Dos och don'ts att säkra din VoIP-kommunikation

Anonim
Dos och don'ts att säkra din VoIP-kommunikation

Säkerhet är ett måste för alla molnbaserade tjänster som är anslutna till ditt företag, och attackvektorerna utvecklas varje dag. För en internetanslutningsapplikation som en Voice-over-IP-app (VoIP) -app som fungerar som navet för din företagskommunikation är säkerhetsåtgärder inom och ut ännu viktigare, särskilt att veta vilka metoder och problemområden du ska undvika.

Oavsett om det är att säkerställa säker användarautentisering och nätverkskonfiguration eller möjliggöra en-till-ende-kryptering i all VoIP-kommunikation och datalagring, måste organisationer vara flitiga i att både övervaka IT-hantering och arbeta nära med deras affärs-VoIP-leverantör för att säkerställa att säkerhetskraven ställs träffades och verkställs.

Michael Machado, Chief Security Officer (CSO) på RingCentral, övervakar säkerheten för alla RingCentrals moln- och VoIP-tjänster. Machado har tillbringat de senaste 15 åren inom IT och molnsäkerhet, först som säkerhetsarkitekt och operationschef på WebEx och sedan på Cisco efter att företaget förvärvat videokonferensservicetjänsten.

Säkerhetshänsyn i ditt företags VoIP-kommunikation börjar i forsknings- och inköpsstadiet innan du ens väljer en VoIP-leverantör och fortsätter genom implementering och hantering. Machado gick igenom hela processen ur ett säkerhetsperspektiv och slutade för att förklara många saker och ting för företag i alla storlekar på vägen.

Välj din VoIP-leverantör

6 saker du bör tänka på innan du väljer en VoIP-tjänst för din SMB

DO: Leverantörs due diligence
När du väl förstår det delade ansvaret och vill anta en moln-VoIP-tjänst är det vettigt att göra din due diligence när du väljer din leverantör. Beroende på din storlek och vilken expertis du har på personalen förklarade Machado hur företag och små och medelstora företag (SMB) kan hantera detta på olika sätt.

"Om du är ett stort företag som har råd att spendera tid på due diligence, kan du komma med en lista med frågor att ställa varje leverantör, granska deras revisionsrapport och ha några möten för att diskutera säkerhet, " sa Machado . "Om du är ett litet företag kanske du inte har expertis för att analysera en [Service Organization Control] SOC 2 revisionsrapport eller tid att investera i en tung liftdiskussion.

"Istället kan du titta på saker som Gartners Magic Quadrant-rapport och se om de har en SOC 1 eller SOC 2-rapport tillgänglig, även om du inte har tid eller expertis att läsa igenom och förstå den, " Machado förklaras. "Revisionsrapporten är en bra indikation på att företag gör en stark investering i säkerhet kontra företag som inte är det. Du kan också leta efter en SOC 3-rapport utöver SOC 2. Det är en lätt, certifieringsliknande version av samma standarder. Det här är de saker du kan leta efter som ett litet företag för att börja röra sig i rätt riktning när det gäller säkerhet. "

DO: Förhandla om säkerhetsvillkor i ditt kontrakt
Nu är du vid den punkt där du har valt en VoIP-leverantör och överväger möjligheten att fatta ett köpbeslut. Machado rekommenderade att när det är möjligt skulle företag försöka få uttryckliga säkerhetsavtal och villkor skriftligen när de förhandlar om ett kontrakt med en molnleverantör.

"Litet företag, stort företag, det spelar ingen roll. Ju mindre företaget, desto mindre makt måste du förhandla fram de specifika villkoren men det är ett" fråga inte, få inte "-scenario, sade Machado. "Se vad du kan få i dina leverantörsavtal när det gäller säkerhetsskyldigheter från leverantören."

Distribuera VoIP-säkerhetsåtgärder

Cloud Security

INTE: Blanda dina LAN
På nätverkssidan av din distribution har de flesta organisationer en blandning av telefoner och molnbaserade gränssnitt. Många anställda kanske bara använder en VoIP-mobilapp eller softphone, men det finns ofta en blandning av skrivbordstelefoner och konferenstelefoner som är anslutna till VoIP-nätverket också. För alla dessa formfaktorer sa Machado att det är viktigt att inte blanda formfaktorer och anslutna enheter inom samma nätverksdesign.

"Du vill ställa in ett separat röst LAN. Du vill inte att dina hårddiskstelefoner samverkar i samma nätverk med dina arbetsstationer och skrivare. Det är inte bra nätverksdesign, " sa Machado. "Om du har det finns det problematiska säkerhetsmässiga konsekvenser längs linjen. Det finns ingen anledning till att dina arbetsytor pratar med varandra. Min bärbara dator behöver inte prata med din; det är inte samma sak som en servergård med applikationer som pratar med databaser."

