Innholdsfortegnelse:
Video: Wireshark VoIP call capture and replay (Oktober 2024)
Sikkerhet er et must for alle skybaserte tjenester som er koblet til virksomheten din, og angrepsvektorene utvikler seg hver dag. For en internett-tilkoblingsapplikasjon som en Voice-over-IP (VoIP) -app som fungerer som knutepunktet for bedriftskommunikasjonen, er innsikt og sikkerhetstiltak enda mer avgjørende, spesielt å vite hvilken praksis og problemområder du må unngå.
Enten det er å sikre sikker brukergodkjenning og nettverkskonfigurasjon eller aktivere ende-til-ende-kryptering i all VoIP-kommunikasjon og datalagring, må organisasjoner være flittige med å både føre tilsyn med IT-styring og samarbeide tett med sin virksomhet VoIP-leverandør for å sikre at sikkerhetskrav stilles møttes og håndheves.
Michael Machado, Chief Security Officer (CSO) i RingCentral, fører tilsyn med sikkerhet for alle RingCentrals sky- og VoIP-tjenester. Machado har tilbrakt de siste 15 årene i IT og skysikkerhet, først som sikkerhetsarkitekt og driftsleder hos WebEx, og deretter hos Cisco etter at selskapet kjøpte videokonferansetjenesten.
Sikkerhetshensyn i bedriftens VoIP-kommunikasjon starter i forsknings- og kjøpsstadiet før du selv velger en VoIP-leverandør, og vedvarer gjennom implementering og styring. Machado gikk gjennom hele prosessen fra et sikkerhetsperspektiv, og stoppet for å forklare mange gjør og ikke for bedrifter i alle størrelser underveis.
Velge din VoIP-leverandør
IKKE: Forsøm å dele den delte sikkerhetsmodellen
Enten du er en liten bedrift eller en stor bedrift, det første du trenger å forstå - uavhengig av VoIP og Unified Communications-as-a-Service (UCaaS) - er at alle skytjenester generelt trenger å ha en delt sikkerhet modell. Machado sa at som kunde deler din virksomhet alltid noe ansvar for sikker implementering av alle skytjenestene du tar i bruk.
"Det er nøkkelen for kundene å forstå, spesielt når et selskap er mindre og har færre ressurser, " sa Machado. "Folk tror VoIP er en mekanisk enhet koblet til en kobberlinje. Det er det ikke. En VoIP-telefon, enten det er et fysisk håndsett, en datamaskin med programvare som kjører eller det, en mobilapp eller en softphone-applikasjon, det er ikke det samme som en mekanisk telefon koblet til PSTN. Det er ikke som en vanlig telefon - du kommer til å ha noe ansvar for å sikre at sikkerheten har en lukket loop mellom kunden og leverandøren."
DO: Forhandler Due Diligence
Når du har forstått det delte ansvaret og vil ta i bruk en VoIP-tjeneste i skyen, er det fornuftig å gjøre din aktsomhet når du velger leverandør. Avhengig av størrelsen og ekspertisen du har på personalet, forklarte Machado hvordan virksomheter og små til mellomstore bedrifter (SMB) kan gjøre dette på forskjellige måter.
"Hvis du er et stort selskap som har råd til å bruke tiden på due diligence, kan du komme med en liste over spørsmål du kan stille hver leverandør, gå gjennom revisjonsrapporten deres og ha noen få møter for å diskutere sikkerhet, " sa Machado. "Hvis du er en liten bedrift, har du kanskje ikke ekspertisen til å analysere en SOC 2-revisjonsrapport eller tid til å investere i en tung løftediskusjon.
"I stedet kan du se på ting som Gartners Magic Quadrant-rapport, og se om de har en SOC 1 eller SOC 2-rapport tilgjengelig, selv om du ikke har tid eller kompetanse til å lese gjennom og forstå den, " Machado forklart. "Tilsynsrapporten er en god indikasjon på at selskaper foretar en sterk investering i sikkerhet versus selskaper som ikke er det. Du kan også se etter en SOC 3-rapport i tillegg til SOC 2. Det er en lett, sertifiseringsliknende versjon av de samme standardene. Dette er tingene du kan se etter som en liten bedrift for å begynne å bevege deg i riktig retning på sikkerhet."
