Оглавление:
Видео: ÐÑÐµÐ¼Ñ Ð¸ СÑекло Так вÑпала ÐаÑÑа HD VKlipe Net (Ноябрь 2024)
Безопасность необходима для каждого облачного сервиса, подключенного к вашему бизнесу, и векторы атак развиваются с каждым днем. Для приложения с подключением к Интернету, такого как приложение Voice-over-IP (VoIP), которое служит центром коммуникаций вашего предприятия, меры безопасности наизнанку являются еще более необходимыми, особенно зная, какие методы и проблемные области следует избегать.
Независимо от того, обеспечивает ли она безопасную аутентификацию пользователя и конфигурацию сети или обеспечивает сквозное шифрование во всех коммуникациях VoIP и в хранилище данных, организациям необходимо тщательно следить за управлением ИТ и тесно сотрудничать со своим бизнес-провайдером VoIP, чтобы обеспечить соблюдение требований безопасности. встретил и соблюдает.
Майкл Мачадо, директор по безопасности (CSO) в RingCentral, контролирует безопасность всех облачных и VoIP-сервисов RingCentral. Мачадо провел последние 15 лет в области ИТ и облачной безопасности, сначала в качестве архитектора безопасности и операционного менеджера в WebEx, а затем в Cisco после того, как компания приобрела услугу видеоконференцсвязи.
Соображения безопасности в VoIP-коммуникациях вашей компании начинаются с этапа исследования и покупки еще до того, как вы выберете VoIP-провайдера, и сохраняются в процессе внедрения и управления. Мачадо прошел весь процесс с точки зрения безопасности, останавливаясь, чтобы объяснить, что можно и чего нельзя делать для компаний любого размера.
Выбор провайдера VoIP
НЕ пренебрегайте общей моделью безопасности
Являетесь ли вы небольшим предприятием или крупным предприятием, первое, что вам нужно понять - независимо от того, являются ли вы VoIP и Unified Communications-as-a-Service (UCaaS) - это то, что все облачные сервисы в целом должны иметь общую безопасность. модель. Мачадо сказал, что, как клиент, ваш бизнес всегда разделяет некоторую ответственность за безопасное внедрение всех облачных сервисов, которые вы принимаете.
«Это важно для клиентов, особенно когда компания меньше и у нее меньше ресурсов», - сказал Мачадо. «Люди думают, что VoIP - это механическое устройство, подключенное к медной линии. Это не так. Телефон VoIP, будь то физическая трубка, компьютер с запущенным программным обеспечением или мобильное приложение, приложение для софтфона, это не то же самое, что механический телефон, подключенный к PSTN. Он не похож на обычный телефон - вы будете нести определенную ответственность за обеспечение замкнутого цикла безопасности между покупателем и поставщиком ».
DO: Поставщик Due Diligence
Как только вы поймете эту общую ответственность и захотите внедрить облачную услугу VoIP, имеет смысл проявить должную осмотрительность при выборе поставщика. В зависимости от вашего размера и опыта работы с персоналом, Мачадо объяснил, как предприятия и предприятия малого и среднего бизнеса могут решать эту проблему по-разному.
«Если вы большая компания, которая может позволить себе тратить время на должную осмотрительность, вы можете составить список вопросов, которые следует задать каждому поставщику, просмотреть его аудиторский отчет и провести несколько встреч для обсуждения вопросов безопасности», - сказал Мачадо., «Если вы малый бизнес, у вас может не хватить опыта для анализа аудиторского отчета по SOC 2 или времени, чтобы потратить деньги на тяжелую дискуссию.
«Вместо этого вы можете посмотреть на такие вещи, как отчет« Магический квадрант »Gartner, и посмотреть, есть ли у них отчет SOC 1 или SOC 2, даже если у вас нет времени или опыта, чтобы прочитать и понять его», - Мачадо объяснил. «Аудиторский отчет является хорошим показателем того, что компании делают значительные инвестиции в обеспечение безопасности по сравнению с компаниями, которые этого не делают. Кроме того, вы можете посмотреть отчет SOC 3 в дополнение к SOC 2. Это облегченная, похожая на сертификацию версия тех же стандартов. Это то, на что вы можете рассчитывать, когда малый бизнес начнет двигаться в правильном направлении в сфере безопасности ».