Istället rekommenderar Machado …

DO: Ställ in privata VLAN
Ett privat VLAN (virtuellt LAN), som Machado förklarade, låter IT-chefer bättre segmentera och kontrollera ditt nätverk. Det privata VLAN fungerar som en enda åtkomst- och upplänkpunkt för att ansluta enheten till en router, server eller nätverk.

"Från ett slutpunktssäkerhetsarkitekturperspektiv är privata VLAN-nätverk en bra nätverksdesign eftersom de ger dig möjligheten att slå på den här funktionen på omkopplaren som säger" denna arbetsstation kan inte prata med den andra arbetsstationen. Om du har dina VoIP-telefoner eller röstaktiverade enheter i samma nätverk som allt annat fungerar det inte, "sa Machado. "Det är viktigt att konfigurera ditt dedikerade röst LAN som en del av en mer privilegierad säkerhetsdesign."

INTE: Lämna ditt VoIP utanför brandväggen
Din VoIP-telefon är en datorenhet som är ansluten till Ethernet. Som en ansluten slutpunkt sa Machado att det är viktigt för kunder att komma ihåg att det, precis som alla andra datorenheter, också måste ligga bakom företagets brandvägg.

"VoIP-telefonen har ett användargränssnitt [UI] för användare att logga in och för administratörer att göra systemadministration på telefonen. Inte varje VoIP-telefon har firmware för att skydda mot brute-force attacker, " sade Machado. "Ditt e-postkonto låses efter några försök, men inte alla VoIP-telefoner fungerar på samma sätt. Om du inte sätter en brandvägg framför det, är det som att öppna den webbapplikationen för alla på internet som vill skripta en attack för brute force och logga in. "

VoIP-systemhantering

DO: Håll koll på din användning
Oavsett om det är ett molntelefonsystem, ett lokalt röstsystem eller ett privat filialutbyte (PBX), sa Machado att alla VoIP-tjänster har en attackyta och så småningom kan bli hackade. När det händer sade han att ett av de mest typiska attackerna är ett kontoövertagande (ATO), även känd som telekombedrägerier eller trafikpumpning. Detta betyder att angriparen försöker ringa samtal som kostar ägaren pengar när ett VoIP-system hackas. Det bästa försvaret är att hålla reda på din användning.

"Säg att du är en hotspelare. Du har tillgång till rösttjänster och du försöker ringa samtal. Om din organisation tittar på dess användning kan du se om det finns en ovanligt hög räkning eller se något som en användare i telefonen i 45 minuter med en plats som inga anställda har någon anledning att ringa. Det handlar om att uppmärksamma, ”sa Machado.

"Om du håller på med moln ifrån detta (vilket betyder att du inte använder en traditionell PBX eller ett lokalt VoIP), kan du ha en konversation med din leverantör och fråga vad du gör för att skydda mig, " tillade han. "Finns det knoppar och rattar jag kan slå på och stänga av när det gäller service? Gör du back-end bedrägeriövervakning eller användarbeteendeanalys och letar efter onormal användning på min vägnar? Dessa är viktiga frågor att ställa."

GÖR INTE: Har överdrivna säkerhetsbehörigheter
När det gäller användning är ett sätt att täcka potentiella ATO-skador att stänga av behörigheter och funktioner som du vet att ditt företag inte behöver, bara för fall. Machado gav internationellt kall som ett exempel.

"Om ditt företag inte behöver ringa alla delar av världen, slå inte på att ringa till alla delar av världen, " sade han. "Om du bara gör affärer i USA, Kanada och Mexiko, vill du att alla andra länder är tillgängliga för att ringa eller är det bara vettigt att stänga av det för ATO? Lämna inte några överdrivna behörigheter för dina användare för någon tekniktjänst och allt som inte är nödvändigt för din affärsanvändning kan betraktas som överbrett. "

INTE: Glöm inte att lappa
Patchning och uppdatering är avgörande för alla typer av programvara. Oavsett om du använder en softphone, en VoIP-mobilapp eller någon form av hårdvara med uppdateringar av firmware, sa Machado att den här är en no-brainer.

"Hanterar du dina egna VoIP-telefoner? Om leverantören släpper firmware, testar och distribuerar den snabbt - dessa handlar ofta om patchar av alla typer. Ibland kommer säkerhetsfixar från en leverantör som hanterar telefonen på dina vägnar, i så fall, var noga med att fråga vem som kontrollerar lappning och vad cykeln är, säger Machado.

DO: Aktivera stark autentisering
Stark tvåfaktorsautentisering och investeringar i tyngre identitetshantering är en annan smart säkerhetspraxis. Utöver bara VoIP, sa Machado att autentisering alltid är en viktig faktor att ha på plats.

"Slå alltid på stark autentisering. Det är inte annorlunda om du loggar in på ditt moln-PBX eller din e-postadress eller din CRM. Leta efter dessa funktioner och använd dem, " sa Machado. "Vi pratar inte bara om telefoner på ditt skrivbord; vi pratar om webbapplikationer och alla de olika delarna av tjänsten. Förstå hur bitarna kommer samman och säkra varje bit i tur och ordning."