Inhoudsopgave:
Video: The Police - De Do Do Do, De Da Da Da (November 2024)
Beveiliging is een must voor elke cloudgebaseerde service die op uw bedrijf is aangesloten en de aanvalsvectoren evolueren elke dag. Voor een internet-verbindingstoepassing zoals een Voice-over-IP (VoIP) -app die dient als de hub van uw bedrijfscommunicatie, zijn inside-out beveiligingsmaatregelen zelfs nog noodzakelijker, vooral wetende welke praktijken en probleemgebieden moeten worden vermeden.
Of het nu gaat om veilige gebruikersauthenticatie en netwerkconfiguratie of om end-to-end encryptie in alle VoIP-communicatie en gegevensopslag mogelijk te maken, organisaties moeten ijverig zijn in zowel toezicht op IT-beheer als nauw samenwerken met hun zakelijke VoIP-provider om ervoor te zorgen dat beveiligingsvereisten worden nageleefd voldaan en afgedwongen.
Michael Machado, Chief Security Officer (CSO) bij RingCentral, houdt toezicht op de beveiliging van alle cloud- en VoIP-services van RingCentral. Machado heeft de afgelopen 15 jaar in IT en cloudbeveiliging gewerkt, eerst als beveiligingsarchitect en operations manager bij WebEx en vervolgens bij Cisco nadat het bedrijf de videoconferentieservice had overgenomen.
Veiligheidsoverwegingen in de VoIP-communicatie van uw bedrijf beginnen in het onderzoeks- en aankoopstadium voordat u zelfs maar een VoIP-provider selecteert en blijven bestaan door implementatie en beheer. Machado doorliep het hele proces vanuit een beveiligingsperspectief en stopte onderweg om veel dingen te doen en te doen voor bedrijven van elke omvang.
Uw VoIP-provider selecteren
NIET DOEN: het gedeelde beveiligingsmodel verwaarlozen
Of u nu een klein bedrijf of een grote onderneming bent, het eerste wat u moet begrijpen - onafhankelijk van VoIP en Unified Communications-as-a-Service (UCaaS) - is dat alle cloudservices in het algemeen een gedeelde beveiliging nodig hebben model. Machado zei dat uw bedrijf als klant altijd enige verantwoordelijkheid deelt bij de veilige implementatie van alle cloudservices die u gebruikt.
"Het is van cruciaal belang dat klanten het begrijpen, vooral wanneer een bedrijf kleiner is en minder middelen heeft", zegt Machado. "Mensen denken dat VoIP een mechanisch apparaat is dat is aangesloten op een koperen lijn. Dat is het niet. Een VoIP-telefoon, of het nu een fysieke handset is, een computer met actieve software, een mobiele app of een softphone-toepassing, het is niet hetzelfde als een mechanische telefoon die op de PSTN is aangesloten. Het is niet zoals een gewone telefoon - u zult enige verantwoordelijkheid moeten dragen om ervoor te zorgen dat de beveiliging een gesloten lus heeft tussen de klant en de verkoper."
DOEN: Vendor Due Diligence
Als u eenmaal die gedeelde verantwoordelijkheid begrijpt en een cloud VoIP-service wilt gebruiken, is het logisch om uw due diligence te doen bij het selecteren van uw leverancier. Afhankelijk van uw grootte en de expertise die u hebt op personeel, legde Machado uit hoe ondernemingen en kleine tot middelgrote bedrijven (MKB's) dit op verschillende manieren kunnen aanpakken.
"Als u een groot bedrijf bent dat het zich kan veroorloven om de tijd te besteden aan due diligence, kunt u een lijst met vragen stellen om elke leverancier te vragen, hun auditrapport bekijken en een paar vergaderingen houden om de veiligheid te bespreken, " zei Machado. "Als u een klein bedrijf bent, beschikt u mogelijk niet over de expertise om een SOC 2-auditrapport te analyseren of over de tijd om te investeren in een zware discussie.
"In plaats daarvan kun je naar dingen kijken zoals Gartner's Magic Quadrant-rapport en kijken of ze een SOC 1- of SOC 2-rapport beschikbaar hebben, zelfs als je niet de tijd of expertise hebt om het door te lezen en te begrijpen, " Machado toegelicht. "Het auditrapport is een goede indicatie van bedrijven die veel investeren in beveiliging versus bedrijven die dat niet zijn. U kunt ook een SOC 3-rapport zoeken naast SOC 2. Het is een lichtgewicht, certificatie-achtige versie van dezelfde normen. Dit zijn de dingen waar je als klein bedrijf naar kunt zoeken om op het gebied van beveiliging de goede richting op te gaan."
