Tai, ko reikia ir ko nereikia, kad apsaugotumėte savo balso ryšį

Saugumas yra būtinas kiekvienai debesies pagrindu teikiamai paslaugai, prijungtai prie jūsų verslo, o išpuolių vektoriai vystosi kiekvieną dieną. Jei norite prisijungti prie interneto, pavyzdžiui, „VoIP-over-IP“ (VoIP) programa, kuri naudojama kaip jūsų įmonės komunikacijos centras, saugumo priemonės, būtinos vidinės išorės, yra dar svarbesnės, ypač žinant, kokių praktikų ir probleminių sričių reikia vengti.

Nesvarbu, ar tai užtikrins saugų vartotojo autentifikavimą ir tinklo konfigūraciją, ar įgalina šifravimą visose „VoIP“ komunikacijose ir duomenų saugojime, organizacijos turi būti kruopščios prižiūrėdamos IT valdymą ir glaudžiai bendradarbiaudamos su savo verslo VoIP teikėju, kad užtikrintų saugumo reikalavimų vykdymą. susitiko ir priverstinai.

Michaelas Machado, „RingCentral“ vyriausiasis saugumo pareigūnas (CSO), prižiūri visų „RingCentral“ debesies ir „VoIP“ paslaugų saugumą. Po to, kai įmonė įsigijo vaizdo konferencijų paslaugą, „Machado“ praleido pastaruosius 15 metų IT ir debesų apsaugos srityse. Pirmiausia ji buvo „WebEx“ saugumo architektė ir operacijų vadovė, o vėliau - „Cisco“.

Saugumo sumetimai jūsų įmonės VoIP ryšiuose pradedami tyrimų ir pirkimo etape, prieš net nepasirenkant VoIP teikėjo, ir tęsiasi diegiant bei tvarkant. Machado visą procesą ėjo iš saugumo perspektyvos, sustodamas aiškinti, ką reikia padaryti ir ko nereikia daryti įvairaus dydžio įmonėms.

IP telefonijos paslaugų teikėjo pasirinkimas

NENORITE: nepaisykite bendro saugumo modelio

Nesvarbu, ar esate mažas, ar didelė įmonė, pirmiausia turite suprasti - nepriklausomai nuo „VoIP“ ir vieningo ryšio kaip paslaugos (UCaaS) - kad visos debesies paslaugos apskritai turi turėti bendrą apsaugą modelis. Machado teigė, kad jūsų klientas, kaip klientas, visada dalijasi atsakomybe už saugų visų jūsų priimamų debesijos paslaugų įgyvendinimą.

„Svarbu, kad klientai suprastų, ypač kai įmonė yra mažesnė ir turi mažiau išteklių“, - sakė Machado. "Žmonės mano, kad" VoIP "yra mechaninis įrenginys, sujungtas su varine linija. Tai nėra." VoIP "telefonas, nesvarbu, ar tai fizinis telefonas, ar kompiuteris, kuriame veikia programinė įranga, ar jis, mobilioji programa ar minkšto telefono programa, nėra tas pats, kas mechaninis telefonas, prijungtas prie PSTN. Tai nėra panašus į įprastą telefoną - jūs būsite atsakingi už tai, kad įsitikintumėte, jog sauga turi uždarą kilpą tarp kliento ir pardavėjo."

DO: Pardavėjo deramas patikrinimas

Kai suprantate tą bendrą atsakomybę ir norite naudoti „VoIP“ debesies paslaugą, prasminga atlikti deramą patikrinimą renkantis pardavėją. Priklausomai nuo jūsų dydžio ir darbuotojų patirties, „Machado“ paaiškino, kaip mažos ir vidutinės įmonės gali tai daryti skirtingais būdais.

„Jei esate didelė įmonė, leidžianti leisti laiką kruopščiam patikrinimui, galite sugalvoti klausimų sąrašą, kurį užduoti kiekvienam pardavėjui, peržiūrėti jų audito ataskaitą ir surengti keletą susitikimų, kuriuose būtų aptarta apsauga“, - sakė Machado.. „Jei esate mažas verslas, galbūt neturite patirties analizuoti SOC 2 audito ataskaitos ar laiko investuoti į didelę diskusiją.

