Välttämättömät ja välttämättömät voip-yhteyksiesi turvaamisen vaatimukset

Suojaus on pakollinen jokaiselle pilvipohjaiselle palvelulle, joka on kytketty yritykseesi, ja hyökkäysvektorit kehittyvät päivittäin. Internet-yhteyssovelluksille, kuten VoIP-sovelluksille (VoIP-sovellus), jotka toimivat yrityksesi viestinnän keskuksena, sisäpiiri-suojaustoimenpiteet ovat entistä tärkeämpiä, etenkin kun tiedät, mitkä käytännöt ja ongelma-alueet vältetään.

Riippumatta siitä varmistetaanko käyttäjän turvallinen todennus ja verkkomääritykset vai sallitaan koodaus kaikissa VoIP-tiedonsiirroissa ja tietojen tallennuksessa, organisaatioiden on oltava huolellisia valvomaan IT-hallintaa ja työskentelemään tiiviissä yhteistyössä VoIP-palveluntarjoajan kanssa varmistaakseen, että tietoturvavaatimukset täyttyvät. tapasi ja pakotettiin.

RingCentralin turvallisuusjohtaja Michael Machado valvoo RingCentralin kaikkien pilvi- ja VoIP-palveluiden turvallisuutta. Machado on viettänyt viimeiset 15 vuotta tietotekniikassa ja pilviturvallisuudessa, ensin tietoturva-arkkitehtina ja operatiivisena johtajana WebExissä ja sitten Ciscossa sen jälkeen, kun yritys osti videoneuvottelupalvelun.

Yrityksesi VoIP-viestinnän turvallisuusnäkökohdat alkavat tutkimus- ja ostovaiheessa ennen kuin valitset edes VoIP-palveluntarjoajan, ja jatkuvat toteutuksen ja hallinnan kautta. Machado käveli läpi koko prosessin turvallisuuden näkökulmasta katsottuna selittäen paljon tekemisiä ja ei-teitä kaiken kokoisille yrityksille matkan varrella.

VoIP-palveluntarjoajan valitseminen

ÄLÄ: Älä jätä yhteisen turvamallin valintaan

Olitpa pieni tai suuri yritys, sinun on ensin ymmärrettävä asia - riippumatta jopa VoIP: stä ja UCaaS-palvelusta (Unified Communications-as-a-Service) - että kaikilla pilvipalveluilla on yleensä oltava yhteinen suojaus malli. Machado kertoi, että asiakkaana yrityksesi jakaa aina jonkin verran vastuuta kaikkien hyväksymiesi pilvipalvelujen turvallisessa toteutuksessa.

"Asiakkaiden on tärkeää ymmärtää sitä, varsinkin kun yritys on pienempi ja sillä on vähemmän resursseja", Machado sanoi. "Ihmiset ajattelevat, että VoIP on mekaaninen laite, joka on kytketty kuparilinjaan. Se ei ole. VoIP-puhelin, ei fyysinen luuri, tietokone, jossa on käynnissä ohjelmisto tai se, mobiilisovellus tai ohjelmisto, ei ole sama asia kuin mekaaninen puhelin, joka on kytketty PSTN-verkkoon. Se ei ole kuin tavallinen puhelin - sinulla on vastuu varmistaa, että tietoturvassa on suljettu silmukka asiakkaan ja toimittajan välillä."

DO: Toimittajan due diligence

Kun olet ymmärtänyt yhteisen vastuun ja haluat ottaa käyttöön pilviporttipalvelun, on järkevää tehdä due diligence -toiminto valitsemalla myyjääsi. Kokostasi ja henkilöstösi asiantuntemuksesta riippuen Machado selitti, kuinka pienet ja keskisuuret yritykset voivat toimia eri tavoin.

"Jos olet suuri yritys, jolla on varaa viettää aikaa huolellisuuteen, voit laatia luettelon kysymyksiä, joita voit kysyä jokaiselta myyjältä, tarkistaa heidän tarkastusraporttinsa ja pitää muutaman kokouksen keskustellaksesi turvallisuudesta", sanoi Machado. "Jos olet pieni yritys, sinulla ei ehkä ole asiantuntemusta analysoida SOC 2 -tarkastusraporttia tai aikaa investoida raskaaseen keskusteluun.

