บ้าน ธุรกิจ dos และ don'ts ของการรักษาความปลอดภัยการสื่อสาร voip ของคุณ

dos และ don'ts ของการรักษาความปลอดภัยการสื่อสาร voip ของคุณ

สารบัญ:

วีดีโอ: Anitta & J Balvin - Downtown (Official Lyric Video) ft. Lele Pons & Juanpa Zurita (ธันวาคม 2024)

วีดีโอ: Anitta & J Balvin - Downtown (Official Lyric Video) ft. Lele Pons & Juanpa Zurita (ธันวาคม 2024)
Anonim

การรักษาความปลอดภัยเป็นสิ่งที่จำเป็นสำหรับบริการบนคลาวด์ทุกรูปแบบที่เสียบเข้ากับธุรกิจของคุณและการโจมตีของเวกเตอร์จะมีวิวัฒนาการทุกวัน สำหรับแอพพลิเคชั่นเชื่อมต่ออินเทอร์เน็ตเช่นแอพ Voice-over-IP (VoIP) ที่ทำหน้าที่เป็นศูนย์กลางในการสื่อสารองค์กรของคุณมาตรการรักษาความปลอดภัยจากภายในมีความจำเป็นมากยิ่งขึ้นโดยเฉพาะอย่างยิ่งการรู้ว่าควรปฏิบัติอย่างไร

ไม่ว่าจะเป็นการรับรองความถูกต้องของผู้ใช้และการกำหนดค่าเครือข่ายหรือเปิดใช้งานการเข้ารหัสแบบครบวงจรในการสื่อสาร VoIP และการจัดเก็บข้อมูลองค์กรจะต้องมีความขยันหมั่นเพียรในการกำกับดูแลการจัดการไอทีและทำงานอย่างใกล้ชิดกับผู้ให้บริการ VoIP ทางธุรกิจ พบและบังคับใช้

Michael Machado หัวหน้าเจ้าหน้าที่รักษาความปลอดภัย (CSO) ที่ RingCentral ดูแลความปลอดภัยสำหรับบริการคลาวด์และ VoIP ของ RingCentral Machado ใช้เวลา 15 ปีในด้านความปลอดภัยด้านไอทีและคลาวด์ครั้งแรกในฐานะสถาปนิกด้านความปลอดภัยและผู้จัดการฝ่ายปฏิบัติการที่ WebEx จากนั้นที่ Cisco หลังจากที่ บริษัท ได้รับบริการการประชุมทางวิดีโอ

ข้อควรพิจารณาด้านความปลอดภัยในการสื่อสาร VoIP ของ บริษัท ของคุณเริ่มต้นในขั้นตอนการวิจัยและการซื้อก่อนที่คุณจะเลือกผู้ให้บริการ VoIP และยังคงมีอยู่ผ่านการใช้งานและการจัดการ Machado เดินผ่านกระบวนการทั้งหมดจากมุมมองด้านความปลอดภัยหยุดเพื่ออธิบายสิ่งที่ต้องทำมากมายและไม่เหมาะสำหรับธุรกิจทุกขนาดตลอดเส้นทาง

การเลือกผู้ให้บริการ VoIP ของคุณ

ไม่ได้: ละเลยรูปแบบความปลอดภัยที่ใช้ร่วมกัน

ไม่ว่าคุณจะเป็นธุรกิจขนาดเล็กหรือองค์กรขนาดใหญ่สิ่งแรกที่คุณต้องเข้าใจ - ไม่ว่าจะเป็น VoIP และ Unified Communications-as-a-Service (UCaaS) - ซึ่งเป็นบริการคลาวด์โดยทั่วไปจำเป็นต้องมีความปลอดภัยร่วมกัน แบบ Machado กล่าวว่าในฐานะลูกค้าธุรกิจของคุณมักจะแบ่งปันความรับผิดชอบบางส่วนในการใช้งานบริการคลาวด์ทั้งหมดที่คุณใช้อย่างปลอดภัย

“ มันเป็นกุญแจสำคัญสำหรับลูกค้าที่จะเข้าใจโดยเฉพาะอย่างยิ่งเมื่อ บริษัท มีขนาดเล็กลงและมีทรัพยากรน้อยลง” Machado กล่าว "ผู้คนคิดว่า VoIP เป็นอุปกรณ์เชิงกลที่เชื่อมต่อกับสายทองแดงมันไม่ใช่โทรศัพท์ VoIP ไม่ว่าจะเป็นโทรศัพท์มือถือเครื่องคอมพิวเตอร์ที่ใช้ซอฟต์แวร์หรือแอพมือถือหรือแอพพลิเคชั่นซอฟต์โฟน โทรศัพท์เชิงกลที่เสียบเข้ากับ PSTN มันไม่เหมือนกับโทรศัพท์ทั่วไป - คุณจะต้องรับผิดชอบในการตรวจสอบให้แน่ใจว่าการรักษาความปลอดภัยมีวงปิดระหว่างลูกค้าและผู้ขาย "

