în repaus. Oamenii doresc ca conversațiile lor să fie private, nu traversează internetul cu voce simplă de text. Asigurați-vă că furnizorul dvs. va suporta acel nivel de criptare și că nu va costa mai mult."

NU: Mixati-va LAN-urile

Pe partea de rețea a desfășurării dvs., majoritatea organizațiilor au un amestec de telefoane și interfețe bazate pe cloud. Mulți angajați pot folosi doar o aplicație VoIP mobilă sau un telefon mobil, dar va exista deseori un amestec de telefoane de birou și telefoane de conferință conectate la rețeaua VoIP. Pentru toți acei factori de formă, Machado a spus că este crucial să nu amestecați factorii de formă și dispozitivele conectate în cadrul aceluiași proiect de rețea.

"Vrei să configurați o LAN vocală separată. Nu doriți ca telefoanele voastre dure să se amestece pe aceeași rețea cu stațiile de lucru și imprimantele. Nu este un design de rețea bun", a spus Machado. "Dacă aveți, există consecințe problematice de securitate în linie. Nu există niciun motiv pentru ca spațiile dvs. de lucru să vorbească între ele. Laptopul meu nu trebuie să vorbească cu al vostru; nu este același lucru cu o fermă de server cu aplicații care vorbesc cu baze de date.“

În schimb, Machado recomandă…

DO: Configurați VLAN-uri private

Un VLAN privat (LAN virtual), după cum a explicat Machado, permite managerilor IT să segmenteze și să vă controleze rețeaua mai bine. VLAN privat acționează ca un singur acces și punct de legătură în sus pentru a conecta dispozitivul la un router, server sau rețea.

„Din perspectiva arhitecturii de securitate a punctelor de vedere, VLAN-urile private sunt un design de rețea bun, deoarece vă oferă posibilitatea de a activa această caracteristică pe comutatorul care spune că„ această stație de lucru nu poate vorbi cu cealaltă stație de lucru ”. Dacă aveți telefoane VoIP sau dispozitive cu funcție vocală în aceeași rețea ca orice altceva, asta nu funcționează ", a spus Machado. "Este important să vă configurați LAN-ul vocal dedicat ca parte a unui design de securitate mai privilegiat."

NU: Lasă-ți VoIP-ul în afara firewall-ului

Telefonul dvs. VoIP este un dispozitiv de calcul conectat la Ethernet. Ca un punct de conectare conectat, Machado a spus că este important pentru clienți să-și amintească că, la fel ca orice alt dispozitiv de calcul, trebuie să fie și el în spatele firewall-ului corporativ.

"Telefonul VoIP are o interfață de utilizator pentru ca utilizatorii să se autentifice și pentru ca administratorii să facă administrarea sistemului pe telefon. Nu toate telefoanele VoIP au firmware pentru a le proteja împotriva atacurilor de forță brută", a spus Machado. "Contul dvs. de e-mail se va bloca după câteva încercări, dar nu fiecare telefon VoIP funcționează la fel. Dacă nu puneți un firewall în fața sa, este ca și cum ați deschide aplicația web pentru oricine de pe internet care dorește să scrie un atac de forță brută și conectați-vă."

Managementul sistemului VoIP

DO: Schimbați parolele implicite

Indiferent de producătorul de la care primiți telefoanele VoIP, dispozitivele vor fi livrate cu datele de autentificare implicite, precum orice altă componentă hardware care vine cu o interfață de utilizator web. Pentru a evita felul de vulnerabilități simple care au condus la atacul MiraD botnet DDoS, Machado a spus că cel mai ușor lucru este să schimbi aceste valori implicite.

„Clienții trebuie să ia măsuri proactive pentru securizarea telefoanelor lor”, a spus Machado. "Modificați parolele implicite imediat sau, dacă vânzătorul dvs. gestionează punctele de telefon pentru dvs., asigurați-vă că schimbă parolele implicite în numele dvs."