DO: Forhandle sikkerhetsvilkår i kontrakten din
Nå er du på det punktet der du valgte en VoIP-leverandør, og vurderer muligheten for å ta en kjøpsbeslutning. Machado anbefalte at virksomheter, når det er mulig, skulle prøve å få eksplisitte sikkerhetsavtaler og betingelser skriftlig når de forhandler om en kontrakt med en skoleselger.
"Lite selskap, stort selskap, det spiller ingen rolle. Jo mindre selskap, jo mindre krefter må du forhandle om de spesifikke vilkårene, men det er et" ikke spør, ikke få "-scenario, " sa Machado. "Se hva du kan få i leverandøravtalene dine med hensyn til sikkerhetsforpliktelser fra leverandøren."
Implementere VoIP-sikkerhetstiltak
DO: Bruk krypterte VoIP-tjenester
Når det gjelder distribusjon sa Machado at det ikke er noen unnskyldning for en moderne VoIP-tjeneste å ikke tilby ende-til-ende-kryptering. Machado anbefalte at organisasjoner leter etter tjenester som støtter Transport Layer Security (TLS) eller Secure Real-Time Transport Protocol (SRTP) -kryptering, og som gjør det, ideelt sett, uten å gi uttrykk for kjerne sikkerhetstiltak.
"Ikke alltid gå for den billigste tjenesten; det kan lønne seg å betale en premie for en sikrere VoIP. Enda bedre er det når du ikke trenger å betale en premie for sikkerhet i skytjenestene dine, " sa Machado. "Som kunde skal du bare være i stand til å aktivere kryptert VoIP og av og til. Det er også viktig at leverandøren ikke bare bruker kryptert signalering, men også krypterer medier i ro. Folk vil at samtalene deres skal være private og ikke krysse internett med vanlig tekststemme. Forsikre deg om at leverandøren din vil støtte det krypteringsnivået, og at det ikke vil koste deg mer."
IKKE: Bland LAN-ene dine
På nettverkssiden av distribusjonen din har de fleste organisasjoner en blanding av håndsett og skybaserte grensesnitt. Mange ansatte bruker kanskje bare en VoIP-mobilapp eller softphone, men det vil ofte være en blanding av bordtelefoner og konferansetelefoner også koblet til VoIP-nettverket. For alle disse formfaktorene sa Machado at det er avgjørende å ikke blande formfaktorer og tilkoblede enheter i samme nettverksdesign.
"Du ønsker å sette opp et eget talesnet. Du vil ikke at hardtelefonene dine skal samle seg i samme nettverk med arbeidsstasjonene og skriverne. Det er ikke bra nettverksdesign, " sa Machado. "Hvis du har det, er det problematiske sikkerhetsmessige implikasjoner på linjen. Det er ingen grunn til at arbeidsområdene dine snakker med hverandre. Min bærbare datamaskin trenger ikke snakke med deg; det er ikke det samme som en serverfarme med applikasjoner som snakker med databaser."
I stedet anbefaler Machado…
DO: Sett opp private VLAN-er
Et privat VLAN (virtuelt LAN), som Machado forklarte, lar IT-ledere segmentere og kontrollere nettverket ditt bedre. Det private VLAN fungerer som et enkelt tilgangs- og uplink-punkt for å koble enheten til en ruter, server eller nettverk.
"Fra et endepunkt sikkerhetsarkitekturperspektiv er private VLAN-er et godt nettverksdesign fordi de gir deg muligheten til å slå på denne funksjonen på bryteren som sier" denne arbeidsstasjonen kan ikke snakke med den andre arbeidsstasjonen. " Hvis du har VoIP-telefoner eller stemmeaktiverte enheter i samme nettverk som alt annet, fungerer det ikke, "sa Machado. "Det er viktig å sette opp ditt dedikerte tale LAN som en del av en mer privilegert sikkerhetsdesign."
IKKE: La VoIP-enheten være utenfor brannmuren
VoIP-telefonen din er en dataenhet som er koblet til Ethernet. Som et tilkoblet sluttpunkt sa Machado at det er viktig for kundene å huske at den, akkurat som alle andre dataenheter, også må være bak bedriftens brannmur.
"VoIP-telefonen har et brukergrensesnitt for brukere å logge på og for administratorer å utføre systemadministrasjon på telefonen. Ikke alle VoIP-telefoner har firmware for å beskytte mot brute-force-angrep, " sa Machado. "E-postkontoen din låses etter noen få forsøk, men ikke alle VoIP-telefoner fungerer på samme måte. Hvis du ikke legger en brannmur foran den, er det som å åpne den nettprogrammet for alle på internett som ønsker å skripte en angrep på brute force og logg inn."