DO: согласовать условия безопасности в вашем контракте
Теперь вы находитесь в точке, где вы выбрали поставщика VoIP, и вы рассматриваете возможность принятия решения о покупке. Мачадо рекомендовал, чтобы, когда это возможно, предприятия пытались получить четкие письменные соглашения и условия безопасности при заключении договора с поставщиком облачных услуг.
«Маленькая компания, большая компания, это не имеет значения. Чем меньше компания, тем меньше у вас сил, чтобы договориться об этих конкретных условиях, но это сценарий« не спрашивай, не получай », - сказал Мачадо. «Посмотрите, что вы можете получить в соглашениях с поставщиками в отношении обязательств поставщика по обеспечению безопасности».
Развертывание мер безопасности VoIP
НУЖНО: использовать зашифрованные услуги VoIP
Когда дело доходит до развертывания, Мачадо сказал, что у современной службы VoIP нет оправдания тому, чтобы не предлагать сквозное шифрование. Мачадо рекомендовал организациям искать сервисы, которые поддерживают шифрование на транспортном уровне (TLS) или шифрование в реальном времени (SRTP) и которые делают это, в идеале, без дополнительных затрат на основные меры безопасности.
«Не всегда выбирайте самый дешевый сервис; возможно, стоит платить больше за более безопасный VoIP. Еще лучше, когда вам не нужно платить больше за безопасность ваших облачных сервисов», - сказал Мачадо. «Как клиент, вы должны просто иметь возможность включать зашифрованную VoIP, и все готово. Также важно, чтобы провайдер использовал не только зашифрованную сигнализацию, но и шифрование мультимедиа в состоянии покоя. Люди хотят, чтобы их разговоры были частными, а не проходили через Интернет. простым текстом. Убедитесь, что ваш поставщик поддерживает этот уровень шифрования, и что это не будет стоить вам дороже ».
НЕ смешивайте свои локальные сети
На сетевой стороне вашего развертывания большинство организаций имеют сочетание мобильных телефонов и облачных интерфейсов. Многие сотрудники могут просто использовать мобильное приложение VoIP или программный телефон, но часто к ним также подключаются настольные и конференц-телефоны, подключенные к сети VoIP. Для всех этих форм-факторов, по словам Мачадо, крайне важно не смешивать форм-факторы и подключенные устройства в одной сети.
«Вы хотите настроить отдельную голосовую локальную сеть. Вы не хотите, чтобы ваши жесткие голосовые телефоны смешивались в одной сети с вашими рабочими станциями и принтерами. Это не очень хороший дизайн сети», - сказал Мачадо. «Если у вас есть, есть проблемы с безопасностью в будущем. Нет никаких причин для ваших рабочих пространств, чтобы общаться друг с другом. Мой ноутбук не должен общаться с вашим; это не то же самое, что ферма серверов с приложениями, взаимодействующими с базы данных «.
Вместо этого Мачадо рекомендует…
DO: Настройка частных VLAN
Частная виртуальная локальная сеть (виртуальная локальная сеть), как объяснил Мачадо, позволяет ИТ-менеджерам лучше сегментировать и контролировать вашу сеть. Частная VLAN действует как единая точка доступа и восходящей линии связи для подключения устройства к маршрутизатору, серверу или сети.
«С точки зрения архитектуры безопасности конечных точек частные VLAN являются хорошим дизайном сети, потому что они дают вам возможность включить эту функцию на коммутаторе, который говорит, что« эта рабочая станция не может общаться с другой рабочей станцией ». Если у вас есть VoIP-телефоны или голосовые устройства в той же сети, что и все остальное, это не сработает », - сказал Мачадо. «Важно настроить свою выделенную голосовую ЛВС как часть более привилегированного проекта безопасности».
НЕ оставляйте свой VoIP вне брандмауэра
Ваш телефон VoIP - это вычислительное устройство, подключенное к Ethernet. Как подключенная конечная точка, Мачадо сказал, что для клиентов важно помнить, что, как и любое другое вычислительное устройство, оно также должно находиться за корпоративным брандмауэром.
«Телефон VoIP имеет пользовательский интерфейс для входа в систему и для администраторов, которые выполняют системное администрирование на телефоне. Не каждый телефон VoIP имеет встроенное программное обеспечение для защиты от атак методом перебора», - сказал Мачадо. «Ваша учетная запись электронной почты будет заблокирована после нескольких попыток, но не все VoIP-телефоны работают одинаково. Если вы не устанавливаете брандмауэр перед ним, это все равно, что открывать это веб-приложение для любого пользователя в Интернете, который хочет написать скрипт. грубая атака и войдите."
