המנות ואל תעשה לאבטחת התקשורת ה- VoIP שלך

אבטחה היא חובה לכל שירות מבוסס ענן המחובר לעסק שלך, וקטורי ההתקפה מתפתחים כל יום. עבור אפליקציה לחיבור לאינטרנט כמו אפליקציית Voice-over-IP (VoIP) המשמשת את מרכז התקשורת הארגונית שלך, אמצעי אבטחה מבפנים החוץ הם אפילו יותר חיוניים, במיוחד לדעת מהם הפרקטיקות ואזורי הבעיות שיש להימנע מהן.

בין אם זה הבטחת אימות משתמש מאובטח ותצורת רשת או הפעלת קידוד מקצה לקצה בכל תקשורת ה- VoIP ואחסון נתונים, ארגונים צריכים להיות שקדנים לפקח על ניהול IT ולעבוד בשיתוף פעולה הדוק עם ספק ה- VoIP העסקי שלהם כדי להבטיח כי דרישות האבטחה עומדות נפגש ואוכף.

מייקל מכאדו, קצין אבטחה ראשי (CSO) ב- RingCentral, מפקח על אבטחה עבור כל שירותי הענן וה- VoIP של RingCentral. מכאדו בילה את 15 השנים האחרונות באבטחת IT וענן, תחילה כאדריכל אבטחה ומנהל תפעול ב- WebEx, ואחר כך בסיסקו לאחר שהחברה רכשה את שירות ועידת הווידיאו.

שיקולי אבטחה בתקשורת ה- VoIP של החברה שלך מתחילים בשלב המחקר והקנייה עוד לפני שאתה בוחר ספק VoIP, ונמשך דרך יישום וניהול. מכאדו עבר את התהליך כולו מנקודת מבט ביטחונית, ועצר להסביר המון דברים ואסור לעסקים בכל הגדלים לאורך הדרך.

בחירת ספק ה- VoIP שלך

אל תזניח את מודל האבטחה המשותף

בין אם אתה עסק קטן או עסק גדול, הדבר הראשון שאתה צריך להבין - ללא תלות אפילו ב- VoIP ותקשורת מאוחדת כשירות (UCaaS) - הוא שכל שירותי הענן באופן כללי זקוקים לאבטחה משותפת. דגם. מחאדו אמר שכלקוח, העסק שלך תמיד חולק אחריות מסוימת ביישום מאובטח של כל שירותי הענן שאתה מאמצת.

"מפתח זה ללקוחות להבין, במיוחד כאשר חברה קטנה יותר ויש לה פחות משאבים", אמר מצ'אדו. "אנשים חושבים ש- VoIP הוא מכשיר מכני המחובר לקו נחושת. זה לא. טלפון VoIP, בין אם זה מכשיר פיזי, מחשב עם תוכנה פועלת או זה, אפליקציה סלולרית או אפליקציית softphone, זה לא אותו דבר כמו טלפון מכני המחובר ל- PSTN. זה לא כמו טלפון רגיל - תהיה לך אחריות מסוימת לוודא שלביטחון יש לולאה סגורה בין הלקוח לבין הספק."

DO: ספק נאותות

ברגע שאתה מבין את האחריות המשותפת ורוצה לאמץ שירות VoIP בענן, הגיוני לעשות את בדיקת הנאותות שלך בבחירת הספק שלך. תלוי בגודלכם ובמומחיותכם בצוות העובדים, Machado הסביר כיצד ארגונים ועסקים קטנים ובינוניים יכולים לעסוק בכך בדרכים שונות.

"אם אתה חברה גדולה שיכולה להרשות לעצמה לבזבז את הזמן בבדיקות נאותות, תוכל להעלות רשימת שאלות לשאול כל ספק, לבדוק את דוח הביקורת שלהם ולקיים כמה פגישות כדי לדון באבטחה, " אמר Machado. "אם אתה עסק קטן, יתכן שלא תהיה לך המומחיות לנתח דוח ביקורת של SOC 2 או הזמן להשקיע בדיון בנושא מעליות כבדות.