"Vietoj to, jūs galite pažvelgti į tokius dalykus kaip Gartnerio stebuklingojo kvadrato ataskaita ir išsiaiškinti, ar jie turi SOC 1 ar SOC 2 ataskaitą, net jei jūs neturite laiko ar žinių, kad galėtumėte ją perskaityti ir suprasti", - teigė Machado. paaiškino. "Audito ataskaita gerai parodo įmones, kurios daug investuoja į saugumą, palyginti su įmonėmis, kurių nėra. Be SOC 2, taip pat galite ieškoti SOC 3 ataskaitos. Tai lengva, sertifikatą primenanti tų pačių standartų versija. Tai yra dalykai, kurių galite ieškoti kaip mažas verslas, kad pradėtumėte judėti teisinga saugumo kryptimi “.

DO: Derėkitės dėl saugos sąlygų savo sutartyje

Dabar esate toje vietoje, kur pasirinkote „VoIP“ pardavėją, ir svarstote galimybę priimti sprendimą dėl pirkimo. „Machado“ rekomendavo, kad, kai tik įmanoma, verslas, derybose dėl sutarties su „debesijos“ pardavėju, bandytų gauti aiškias saugumo sutartis ir sąlygas.

"Maža įmonė, didelė įmonė, nesvarbu. Kuo mažesnė įmonė, tuo mažiau galios turėsite derėtis dėl šių konkrečių sąlygų, tačiau tai scenarijus" neklauskite, negaukite ", - sakė Machado. "Pažiūrėkite, ką galite gauti iš pardavėjo sutarčių, susijusių su pardavėjo saugumo įsipareigojimais."

„VoIP“ saugumo priemonių diegimas

Darykite: naudokite užšifruotas VoIP paslaugas

Diegdamas „Machado“ teigė, kad šiuolaikinėms „VoIP“ paslaugoms nėra jokios priežasties nesiūlyti šifravimo nuo galo iki galo. Machado rekomendavo organizacijoms ieškoti paslaugų, palaikančių transporto sluoksnių apsaugą (TLS) arba saugaus realaus laiko transporto protokolo (SRTP) šifravimą, ir tai daryti idealiu atveju, nepamirštant pagrindinių saugumo priemonių.

"Ne visada naudokitės pigiausia paslauga; gali būti verta sumokėti priemoką už saugesnę VoIP. Dar geriau, kai nereikia mokėti priemokos už debesų paslaugų apsaugą", - sakė Machado. "Jūs, kaip klientas, turėtumėte tiesiog įgalinti užšifruotą VoIP ir išeidami. Taip pat svarbu, kad teikėjas ramybėje naudotų ne tik šifruotą signalizaciją, bet ir šifruotų laikmenas. Žmonės nori, kad jų pokalbiai būtų privatūs, o ne apkeliautų internetą. paprastu tekstu. Įsitikinkite, kad pardavėjas palaikys tokį šifravimo lygį ir kad tai jums nekainuos daugiau."

NEGALIMA: sumaišykite savo LAN

Diegdami tinkle, dauguma organizacijų turi įvairių telefonų ir debesų sąsajų derinį. Daugelis darbuotojų gali tiesiog naudotis „VoIP“ mobiliąja programėle ar minkštuoju telefonu, tačiau prie „VoIP“ tinklo dažnai prisijungs ir staliniai, ir konferencijų telefonai. Dėl visų šių formos veiksnių, „Machado“ teigė, kad svarbu nepainioti formos faktorių ir prijungtų įrenginių toje pačioje tinklo konstrukcijoje.