DO: Urmăriți modul de utilizare

Fie că este vorba despre un sistem de telefonie cloud, un sistem de voce local sau un schimb de sucursale private (PBX), Machado a spus că toate serviciile VoIP au o suprafață de atac și, eventual, pot fi hackate. Când se întâmplă asta, el a spus că unul dintre cele mai tipice atacuri este preluarea unui cont (ATO), cunoscut și sub denumirea de fraudă de telecomunicații sau de pompare a traficului. Aceasta înseamnă că, atunci când un sistem VoIP este piratat, atacatorul încearcă să efectueze apeluri care costă banii proprietarului. Cea mai bună apărare este să ții evidența utilizării tale.

„Spuneți că sunteți un actor de amenințare. Aveți acces la serviciile de voce și încercați să efectuați apeluri. Dacă organizația dvs. urmărește utilizarea acesteia, veți putea observa dacă există o factură neobișnuit de mare sau vedeți ceva ca un utilizator la telefon timp de 45 de minute, cu o locație la care niciun angajat nu are motive să apeleze. Este vorba despre atenție ", a spus Machado.

„Dacă nu cumpărați acest lucru (însemnând că nu utilizați un PBX tradițional sau un VoIP local), atunci aveți o conversație cu furnizorul dvs. care vă întreabă ce faceți pentru a mă proteja”, a adăugat el. "Există butoane și cadranele pe care le pot activa și dezactiva în ceea ce privește serviciul? Faceți monitorizare de fraudă de întârziere sau analize ale comportamentului utilizatorului în căutarea unei utilizări anomale în numele meu? Acestea sunt întrebări importante de pus."

NU: Aveți permisiuni de securitate prea largi

În ceea ce privește utilizarea, o modalitate de a reduce potențialele daune ATO este de a dezactiva permisiunile și funcțiile de care știți că afacerea dvs. nu are nevoie, doar în caz. Machado a dat ca exemplu apelurile internaționale.

„Dacă afacerea dvs. nu trebuie să apeleze în toate părțile lumii, atunci nu activați apelurile către toate părțile lumii”, a spus el. "Dacă faceți afaceri doar în SUA, Canada și Mexic, doriți ca orice altă țară să fie disponibilă pentru apel sau are sens să o închideți în cazul ATO? Nu lăsați permisiuni prea mari pentru utilizatorii dvs. pentru orice serviciu de tehnologie și tot ceea ce nu este necesar pentru utilizarea afacerii dvs. se califică ca fiind larg."

NU: Uita de Patching

Patch-ul și actualizarea actualizărilor sunt esențiale cu orice fel de software. Fie că folosești un telefon mobil, o aplicație mobilă VoIP sau orice fel de hardware cu actualizări de firmware, Machado a spus că acesta este un dezvăluitor.

"Îți administrezi propriile telefoane VoIP? Dacă vânzătorul lansează firmware, testează-l și îl implementează rapid - acestea se ocupă adesea cu patch-uri de toate tipurile. Uneori, corecțiile de securitate provin de la un furnizor care administrează telefonul în numele tău, astfel, în acest caz, asigurați-vă că întrebați cine controlează patch-ul și care este ciclul ", a spus Machado.

DO: Activați autentificarea puternică

O altă practică inteligentă de securitate este o autentificare puternică în doi factori și investiții în gestionarea mai intensă a identității. Dincolo de VoIP, Machado a spus că autentificarea este întotdeauna un factor important.

"Activați întotdeauna autentificarea puternică. Nu este diferit dacă vă conectați la PBX-ul dvs. cloud sau la e-mailul sau la CRM-ul dvs.. Căutați aceste funcții și folosiți-le", a spus Machado. "Nu vorbim doar de telefoane de pe birou, ci vorbim despre aplicații web și toate diferitele părți ale serviciului. Înțelegeți cum piesele se reunesc și securizați fiecare piesă pe rând."