DOEN: onderhandel over beveiligingsvoorwaarden in uw contract
Nu bent u op het punt waar u een VoIP-leverancier hebt geselecteerd en overweegt u een koopbeslissing te nemen. Machado raadde bedrijven aan om, waar mogelijk, expliciete schriftelijke beveiligingsovereenkomsten en -voorwaarden te proberen te krijgen bij het afsluiten van een contract met een cloudleverancier.
"Klein bedrijf, groot bedrijf, het maakt niet uit. Hoe kleiner het bedrijf, hoe minder macht je hebt om over die specifieke voorwaarden te onderhandelen, maar het is een 'niet vragen, niet krijgen' scenario, " zei Machado. "Kijk wat u kunt krijgen in uw leveranciersovereenkomsten met betrekking tot beveiligingsverplichtingen van de verkoper."
VoIP-beveiligingsmaatregelen implementeren
DOEN: Gebruik gecodeerde VoIP-services
Wat de implementatie betreft, zei Machado dat er geen excuus is voor een moderne VoIP-service om geen end-to-end encryptie aan te bieden. Machado raadde organisaties aan diensten te zoeken die ondersteuning bieden voor Transport Layer Security (TLS) of Secure Real-Time Transport Protocol (SRTP) -codering, en die dit idealiter doen zonder upselling voor kernbeveiligingsmaatregelen.
"Ga niet altijd voor de goedkoopste service; het kan de moeite waard zijn om een premie te betalen voor een veiliger VoIP. Nog beter is het wanneer u geen premie hoeft te betalen voor beveiliging in uw cloudservices, " zei Machado. "Als klant moet je gewoon gecodeerde VoIP kunnen inschakelen en daar ga je. Het is ook belangrijk dat de provider niet alleen gecodeerde signalering maar ook coderende media in rust gebruikt. Mensen willen dat hun gesprekken privé zijn, niet via internet met gewone tekststem. Zorg ervoor dat uw leverancier dat coderingsniveau ondersteunt en dat het u niet meer gaat kosten."
NIET: Mix uw LAN's
Aan de netwerkzijde van uw implementatie hebben de meeste organisaties een combinatie van handsets en cloudgebaseerde interfaces. Veel werknemers gebruiken misschien alleen een VoIP mobiele app of softphone, maar er is vaak ook een combinatie van bureautelefoons en conferentietelefoons verbonden met het VoIP-netwerk. Voor al die vormfactoren zei Machado dat het cruciaal is om vormfactoren en verbonden apparaten niet te combineren binnen hetzelfde netwerkontwerp.
"U wilt een afzonderlijk spraak-LAN instellen. U wilt niet dat uw telefoons met harde spraak op hetzelfde netwerk samenvallen met uw werkstations en printers. Dat is geen goed netwerkontwerp, " zei Machado. "Als dat zo is, zijn er achteraf problematische beveiligingsimplicaties. Er is geen reden voor uw werkplekken om met elkaar te praten. Mijn laptop hoeft niet met die van u te praten; het is niet hetzelfde als een serverfarm met toepassingen die praten databases."
In plaats daarvan beveelt Machado aan…
DOEN: Private VLAN's instellen
Met een privé-VLAN (virtueel LAN) kunnen IT-managers uw netwerk beter segmenteren en beheren, zoals Machado heeft uitgelegd. Het privé-VLAN fungeert als een enkel toegangs- en uplinkpunt om het apparaat te verbinden met een router, server of netwerk.
"Vanuit het oogpunt van eindpuntveiligheidsarchitectuur zijn privé-VLAN's een goed netwerkontwerp omdat ze u de mogelijkheid bieden om deze functie in te schakelen op de schakelaar die zegt:" dit werkstation kan niet met het andere werkstation praten. " Als u uw VoIP-telefoons of spraakgestuurde apparaten op hetzelfde netwerk hebt als al het andere, werkt dat niet, "zei Machado. "Het is belangrijk om uw speciale spraak-LAN in te stellen als onderdeel van een meer bevoorrecht beveiligingsontwerp."
NIET DOEN: laat uw VoIP buiten de firewall
Uw VoIP-telefoon is een computerapparaat dat op Ethernet is aangesloten. Als verbonden eindpunt zei Machado dat het belangrijk is voor klanten om te onthouden dat het, net als elk ander computerapparaat, ook achter de bedrijfsfirewall moet zitten.
"De VoIP-telefoon heeft een gebruikersinterface voor gebruikers om in te loggen en voor beheerders om systeembeheer op de telefoon te doen. Niet elke VoIP-telefoon heeft firmware om te beschermen tegen brute-force-aanvallen", aldus Machado. "Uw e-mailaccount wordt na een paar pogingen vergrendeld, maar niet elke VoIP-telefoon werkt op dezelfde manier. Als u er geen firewall voor plaatst, is het alsof u die webtoepassing opent voor iedereen op internet die een script wil brute force attack en log in."
