Ang mga dos at hindi pag-secure ng iyong mga komunikasyon sa voip

Ang seguridad ay kinakailangan para sa bawat serbisyo na nakabase sa cloud na naka-plug sa iyong negosyo, at ang mga vectors ng pag-atake ay nagbabago araw-araw. Para sa isang application na nakakonekta sa internet tulad ng isang Voice-over-IP (VoIP) app na nagsisilbing hub ng iyong komunikasyon sa negosyo, ang mga panukalang panloob na seguridad ay mas mahalaga, lalo na alam kung ano ang mga kasanayan at mga problema sa lugar na maiiwasan.

Kung tinitiyak nito ang ligtas na pagpapatunay ng gumagamit at pagsasaayos ng network o pagpapagana ng pag-encrypt ng end-to-end sa lahat ng VoIP komunikasyon at pag-iimbak ng data, ang mga organisasyon ay kailangang maging masigasig sa parehong pangangasiwa ng pamamahala ng IT at nagtatrabaho malapit sa kanilang negosyo VoIP provider upang matiyak na ang mga kinakailangan sa seguridad ay nakilala at ipinatupad.

Si Michael Machado, Chief Security Officer (CSO) sa RingCentral, ang namamahala sa seguridad para sa lahat ng mga serbisyo ng ulap at VoIP ng RingCentral. Ginugol ni Machado ang nakalipas na 15 taon sa IT at seguridad ng ulap, una bilang isang arkitektura ng seguridad at tagapamahala ng operasyon sa WebEx, at pagkatapos ay sa Cisco matapos makuha ng kumpanya ang serbisyo ng video conferencing.

Ang mga pagsasaalang-alang sa seguridad sa mga komunikasyon ng VoIP ng kumpanya ay nagsisimula sa yugto ng pananaliksik at pagbili bago ka pumili kahit isang provider ng VoIP, at magpatuloy sa pamamagitan ng pagpapatupad at pamamahala. Naglakad si Machado sa buong proseso mula sa isang pananaw sa seguridad, huminto upang ipaliwanag ang maraming mga gawin at hindi para sa mga negosyo ng lahat ng mga laki sa kahabaan.

Ang pagpili ng iyong VoIP Provider

HUWAG: Pabayaan ang Ibinahaging Modelo ng Seguridad

Kung ikaw ay isang maliit na negosyo o isang malaking negosyo, ang unang bagay na kailangan mong maunawaan - malaya kahit sa VoIP at Pinagkaisang Komunikasyon-as-a-Service (UCaaS) - na ang lahat ng mga serbisyo sa ulap sa pangkalahatan ay kailangang magkaroon ng isang nakabahaging seguridad modelo. Sinabi ni Machado na, bilang customer, ang iyong negosyo ay palaging nagbabahagi ng ilang responsibilidad sa ligtas na pagpapatupad ng lahat ng mga serbisyo sa ulap na iyong pinagtibay.

"Ito ay susi para maunawaan ng mga customer, lalo na kung ang isang kumpanya ay mas maliit at may mas kaunting mga mapagkukunan, " sabi ni Machado. "Sa tingin ng mga tao, ang VoIP ay isang mekanikal na aparato na nakakonekta sa isang linya ng tanso. Hindi ito. Isang telepono ng VoIP, maging isang pisikal na handset, isang computer na may software na tumatakbo o ito, isang mobile app, o isang application ng softphone, hindi ito katulad ng isang mekanikal na telepono na naka-plug sa PSTN. Hindi tulad ng isang regular na telepono - magkakaroon ka ng ilang responsibilidad sa pagtiyak na ang seguridad ay may isang saradong loop sa pagitan ng customer at vendor. "

GAWIN: Vendor Dahil Sipag

Kapag naintindihan mo na ang ibinahaging responsibilidad at nais na magpatibay ng isang serbisyo ng cloud VoIP, makatuwiran na gawin ang iyong nararapat na kasipagan kapag pumipili ng iyong vendor. Nakasalalay sa iyong laki at kadalubhasaan na mayroon ka sa mga kawani, ipinaliwanag ni Machado kung paano maaaring maganap ang mga negosyo at maliit upang midsize ang mga negosyo (SMB).