"Sen sijaan voit tarkastella esimerkiksi Gartnerin Magic Quadrant -raporttia ja katsoa, ​​onko heillä SOC 1- tai SOC 2 -raportti käytettävissä, vaikka sinulla ei olisi aikaa tai asiantuntemusta lukea ja ymmärtää sitä", Machado selitti. "Tilintarkastuskertomus on hyvä osoitus yrityksistä, jotka tekevät voimakkaita sijoituksia turvallisuuteen verrattuna yrityksiin, jotka eivät ole. Voit myös etsiä SOC 3 -raportin SOC 2: n lisäksi. Se on kevyt, sertifiointimainen versio samoista standardeista. Nämä ovat asioita, joita voit etsiä pienyrityksinä aloittaaksesi turvallisuuden suhteen oikeaan suuntaan."

DO: Neuvottele turvallisuusehdot sopimuksessa

Nyt olet kohdassa, jossa olet valinnut VoIP-toimittajan, ja harkitset mahdollisuutta tehdä ostopäätös. Machado suositteli, että yritykset yrittävät mahdollisuuksien mukaan yrittää saada selkeät turvallisuussopimukset ja ehdot kirjallisesti neuvotellessaan sopimuksesta pilvimyyjän kanssa.

"Pieni yritys, iso yritys, sillä ei ole väliä. Mitä pienempi yritys, sitä vähemmän valtaa joudut neuvottelemaan näistä ehdoista, mutta se on" älä kysy, älä saa "-skenaariota", sanoi Machado. "Katso, mitä saat myyjäsopimuksista myyjän turvallisuusvelvoitteiden suhteen."

VoIP-turvatoimenpiteiden käyttöönotto

DO: Käytä salattuja VoIP-palveluita

Käyttöönoton yhteydessä Machado sanoi, ettei ole mitään syytä, että nykyaikainen VoIP-palvelu ei tarjoa päästä päähän -salausta. Machado suositteli, että organisaatiot etsivät palveluita, jotka tukevat TLS (Transport Layer Security) tai suojattua reaaliaikaista liikenneprotokollaa (SRTP) salausa, ja tekevät sen ihannetapauksessa ilman, että tarvitset ylimääräisiä tietoturvatoimenpiteitä.

"Älä aina mene halvimpaan palveluun; voi olla syytä maksaa palkkio turvallisemmasta VoIP-palvelusta. Vielä parempi on, kun sinun ei tarvitse maksaa palkkioita pilvipalveluidesi turvallisuudesta", Machado sanoi. "Asiakkaana sinun pitäisi vain pystyä ottamaan käyttöön salattu VoIP ja pois käytöstä. On myös tärkeää, että palveluntarjoaja käyttää paitsi salattua signalointia, myös salaa mediaa levossa. Ihmiset haluavat keskustelujensa olevan yksityisiä, eivätkä kulkevia Internetin kautta. Varmista, että myyjäsi tukee tätä salaustasoa ja että se ei maksa sinulle enemmän."

ÄLÄ: Sekoita lähiverkkosi

Asennuksen verkkopuolella useimmilla organisaatioilla on sekoitus matkapuhelimia ja pilvipohjaisia ​​rajapintoja. Monet työntekijät saattavat vain käyttää VoIP-mobiilisovellusta tai ohjelmistoa, mutta usein myös VoIP-verkkoon on yhdistetty pöytä- ja neuvottelupuhelimia. Kaikkien näiden lomaketekijöiden suhteen Machado totesi, että on tärkeää olla sekoittamatta muotokertoimia ja kytkettyjä laitteita samassa verkon suunnittelussa.

