İçindekiler:
Video: Анонимные звонки без SiM карт ▲ Что такое VoIP ▲ Как звонить с любого номера (Kasım 2024)
İşinize bağlı her bulut tabanlı hizmet için güvenlik bir zorunluluktur ve saldırı vektörleri her gün gelişir. Kurumsal iletişiminizin merkezi olarak hizmet veren IP Üzerinden Ses (VoIP) uygulaması gibi bir İnternet bağlantısı uygulaması için, iç güvenlik önlemleri, özellikle hangi uygulamalardan ve sorunlu alanlardan kaçınılacağını bilmek daha da zorunludur.
İster güvenli bir kullanıcı kimlik doğrulaması ve ağ yapılandırması sağlıyor olsun, ister tüm VoIP iletişimi ve veri depolama alanında uçtan uca şifrelemeyi etkinleştirin, kuruluşların hem BT yönetimini denetlemekte hem de işletme VoIP sağlayıcılarıyla yakın çalışarak güvenlik gerekliliklerinin sağlandığından emin olmaları gerekir. bir araya geldi ve uygulandı.
RingCentral Güvenlik Şefi (CSO) Michael Machado, RingCentral'ın tüm bulut ve VoIP hizmetleri için güvenliği denetler. Machado, geçtiğimiz 15 yıl boyunca BT ve bulut güvenliğinde, önce WebEx'te güvenlik mimarı ve operasyon yöneticisi olarak, ardından şirketin video konferans hizmetini aldıktan sonra Cisco'da geçti.
Şirketinizin VoIP iletişimindeki güvenlik hususları, bir VoIP sağlayıcısı seçmeden önce araştırma ve satın alma aşamasında başlar ve uygulama ve yönetim ile devam eder. Machado, tüm süreç boyunca güvenlik açısından yürüdü, yol boyunca her büyüklükteki işletmeler için yapabileceklerini ve yapmadıklarını açıklamayı bıraktı.
VoIP Sağlayıcınızı Seçme
Yapmayın: Paylaşılan Güvenlik Modelini İhmal Edin
Küçük bir işletme veya büyük bir işletme olsanız da, anlamanız gereken ilk şey - VoIP ve Hizmet Olarak Birleştirilmiş İletişimden (UCaaS) bağımsız olarak - genel olarak tüm bulut hizmetlerinin ortak bir güvenlik sağlaması gerektiğidir. modeli. Machado, müşteri olarak, işletmenizin benimsediğiniz tüm bulut hizmetlerinin güvenli bir şekilde uygulanmasında her zaman bir sorumluluk üstlendiğini söyledi.
Machado, “Özellikle bir şirket daha küçük ve daha az kaynağa sahip olduğunda müşterilerin anlaması çok önemlidir” dedi. “İnsanlar VoIP'in bakır bir hatta bağlı mekanik bir cihaz olduğunu düşünüyorlar. Bu değil. Bir VoIP telefon, fiziksel bir ahize, çalışan bir yazılım veya bir bilgisayar, bir mobil uygulama veya bir softphone uygulaması olsun, aynı şey değil. PSTN’ye takılı mekanik bir telefon. Normal bir telefona benzemiyor - güvenliğin müşteri ve satıcı arasında kapalı bir döngü olduğundan emin olmak için bazı sorumluluklarınız olacak. ”
Yapın: Satıcıya Göre Durum Tespiti
Paylaşılan sorumluluğu anladıktan ve bir bulut VoIP hizmetini benimsemek istediğinizi anladıktan sonra, satıcınızı seçerken gerekli özeni göstermeniz gerekir. Büyüklüğünüze ve personelinizde sahip olduğunuz uzmanlığa bağlı olarak, Machado işletmelerin ve küçük ve orta ölçekli işletmelerin (KOBİ'ler) bu konuda farklı şekillerde nasıl gidebileceklerini açıkladı.