VoIP-systeembeheer
DOEN: Wijzig uw standaardwachtwoorden
Ongeacht de fabrikant van waar u uw VoIP-handsets ontvangt, worden de apparaten met standaardreferenties geleverd zoals elk ander stuk hardware dat wordt geleverd met een web-UI. Om het soort eenvoudige kwetsbaarheden die hebben geleid tot de MiraDo-botnet DDoS-aanval te voorkomen, zei Machado dat het eenvoudigste is om die standaardwaarden te wijzigen.
"Klanten moeten proactieve maatregelen nemen om hun telefoons te beveiligen", zegt Machado. "Wijzig de standaardwachtwoorden onmiddellijk of, als uw leverancier de telefooneindpunten voor u beheert, zorg ervoor dat zij die standaardwachtwoorden namens u wijzigen."
DOEN: houd uw gebruik bij
Of het nu gaat om een cloud-telefoonsysteem, een lokaal spraaksysteem of een private branch exchange (PBX), Machado zei dat alle VoIP-services een aanvalsoppervlak hebben en uiteindelijk gehackt kunnen worden. Wanneer dat gebeurt, zei hij dat een van de meest typische aanvallen een accountovername (ATO) is, ook bekend als telecomfraude of verkeerspompen. Dit betekent dat wanneer een VoIP-systeem wordt gehackt, de aanvaller probeert te bellen die de eigenaar geld kost. De beste verdediging is om uw verbruik bij te houden.
"Stel dat u een bedreigingsacteur bent. U hebt toegang tot spraakservices en u probeert te bellen. Als uw organisatie het gebruik ervan in de gaten houdt, kunt u zien of er een ongewoon hoge rekening is of ziet u zoiets als een gebruiker aan de telefoon gedurende 45 minuten met een locatie waar geen enkele medewerker reden voor heeft om te bellen. Het draait allemaal om aandacht te geven, "zei Machado.
"Als u dit in de cloud doet (wat betekent dat u geen traditionele PBX of VoIP op locatie gebruikt), voer dan een gesprek met uw leverancier en vraag wat u doet om mij te beschermen, " voegde hij eraan toe. "Zijn er knoppen en draaiknoppen die ik kan in- en uitschakelen met betrekking tot service? Doe je back-end fraudebewaking of gebruikersgedraganalyses op zoek naar afwijkend gebruik namens mij? Dit zijn belangrijke vragen om te stellen."
NIET DOEN: Over-brede beveiligingsmachtigingen hebben
Wat het gebruik betreft, is een manier om potentiële ATO-schade te beperken het uitschakelen van machtigingen en functies waarvan u weet dat uw bedrijf deze niet nodig heeft, voor het geval dat. Machado gaf internationale roeping als voorbeeld.
"Als uw bedrijf niet alle delen van de wereld hoeft te bellen, schakel dan niet naar alle delen van de wereld", zei hij. "Als u alleen zaken doet in de VS, Canada en Mexico, wilt u dat elk ander land beschikbaar is om te bellen of heeft het gewoon zin om het uit te schakelen in het geval van ATO? Laat geen al te brede machtigingen voor uw gebruikers voor elke technologische dienst, en alles wat niet nodig is voor uw zakelijk gebruik kwalificeert als te breed."
NIET DOEN: vergeet patchen
Patchen en up-to-date blijven met updates is van cruciaal belang voor alle soorten software. Of u nu een softphone, VoIP mobiele app of enige andere hardware met firmware-updates gebruikt, Machado zei dat dit geen probleem is.
"Beheert u uw eigen VoIP-telefoons? Als de leverancier firmware uitgeeft, test en implementeer deze dan snel - deze hebben vaak te maken met allerlei soorten patches. Soms komen beveiligingspatches van een verkoper die de telefoon namens u beheert, dus in dat geval vraag zeker wie de patching regelt en wat de cyclus is, "zei Machado.
DOEN: Sterke authenticatie inschakelen
Sterke tweefactorauthenticatie en investeren in zwaarder identiteitsbeheer is een andere slimme beveiligingspraktijk. Naast alleen VoIP, zei Machado dat authenticatie altijd een belangrijke factor is om te hebben.
"Schakel altijd sterke authenticatie in. Dat is niet anders als u zich aanmeldt bij uw cloud PBX of uw e-mail of uw CRM. Zoek naar die functies en gebruik ze", zei Machado. "We hebben het niet alleen over telefoons op uw bureau; we hebben het over webapplicaties en alle verschillende onderdelen van de service. Begrijp hoe de stukjes samenkomen en zet elk stuk op zijn beurt vast."