"Norite nustatyti atskirą balso LAN. Jūs nenorite, kad kieto balso telefonai tame pačiame tinkle susilietų su jūsų darbo stotimis ir spausdintuvais. Tai nėra geras tinklo dizainas", - sakė Machado. "Jei turite, tai yra problemiškas poveikis saugumui. Nėra jokios priežasties, kodėl jūsų darbo vietos turėtų kalbėtis tarpusavyje. Mano nešiojamas kompiuteris neturi kalbėti su jumis; tai nėra tas pats, kas serverių ūkis su programomis, su kuriomis kalbamės. duomenų bazės “.

Vietoje to, Machado rekomenduoja…

DO: nustatykite privačius VLAN

Kaip paaiškino Machado, privatus VLAN (virtualus LAN) leidžia IT valdytojams geriau segmentuoti ir valdyti jūsų tinklą. Privatus VLAN veikia kaip vienas prieigos ir nukreipimo taškas, skirtas prietaisui prijungti prie maršrutizatoriaus, serverio ar tinklo.

"Galutinio taško saugumo architektūros požiūriu, privatūs VLAN yra tinkamas tinklo dizainas, nes jie suteikia jums galimybę įjungti šią funkciją jungiklyje, kuris sako:" ši darbo vieta negali kalbėtis su kita darbo stotimi. " Jei savo „VoIP“ telefonus ar įrenginius, turinčius balso ryšį, naudojate tame pačiame tinkle kaip ir visa kita, tai neveikia “, - sakė A. Machado. "Svarbu nustatyti specialų balso LAN kaip privilegijuoto saugumo projekto dalį."

NEGALIMA: nepalikite savo VoIP išorėje užkardos

Jūsų VoIP telefonas yra skaičiavimo įrenginys, prijungtas prie Ethernet. Kaip prijungtą galinį tašką, „Machado“ teigė, kad klientams svarbu atsiminti, kad, kaip ir bet kuris kitas kompiuterinis įrenginys, jis taip pat turi būti už įmonės užkardos.

"„ VoIP “telefone yra vartotojo sąsaja, skirta vartotojams prisijungti, o administratoriams - telefono administracijai. Ne kiekviename„ VoIP “telefone yra programinė įranga, apsauganti nuo žiaurios jėgos išpuolių“, - sakė A. Machado. „Jūsų el. Pašto abonementas bus užrakintas po kelių bandymų, tačiau ne kiekvienas„ VoIP “telefonas veikia taip pat. Jei nestatysite ugniasienės priešais jį, tai tarsi atidarysite tą žiniatinklio programą visiems, norintiems nuskaityti žiaurios jėgos puolimas ir prisijungimas “.

VoIP sistemos valdymas

DO: pakeiskite numatytuosius slaptažodžius

Nepriklausomai nuo gamintojo, iš kurio gausite „VoIP“ ragelius, įrenginiai bus pristatomi su numatytaisiais prisijungimo duomenimis, kaip ir bet kuri kita aparatinės įrangos dalis, pateikiama kartu su žiniatinklio vartotojo sąsaja. Siekdamas išvengti paprastų pažeidžiamumų, kurie paskatino „Mirai“ internetinio kompiuterio DDoS ataką, Machado teigė, kad lengviausia tai padaryti tiesiog pakeitus tuos nutylėjimus.

„Klientai turi imtis iniciatyvių veiksmų, kad užtikrintų savo telefonų apsaugą“, - sakė Machado. "Nedelsdami pakeiskite numatytuosius slaptažodžius arba, jei pardavėjas tvarko jūsų telefono galinius taškus, įsitikinkite, kad jie keičia tuos numatytuosius slaptažodžius jūsų vardu."

DO: Sekite savo naudojimą

Nesvarbu, ar tai būtų debesų telefono sistema, vietinė balso sistema ar privati ​​filialų mainai (PBX), „Machado“ teigė, kad visos „VoIP“ paslaugos turi atakos paviršių ir galiausiai gali būti nulaužtos. Kai tai atsitiks, jis sakė, kad vienas iš tipiškiausių išpuolių yra sąskaitos perėmimas (ATO), dar žinomas kaip telekomunikacijų sukčiavimas ar srauto didinimas. Tai reiškia, kad įsilaužus į VoIP sistemą, užpuolikas bando skambinti, kurie savininkui kainuoja pinigus. Geriausia gynyba yra sekti jūsų naudojimą.

