Зміст:
Відео: Подключение Yealink SIP T19 E2 (Вересень 2024)
Безпека є необхідною для кожної хмарної служби, яка підключається до вашого бізнесу, а вектори атак розвиваються щодня. Для додатків для підключення до Інтернету, таких як програма Voice-over-IP (VoIP), яка служить центром комунікацій вашого підприємства, заходи безпеки всередину є ще більш важливими, особливо знаючи, яких практик та проблемних областей слід уникати.
Незалежно від того, чи забезпечується це безпечна автентифікація користувачів та конфігурація мережі або ввімкнення шифрування в кінці в усіх VoIP-зв’язках та зберіганні даних, організації повинні бути ретельними як у нагляді за управлінням ІТ, так і тісно співпрацювати зі своїм бізнес-провайдером VoIP, щоб гарантувати, що вимоги безпеки виконуються зустрічали і примушували.
Майкл Мачадо, головний директор з безпеки (CSO) у RingCentral, здійснює нагляд за безпекою всіх хмарних і VoIP-сервісів RingCentral. Machado провів останні 15 років у сфері ІТ та хмарної безпеки, спочатку як архітектор з безпеки та менеджер з операцій у WebEx, а потім у Cisco після того, як компанія придбала послугу відеоконференцій.
Міркування щодо безпеки в VoIP-комунікаціях вашої компанії починаються на етапі дослідження та купівлі, перш ніж навіть вибрати VoIP-провайдера, і зберігатимуться через впровадження та управління. Мачадо пройшов весь процес з точки зору безпеки, зупинившись, щоб пояснити велику кількість справ і не для підприємств усіх розмірів на цьому шляху.
Вибір свого VoIP-провайдера
НЕ: Нехтуйте загальною моделлю безпеки
Незалежно від того, чи є ви малим бізнесом чи великим підприємством, перше, що вам потрібно зрозуміти - незалежно навіть від VoIP та об'єднаних комунікацій як послуга (UCaaS) - це те, що всі хмарні служби взагалі повинні мати спільну безпеку модель. Мачадо сказав, що, як замовник, ваш бізнес завжди несе певну відповідальність за безпечне впровадження всіх хмарних послуг, які ви приймаєте.
"Для клієнтів це важливо зрозуміти, особливо коли компанія менша і має менше ресурсів", - сказав Мачадо. "Люди думають, що VoIP - це механічний пристрій, підключений до мідної лінії. Це не телефон. VoIP-телефон, будь то фізична слухавка, комп'ютер із запущеним програмним забезпеченням, мобільний додаток або додаток для програмного забезпечення, це не те саме, що механічний телефон, підключений до PSTN. Це не як звичайний телефон - ви будете мати певну відповідальність за переконання, що безпека має замкнутий цикл між клієнтом і продавцем ".
DO: Постачальники, що відповідають вимогам
Після того, як ви зрозумієте, що поділилися відповідальністю та хочете прийняти хмарний сервіс VoIP, має сенс зробити належну ретельність при виборі постачальника. Залежно від вашої чисельності та досвіду, який ви маєте на персоналі, Мачадо пояснив, як підприємства та малі підприємства середнього бізнесу (SMB) можуть вирішувати це по-різному.
"Якщо ви велика компанія, яка може дозволити собі витратити час на належну ретельність, ви можете запропонувати перелік питань, щоб задати кожному продавцю, переглянути його аудиторський звіт і провести кілька зустрічей, щоб обговорити безпеку", - сказав Мачадо. . "Якщо ви малий бізнес, ви, можливо, не матимете досвіду для аналізу звіту про аудит SOC 2 або часу, щоб інвестувати в важку дискусію.
"Натомість ви можете подивитися на речі, такі як звіт" Чарівний квадрант "Gartner, і подивитися, чи є у них звіт про SOC 1 або SOC 2, навіть якщо у вас немає часу або досвіду, щоб його прочитати і зрозуміти", - сказав Мачадо пояснив. "Аудиторський звіт - це хороший показник того, що компанії вкладають великі інвестиції в безпеку порівняно з компаніями, які це не є. Ви також можете шукати звіт SOC 3, крім SOC 2. Це легка версія сертифікатів, що нагадує ті ж стандарти. Це те, на що ви можете шукати, як малий бізнес, щоб почати рухатись у правильному напрямку щодо безпеки ".
ДО: переговори щодо умов безпеки у своєму контракті
Тепер ви перебуваєте в точці, де ви вибрали постачальника VoIP і розглядаєте можливість прийняття рішення про покупку. Мачадо рекомендував, коли це можливо, підприємства повинні намагатися отримати явні угоди та умови безпеки в письмовій формі, коли ведуть переговори про контракт з постачальником хмари.