"Haluat perustaa erillisen ääniverkon. Et halua, että kovaääniset puhelimet sekoittuvat samassa verkossa työasemiesi ja tulostimiesi kanssa. Se ei ole hyvä verkon suunnittelu", sanoi Machado. "Jos sinulla on, ongelmallisia turvallisuusvaikutuksia ei ole linjassa. Työtiloillasi ei ole syytä puhua keskenään. Kannettavan tietokoneeni ei tarvitse puhua sinun kanssasi; se ei ole sama kuin palvelintila, jonka sovellusten kanssa puhutaan. tietokannat."

Sen sijaan Machado suosittelee…

DO: Asenna yksityiset VLAN-verkot

Kuten Machado selitti, yksityinen VLAN (virtuaalinen LAN) antaa IT-päälliköille paremman segmentin ja verkon hallinnan. Yksityinen VLAN toimii yhtenä käyttö- ja nousevana linkkinä laitteen kytkemiseksi reitittimeen, palvelimeen tai verkkoon.

"Päätepisteiden suojausarkkitehtuurin kannalta yksityiset VLAN-verkot ovat hyvä verkon suunnittelu, koska ne antavat sinulle mahdollisuuden ottaa tämä ominaisuus käyttöön kytkimessä, joka sanoo" tämä työasema ei voi puhua toisen työaseman kanssa. " Jos sinulla on VoIP-puhelimet tai ääniyhteydessä olevat laitteet samassa verkossa kuin kaikki muu, se ei toimi ", Machado sanoi. "On tärkeää perustaa oma ääniverkkoosi osana etuoikeutetumpaa tietoturvasuunnittelua."

ÄLÄ: Jätä VoIP-asema palomuurin ulkopuolelle

VoIP-puhelimesi on tietokonelaite, joka on kytketty Ethernet-verkkoon. Yhdistettynä päätepisteenä Machado sanoi, että asiakkaiden on tärkeää muistaa, että kaikkien muiden tietokonelaitteiden tavoin sen on oltava myös yrityksen palomuurin takana.

"VoIP-puhelimella on käyttöliittymä, jonka avulla käyttäjät voivat kirjautua sisään ja järjestelmänvalvojat suorittaa järjestelmän ylläpidon puhelimessa. Kaikilla VoIP-puhelimilla ei ole laiteohjelmistoja, jotka suojaavat rajuilta voimilta", sanoi Machado. "Sähköpostitilisi lukittuu muutaman yrityksen jälkeen, mutta kaikki VoIP-puhelimet eivät toimi samalla tavalla. Jos et aseta palomuuria sen eteen, se on kuin avaa kyseinen verkkosovellus kaikille Internetissä, jotka haluavat kirjoittaa raa'at joukkohyökkäykset ja kirjaudu sisään."

VoIP-järjestelmän hallinta

DO: Vaihda oletussalasanasi

Riippumatta valmistajalta, jolta saat VoIP-puhelimet, laitteet toimitetaan oletusasetuilla, kuten kaikki muutkin verkko-käyttöliittymän mukana tulevat laitteet. Välttääkseen sellaisia ​​yksinkertaisia ​​haavoittuvuuksia, jotka johtivat Mirai-botnet DDoS-hyökkäykseen, Machado sanoi, että helpoin tehtävä on yksinkertaisesti muuttaa näitä oletuksia.

"Asiakkaiden on ryhdyttävä proaktiivisiin toimiin puhelimiensa turvaamiseksi", sanoi Machado. "Vaihda oletussalasanat heti tai, jos myyjä hallitsee puhelimen päätepisteitä puolestasi, varmista, että he vaihtavat oletussalasanat puolestasi."

DO: Pidä kirjaa käytöstäsi

Olipa kyseessä pilvipuhelinjärjestelmä, paikallinen äänijärjestelmä tai yksityinen puhelinvaihde (PBX), Machado kertoi, että kaikilla VoIP-palveluilla on hyökkäyspinta ja ne saattavat lopulta hakata hakkeroitua. Kun näin tapahtuu, hän sanoi, että yksi tyypillisimmistä hyökkäyksistä on tilin haltuunotto (ATO), joka tunnetaan myös nimellä televiestintäpetokset tai liikenteen pumppaaminen. Tämä tarkoittaa, että kun VoIP-järjestelmää hakkeroidaan, hyökkääjä yrittää soittaa puheluita, jotka maksavat omistajalle rahaa. Paras puolustus on seurata käyttöäsi.

