La possibilitat de protegir les vostres comunicacions de veu

La seguretat és imprescindible per a cada servei basat en núvol connectat al vostre negoci i els vectors d’atac evolucionen cada dia. Per a una aplicació de connexió a Internet com una aplicació VoIP (Voice-over-IP) que serveix com a eix de les comunicacions empresarials, les mesures de seguretat internes són encara més imperatives, sobretot sabent quines són les pràctiques i les àrees que es poden evitar.

Tant si es tracta d’assegurar l’autenticació segura i la configuració de la xarxa com si permeten el xifratge de punta a tota la comunicació VoIP i l’emmagatzematge de dades, les organitzacions han de ser diligents tant per supervisar la gestió de les TI com per treballar estretament amb el seu proveïdor de VoIP empresarial per assegurar que s’estan complint els requisits de seguretat. reunits i executats.

Michael Machado, Cap de Seguretat (CSO) de RingCentral, supervisa la seguretat de tots els serveis de núvol i VoIP de RingCentral. Machado ha dedicat els últims 15 anys a informàtica i seguretat al núvol, primer com a arquitecte de seguretat i gestor d’operacions a WebEx, i després a Cisco després que l’empresa adquirís el servei de videoconferència.

Les consideracions de seguretat de les comunicacions VoIP de la vostra empresa comencen en l’etapa de recerca i compra abans que fins i tot seleccioneu un proveïdor de VoIP i persisteixin durant la implementació i la gestió. Machado va recórrer tot el procés des de la perspectiva de la seguretat, deixant d’explicar moltes coses de fer i no pas per a empreses de totes les mides del camí.

Selecció del proveïdor de VoIP

NO: Descuideu el model de seguretat compartida

Tant si sou una petita empresa com una empresa gran, el primer que heu d’entendre, independentment de VoIP i de comunicacions unificades com a servei (UCaaS), és que tots els serveis del núvol en general han de tenir una seguretat compartida. model. Machado va dir que, com a client, la vostra empresa sempre comparteix alguna responsabilitat en la implementació segura de tots els serveis al núvol que estàs adoptant.

"És clau perquè els clients ho entenguin, sobretot quan una empresa és més petita i té menys recursos", va dir Machado. "La gent creu que el VoIP és un dispositiu mecànic connectat a una línia de coure. No ho és. Un telèfon VoIP, ja sigui un telèfon físic, un ordinador amb programari en funcionament, una aplicació mòbil o una aplicació per a telèfons mòbils, no és el mateix que un telèfon mecànic connectat al PSTN. No és com un telèfon habitual; no tindreu cap responsabilitat per assegurar-vos que la seguretat té un bucle tancat entre el client i el venedor ".

DO: Venedor deguda

Un cop entengueu aquesta responsabilitat compartida i voleu adoptar un servei de VoIP en núvol, té sentit fer la vostra diligència deguda a l’hora de seleccionar el vostre proveïdor. En funció de la mida i l’experiència que disposeu del personal, Machado va explicar com les empreses i les petites empreses mitjanes (PIM) poden fer-ho de manera diferent.

"Si sou una empresa gran que es pot permetre gastar el temps amb la diligència deguda, podeu presentar una llista de preguntes per fer a cada venedor, revisar el seu informe d'auditoria i tenir algunes reunions per discutir la seguretat", va dir Machado.. "Si sou una empresa petita, és possible que no tingueu l'experiència per analitzar un informe d'auditoria SOC 2 ni el temps per invertir en una discussió intensa.

"En lloc d'això, podeu veure coses com l'informe Quadrant màgic de Gartner i veure si tenen disponible un informe SOC 1 o SOC 2, fins i tot si no teniu el temps ni l'experiència per llegir-lo i comprendre'l", Machado explicat. "L'informe d'auditoria és una bona indicació de les empreses que fan una forta inversió en seguretat versus empreses que no ho són. També podeu buscar un informe SOC 3 a més de SOC 2. És una versió lleugera i similar a la certificació dels mateixos estàndards. Aquestes són les coses que podeu buscar com a petita empresa per començar a avançar en la direcció adequada en matèria de seguretat ".

DO: Negocia els termes de seguretat del contracte

Ara arribeu al punt en què heu seleccionat un venedor de VoIP i esteu considerant la possibilitat de prendre una decisió de compra. Machado va recomanar que, sempre que sigui possible, les empreses intentessin obtenir acords i termes de seguretat explícits per escrit quan es negocia un contracte amb un proveïdor de núvols.

