Indholdsfortegnelse:
- Valg af din VoIP-udbyder
- Implementering af VoIP-sikkerhedsforanstaltninger
- VoIP-systemadministration
Video: OG's comeback to win DOTA 2's TI8 | Against The Odds (Oktober 2024)
Sikkerhed er et must for alle skybaserede tjenester, der er tilsluttet din virksomhed, og angrebsvektorerne udvikler sig hver dag. For en internetforbindelse-applikation som en Voice-over-IP (VoIP) -app, der tjener som knudepunkt for din virksomheds kommunikation, er sikkerhedsforanvendelser inden for og ud endnu mere vigtige, især ved at vide, hvilke praksis og problemområder man skal undgå.
Uanset om det er at sikre sikker brugergodkendelse og netværkskonfiguration eller aktivere ende-til-ende-kryptering i al VoIP-kommunikation og datalagring, skal organisationer være omhyggelige med både at føre tilsyn med IT-styring og arbejde tæt sammen med deres forretningsmæssige VoIP-udbyder for at sikre, at sikkerhedskrav stilles mødtes og håndhæves.
Michael Machado, Chief Security Officer (CSO) hos RingCentral, fører tilsyn med sikkerhed for alle RingCentral's cloud- og VoIP-tjenester. Machado har tilbragt de sidste 15 år i IT og skysikkerhed, først som sikkerhedsarkitekt og driftsleder hos WebEx og derefter hos Cisco, efter at virksomheden erhvervede videokonferencetjenesten.
Sikkerhedshensyn i din virksomheds VoIP-kommunikation starter i forsknings- og købsfasen, inden du selv vælger en VoIP-udbyder og vedvarer gennem implementering og styring. Machado gik gennem hele processen fra et sikkerhedsmæssigt perspektiv og stoppede for at forklare masser af do's og ikke for virksomheder i alle størrelser undervejs.
Valg af din VoIP-udbyder
IKKE: Forsøm den delte sikkerhedsmodel
Uanset om du er en lille virksomhed eller en stor virksomhed, er den første ting, du har brug for at forstå - uafhængig af VoIP og Unified Communications-as-a-Service (UCaaS) - at alle skytjenester generelt har brug for en fælles sikkerhed model. Machado sagde, at som virksomhed deler din virksomhed altid et vist ansvar i sikker implementering af alle de cloud-tjenester, du indfører.
"Det er nøglen for kunderne at forstå, især når en virksomhed er mindre og har færre ressourcer, " sagde Machado. "Folk tror, VoIP er en mekanisk enhed, der er tilsluttet en kobberlinie. Det er det ikke. En VoIP-telefon, hvad enten det er et fysisk håndsæt, en computer med software, der kører eller det, en mobilapp eller en softphone-applikation, det er ikke det samme som en mekanisk telefon, der er tilsluttet PSTN. Det er ikke som en almindelig telefon - du har et eller andet ansvar for at sikre, at sikkerheden har en lukket løkke mellem kunden og leverandøren."
DO: Sælger due diligence
Når du først har forstået det delte ansvar og ønsker at vedtage en cloud-VoIP-tjeneste, er det fornuftigt at gøre din due diligence, når du vælger din leverandør. Afhængig af din størrelse og den ekspertise, du har i personalet, forklarede Machado, hvordan virksomheder og små til mellemstore virksomheder (SMB'er) kan gøre dette på forskellige måder.
"Hvis du er et stort firma, der har råd til at bruge tiden på due diligence, kan du komme med en liste over spørgsmål, som du kan stille enhver sælger, gennemgå deres revisionsrapport og have et par møder for at diskutere sikkerhed, " sagde Machado. ”Hvis du er en lille virksomhed, har du muligvis ikke ekspertisen til at analysere en SOC 2-revisionsrapport eller tid til at investere i en tung lift-diskussion.
"I stedet kan du se på ting som Gartners Magic Quadrant-rapport og se om de har en SOC 1 eller SOC 2-rapport tilgængelig, selvom du ikke har tid eller ekspertise til at læse igennem og forstå den, " Machado forklaret. "Revisionsrapporten er en god indikation af, at virksomheder foretager en stærk investering i sikkerhed versus virksomheder, der ikke er. Du kan også kigge efter en SOC 3-rapport ud over SOC 2. Det er en let, certificeringslignende version af de samme standarder. Dette er de ting, du kan se efter som en lille virksomhed for at begynde at bevæge dig i den rigtige retning af sikkerhed."