"במקום זאת, אתה יכול להסתכל על דברים כמו דו"ח הקסם של רביעיית הקסמים של גרטנר, ולראות אם יש להם דוח SOC 1 או SOC 2 זמין, גם אם אין לך את הזמן או המומחיות לקרוא אותו ולהבין אותו, " Machado הסביר. "דו"ח הביקורת הוא אינדיקציה טובה לחברות שמשקיעות השקעה חזקה בביטחון לעומת חברות שאינן. אתה יכול גם לחפש דוח SOC 3 בנוסף ל- SOC 2. זו גרסה קלילה, דמוית הסמכה של אותם סטנדרטים. אלה הדברים שאתה יכול לחפש כעסק קטן כדי להתחיל לנוע בכיוון הנכון בנושא הביטחון."

DO: ניהול משא ומתן על תנאי אבטחה בחוזה שלך

עכשיו אתה נמצא בנקודה בה בחרת ספק VoIP ואתה שוקל אפשרות לקבל החלטת קנייה. מחאדו המליץ, בכל מקרה אפשרי, לעסקים לנסות להשיג הסכמי אבטחה ותנאים מפורשים בכתב בעת ניהול משא ומתן על חוזה עם ספק ענן.

"חברה קטנה, חברה גדולה, זה לא משנה. ככל שהחברה קטנה יותר, כך תצטרכו פחות לנהל משא ומתן על התנאים הספציפיים האלה, אבל זה תרחיש 'אל תשאל, אל תקבל', " אמר מצ'אדו. "ראה מה אתה יכול לקבל בהסכמי הספק שלך ביחס לחובות אבטחה מצד הספק."

פריסת אמצעי אבטחת VoIP

DO: השתמש בשירותי VoIP מוצפנים

בכל הקשור לפריסה, מצ'אדו אמר שאין שום תירוץ ששירות VoIP מודרני לא יציע קידוד מקצה לקצה. מצ'אדו המליץ ​​לארגונים לחפש שירותים התומכים בהצפנת שכבת תעבורה (TLS) או בהצפנת פרוטוקול תעבורה מאובטחת בזמן אמת (SRTP), והם עושים זאת, באופן אידיאלי, מבלי להציע הצעות אבטחה בסיסיות.

"אל תלך תמיד על השירות הזול ביותר; כדאי לשלם פרמיה עבור VoIP מאובטח יותר. אפילו יותר טוב כשאתה לא צריך לשלם פרמיה עבור אבטחה בשירותי הענן שלך, " אמר Machado. "כלקוח, אתה פשוט אמור להיות מסוגל לאפשר VoIP מוצפן ומוצא. חשוב גם שהספק ישתמש לא רק באיתות מוצפן אלא גם בהצפנת מדיה במנוחה. אנשים רוצים שהשיחות שלהם יהיו פרטיות, לא יחצו את האינטרנט עם קול טקסט רגיל. וודא שהספק שלך יתמוך ברמת ההצפנה ושהוא לא יעלה לך יותר."

אל תערבב את ה- LAN שלך

בצד הרשת של הפריסה שלך, לרוב הארגונים יש שילוב של מכשירים וממשקים מבוססי ענן. עובדים רבים עשויים פשוט להשתמש באפליקציה סלולרית או בסופטפון של VoIP, אך לעיתים קרובות יש שילוב של טלפונים שולחניים וטלפוני ועידה המחוברים גם לרשת ה- VoIP. עבור כל אותם גורמי צורה, מצ'אדו אמר כי חיוני לא לערבב גורמי צורה והתקנים מחוברים באותו עיצוב רשת.