"Невелика компанія, велика компанія, це не має значення. Чим менша компанія, тим менше сил вам доведеться домовлятися про ці конкретні умови, але це сценарій" не питайте, не робіть ", - сказав Мачадо. "Дивіться, що ви можете отримати у своїх угодах щодо постачальника щодо зобов'язань із безпеки постачальника."
Розгортання заходів безпеки VoIP
DO: Використовуйте зашифровані VoIP-сервіси
Що стосується розгортання, Мачадо сказав, що немає жодного приводу для того, щоб сучасний сервіс VoIP не пропонував шифрування в кінці. Мачадо рекомендував організаціям шукати служби, що підтримують шифрування транспортного рівня (TLS) або безпечне шифрування транспортного протоколу в режимі реального часу (SRTP), і це робити в ідеалі, без поглинання основних заходів безпеки.
"Не завжди звертайтесь за найдешевшою послугою; можна заплатити премію за більш безпечний VoIP. Ще краще, коли вам не доведеться платити премію за безпеку хмарних послуг", - сказав Мачадо. "Як замовник, ви повинні просто мати можливість ввімкнути зашифрований VoIP і вийти з нього. Важливо також, що провайдер використовує не тільки зашифровану сигналізацію, але і шифрує засоби масової інформації в спокої. Люди хочуть, щоб їх розмови були приватними, а не проходили в Інтернеті. звичайним текстовим голосом. Переконайтеся, що ваш постачальник підтримує цей рівень шифрування, і це не обійдеться вам дорожче ".
НЕ: Змішуйте свої локальні мережі
Що стосується мережевої частини вашого розгортання, більшість організацій мають сукупність телефонів та хмарних інтерфейсів. Багато співробітників, можливо, просто використовують мобільний додаток VoIP або софтфон, однак часто до мережі VoIP також підключаються настільні телефони та конференц-телефони. Для всіх цих форм-факторів Мачадо заявив, що важливо не змішувати форм-фактори та підключені пристрої в одній і тій же мережевій конструкції.
"Ви хочете створити окрему голосову мережу. Ви не хочете, щоб ваші телефонні апарати з жорстким голосом поєднувалися в одній мережі з вашими робочими станціями та принтерами. Це не гарний дизайн мережі", - сказав Мачадо. "Якщо у вас є, є проблемні наслідки для безпеки вниз по лінії. Немає жодної причини, щоб ваші робочі простори розмовляли між собою. Моєму ноутбуку не потрібно спілкуватися з вашим; це не те саме, що ферма серверів, з якими спілкуються програми. бази даних. "
Натомість Мачадо рекомендує…
DO: Налаштування приватних VLAN
Приватна VLAN (віртуальна локальна мережа), як пояснив Мачадо, дозволяє ІТ-менеджерам краще сегментувати та контролювати вашу мережу. Приватна VLAN діє як єдиний пункт доступу та висхідної лінії зв'язку для підключення пристрою до маршрутизатора, сервера або мережі.
"З точки зору архітектури безпеки кінцевої точки, приватні VLAN - це хороший дизайн мережі, оскільки вони дають вам можливість увімкнути цю функцію на комутаторі, що говорить:" ця робоча станція не може спілкуватися з іншою робочою станцією ". Якщо у вас є VoIP-телефони або голосові пристрої в тій самій мережі, що і все інше, це не працює ", - сказав Мачадо. "Важливо налаштувати вашу виділену голосову мережу як частину більш привілейованого дизайну безпеки."
НЕ: Залишайте свій VoIP поза брандмауером
Ваш VoIP-телефон - це обчислювальний пристрій, підключений до Ethernet. Як підключена кінцева точка, Machado сказав, що клієнтам важливо пам’ятати, що, як і будь-який інший обчислювальний пристрій, він також повинен бути за корпоративним брандмауером.
"У VoIP-телефоні є користувальницький інтерфейс, коли користувачі можуть входити в систему, а адміністратори здійснюють системне адміністрування по телефону. Не кожен VoIP-телефон має вбудовану програму для захисту від жорстоких атак", - сказав Мачадо. "Ваш обліковий запис електронної пошти заблокується після декількох спроб, але не кожен телефон VoIP працює однаково. Якщо ви не поставите брандмауер перед ним, це як відкрити веб-додаток для всіх, хто хоче створити сценарій жорстока атака та увійдіть. "
Управління системою VoIP
DO: Зміна паролів за замовчуванням
Незалежно від виробника, від якого ви отримуєте свої телефони VoIP, пристрої поставлятимуть облікові дані за замовчуванням, як і будь-який інший апарат, який постачається з веб-інтерфейсом. Щоб уникнути виду простих уразливих ситуацій, що призвели до атаки ботнетної мережі Mirai DDoS, Мачадо сказав, що найпростіше зробити це просто змінити типові налаштування.