ทำ: ความขยันเนื่องจากผู้ขาย

เมื่อคุณเข้าใจว่าความรับผิดชอบร่วมกันนั้นและต้องการนำบริการ Cloud VoIP มาใช้คุณควรทำการตรวจสอบสถานะของคุณเมื่อเลือกผู้ขายของคุณ ขึ้นอยู่กับขนาดและความเชี่ยวชาญที่คุณมีต่อพนักงาน Machado อธิบายว่าธุรกิจและธุรกิจขนาดกลางถึงขนาดกลาง (SMBs) สามารถดำเนินเรื่องนี้ได้หลายวิธี

“ หากคุณเป็น บริษัท ขนาดใหญ่ที่สามารถใช้เวลากับความขยันเนื่องจากคุณสามารถสร้างรายการคำถามเพื่อถามผู้ขายทุกคนตรวจสอบรายงานการตรวจสอบของพวกเขาและมีการประชุมสองสามครั้งเพื่อหารือเกี่ยวกับความปลอดภัย” Machado กล่าว . "หากคุณเป็นธุรกิจขนาดเล็กคุณอาจไม่มีความเชี่ยวชาญในการวิเคราะห์รายงานการตรวจสอบ SOC 2 หรือเวลาที่จะลงทุนในการอภิปรายอย่างหนักหน่วง

"คุณสามารถดูรายงาน Magic Quadrant ของการ์ตเนอร์และดูว่าพวกเขามีรายงาน SOC 1 หรือ SOC 2 หรือไม่แม้ว่าคุณจะไม่มีเวลาหรือความเชี่ยวชาญในการอ่านและทำความเข้าใจ" Machado อธิบาย "รายงานการตรวจสอบเป็นตัวบ่งชี้ที่ดีของ บริษัท ที่ทำการลงทุนที่มั่นคงในด้านความปลอดภัยเมื่อเทียบกับ บริษัท ที่ไม่ใช่คุณสามารถค้นหารายงาน SOC 3 เพิ่มเติมจาก SOC 2 ซึ่งเป็นรุ่นที่มีน้ำหนักเบาและมีใบรับรองเหมือนมาตรฐานเดียวกัน สิ่งเหล่านี้คือสิ่งที่คุณมองหาในฐานะธุรกิจขนาดเล็กเพื่อเริ่มก้าวไปในทิศทางที่ถูกต้องเกี่ยวกับความปลอดภัย "

DO: เจรจาเงื่อนไขความปลอดภัยในสัญญาของคุณ

ตอนนี้คุณอยู่ในจุดที่คุณเลือกผู้ให้บริการ VoIP และคุณกำลังพิจารณาความเป็นไปได้ในการตัดสินใจซื้อ Machado แนะนำว่าเมื่อใดก็ตามที่เป็นไปได้ธุรกิจควรพยายามรับข้อตกลงความปลอดภัยที่ชัดเจนและข้อกำหนดเป็นลายลักษณ์อักษรเมื่อเจรจาสัญญากับผู้จำหน่ายคลาวด์

"บริษัท ขนาดเล็ก บริษัท ใหญ่มันไม่สำคัญ บริษัท ขนาดเล็กที่มีอำนาจน้อยกว่าที่คุณจะต้องเจรจาเงื่อนไขเฉพาะเหล่านั้น แต่มันเป็นสถานการณ์ที่ 'ไม่ถามไม่ได้รับ' Machado กล่าว "ดูสิ่งที่คุณจะได้รับในข้อตกลงผู้ขายโดยคำนึงถึงข้อผูกพันด้านความปลอดภัยจากผู้จำหน่าย"

การปรับใช้มาตรการความปลอดภัยของ VoIP

ทำ: ใช้บริการ VoIP ที่เข้ารหัส

เมื่อพูดถึงการปรับใช้ Machado กล่าวว่าไม่มีข้อแก้ตัวใด ๆ สำหรับบริการ VoIP ที่ทันสมัยที่จะไม่เสนอการเข้ารหัสแบบครบวงจร Machado แนะนำให้องค์กรต่างๆมองหาบริการที่รองรับการเข้ารหัส Transport Layer Security (TLS) หรือการเข้ารหัส Secure Real-Time Transport Protocol (SRTP) และทำได้โดยไม่ต้องกังวลกับมาตรการรักษาความปลอดภัยหลัก