"אתה רוצה להקים רשת LAN נפרדת. אתה לא רוצה שהטלפונים הקוליים הקשים שלך יתערבבו באותה רשת עם תחנות העבודה והמדפסות שלך. זה לא עיצוב רשת טוב, " אמר מצ'אדו. "אם יש לך, ישנן השלכות אבטחה בעייתיות לאורך הקו. אין שום סיבה שסביבות העבודה שלך ידברו זו עם זו. המחשב הנייד שלי לא צריך לדבר איתך; זה לא אותו דבר כמו חוות שרתים עם יישומים שמדברים איתם. מאגרי מידע."

במקום זאת, ממאדו ממליץ…

DO: הגדר VLANs פרטיים

VLAN פרטי (LAN וירטואלי), כפי שהסביר מחאדו, מאפשר למנהלי IT לפלח ולשלוט טוב יותר ברשת שלך. ה- VLAN הפרטי פועל כנקודת גישה ונקודת קישור יחידה לחיבור ההתקן לנתב, שרת או רשת.

"מנקודת מבט של ארכיטקטורת אבטחה של קצה, VLANs פרטיים הם עיצוב רשת טוב מכיוון שהם נותנים לך את היכולת להפעיל תכונה זו על המתג שאומר 'תחנת עבודה זו אינה יכולה לדבר עם תחנת העבודה האחרת'. אם יש לך מכשירי ה- VoIP או המכשירים המותאמים לקולית באותה רשת כמו כל דבר אחר, זה לא עובד ", אמר מצ'דו. "חשוב להגדיר את ה- LAN הקולי הייעודי שלך כחלק מעיצוב אבטחה מיוחס יותר."

אל תשאיר את ה- VoIP שלך מחוץ לחומת האש

טלפון ה- VoIP שלך הוא מכשיר מחשוב המחובר לאתרנט. כנקודת קצה מחוברת, מצ'אדו אמר שחשוב שהלקוחות יזכרו שכמו כל מכשיר מחשוב אחר, הוא גם צריך להיות מאחורי חומת האש של החברה.

"לטלפון ה- VoIP יש ממשק משתמש שמשתמשים יכולים להיכנס אליו ולמנהלי מערכת לבצע ניהול מערכת בטלפון. לא לכל טלפון VoIP יש קושחה להגנה מפני התקפות כוח אמיץ", אמר מצ'אדו. "חשבון הדואר האלקטרוני שלך יינעל לאחר מספר ניסיונות, אבל לא כל טלפון VoIP עובד באותה צורה. אם לא תניח חומת אש לפניו, זה כמו לפתוח את יישום האינטרנט הזה לכל מי באינטרנט שרוצה לתסריט ל- תקיפה של כוח הזרוע והתחברות."

ניהול מערכת VoIP

DO: שנה את סיסמאות ברירת המחדל שלך

ללא קשר ליצרן שממנו אתה מקבל את מכשירי ה- VoIP שלך, המכשירים ישלחו עם אישורי ברירת מחדל כמו כל פיסת חומרה אחרת שמגיעה עם ממשק משתמש באינטרנט. כדי להימנע מסוג הפגיעויות הפשוטות שהובילו למתקפת DDoS של Botai Mirai, מצ'אדו אמר שהדבר הקל ביותר לעשות הוא פשוט לשנות את ברירת המחדל.

"לקוחות צריכים לנקוט צעדים פרואקטיביים כדי לאבטח את הטלפונים שלהם", אמר מצ'אדו. "שנה את סיסמאות ברירת המחדל באופן מיידי, או אם הספק שלך מנהל את נקודות הקצה של הטלפון עבורך, וודא שהוא משנה את סיסמאות ברירת המחדל בשמך."