"Petita empresa, gran empresa, no importa. Com més petita sigui l’empresa, menys potència tindreu per negociar aquests termes específics, però és un escenari de" no demaneu, no obtengueu ", va dir Machado. "Consulteu què podeu obtenir en els vostres acords de venedor pel que fa a les obligacions de seguretat del venedor".

Desplegament de mesures de seguretat de VoIP

DO: Utilitzeu serveis de VoIP xifrats

Quan es tracta del desplegament, Machado va dir que no hi ha cap excusa perquè un servei de VoIP modern no ofereixi el xifrat de punta a punta. Machado va recomanar que les organitzacions busquessin serveis que admetessin el xifrat de la seguretat de la capa de transport (TLS) o el xifratge del protocol de transport en temps real (SRTP) de Secure Real Transport (SRTP) i que ho fessin, ideal, sense provocar les mesures bàsiques de seguretat.

"No sempre vagis al servei més barat; pot valer la pena pagar una prima per un VoIP més segur. Encara és millor quan no hagis de pagar una prima per seguretat en els serveis al núvol", va dir Machado. "Com a client, només haureu de poder habilitar el VoIP xifrat i fora de casa. També és important que el proveïdor utilitzeu no només la senyalització xifrada, sinó també xifrar el suport en repòs. La gent vol que les seves converses siguin privades, no travessant Internet. amb veu de text senzill. Assegureu-vos que el vostre venedor admeti aquest nivell de xifrat i que no us costarà més."

NO: barregeu les vostres LAN

Al costat de la xarxa del desplegament, la majoria d’organitzacions tenen diverses combinacions de telèfons i interfícies basades en núvol. Molts empleats potser només utilitzen una aplicació per a mòbils o VoIP per a mòbils, però sovint hi haurà diversos telèfons de taula i telèfons de conferència connectats a la xarxa de VoIP. Per a tots aquests factors, Machado va dir que és crucial no barrejar factors de forma i dispositius connectats dins del mateix disseny de xarxa.

"Voleu configurar una LAN de veu separada. No voleu que els vostres telèfons de veu dura es combinin a la mateixa xarxa amb les estacions de treball i les impressores. Això no és un bon disseny de xarxa", va dir Machado. "Si teniu, hi ha implicacions de seguretat problemàtiques dins de la línia. No hi ha cap raó perquè els vostres espais de treball estiguin parlant entre ells. El meu ordinador portàtil no ha de parlar amb el vostre; no és el mateix que una granja de servidors amb aplicacions que parlin. bases de dades."

En canvi, Machado recomana…

FES: Configureu VLAN privades

Una VLAN privada (LAN virtual), segons va explicar Machado, permet als gestors de TI segmentar i controlar millor la vostra xarxa. La VLAN privada actua com un punt d'accés i enllaç enllaç únic per connectar el dispositiu a un encaminador, servidor o xarxa.

"Des de la perspectiva de l'arquitectura de seguretat d'extrem, les VLAN privades són un bon disseny de xarxa perquè us permeten activar aquesta funció en el commutador que diu que" aquesta estació de treball no pot parlar amb l'altra estació de treball ". Si teniu els vostres telèfons VoIP o dispositius habilitats per veu a la mateixa xarxa que la resta, això no funciona ", va dir Machado. "És important configurar la vostra LAN de veu dedicada com a part d'un disseny de seguretat més privilegiat."

NO: deixeu el VoIP fora del tallafoc

El vostre telèfon VoIP és un dispositiu informàtic connectat a Ethernet. Com a punt final connectat, Machado va dir que és important que els clients recordin que, igual que qualsevol altre dispositiu informàtic, també ha d'estar al darrera del tallafoc corporatiu.

"El telèfon VoIP té una interfície d'usuari per als usuaris que inicien la sessió i que els administradors facin l'administració del sistema al telèfon. No tots els telèfons VoIP tenen un firmware per protegir-se contra atacs de força bruta", va dir Machado. "El vostre compte de correu electrònic es bloquejarà després d'uns intents, però no tots els telèfons VoIP funcionen de la mateixa manera. Si no poseu un tallafoc al seu davant, és com obrir aquesta aplicació web a qualsevol persona d'Internet que vulgui escriure un atac de força bruta i inicieu la sessió."