Machado, "Durum tespiti için zaman harcayabilecek büyük bir şirketseniz, her satıcıya sormak, denetim raporlarını gözden geçirmek ve güvenliği tartışmak için birkaç toplantı yapmak için bir soru listesi hazırlayabilirsiniz" dedi. . “Küçük bir işletme iseniz, bir SOC 2 denetim raporunu analiz etme veya ağır bir tartışma konusuna yatırım yapma zamanını analiz etme uzmanlığınız olmayabilir.
"Bunun yerine, Gartner'ın Magic Quadrant raporu gibi şeylere bakabilir ve bunları okumak ve anlamak için zamanınız veya uzmanlığınız olmasa bile, bir SOC 1 veya SOC 2 raporu olup olmadığına bakabilirsiniz" açıkladı. "Denetim raporu, güvenliğe karşı olmayan şirketlere karşı güçlü bir yatırım yapan şirketlerin iyi bir göstergesidir. Ayrıca, SOC 2'ye ek olarak SOC 3 raporu da arayabilirsiniz. Aynı standartların hafif ve sertifikalandırılmış bir sürümüdür. Bunlar güvenlik konusunda doğru yöne doğru hareket etmeye başlamak için küçük bir işletme olarak arayabileceğiniz şeyler. ”
Yapın: Sözleşmenizdeki Güvenlik Şartlarını Görüşün
Artık bir VoIP satıcısını seçtiğiniz noktada bulunuyorsunuz ve bir satın alma kararı almayı düşünebilirsiniz. Machado, mümkün olan her durumda, işletmelerin bir bulut satıcısına yapılan bir sözleşmeyi müzakere ederken yazılı olarak açık güvenlik anlaşmaları ve şartlar almaya çalışmasını tavsiye etti.
Machado, “Küçük şirket, büyük şirket, farketmez. Şirket ne kadar küçükse, bu belirli terimleri müzakere etmek için o kadar az güç elde edersiniz, ancak“ sorma, alma ”senaryosu” dedi. "Satıcıdan gelen güvenlik yükümlülükleri ile ilgili olarak satıcı anlaşmalarında neler bulabileceğinizi görün."
VoIP Güvenlik Önlemlerini Dağıtma
Yapın: Şifreli VoIP Hizmetlerini Kullanın
Konuşmaya gelince, Machado, modern bir VoIP servisinin uçtan uca şifreleme teklif etmemesi için bir bahane olmadığını söyledi. Machado, kuruluşların Aktarım Katmanı Güvenliği (TLS) veya Güvenli Gerçek Zamanlı Aktarım Protokolü (SRTP) şifrelemesini destekleyen ve ideal olarak, temel güvenlik önlemleri alınmadan gerçekleştirdiği hizmetleri aramasını tavsiye etti.
Machado, "Her zaman en ucuz servise gitmeyin; daha güvenli bir VoIP için prim ödemek faydalı olabilir. Bulut servislerinizde güvenlik için prim ödemek zorunda kalmazsanız daha iyi olur" dedi. “Bir müşteri olarak, şifreli VoIP'yi etkinleştirmeniz ve kullanmanızın mümkün olmaması gerekir. Sağlayıcının yalnızca şifreli sinyaller kullanması değil, aynı zamanda istirahat halindeki medyayı şifrelemesi de önemlidir. İnsanlar konuşmalarının internete girmesini değil, özel olmasını isterler. düz metin sesiyle. Satıcınızın bu şifreleme düzeyini desteklediğinden ve size daha fazla mal olmayacağından emin olun. "
Yapmayın: LAN'larınızı karıştırın
Dağıtımınızın ağ tarafında, çoğu kuruluşun el cihazları ve bulut tabanlı arabirimler karışımı vardır. Birçok çalışan sadece bir VoIP mobil uygulamasını veya yazılım telefonunu kullanıyor olabilir, ancak çoğu zaman VoIP ağına bağlı masa telefonları ve konferans telefonlarının bir karışımı da olacaktır. Tüm bu form faktörleri için Machado, form faktörlerini ve bağlı cihazları aynı ağ tasarımında karıştırmamanın çok önemli olduğunu söyledi.