DO: עקוב אחר השימוש שלך

בין אם מדובר במערכת טלפון בענן, מערכת קול מקומית או החלפת סניפים פרטיים (PBX), מצ'אדו אמר כי לכל שירותי ה- VoIP יש משטח התקפה ובסופו של דבר הם עלולים להיפרץ. כשזה קורה, הוא אמר שאחת מההתקפות האופייניות ביותר היא השתלטות על חשבונות (ATO), הידועה גם בשם הונאת טלקום או שאיבת תנועה. המשמעות היא שכאשר מערכת VoIP נפרצת, התוקף מנסה לבצע שיחות שעולות לאותו בעל כסף. ההגנה הטובה ביותר היא לעקוב אחר השימוש שלך.

"תגיד שאתה שחקן איום. יש לך גישה לשירותי קול ואתה מנסה לבצע שיחות. אם הארגון שלך צופה בשימוש בו תוכל לראות אם יש חשבון גבוה במיוחד או לראות משהו כמו משתמש בטלפון במשך 45 דקות עם מיקום שלאף אחד מהעובדים אין סיבה להתקשר אליו. הכל קשור בתשומת לב, "אמר מכאדו.

"אם אתה מנסה לעשות זאת בענן (כלומר, לא משתמש ב- PBX מסורתי או ב- VoIP מקומי), נהל שיחה עם הספק שלך ושואל מה אתה עושה כדי להגן עלי, " הוסיף. "האם יש ידיות וחוגות שאני יכול להפעיל ולכבות בכל הקשור לשירות? האם אתה מבצע מעקב הונאה אחורי או ניתוח התנהגות משתמשים ומחפש שימוש חריג מטעמי? אלו שאלות חשובות שיש לשאול."

אל ת: יש הרשאות אבטחה רחבות מדי

בנושא השימוש, אחת הדרכים לכפות נזק ATO פוטנציאלי היא לכבות הרשאות ותכונות שאתה יודע שהעסק שלך לא צריך, למקרה. מצ'אדו נתן שיחות בינלאומיות כדוגמה.

"אם העסק שלך לא צריך להתקשר לכל חלקי העולם, אל תדליק להתקשר לכל חלקי העולם, " אמר. "אם אתה רק עושה עסקים בארה"ב, קנדה ומקסיקו, אתה רוצה שכל מדינה אחרת תהיה זמינה להתקשר או שזה פשוט הגיוני לסגור אותה במקרה של ATO? אל תשאיר הרשאות רחבות מדי עבור המשתמשים שלך עבור כל שירות טכנולוגי, וכל מה שלא נחוץ לשימוש העסקי שלך כשיר לרוחב יתר."

אל תשכח מתיקון

תיקון ושמירת עדכונים הוא קריטי בכל סוג תוכנה. בין אם אתה משתמש בסמארטפון, אפליקציית VoIP לנייד, או כל סוג של חומרה עם עדכוני קושחה, מצ'אדו אמר שזה לא מביא את המוח.

"האם אתה מנהל טלפוני VoIP משלך? אם הספק משחרר קושחה, בדוק ופרוס אותה במהירות - אלה עוסקים לעתים קרובות בטלאים מכל הסוגים. לפעמים, תיקוני אבטחה מגיעים מספק שמנהל את הטלפון בשמך, במקרה כזה, הקפד לשאול מי שולט בתיקון ומה המחזור, "אמר מצ'אדו.

DO: אפשר אימות חזק

אימות חזק של שני גורמים והשקעה בניהול זהויות כבדים יותר הוא אמצעי אבטחה חכם נוסף. מעבר ל VoIP בלבד, מצ'אדו אמר כי אימות הוא תמיד גורם חשוב שיש במקום.

"הפעל תמיד אימות חזק. זה לא שונה אם אתה נכנס ל- PBX הענן שלך, לדוא"ל שלך או ל- CRM. חפש את התכונות האלה והשתמש בהן, " אמר Machado. "אנחנו לא מדברים רק על טלפונים בשולחן העבודה שלך; אנחנו מדברים על יישומי אינטרנט וכל החלקים השונים בשירות. הבינו כיצד החלקים מתלכדים ומאובטחים כל יצירה בתורם."