“ อย่าไปให้บริการที่ถูกที่สุดเสมอไปมันคุ้มค่าที่จะจ่ายค่าเบี้ยประกันภัยสำหรับ VoIP ที่ปลอดภัยยิ่งขึ้นไปอีกนั่นคือเมื่อคุณไม่ต้องจ่ายค่าเบี้ยประกันเพื่อความปลอดภัยในบริการคลาวด์ของคุณ” Machado กล่าว "ในฐานะลูกค้าคุณควรเปิดใช้งาน VoIP ที่เข้ารหัสแล้วและออกไปได้สิ่งสำคัญคือผู้ให้บริการไม่เพียง แต่ใช้การส่งสัญญาณเข้ารหัส แต่ยังเข้ารหัสสื่อที่เหลืออยู่คนต้องการให้การสนทนาเป็นส่วนตัวไม่ใช่การท่องอินเทอร์เน็ต ด้วยเสียงข้อความธรรมดาตรวจสอบให้แน่ใจว่าผู้ขายของคุณจะสนับสนุนการเข้ารหัสในระดับนั้นและจะไม่ทำให้คุณเสียค่าใช้จ่ายมากขึ้น "

อย่า: มิกซ์ LAN ของคุณ

ในด้านเครือข่ายของการปรับใช้ของคุณองค์กรส่วนใหญ่มีการผสมผสานของโทรศัพท์มือถือและอินเทอร์เฟซบนคลาวด์ พนักงานหลายคนอาจใช้แอพมือถือ VoIP หรือซอฟต์โฟน แต่มักจะมีการผสมผสานระหว่างโทรศัพท์ตั้งโต๊ะและโทรศัพท์การประชุมที่เชื่อมต่อกับเครือข่าย VoIP เช่นกัน สำหรับปัจจัยรูปแบบทั้งหมด Machado กล่าวว่าเป็นเรื่องสำคัญที่จะไม่ผสมผสานปัจจัยรูปแบบและอุปกรณ์ที่เชื่อมต่อภายในการออกแบบเครือข่ายเดียวกัน

“ คุณต้องการตั้งค่า LAN เสียงแยกต่างหากคุณไม่ต้องการให้โทรศัพท์แบบเสียงแข็งของคุณทำงานร่วมกันในเครือข่ายเดียวกันกับเวิร์กสเตชันและเครื่องพิมพ์ของคุณนั่นไม่ใช่การออกแบบเครือข่ายที่ดี” Machado กล่าว "ถ้าคุณมีปัญหาด้านความปลอดภัยก็มีผลกระทบต่อสายงานไม่มีเหตุผลที่พื้นที่ทำงานของคุณจะพูดคุยกันแล็ปท็อปของฉันไม่จำเป็นต้องคุยกับคุณมันไม่เหมือนกับฟาร์มเซิร์ฟเวอร์ที่มีแอพพลิเคชันที่พูดถึง ฐานข้อมูล."

Machado แนะนำ …

DO: ตั้งค่า VLAN ส่วนตัว

VLAN ส่วนตัว (เสมือน LAN) ตามที่ Machado อธิบายช่วยให้ผู้จัดการฝ่ายไอทีแบ่งส่วนและควบคุมเครือข่ายของคุณได้ดีขึ้น VLAN ส่วนตัวทำหน้าที่เป็นจุดเข้าถึงและอัปลิงค์เดียวเพื่อเชื่อมต่ออุปกรณ์กับเราเตอร์เซิร์ฟเวอร์หรือเครือข่าย

"จากมุมมองของสถาปัตยกรรมความปลอดภัยปลายทาง VLAN ส่วนตัวเป็นการออกแบบเครือข่ายที่ดีเพราะพวกเขาให้คุณสามารถเปิดคุณสมบัตินี้บนสวิตช์ที่ระบุว่า 'เวิร์กสเตชันนี้ไม่สามารถพูดคุยกับเวิร์กสเตชันอื่น' หากคุณมีโทรศัพท์ VoIP หรืออุปกรณ์ที่เปิดใช้งานเสียงในเครือข่ายเดียวกันกับทุกอย่างอื่นจะไม่สามารถใช้งานได้ "Machado กล่าว "สิ่งสำคัญคือการตั้งค่า LAN เสียงเฉพาะของคุณเป็นส่วนหนึ่งของการออกแบบความปลอดภัยที่ได้รับสิทธิพิเศษมากขึ้น"