Управление системой VoIP
DO: изменить ваши пароли по умолчанию
Независимо от производителя, от которого вы получаете свои VoIP-телефоны, устройства будут поставляться с учетными данными по умолчанию, как и любое другое оборудование, которое поставляется с веб-интерфейсом. Чтобы избежать простых уязвимостей, которые привели к DDoS-атаке бот-сети Mirai, Мачадо сказал, что проще всего просто изменить эти значения по умолчанию.
«Клиенты должны предпринимать активные действия для защиты своих телефонов», - сказал Мачадо. «Немедленно измените пароли по умолчанию или, если ваш поставщик управляет конечными точками телефона для вас, убедитесь, что они меняют эти пароли по умолчанию от вашего имени».
DO: Отслеживайте свое использование
Будь то облачная телефонная система, локальная голосовая система или частная АТС, Мачадо сказал, что все сервисы VoIP имеют атаку и могут быть взломаны. Когда это происходит, он сказал, что одной из наиболее типичных атак является захват учетных записей (ATO), также известный как мошенничество в сфере телекоммуникаций или перекачка трафика. Это означает, что при взломе системы VoIP злоумышленник пытается совершать звонки, которые стоят этому владельцу денег. Лучшая защита - следить за вашим использованием.
«Скажем, вы актер угрозы. У вас есть доступ к голосовым услугам, и вы пытаетесь совершать звонки. Если ваша организация следит за ее использованием, вы сможете определить, есть ли необычно высокий счет или увидеть что-то вроде звонка по телефону в течение 45 минут в месте, где ни у кого из сотрудников нет причин звонить. Все дело в том, чтобы уделять внимание », - сказал Мачадо.
«Если вы зацикливаетесь на облаке (то есть не используете традиционную АТС или локальную VoIP), поговорите с вашим поставщиком, чтобы узнать, что вы делаете, чтобы защитить меня», - добавил он. «Есть ли ручки и регуляторы, которые я могу включать и выключать в отношении обслуживания? Вы проводите внутренний мониторинг мошенничества или анализ поведения пользователей, ищите аномальное использование от моего имени? Это важные вопросы».
НЕ: иметь слишком широкие разрешения безопасности
Что касается использования, одним из способов ограничения потенциального ущерба ATO является отключение разрешений и функций, которые, по вашему мнению, не нужны вашему бизнесу, на всякий случай. Мачадо привел международный вызов в качестве примера.
«Если вашему бизнесу не нужно звонить во все уголки мира, не включайте звонки во все уголки мира», - сказал он. «Если вы ведете бизнес только в США, Канаде и Мексике, хотите ли вы, чтобы каждая другая страна была доступна для звонков, или имеет смысл отключить ее в случае ATO? Не оставляйте слишком широкие разрешения для ваши пользователи для какой-либо технологической услуги, и все, что не требуется для вашего бизнеса, квалифицируется как слишком широкое."
НЕ забывайте о исправлениях
Обновление и обновление обновлений крайне важно для любого программного обеспечения. Используете ли вы программный телефон, мобильное приложение VoIP или любое другое оборудование с обновлениями микропрограммного обеспечения, Мачадо сказал, что это не сложно.
«Управляете ли вы своими собственными телефонами VoIP? Если поставщик выпускает микропрограммное обеспечение, тестируйте и развертывайте его быстро - это часто касается исправлений всех типов. Иногда исправления безопасности приходят от поставщика, управляющего телефоном от вашего имени, поэтому в этом случае Обязательно спросите, кто контролирует исправления и каков цикл, - сказал Мачадо.
DO: включить строгую аутентификацию
Надежная двухфакторная аутентификация и инвестиции в более сложное управление идентификацией - еще одна разумная практика обеспечения безопасности. По словам Мачадо, помимо VoIP, аутентификация всегда является важным фактором.
«Всегда включайте строгую аутентификацию. Если вы входите в свою облачную АТС, или в свою электронную почту, или в CRM, ничего особенного не происходит. Найдите эти функции и используйте их», - сказал Мачадо. «Мы не просто говорим о телефонах на вашем столе; мы говорим о веб-приложениях и всех различных частях сервиса. Поймите, как эти части объединяются, и защищайте каждую часть по очереди».