DO: Forhandle sikkerhedsbetingelser i din kontrakt
Nu er du på det punkt, hvor du har valgt en VoIP-leverandør, og du overvejer muligheden for at tage en købsbeslutning. Machado anbefalede, at virksomheder, når det var muligt, skulle forsøge at få eksplicit sikkerhedsaftaler og vilkår skriftligt, når de forhandler om en kontrakt med en sky-leverandør.
"Lille firma, stort firma, det betyder ikke noget. Jo mindre virksomhed, jo mindre magt bliver du nødt til at forhandle om de specifikke vilkår, men det er et 'spørg ikke, ikke få' -scenarie, " sagde Machado. "Se hvad du kan få i dine leverandøraftaler med hensyn til sikkerhedsforpligtelser fra leverandøren."
Implementering af VoIP-sikkerhedsforanstaltninger
DO: Brug krypterede VoIP-tjenester
Når det kommer til distribution, sagde Machado, at der ikke er nogen undskyldning for, at en moderne VoIP-tjeneste ikke tilbyder ende-til-ende-kryptering. Machado anbefalede, at organisationer kiggede efter tjenester, der understøtter Transport Layer Security (TLS) eller Secure Real-Time Transport Protocol (SRTP) -kryptering, og som gør det ideelt uden at sælge til grundlæggende sikkerhedstiltag.
"Gå ikke altid efter den billigste service; det kan lønne sig at betale en præmie for en mere sikker VoIP. Endnu bedre er det, når du ikke behøver at betale en præmie for sikkerhed i dine skytjenester, " sagde Machado. "Som kunde skal du bare være i stand til at aktivere krypteret VoIP og slukke. Det er også vigtigt, at udbyderen bruger ikke kun krypteret signalering, men også krypterer medier i hvile. Folk ønsker, at deres samtaler skal være private og ikke krydse internettet med almindelig tekststemme. Sørg for, at din leverandør understøtter dette krypteringsniveau, og at det ikke koster dig mere."
IKKE: Bland dine LAN'er
På netværkssiden af din implementering har de fleste organisationer en blanding af håndsæt og skybaserede grænseflader. Mange medarbejdere bruger muligvis bare en VoIP-mobilapp eller softphone, men der vil ofte også være en blanding af skrivebordstelefoner og konferencetelefoner forbundet til VoIP-netværket. For alle disse formfaktorer sagde Machado, at det er vigtigt ikke at blande formfaktorer og tilsluttede enheder inden for det samme netværksdesign.
"Du ønsker at oprette et separat stemmestyringsnetværk. Du vil ikke have, at dine hårdt-stemme-telefoner samles på det samme netværk med dine arbejdsstationer og printere. Det er ikke godt netværksdesign, " sagde Machado. "Hvis du har det, er der problematiske sikkerhedsmæssige implikationer nede på linjen. Der er ingen grund til, at dine arbejdsområder taler med hinanden. Min bærbare computer behøver ikke at tale med dine; det er ikke det samme som en servergård med applikationer, der taler med databaser ".
I stedet anbefaler Machado…
DO: Opsætning af private VLAN'er
Et privat VLAN (virtuelt LAN), som Machado forklarede, lader it-ledere bedre segmentere og kontrollere dit netværk. Det private VLAN fungerer som et enkelt adgangs- og uplink-punkt for at forbinde enheden til en router, server eller netværk.
"Fra et endepunkt sikkerhedsarkitekturperspektiv er private VLAN'er et godt netværkdesign, fordi de giver dig muligheden for at tænde for denne funktion på kontakten, der siger 'denne arbejdsstation kan ikke tale med den anden arbejdsstation.' Hvis du har dine VoIP-telefoner eller stemmeaktiverede enheder på det samme netværk som alt andet, fungerer det ikke, ”sagde Machado. "Det er vigtigt at opsætte dit dedikerede stemmelanet som en del af et mere privilegeret sikkerhedsdesign."
IKKE: Forlad din VoIP uden for firewall
Din VoIP-telefon er en computerenhed, der er sluttet til Ethernet. Som et tilsluttet endepunkt sagde Machado, at det er vigtigt for kunderne at huske, at det, ligesom enhver anden computerenhed, også skal være bag firmaets firewall.
"VoIP-telefonen har en brugergrænseflade, som brugerne kan logge på og for administratorer til at udføre systemadministration på telefonen. Ikke hver VoIP-telefon har firmware til at beskytte mod angreb fra brute-force, " sagde Machado. "Din e-mail-konto låses efter et par forsøg, men ikke alle VoIP-telefoner fungerer på samme måde. Hvis du ikke lægger en firewall foran den, er det som at åbne denne webapplikation for enhver på internettet, der vil script en brute force attack og log ind."