Machado, "Ayrı bir ses LAN kurmak istiyorsunuz. Sabit telefonlarınızın, iş istasyonlarınız ve yazıcılarınızla aynı ağda birbirine karışmasını istemiyorsunuz. Bu iyi bir ağ tasarımı değil" dedi. “Eğer varsa, hattın aşağısında sorunlu güvenlik sonuçları var. Çalışma alanlarınızın birbirleriyle konuşması için hiçbir neden yok. Dizüstü bilgisayarımın sizinle konuşması gerekmiyor; uygulamaların konuşmakta olduğu bir sunucu çiftliği ile aynı değil. veritabanları."
Bunun yerine, Machado'nun önerdiği…
Yapın: Özel VLAN'ları Ayarlayın
Machado'nun açıkladığı gibi özel bir VLAN (sanal LAN), BT yöneticilerinin ağınızı daha iyi segmentlere ayırmasını ve kontrol etmesini sağlar. Özel VLAN, cihazı bir yönlendiriciye, sunucuya veya ağa bağlamak için tek bir erişim ve bağlantı noktası görevi görür.
"Bir uç nokta güvenlik mimarisi perspektifinden, özel VLAN'lar iyi bir ağ tasarımıdır, çünkü bu özelliği 'bu iş istasyonu diğer iş istasyonuyla konuşamaz' diyen anahtara açmanızı sağlar. VoIP telefonlarınız veya ses özellikli cihazlarınız aynı ağda her şeyle aynıysa, bu işe yaramaz "dedi. "Özel ses LAN'ınızı daha ayrıcalıklı bir güvenlik tasarımının parçası olarak ayarlamak önemlidir."
YAPMAYIN: VoIP'nizi Güvenlik Duvarının Dışında Bırakın
VoIP telefonunuz Ethernet'e bağlı bir bilgisayar cihazıdır. Bağlantılı bir uç nokta olarak, Machado, müşterilerin, diğer tüm bilgisayar cihazlarında olduğu gibi, aynı zamanda kurumsal güvenlik duvarının arkasında da olması gerektiğini hatırlamasının önemli olduğunu söyledi.
Machado, "VoIP telefonunun, kullanıcıların oturum açması ve yöneticilerin telefonda sistem yönetimi yapması için bir kullanıcı arayüzü var. Her VoIP telefonunda kaba kuvvet saldırılarına karşı koruma sağlayacak bir ürün yazılımı bulunmuyor" dedi. "E-posta hesabınız birkaç denemeden sonra kilitlenir, ancak her VoIP telefonu aynı şekilde çalışmaz. Eğer önüne bir güvenlik duvarı koymuyorsanız, bu web uygulamasını internetten bir komut dosyası yazmak isteyenlere açmak gibi kaba kuvvet saldırı ve giriş. "
VoIP Sistem Yönetimi
Yapın: Varsayılan Şifrelerinizi Değiştirin
VoIP telefonlarınızı aldığınız üreticiden bağımsız olarak, cihazlar bir web kullanıcı arayüzü ile birlikte gelen diğer tüm donanım parçaları gibi varsayılan kimlik bilgileriyle birlikte gönderilir. Machado, Mirai botnet DDoS saldırısına neden olan basit güvenlik açıklarından kaçınmak için, yapılacak en kolay şeyin sadece varsayılanları değiştirmek olduğunu söyledi.
Machado, “Müşterilerin telefonlarını korumak için proaktif adımlar atması gerekiyor” dedi. "Varsayılan şifreleri hemen değiştirin veya satıcınız sizin için telefonun uç noktalarını yönetiyorsa, sizin adınıza bu varsayılan şifreleri değiştirdiklerinden emin olun."
Yapın: Kullanımınızı Takip Edin
Machado, bir bulut telefonu sistemi, kurum içi ses sistemi veya özel bir şube değişimi (PBX) olsun, tüm VoIP servislerinin bir saldırı yüzeyine sahip olduğunu ve en sonunda saldırıya maruz kalabileceğini söyledi. Bu gerçekleştiğinde, en tipik saldırılardan birinin telekom sahtekarlığı veya trafik pompalaması olarak da bilinen bir hesap devralma (ATO) olduğunu söyledi. Bu, bir VoIP sistemi saldırıya uğradığında, saldırganın, bu mal sahibinin parasına mal olan çağrılar yapmaya çalıştığı anlamına gelir. En iyi savunma, kullanımınızı takip etmektir.