"Kung ikaw ay isang malaking kumpanya na kayang gumastos ng oras sa nararapat na kasipagan, maaari kang makabuo ng isang listahan ng mga katanungan upang tanungin ang bawat nagtitinda, suriin ang kanilang ulat sa pag-audit, at magkaroon ng ilang mga pagpupulong upang talakayin ang seguridad, " sabi ni Machado . "Kung ikaw ay isang maliit na negosyo, maaaring hindi ka magkaroon ng kadalubhasaan upang pag-aralan ang isang ulat ng pag-audit ng SOC 2 o ang oras upang mamuhunan sa isang talakayan ng mabibigat na talakayan.

"Sa halip, maaari mong tingnan ang mga bagay tulad ng ulat ng Gartner's Magic Quadrant, at tingnan upang makita kung mayroon silang ulat na SOC 1 o SOC 2, kahit na wala kang oras o kadalubhasaan upang mabasa at maunawaan ito, " Machado ipinaliwanag. "Ang ulat ng pag-audit ay isang mahusay na indikasyon ng mga kumpanyang gumagawa ng isang malakas na pamumuhunan sa seguridad kumpara sa mga kumpanya na hindi. Maaari ka ring maghanap ng ulat ng SOC 3 bilang karagdagan sa SOC 2. Ito ay isang magaan, bersyon ng sertipikasyon na katulad ng mga pamantayan. Ito ang mga bagay na maaari mong hanapin bilang isang maliit na negosyo upang simulan ang paglipat sa tamang direksyon sa seguridad. "

GAWIN: Magpakonsulta sa Mga Tuntunin sa Seguridad sa Iyong Kontrata

Ngayon ka na sa puntong napili mo ang isang vendor ng VoIP at isinasaalang-alang mo ang posibilidad ng paggawa ng desisyon sa pagbili. Inirerekomenda ni Machado na, kung kailan posible, dapat subukan ng mga negosyo na makakuha ng tahasang mga kasunduan sa seguridad at mga termino sa pagsulat kapag nag-uusap sa isang kontrata sa isang vendor ng ulap.

"Maliit na kumpanya, malaking kumpanya, hindi mahalaga. Ang mas maliit sa kumpanya, mas mababa ang kapangyarihan na kailangan mong makipag-ayos sa mga tiyak na termino ngunit ito ay isang 'huwag magtanong, huwag makakuha ng' senaryo, " sabi ni Machado. "Tingnan kung ano ang maaari mong makuha sa iyong mga kasunduan sa vendor may kinalaman sa mga obligasyong pangseguridad mula sa nagbebenta."

Paggawa ng Mga Panukala sa Security ng VoIP

Gawin: Gumamit ng naka-encrypt na VoIP Services

Pagdating sa pag-deploy, sinabi ni Machado na walang dahilan para sa isang modernong serbisyo ng VoIP na hindi mag-alok ng end-to-end encryption. Inirerekomenda ni Machado na ang mga organisasyon ay maghanap ng mga serbisyo na sumusuporta sa Transport Layer Security (TLS) o Secure Real-Time Transport Protocol (SRTP) encryption, at ginagawa ito, sa isip, nang hindi nakakagalit para sa mga pangunahing hakbang sa seguridad.

"Huwag palaging pumunta para sa pinakamurang serbisyo; maaaring kapaki-pakinabang na magbayad ng isang premium para sa isang mas ligtas na VoIP. Kahit na mas mahusay ay kapag hindi mo kailangang magbayad ng isang premium para sa seguridad sa iyong mga serbisyo sa ulap, " sabi ni Machado. "Bilang isang customer, dapat mo lamang paganahin ang naka-encrypt na VoIP at umalis ka. Mahalaga rin na ang tagapagkaloob ay gumagamit ng hindi lamang naka-encrypt na pag-sign ngunit nag-encrypt din ng media nang pahinga. Nais ng mga tao na maging pribado ang kanilang pag-uusap, hindi traversing sa internet na may payak na tinig ng teksto. Tiyaking susuportahan ng iyong vendor ang antas ng pag-encrypt at hindi ka na gagastos ng higit pa. "

HUWAG: Paghaluin ang Iyong LAN

Sa panig ng network ng iyong paglawak, ang karamihan sa mga samahan ay may halo ng mga handset at mga interface na batay sa ulap. Maraming mga empleyado ang maaaring gumamit lamang ng isang VoIP mobile app o softphone, ngunit madalas na magkakaroon ng halo ng mga desk ng telepono at mga teleponong kumperensya na konektado sa VoIP network. Para sa lahat ng mga kadahilanan na form, sinabi ni Machado na mahalaga na huwag ihalo ang mga form factor at konektadong aparato sa loob ng parehong disenyo ng network.