"Sano, että olet uhkatekijä. Sinulla on pääsy puhepalveluihin ja yrität soittaa puheluita. Jos organisaatiosi tarkkailee sen käyttöä, voit havaita, onko kyseessä epätavallisen suuri lasku tai nähdä jotain kuin puhelinta käyttävää käyttäjää 45 minuutin ajan sijainnissa, johon työntekijöillä ei ole mitään syytä soittaa. Kyse on kiinnittää huomiota ", sanoi Machado.

"Jos pilvittelet tätä (tarkoitat, ettet käytä perinteistä PBX: ää tai paikalliseen VoIP: tä), keskustele myyjän kanssa kysymällä, mitä teet suojataksesi minua", hän lisäsi. "Onko olemassa nuppeja ja valitsimia, jotka voin kytkeä päälle ja pois palvelun suhteen? Teetkö taustapetoksia tai käyttäjien käyttäytymisen analysointia etsimällä poikkeavaa käyttöä puolestani? Nämä ovat tärkeitä kysymyksiä."

ÄLÄ: Ole yli-laaja tietoturvaoikeus

Yksi tapa torjua mahdollisia ATO-vahinkoja käytöstä on sammuttaa käyttöoikeudet ja ominaisuudet, joita tiedät yrityksesi tarvitsematta, joka tapauksessa. Machado antoi esimerkkinä kansainväliset puhelut.

"Jos yrityksesi ei tarvitse soittaa kaikkiin maailman osiin, niin älä ota puhelua kaikkiin maailman osiin", hän sanoi. "Jos harjoitat liiketoimintaa vain Yhdysvalloissa, Kanadassa ja Meksikossa, haluatko kaikkien muiden maiden olevan käytettävissä soittamiseen vai onko järkevää sulkea se pois, jos kyseessä on ATO? Älä jätä ylimääräisiä lupia käyttäjillesi kaikissa teknologiapalveluissa, ja kaikki, mikä ei ole välttämätöntä yrityksesi käyttöön, katsotaan liian laajaksi ".

ÄLÄ: Unohda korjaus

Päivitysten korjaaminen ja ajan tasalla pitäminen on kriittistä kaikenlaisten ohjelmistojen suhteen. Käytätpä sitten pehmeää puhelinta, VoIP-mobiilisovellusta tai mitä tahansa laitteistoa, jolla on firmware-päivitykset, Machado sanoi, että tämä ei ole ketterä.

"Hallinnoit omia VoIP-puhelimiasi? Jos toimittaja julkaisee laiteohjelmiston, testaa ja ottaa sen käyttöön nopeasti - nämä käsittelevät usein kaikenlaisia ​​korjauksia. Joskus turvallisuuskorjaukset tulevat myyjältä, joka hallitsee puhelinta puolestasi, joten siinä tapauksessa, muista kysyä, kuka valvoo korjausta ja mikä on sykli ", sanoi Machado.

DO: Ota vahva todennus käyttöön

Vahva kaksifaktorinen todennus ja sijoittaminen raskaampaan identiteetin hallintaan on toinen älykäs tietoturvakäytäntö. Pelkän VoIP: n lisäksi Machado sanoi, että todennus on aina tärkeä tekijä, jolla on oltava paikkansa.

"Kytke aina vahva todennus päälle. Siinä ei ole eroa, jos kirjaudut pilvipuhelinvaihteeseen tai sähköpostiisi tai CRM: ään. Etsi näitä ominaisuuksia ja käytä niitä", Machado sanoi. "Emme puhu vain puhelimillasi työpöydälläsi; puhumme web-sovelluksista ja palvelun kaikista eri osista. Ymmärrä kuinka kappaleet tulevat yhteen ja kiinnitä jokainen kappale vuorotellen."