VoIP-systemadministrasjon
DO: Endre standard passord
Uavhengig av hvilken produsent du mottar VoIP-håndsett fra, vil enhetene sende med standardopplysninger som alle andre maskinvarer som følger med en nettgrensesnitt. For å unngå den type enkle sårbarheter som førte til Mirai botnet DDoS-angrep, sa Machado at den enkleste tingen å gjøre bare var å endre disse standardene.
"Kunder må ta proaktive skritt for å sikre telefonene sine, " sa Machado. "Endre standardpassordene umiddelbart, eller hvis leverandøren din administrerer telefonens sluttpunkter for deg, må du sørge for at de endrer standardpassordene på dine vegne."
DO: Hold rede på bruken din
Enten det er et skytelefonsystem, et lokalt talesystem eller en privat filialbørs (PBX), sa Machado at alle VoIP-tjenester har en angrepflate og til slutt kan bli hacket. Når det skjer, sa han at et av de mest typiske angrepene er en kontoovertakelse (ATO), også kjent som telesvindel eller trafikkpumping. Dette betyr at når et VoIP-system er hacket, prøver angriperen å ringe som koster eieren penger. Det beste forsvaret er å holde oversikt over bruken din.
"Si at du er en trusselaktør. Du har tilgang til taletjenester og prøver å ringe. Hvis organisasjonen ser på bruken, vil du kunne se om det er en uvanlig høy regning eller se noe som en bruker på telefonen i 45 minutter med et sted som ingen ansatte har noen grunn til å ringe. Det handler om å ta hensyn, sier Machado.
"Hvis du skyer over dette (som betyr at du ikke bruker en tradisjonell PBX eller en lokal VoIP), kan du snakke med leverandøren din om å spørre hva du gjør for å beskytte meg, " la han til. "Er det knotter og ringer jeg kan slå av og på med hensyn til service? Gjør du back-end-svindelovervåking eller brukeratferdsanalyse på jakt etter anomal bruk på mine vegne? Dette er viktige spørsmål å stille."
IKKE: Har overdreven sikkerhetstillatelser
Når det gjelder bruk, er en måte å takle potensielle ATO-skader å slå av tillatelser og funksjoner du vet at bedriften din ikke trenger, bare i tilfelle. Machado ga internasjonalt kall som et eksempel.
"Hvis bedriften din ikke trenger å ringe alle verdensdeler, ikke slå på å ringe til alle verdensdeler, " sa han. "Hvis du bare driver virksomhet i USA, Canada og Mexico, vil du at alle andre land er tilgjengelige for å ringe, eller er det bare fornuftig å slå den av i tilfelle ATO? Ikke la noen overdrevne tillatelser til brukerne dine for enhver teknologitjeneste, og alt som ikke er nødvendig for din forretningsbruk, kvalifiserer som for bredt."
IKKE: Glem å lappe
Oppdatering og oppdatering er avgjørende for alle typer programvare. Enten du bruker en softphone, VoIP-mobilapp eller noen form for maskinvare med firmwareoppdateringer, sa Machado at dette er en ikke-brainer.
"Klarer du dine egne VoIP-telefoner? Hvis leverandøren gir ut firmware, tester og distribuerer den raskt - disse omhandler ofte lapper av alle typer. Noen ganger kommer sikkerhetsoppdateringer fra en leverandør som administrerer telefonen på dine vegne, i så fall, husk å spørre hvem som kontrollerer lapping og hva syklusen er, "sa Machado.
DO: Aktiver sterk autentisering
Sterk tofaktorautentisering og investering i tyngre identitetsstyring er en annen smart sikkerhetspraksis. Utover bare VoIP, sa Machado at autentisering alltid er en viktig faktor å ha på plass.
"Slå alltid på god autentisering. Det er ikke noe annerledes hvis du logger deg på sky-PBX-en, e-postmeldingen eller CRM-enheten din. Se etter disse funksjonene og bruk dem, " sa Machado. "Vi snakker ikke bare om telefoner på skrivebordet ditt; vi snakker om nettapplikasjoner og alle de forskjellige delene av tjenesten. Forstå hvordan brikkene kommer sammen og sikre hver brikke etter tur."