Gestió del sistema de VoIP

DO: Canvieu les vostres contrasenyes per defecte

Independentment del fabricant del qual rebeu els telèfons VoIP, els dispositius s’entregaran amb les credencials per defecte com qualsevol altre hardware que ve amb una interfície d’interès web. Per evitar el tipus de vulnerabilitats simples que van provocar l'atac de DDoS de botnet Mirai, Machado va dir que el més fàcil és simplement canviar aquests valors per defecte.

"Els clients han de prendre mesures proactives per protegir els seus telèfons", va dir Machado. "Canvieu les contrasenyes per defecte immediatament o, si el proveïdor gestiona els punts finals del vostre telèfon, assegureu-vos que canvien les contrasenyes predeterminades en nom vostre."

FES: Fes un seguiment del teu ús

Tant si es tracta d’un sistema de telefonia en núvol, un sistema de veu local o un intercanvi d’oficines privades (PBX), Machado va dir que tots els serveis de VoIP tenen una superfície d’atac i, eventualment, es poden piratar. Quan això succeeix, va dir que un dels atacs més típics és la presa de comptes (ATO), també coneguda com frau de telecomunicacions o bombament de trànsit. Això vol dir que, quan es pirateja un sistema de VoIP, l’atacant intenta fer trucades que costin els diners del propietari. La millor defensa és fer un seguiment del seu ús.

"Digueu que sou un actor d'amenaça. Heu accedit als serveis de veu i intenteu fer trucades. Si la vostra organització observa el seu ús, podreu detectar si hi ha una factura inusualment alta o veure una cosa com un usuari al telèfon durant 45 minuts amb una ubicació a la qual els empleats no tenen cap raó per trucar. Es tracta de prestar atenció ", va dir Machado.

"Si esteu obviant núvol (això vol dir que no feu servir una PBX tradicional o un VoIP local), tingueu una conversa amb el venedor per demanar-vos què feu per protegir-me", va afegir. "Hi ha poms i marcs que puc activar i desactivar pel que fa al servei? Feu un seguiment de fraus de fons o analitzes del comportament de l'usuari que busqueu un ús anòmal en nom meu? Aquestes són preguntes importants a fer."

NO: Tingueu permisos de seguretat àmplia

Pel que fa a l'ús, una forma de combatre possibles danys en l'ATO és desactivar permisos i funcions que sabeu que la vostra empresa no necessita, per si de cas. Machado va posar com a exemple la crida internacional.

"Si la vostra empresa no necessita trucar a totes les parts del món, no us dirigiu a trucar a totes les parts del món", va dir. "Si només feu negocis als Estats Units, Canadà i Mèxic, voleu que tots els altres països estiguin disponibles per trucar o té sentit deixar-lo tancar en cas de ATO? No deixeu cap permís massa ampli per els vostres usuaris per a qualsevol servei de tecnologia i tot allò que no sigui necessari per al vostre ús empresarial es qualifica com a massa ampli ".

NO: Oblideu-vos de la remesa

El pegat i el manteniment de les actualitzacions són fonamentals amb qualsevol tipus de programari. Tant si utilitzeu un telèfon mòbil, una aplicació per a mòbils de VoIP o qualsevol tipus de maquinari amb actualitzacions de firmware, Machado va dir que aquest no és una idea important.

"Si gestioneu els vostres propis telèfons VoIP? Si el venedor llança el firmware, prova i desplega ràpidament, sovint s’ocupen de pedaços de tot tipus. De vegades, els pedaços de seguretat provenen d’un venedor que gestiona el telèfon en nom vostre, així, en aquest cas, Assegureu-vos de preguntar qui controla el pegat i quin és el cicle ", va dir Machado.

DO: Habilita una autenticació forta

Una forta pràctica de seguretat intel·ligent és una forta autenticació de dos factors i invertir en una gestió més intensa de la identitat. Més enllà de VoIP, Machado va dir que l'autenticació sempre és un factor important.

"Activeu sempre una autenticació forta. No és diferent si inicieu la sessió al vostre PBX al núvol, al vostre correu electrònic o al vostre CRM. Busqueu aquestes funcions i utilitzeu-les", va dir Machado. "No estem parlant només de telèfons al vostre escriptori, sinó que parlem d'aplicacions web i de totes les diferents parts del servei. Comprengueu com es combinen i protegeixen les peces al seu torn".