"Клієнти повинні вжити активних заходів для захисту своїх телефонів", - сказав Мачадо. "Негайно змініть паролі за замовчуванням або, якщо ваш постачальник керує кінцевими точками телефону для вас, переконайтеся, що вони змінюють ці паролі за замовчуванням від вашого імені."
ДО: Слідкуйте за своїм використанням
Будь то хмарна телефонна система, локальна голосова система чи приватна філія (PBX), Мачадо сказав, що всі VoIP-сервіси мають атакуючу поверхню і в підсумку можуть отримати злом. Коли це трапляється, він сказав, що однією з найбільш типових атак є поглинання облікового запису (АТО), також відоме як шахрайство з телекомунікаціями або завантаження трафіку. Це означає, що коли зламана система VoIP, зловмисник намагається здійснювати дзвінки, які коштують цьому власнику гроші. Найкращий захист - це відслідковувати ваше використання.
"Скажіть, ви є суб'єктом загрози. У вас є доступ до голосових послуг і ви намагаєтесь здійснювати дзвінки. Якщо ваша організація стежить за її використанням, ви зможете помітити, чи є незвично великий рахунок або побачите щось подібне користувачеві по телефону протягом 45 хвилин із місцезнаходженням, у якого жоден працівник не має жодних причин дзвонити. Це все щодо того, щоб звернути увагу ", - сказав Мачадо.
"Якщо ви користуєтеся цим хмарою (це означає, що ви не використовуєте традиційну АТС або локальний VoIP), то поговоріть зі своїм постачальником, щоб запитати, що ви робите, щоб захистити мене", - додав він. "Чи є ручки та циферблати, які я можу вмикати та вимикати щодо обслуговування? Чи проводите ви моніторинг шахрайства або аналізу поведінки користувачів, шукаючи аномальне використання від мого імені? Це важливі запитання."
НЕ: Майте надширокі дозволи безпеки
Що стосується використання, один із способів обмежити потенційну шкоду АТО - це вимкнути дозволи та функції, які, як відомо, вашому бізнесу не потрібні, про всяк випадок. Мачадо привів міжнародний дзвінок як приклад.
"Якщо вашому бізнесу не потрібно телефонувати в усі куточки світу, тоді не вмикайте дзвінки в усі куточки світу", - сказав він. "Якщо ви ведете бізнес лише в США, Канаді та Мексиці, чи хочете, щоб у будь-якій іншій країні були доступні для дзвінків або це просто має сенс його відключити у випадку проведення АТО? Не залишайте жодних надмірних дозволів для вашим користувачам для будь-яких технологічних послуг, і все, що не потрібно для використання у вашому бізнесі, кваліфікується як загальний ".
НЕ: Забудьте про виправлення
Для будь-якого програмного забезпечення важливим є виправлення та постійне оновлення оновлень. Незалежно від того, чи використовуєте ви софтфон, мобільний додаток VoIP або будь-яке обладнання з оновленнями вбудованого програмного забезпечення, Machado сказав, що це не потрібно.
"Ви керуєте своїми власними телефонами VoIP? Якщо виробник випускає вбудовану програму, тестуйте та розгортайте її - вони часто мають справу з патчами всіх типів. Іноді патчі безпеки надходять від постачальника, який керує телефоном від вашого імені, у такому випадку, не забудьте запитати, хто контролює виправлення та який цикл ", - сказав Мачадо.
DO: Увімкніть сильну аутентифікацію
Сильна двофакторна автентифікація та вкладення коштів у більш важке управління ідентичністю - ще одна розумна практика безпеки. Окрім VoIP, Machado сказав, що автентифікація - це завжди важливий фактор, що має місце.
"Завжди вмикайте сильну автентифікацію. Це не відрізняється, якщо ви входите у свою хмарну АТС або електронну пошту чи CRM. Шукайте ці функції та використовуйте їх", - сказав Мачадо. "Ми не просто говоримо про телефони на вашому столі; ми говоримо про веб-додатки та всі різні частини сервісу. Зрозумійте, як деталі збираються разом і закріплюйте кожну деталь по черзі".