"Bir tehdit oyuncusu olduğunuzu söyleyin. Ses servislerine erişiminiz var ve çağrılar yapmaya çalışıyorsunuz. Kuruluşunuz kullanımını izliyorsa, alışılmadık derecede yüksek bir fatura olup olmadığını görebileceksiniz Telefonda bir kullanıcı gibi bir şey yok 45 dakika boyunca hiçbir çalışanı aramak için hiçbir sebep olmayan bir yer. Tamamen dikkat etmek gerekiyor "dedi.
“Bunu bulutlandırıyorsanız (geleneksel bir PBX veya şirket içi VoIP kullanmamak), o zaman satıcınızla beni korumak için ne yaptığınızı soran bir görüşme yapın” dedi. “Servisle ilgili açıp kapatabileceğim topuzlar ve aramalar var mı? Arkada sahtekarlık izleme veya kullanıcı adıma anormal kullanım arayan kullanıcı davranışı analizleri mi yapıyorsunuz? Bunlar sormam gereken önemli sorular.”
Yapmayın: Aşırı Geniş Güvenlik İzinlerine Sahip Olun
Kullanım konusunda, potansiyel ATO hasarını önlemenin bir yolu, işinizin gerekmediğini bildiğiniz izin ve özellikleri kapatmaktır. Machado örnek olarak uluslararası görüşme yaptı.
“Eğer işiniz dünyanın tüm bölgelerini aramaya ihtiyaç duymuyorsa, o zaman dünyanın bütün bölgelerini aramaya devam etmeyin” dedi. “Yalnızca ABD, Kanada ve Meksika’da iş yapıyorsanız, diğer tüm ülkelerin arama için uygun olmasını ister misiniz yoksa ATO durumunda bu durumu kapatmak mantıklı mıdır? herhangi bir teknoloji hizmeti için kullanıcılarınız ve iş kullanımınız için gerekli olmayan her şey aşırı geniş olarak nitelendirilir. "
Yapmayın: Yamayı Unutun
Her türlü yazılım için güncellemeleri takip etmek ve güncel tutmak çok önemlidir. Bir softphone, VoIP mobil uygulaması veya bellenim güncellemelerine sahip herhangi bir donanım kullanıyor olsanız da, Machado bunun hiç akıllıca olmadığını söyledi.
“Kendi VoIP telefonlarınızı mı yönetiyorsunuz? Satıcı ürün yazılımı yayınlarsa, hızlı bir şekilde test edip dağıtın; bunlar genellikle her tür düzeltme ekiyle ilgilidir. Bazen, güvenlik düzeltme ekleri, sizin adınıza telefonu yöneten bir satıcıdan gelir, bu durumda, Yamayı kimin kontrol ettiğini ve döngünün ne olduğunu sorduğunuzdan emin olun "dedi.
Yapın: Güçlü Kimlik Doğrulamayı Etkinleştirin
Güçlü iki faktörlü kimlik doğrulama ve daha ağır kimlik yönetimine yatırım başka bir akıllı güvenlik uygulamasıdır. Machado, sadece VoIP'nin ötesinde, kimlik doğrulamasının her zaman için önemli bir faktör olduğunu söyledi.
Machado, "Her zaman güçlü kimlik doğrulamasını açın. Bulut PBX'inize veya e-postanıza veya CRM'nize giriş yapıyorsanız, bu farklı değildir." Dedi. “Sadece masanızdaki telefonlar hakkında konuşmuyoruz; web uygulamaları ve hizmetin tüm farklı bölümlerinden bahsediyoruz. Parçaların nasıl bir araya geldiğini ve sırayla her bir parçanın nasıl güvenli olduğunu anlayın.