"Nais mong mag-set up ng isang hiwalay na boses LAN. Hindi mo nais na ang iyong mga hard-voice phone ay magkakasamang makisalamuha sa parehong network sa iyong mga workstation at printer. Hindi iyan magandang disenyo ng network, " sabi ni Machado. "Kung mayroon ka, may mga problemang iminumungkahi sa seguridad sa linya. Walang dahilan para sa iyong mga lugar ng trabaho na nakikipag-usap sa isa't isa. Ang aking laptop ay hindi kailangang makipag-usap sa iyo; hindi ito katulad ng isang server ng server na may mga application na nakikipag-usap sa mga database. "

Sa halip, inirerekomenda ni Machado …

GAWIN: I-set up ang mga Pribadong VLAN

Ang isang pribadong VLAN (virtual LAN), tulad ng ipinaliwanag ni Machado, ay nagbibigay daan sa mga tagapamahala ng IT ng mas mahusay na segment at kontrolin ang iyong network. Ang pribadong VLAN ay kumikilos bilang isang solong pag-access at uplink point upang ikonekta ang aparato sa isang router, server, o network.

"Mula sa isang pananaw ng seguridad ng pagtatapos ng seguridad, ang mga pribadong VLAN ay isang mahusay na disenyo ng network dahil binibigyan ka nila ng kakayahang i-on ang tampok na ito sa switch na nagsasabing 'ang pagawaan na ito ay hindi maaaring makipag-usap sa iba pang mga workstation.' Kung mayroon kang mga VoIP phone o aparato na pinagana ng boses sa parehong network tulad ng lahat, hindi iyon gumagana, "sabi ni Machado. "Mahalaga na i-set up ang iyong dedikadong tinig na LAN bilang bahagi ng isang mas pribilehiyong disenyo ng seguridad."

HUWAG: Iwanan ang Iyong VoIP sa Labas ng Firewall

Ang iyong VoIP phone ay isang aparato ng computing na naka-plug sa Ethernet. Bilang isang konektadong puntong, sinabi ni Machado na mahalaga para sa mga customer na tandaan na, tulad ng anumang iba pang aparato sa computing, kailangan din itong maging nasa likod ng corporate firewall.

"Ang telepono ng VoIP ay may isang interface ng gumagamit para sa mga gumagamit na mag-log in at para gawin ng mga admin ang pangangasiwa ng system sa telepono. Hindi lahat ng telepono ng VoIP ay may firmware upang maprotektahan laban sa mga pag-atake ng brute-force, " sabi ni Machado. "Ang iyong email account ay i-lock pagkatapos ng ilang mga pagtatangka, ngunit hindi lahat ng telepono ng VoIP ay gumagana sa parehong paraan. Kung hindi ka maglagay ng isang firewall sa harap nito, tulad ng pagbubukas ng web application na ito sa sinumang nasa internet na nais mag-script ng isang atake ng brute force at mag-log in. "

Pamamahala ng VoIP System

GAWIN: Baguhin ang Iyong Mga Default na Mga Password

Anuman ang tagagawa mula sa kung saan natanggap mo ang iyong mga handset ng VoIP, ang mga aparato ay ipadala sa mga default na kredensyal tulad ng anumang iba pang piraso ng hardware na may isang web UI. Upang maiwasan ang uri ng mga simpleng kahinaan na humantong sa pag-atake ng Mirai botnet DDoS, sinabi ni Machado na ang pinakamadaling gawin ay simpleng baguhin ang mga pagkukulang.

"Ang mga customer ay kailangang gumawa ng mga proactive na hakbang upang ma-secure ang kanilang mga telepono, " sabi ni Machado. "Baguhin agad ang default na mga password o, kung ang iyong vendor ay namamahala sa mga pagtatapos ng telepono para sa iyo, siguraduhin na binabago nila ang mga default na password sa iyong ngalan."

Gawin: Subaybayan ang Iyong Paggamit

Kung ito ay isang sistema ng telepono ng ulap, sistema ng boses na nasa lugar, o isang pribadong palitan ng sanga (PBX), sinabi ni Machado na ang lahat ng mga serbisyo ng VoIP ay may isang atake sa pag-atake at sa huli ay maaaring mai-hack. Kapag nangyari iyon, sinabi niya na ang isa sa mga pinaka-karaniwang pag-atake ay isang account takeover (ATO), na kilala rin bilang telecom fraud o pumping traffic. Nangangahulugan ito na, kapag ang isang VoIP system ay na-hack, sinusubukan ng attacker na ilagay ang mga tawag na gastos ng pera ng may-ari. Ang pinakamahusay na pagtatanggol ay subaybayan ang iyong paggamit.

