Съдържание:
Видео: Маленькое королевство Бена и Холли - Вылазка ⭐Лучшие моменты (Ноември 2024)
Сигурността е задължителна за всяка облачна услуга, включена във вашия бизнес, а векторите за атаки се развиват всеки ден. За приложение за свързване с интернет като приложението Voice-over-IP (VoIP), което служи като център на комуникациите на вашето предприятие, мерките за сигурност отвътре са още по-наложителни, особено знаейки какви практики и проблемни области да избягвате.
Независимо дали осигурява сигурна автентификация на потребителя и конфигуриране на мрежата или позволява шифроване от край до край във всички VoIP комуникация и съхранение на данни, организациите трябва да бъдат старателни както в надзора на ИТ управлението, така и да работят в тясно сътрудничество с техния бизнес VoIP доставчик, за да гарантират, че изискванията за сигурност се изпълняват изпълнени и наложени.
Майкъл Мачадо, главен служител по сигурността (CSO) в RingCentral, контролира сигурността за всички облачни и VoIP услуги на RingCentral. Machado е прекарал последните 15 години в ИТ и облачна сигурност, първо като архитект по сигурността и мениджър на операции в WebEx, а след това в Cisco, след като компанията придоби услугата за видеоконферентна връзка.
Съображенията за сигурност в VoIP комуникациите на вашата компания започват в етапа на проучване и купуване, преди дори да изберете доставчик на VoIP и продължават чрез внедряване и управление. Machado премина през целия процес от гледна точка на сигурността, спирайки да обяснява много неща и не е за бизнеса от всички размери по пътя.
Избор на вашия VoIP доставчик
НЕ: Пренебрегвайте модела за споделена сигурност
Независимо дали сте малък или голям бизнес, първото нещо, което трябва да разберете - независимо дори от VoIP и обединени комуникации като услуга (UCaaS) - е, че всички облачни услуги като цяло трябва да имат споделена сигурност модел. Machado каза, че като клиент, вашият бизнес винаги носи известна отговорност за сигурното изпълнение на всички облачни услуги, които приемате.
„Ключово е клиентите да разберат, особено когато една компания е по-малка и разполага с по-малко ресурси“, каза Мачадо. „Хората мислят, че VoIP е механично устройство, свързано с медна линия. Това не е. Телефон с VoIP, независимо дали става въпрос за физическа слушалка, компютър със софтуер, работещ или него, мобилно приложение или софтуер за софтфон, не е същото нещо като механичен телефон, включен в PSTN. Това не е като обикновен телефон - ще носите някаква отговорност за това дали сигурността има затворен цикъл между клиента и доставчика."
ДО: Дълготрайни доставчици
След като разберете тази споделена отговорност и искате да възприемете облачна VoIP услуга, има смисъл да полагате дължимата си проверка, когато избирате вашия доставчик. В зависимост от вашия размер и експертния опит, който разполагате с персонала, Machado обясни как предприятията и малките за средни предприятия (SMBs) могат да постигнат това по различни начини.
"Ако сте голяма компания, която може да си позволи да отделите време за надлежна проверка, можете да излезете със списък с въпроси, които да зададете на всеки доставчик, да прегледате одитния му доклад и да проведете няколко срещи, за да обсъдите сигурността", каза Мачадо, „Ако сте малък бизнес, може да не разполагате с експертиза, за да анализирате одитния доклад за SOC 2, нито време да инвестирате в тежка дискусия.
"Вместо това можете да разгледате неща като доклада на Gartner Magic Quadrant и да погледнете дали имат на разположение доклад за SOC 1 или SOC 2, дори ако нямате време или опит, за да го прочетете и разберете", Machado обяснено. "Докладът от одита е добър показател за компаниите, които правят значителна инвестиция в сигурност срещу компании, които не са. Можете да потърсите и доклад за SOC 3 в допълнение към SOC 2. Това е лека версия, подобна на сертифициране, на същите стандарти. Това са нещата, които можете да търсите като малък бизнес, за да започнете да се движите в правилната посока на сигурността."