"Tarkime, kad esate grėsmės veikėjas. Turite prieigą prie balso paslaugų ir bandote skambinti. Jei jūsų organizacija stebi jos naudojimą, galėsite pastebėti, ar sąskaitos neįprastai didelės, ar pamatyti kažkas panašaus į vartotoją 45 minutes telefone su vieta, į kurią jokie darbuotojai neturi jokios priežasties skambinti. Tai viskas, ką reikia atkreipti “, - sakė A. Machado.

„Jei tai darote iš debesies (ty nenaudojate tradicinio PBX ar vietinio VoIP), pasikalbėkite su pardavėju ir paklauskite, ką darote, kad apsaugotumėte mane“, - pridūrė jis. "Ar yra rankenėlių ir ratukų, kuriuos galiu įjungti ir išjungti aptarnaudamas? Ar jūs vykdote galinio sukčiavimo stebėjimą ar vartotojo elgsenos analizę, norėdami nenormaliai naudotis mano vardu? Tai yra svarbūs klausimai."

NENORĖKITE: Turėkite pernelyg plačius saugumo leidimus

Kalbant apie naudojimą, vienas iš būdų apsaugoti galimą ATO žalą yra išjungti leidimus ir funkcijas, kurių, jūsų žiniomis, jūsų verslui nereikia, tik tuo atveju. Kaip pavyzdį Machado pateikė tarptautinius skambučius.

„Jei jūsų verslui nereikia skambinti į visas pasaulio šalis, tada neįjunkite skambučio į visas pasaulio šalis“, - sakė jis. "Jei jūs užsiimate verslu tik JAV, Kanadoje ir Meksikoje, ar norite, kad visos kitos šalys galėtų skambinti, ar ATO atveju yra prasmė jį išjungti? Nepalikite jokių pernelyg plačių leidimų jūsų vartotojams, norintiems bet kokių technologijų paslaugų, ir viskas, kas nėra būtina jūsų verslui, yra laikoma pernelyg plačia “.

NENORITE: Pamirškite apie pataisymą

Bet kokio tipo programinės įrangos atnaujinimas yra ypač svarbus. Nesvarbu, ar naudojate minkštąjį telefoną, „VoIP“ programą mobiliesiems, ar bet kokią aparatinę įrangą su programinės aparatinės įrangos atnaujinimais, „Machado“ teigė, kad tai nė vienas nesąžiningas.

"Ar jūs tvarkote savo VoIP telefonus? Jei pardavėjas greitai išleidžia programinę-aparatinę įrangą, ją išbando ir diegia - dažniausiai tai susiję su visų tipų pataisomis. Kartais saugos pataisas gauna pardavėjas, kuris jūsų vardu tvarko telefoną, taigi, tokiu atveju, būtinai paklauskite, kas kontroliuoja pataisymą ir koks yra ciklas “, - sakė A. Machado.

DO: Įgalinkite stiprią autentifikaciją

Stiprus dviejų veiksnių autentifikavimas ir investavimas į sunkesnį tapatybės valdymą yra dar viena išmanioji saugumo praktika. Be „VoIP“, Machado teigė, kad autentifikavimas visada yra svarbus veiksnys.

"Visada įjunkite stiprią autentifikaciją. Tai niekuo nesiskiria, jei prisijungiate prie„ Cloud PBX “, el. Pašto ar savo CRM. Ieškokite tų funkcijų ir jomis naudokitės“, - sakė A. Machado. "Mes kalbame ne tik apie telefonus ant jūsų stalo; mes kalbame apie interneto programas ir visas skirtingas paslaugų dalis. Supraskite, kaip gabalai susilieja, ir saugokite kiekvieną savo ruožtu."