"Sabihin mong ikaw ay isang artista sa banta. Nakakuha ka ng access sa mga serbisyo ng boses at sinusubukan mong tawagan ang mga tawag. Kung pinapanood ng iyong samahan ang paggamit nito, malalaman mo kung mayroong isang hindi pangkaraniwang mataas na bayarin o makita isang bagay tulad ng isang gumagamit sa telepono para sa 45 minuto na may isang lokasyon na walang mga empleyado na may dahilan upang tawagan. Lahat ito ay tungkol sa pagbibigay pansin, "sabi ni Machado.

"Kung ikaw ay cloud-ifying na ito (ibig sabihin, hindi gumagamit ng isang tradisyonal na PBX o nasa lugar na VoIP), pagkatapos ay magkaroon ng isang pag-uusap sa iyong vendor na tinatanong kung ano ang ginagawa mo upang maprotektahan ako, " dagdag niya. "Mayroon bang mga knobs at dials na maaari kong i-on at i-off ang tungkol sa serbisyo? Gumagawa ka ba ng back-end na pagsubaybay sa pandaraya o pag-aaral ng pag-uugali ng gumagamit na naghahanap ng maaring paggamit sa aking ngalan? Ito ang mga mahahalagang katanungang tanungin."

HUWAG: Magkaroon ng Over-Broad Permissions Security

Sa paksa ng paggamit, isang paraan upang makaya ang mga potensyal na pinsala sa ATO ay upang patayin ang mga pahintulot at mga tampok na alam mong hindi kailangan ng iyong negosyo, kung sakali. Nagbigay si Machado ng international calling bilang isang halimbawa.

"Kung ang iyong negosyo ay hindi kailangang tawagan ang lahat ng mga bahagi ng mundo, pagkatapos ay huwag tumawag sa lahat ng mga bahagi ng mundo, " sabi niya. "Kung magnegosyo ka lamang sa US, Canada, at Mexico, gusto mo ba na ang bawat ibang bansa na magagamit para sa pagtawag o sadyang makatwiran na patayin ito sa kaso ng ATO? Huwag mag-iwan ng anumang malawak na pahintulot para sa ang iyong mga gumagamit para sa anumang serbisyo sa teknolohiya, at anumang bagay na hindi kinakailangan para sa paggamit ng iyong negosyo ay kwalipikado bilang mas malawak. "

HUWAG: Kalimutan ang Tungkol sa Patching

Ang pag-patch at pagpapanatiling kasalukuyang may mga update ay kritikal sa anumang uri ng software. Gumagamit ka man ng isang softphone, VoIP mobile app, o anumang uri ng hardware na may mga update sa firmware, sinabi ni Machado na walang-brainer ito.

"Pinamamahalaan mo ba ang iyong sariling mga telepono ng VoIP? Kung ang nagtitinda ay nagpapalabas ng firmware, subukan at maipagtaguyod ito nang mabilis - ang mga ito ay madalas na nakikitungo sa mga patch ng lahat ng mga uri. Minsan, ang mga patch ng seguridad ay nagmula sa isang tindero na namamahala ng telepono sa iyong ngalan, sa ganoong kaso, tiyaking tanungin kung sino ang kumokontrol sa pag-patch at kung ano ang siklo, "sabi ni Machado.

GAWIN: Paganahin ang Malakas na Authentication

Ang matibay na dalawang-factor na pagpapatunay at pamumuhunan sa mas mabibigat na pamamahala ng pagkakakilanlan ay isa pang kasanayan sa matalinong seguridad. Higit pa sa VoIP, sinabi ni Machado na ang pagpapatunay ay palaging isang mahalagang kadahilanan na magkaroon sa lugar.

"Laging i-on ang malakas na pagpapatotoo. Iyon ay hindi naiiba kung nag-log in ka sa iyong cloud PBX o sa iyong email o sa iyong CRM. Maghanap ng mga tampok na iyon at gamitin ang mga ito, " sabi ni Machado. "Hindi lamang namin pinag-uusapan ang tungkol sa mga telepono sa iyong desk; pinag-uusapan namin ang tungkol sa mga aplikasyon sa web at lahat ng iba't ibang mga bahagi ng serbisyo. Naunawaan kung paano magkasama ang mga piraso at mai-secure ang bawat piraso."