VoIP-systemadministration
DO: Skift dine standard adgangskoder
Uanset den producent, som du modtager dine VoIP-håndsæt, sendes enhederne med standardoplysninger som ethvert andet hardware, der leveres med et web-UI. For at undgå den slags enkle sårbarheder, der førte til Mirai botnet DDoS-angreb, sagde Machado, at den nemmeste ting at gøre var simpelthen at ændre disse standarder.
”Kunder er nødt til at tage proaktive skridt for at sikre deres telefoner, ” sagde Machado. "Skift standardadgangskoder med det samme, eller hvis din leverandør administrerer telefonens endepunkter for dig, skal du sørge for, at de ændrer disse standardadgangskoder på dine vegne."
DO: Hold styr på din brug
Uanset om det er et cloud-telefonsystem, et lokalt stemmesystem eller en privat filialbørs (PBX), sagde Machado at alle VoIP-tjenester har en angrebsflade og til sidst kan blive hacket. Når det sker, sagde han, at et af de mest typiske angreb er en kontoovertagelse (ATO), også kendt som telekommunikationssvindel eller trafikpumping. Dette betyder, at når et VoIP-system er hacket, forsøger angriberen at foretage opkald, der koster ejeren penge. Det bedste forsvar er at holde styr på din brug.
"Sig, at du er en trusselaktør. Du har adgang til taletjenester, og du prøver at foretage opkald. Hvis din organisation ser dens anvendelse, kan du se, om der er en usædvanlig høj regning eller se noget som en bruger på telefonen i 45 minutter med et sted, som ingen ansatte har nogen grund til at ringe til. Det handler om at være opmærksom, ”sagde Machado.
"Hvis du sky-ifying af dette (hvilket betyder at du ikke bruger en traditionel PBX eller en lokal VoIP), så tag en samtale med din leverandør, hvor du spørger, hvad du laver for at beskytte mig, " tilføjede han. "Er der drejeknapper og ringer, jeg kan tænde og slukke med hensyn til service? Gør du back-end svigovervågning eller brugeradfærdanalyse på udkig efter usædvanlig brug på mine vegne? Dette er vigtige spørgsmål at stille."
IKKE: Har overdreven sikkerhedstilladelser
Når det gælder brug, er en måde at begrænse potentielle ATO-skader at deaktivere tilladelser og funktioner, som du ved, at din virksomhed ikke har brug for, bare i tilfælde af. Machado gav internationalt kald som et eksempel.
"Hvis din virksomhed ikke har brug for at ringe til alle verdensdele, skal du ikke tænde for at ringe til alle dele af verden, " sagde han. "Hvis du kun driver forretning i USA, Canada og Mexico, vil du have, at ethvert andet land er til rådighed til at ringe, eller er det bare fornuftigt at lukke det af i tilfælde af ATO? Lad ikke nogen overdrevne tilladelser til dine brugere til enhver teknologitjeneste, og alt, hvad der ikke er nødvendigt for din forretningsbrug, er kvalificeret som overdreven."
IKKE: Glem alt om at lappe
Opdatering og opdatering er løbende vigtig for enhver form for software. Uanset om du bruger en softphone, VoIP-mobilapp eller nogen form for hardware med firmwareopdateringer, sagde Machado, at denne er en no-brainer.
"Administrerer du dine egne VoIP-telefoner? Hvis sælgeren frigiver firmware, tester og distribuerer den hurtigt - disse handler ofte med programrettelser af alle typer. Nogle gange kommer sikkerhedsrettelser fra en leverandør, der administrerer telefonen på dine vegne, så i dette tilfælde, vær sikker på at spørge, hvem der kontrollerer programrettelse, og hvad cyklussen er, ”sagde Machado.
DO: Aktiver stærk godkendelse
Stærk tofaktorautentisering og investering i tungere identitetsstyring er en anden smart sikkerhedspraksis. Ud over bare VoIP sagde Machado, at godkendelse altid er en vigtig faktor at have på plads.
"Tænd altid for stærk autentificering. Det er ikke anderledes, hvis du logger ind på din cloud-PBX eller din e-mail eller din CRM. Kig efter disse funktioner og brug dem, " sagde Machado. "Vi taler ikke kun om telefoner på dit skrivebord; vi taler om webapplikationer og alle de forskellige dele af tjenesten. Forstå, hvordan brikkerne samles og sikrer hvert stykke efter tur."