ДО: Преговаряйте Условия за сигурност във вашия договор
Сега сте на мястото, където сте избрали доставчик на VoIP и обмисляте възможността да вземете решение за покупка. Machado препоръча, когато е възможно, предприятията да се опитат да получат изрични споразумения и условия за сигурност в писмена форма, когато договарят договор с доставчик на облак.
„Малка компания, голяма компания, няма значение. Колкото по-малка е компанията, толкова по-малко сила ще трябва да договаряте тези конкретни условия, но това е сценарий„ не питай, недей “, каза Мачадо. „Вижте какво можете да получите в споразуменията си с доставчиците по отношение на задълженията за сигурност от доставчика.“
Въвеждане на мерки за сигурност на VoIP
ДО: Използвайте криптирани VoIP услуги
Що се отнася до внедряването, Machado каза, че няма извинение за модерна VoIP услуга, която да не предлага криптиране от край до край. Machado препоръча на организациите да търсят услуги, които поддържат шифроване на транспортния слой (TLS) или защитено шифроване на протокола в реално време (SRTP), и това да се прави в идеалния случай, без да се добавят нови основни мерки за сигурност.
„Не винаги се стремете към най-евтината услуга; може да си струва да платите премия за по-сигурен VoIP. Още по-добре е, когато не е нужно да плащате премия за сигурност в облачните си услуги“, каза Мачадо. „Като клиент трябва просто да можете да активирате криптиран VoIP и да го изключите. Важно е също така, че доставчикът използва не само криптирана сигнализация, но и криптиране на медиите в покой. Хората искат разговорите им да са частни, а не да обикалят интернет. с гласов текст. Уверете се, че доставчикът ви ще поддържа това ниво на криптиране и че няма да ви струва повече."
НЕ: Смесете вашите локални мрежи
От мрежовата страна на вашето внедряване повечето организации разполагат с комбинация от телефони и интерфейси, базирани на облаци. Много служители може просто да използват мобилно приложение или софтфон за VoIP, но често ще има и комбинация от настолни телефони и телефонни разговори, свързани с VoIP мрежата. За всички онези форми фактори Machado каза, че е важно да не се смесват форматни фактори и свързани устройства в един и същ мрежов дизайн.
"Искате да настроите отделна гласова локална мрежа. Не искате вашите телефони с твърд глас да се смесват в една и съща мрежа с вашите работни станции и принтери. Това не е добър мрежов дизайн", каза Мачадо. "Ако имате, има проблемни последици за сигурността надолу по линия. Няма причина вашите работни пространства да си говорят един с друг. Моят лаптоп няма нужда да говори с вашия; това не е същото като ферма за сървъри с приложения, разговарящи с бази данни."
Вместо това Machado препоръчва…
DO: Настройване на частни VLAN мрежи
Частна VLAN (виртуална LAN), както обясни Machado, позволява на ИТ мениджърите по-добре да сегментират и контролират вашата мрежа. Частната VLAN действа като единична точка за достъп и връзката нагоре за свързване на устройството към рутер, сървър или мрежа.
„От гледна точка на архитектурата на сигурността на крайната точка, частните VLAN мрежи са добър мрежов дизайн, тъй като ви дават възможност да включите тази функция на превключвателя, която казва„ тази работна станция не може да говори с другата работна станция “. Ако имате вашите VoIP телефони или устройства с активиран глас в същата мрежа като всичко останало, това не работи ", каза Мачадо. „Важно е да настроите вашата специализирана гласова LAN като част от по-привилегирован дизайн за сигурност.“
НЕ: Оставете своя VoIP извън защитната стена
Вашият VoIP телефон е компютърно устройство, включено в Ethernet. Като свързана крайна точка, Machado каза, че е важно клиентите да запомнят, че подобно на всяко друго компютърно устройство също трябва да стои зад корпоративната защитна стена.
"VoIP телефонът има потребителски интерфейс за потребителите да влизат и администраторите да правят системна администрация на телефона. Не всеки VoIP телефон има фърмуер, който да защитава от брутални атаки", заяви Мачадо. "Вашият имейл акаунт ще се заключи след няколко опита, но не всеки VoIP телефон работи по същия начин. Ако не поставите защитна стена пред него, това е като да отворите това уеб приложение на всеки, който иска да скриптира груба сила атака и влезте."
VoIP система за управление
ДО: Промяна на вашите стандартни пароли
Независимо от производителя, от който получавате вашите VoIP телефони, устройствата ще се доставят с идентификационни данни по подразбиране, както всеки друг хардуер, който се предлага с уеб интерфейс. За да избегне вида на прости уязвимости, довели до атаката на ботнет на Mirai DDoS, Machado каза, че най-лесното нещо е просто да промените тези настройки по подразбиране.
„Клиентите трябва да предприемат проактивни стъпки, за да осигурят защитата на своите телефони“, каза Мачадо. „Променете веднага паролите по подразбиране или, ако вашият доставчик управлява крайните точки на телефона за вас, уверете се, че променят тези пароли по подразбиране от ваше име.“
ДО: Проследявайте употребата си
Независимо дали става въпрос за облачна телефонна система, локална гласова система или частна размяна на клонове (PBX), Machado заяви, че всички VoIP услуги имат атакуваща повърхност и в крайна сметка може да се хакнат. Когато това се случи, той каза, че една от най-типичните атаки е поглъщане на акаунт (ATO), известен също като измама с телекомуникации или изпомпване на трафик. Това означава, че когато VoIP система е хакната, нападателят се опитва да извършва повиквания, които струват парите на собственика. Най-добрата защита е да следите използването си.
"Кажете, че сте участник в заплахата. Имате достъп до гласови услуги и се опитвате да провеждате обаждания. Ако вашата организация наблюдава използването му, ще можете да забележите, ако има необичайно висока сметка или вижте нещо като потребител по телефона в продължение на 45 минути с местоположение, на което никой служител няма причина да се обади. Всичко е в това да обърнете внимание ", каза Мачадо.
"Ако сте в облак, ако играете това (което означава, че не използвате традиционна телефонна централа или локален VoIP), тогава проведете разговор с вашия доставчик, питайки какво правите, за да ме защитите", добави той. "Има ли копчета и циферблати, които мога да включа и изключвам по отношение на обслужването? Правите ли мониторинг на измамите в задния край или анализа на поведението на потребителите, търсейки аномално използване от мое име?
НЕ: Имайте прекомерни разрешения за сигурност
Що се отнася до използването, един от начините за ограничаване на потенциални щети от ATO е да изключите разрешения и функции, за които знаете, че вашият бизнес не се нуждае, за всеки случай. Мачадо даде международен разговор като пример.
„Ако вашият бизнес няма нужда да се обажда във всички части на света, тогава не включвайте обаждания към всички части на света“, каза той. "Ако правите бизнес само в САЩ, Канада и Мексико, искате ли всяка друга държава да е достъпна за обаждане или има ли смисъл да я изключите в случай на АТО? Не оставяйте прекалено широки разрешения за вашите потребители за всяка технологична услуга и всичко, което не е необходимо за използването на вашия бизнес, се счита за свръхшироко."
НЕ: Забравете за кръпка
Извършването на актуализация и поддържането на актуализация с актуализации е от решаващо значение при всякакъв вид софтуер. Независимо дали използвате софтфон, мобилно приложение за VoIP или какъвто и да е вид хардуер с актуализации на фърмуера, Machado каза, че това не е разумно.
"Управлявате ли вашите собствени VoIP телефони? Ако продавачът пусне фърмуер, тествайте и го внедрявайте бързо - те често се справят с пачове от всякакъв тип. Понякога пачове за сигурност идват от доставчик, който управлява телефона от ваше име, така че в този случай, не забравяйте да попитате кой контролира кръпка и какъв е цикъл “, каза Мачадо.
DO: Активиране на силна автентификация
Силното двуфакторно удостоверяване и инвестирането в по-тежко управление на идентичността е друга умна практика за сигурност. Освен само VoIP, Machado каза, че автентификацията винаги е важен фактор, който трябва да има.
„Винаги включвайте силна автентификация. Това не е различно, ако влизате в своята облачна централа или имейла си или в CRM. Потърсете тези функции и ги използвайте“, каза Мачадо. "Не говорим само за телефони на бюрото ви; ние говорим за уеб приложения и всички различни части на услугата. Разберете как парчетата се събират и обезопасявайте всяко парче от своя страна."