ไม่ได้: ทิ้ง VoIP ของคุณไว้นอกไฟร์วอลล์

โทรศัพท์ VoIP ของคุณเป็นอุปกรณ์คอมพิวเตอร์เสียบเข้ากับอีเธอร์เน็ต ในฐานะที่เป็นจุดเชื่อมต่อ Machado กล่าวว่าเป็นเรื่องสำคัญที่ลูกค้าจะต้องจดจำเช่นเดียวกับอุปกรณ์คอมพิวเตอร์อื่น ๆ มันต้องอยู่หลังไฟร์วอลล์ขององค์กรด้วย

“ โทรศัพท์ VoIP มีส่วนต่อประสานกับผู้ใช้สำหรับผู้ใช้ในการเข้าสู่ระบบและสำหรับผู้ดูแลระบบในการจัดการโทรศัพท์ไม่ใช่โทรศัพท์ VoIP ทุกเครื่องที่มีเฟิร์มแวร์เพื่อป้องกันการโจมตีที่ดุเดือด” Machado กล่าว "บัญชีอีเมลของคุณจะล็อคหลังจากพยายามสองสามครั้ง แต่โทรศัพท์ VoIP ทุกเครื่องทำงานในลักษณะเดียวกันหากคุณไม่ใส่ไฟร์วอลล์ไว้ข้างหน้ามันก็เหมือนกับการเปิดแอปพลิเคชันเว็บนั้นให้กับทุกคนบนอินเทอร์เน็ตที่ต้องการสคริปต์ กำลังโจมตีแบบดุร้ายและเข้าสู่ระบบ "

การจัดการระบบ VoIP

ทำ: เปลี่ยนรหัสผ่านเริ่มต้นของคุณ

โดยไม่คำนึงถึงผู้ผลิตที่คุณได้รับโทรศัพท์ VoIP ของคุณอุปกรณ์จะมาพร้อมกับข้อมูลประจำตัวเริ่มต้นเช่นฮาร์ดแวร์ชิ้นอื่น ๆ ที่มาพร้อมกับเว็บ UI เพื่อหลีกเลี่ยงช่องโหว่ง่ายๆที่นำไปสู่การจู่โจมบ็อตเน็ต DDoS ของ Mirai Machado กล่าวว่าสิ่งที่ง่ายที่สุดที่ต้องทำคือเพียงเปลี่ยนค่าเริ่มต้นเหล่านั้น

“ ลูกค้าต้องดำเนินการเชิงรุกเพื่อรักษาความปลอดภัยโทรศัพท์ของพวกเขา” Machado กล่าว "เปลี่ยนรหัสผ่านเริ่มต้นทันทีหรือหากผู้ขายของคุณจัดการจุดปลายโทรศัพท์ให้คุณตรวจสอบให้แน่ใจว่าพวกเขากำลังเปลี่ยนรหัสผ่านเริ่มต้นเหล่านั้นในนามของคุณ"

ทำ: ติดตามการใช้งานของคุณ

ไม่ว่าจะเป็นระบบโทรศัพท์บนคลาวด์ระบบเสียงในสถานที่หรือการแลกเปลี่ยนสาขาเอกชน (PBX) Machado กล่าวว่าบริการ VoIP ทั้งหมดมีพื้นผิวการโจมตีและในที่สุดอาจถูกแฮ็ก เมื่อสิ่งนี้เกิดขึ้นเขากล่าวว่าการโจมตีที่พบบ่อยที่สุดอย่างหนึ่งคือการครอบครองบัญชี (ATO) หรือที่รู้จักกันในชื่อการฉ้อโกงทางโทรคมนาคมหรือการสูบฉีดทราฟฟิก ซึ่งหมายความว่าเมื่อระบบ VoIP ถูกแฮ็คผู้โจมตีจะพยายามโทรออกโดยจะต้องเสียค่าใช้จ่าย การป้องกันที่ดีที่สุดคือการติดตามการใช้งานของคุณ

"สมมติว่าคุณเป็นนักแสดงที่คุกคามคุณสามารถเข้าถึงบริการด้านเสียงและคุณพยายามโทรออกหากองค์กรของคุณกำลังดูการใช้งานอยู่คุณจะสามารถเห็นได้ว่ามีค่าใช้จ่ายสูงหรือดูผิดปกติ บางสิ่งอย่างเช่นผู้ใช้โทรศัพท์เป็นเวลา 45 นาทีด้วยสถานที่ที่ไม่มีพนักงานโทรด้วยเหตุผลใด ๆ มันเป็นเรื่องของการให้ความสนใจ "Machado กล่าว

“ หากคุณกำลังสับสนกับเรื่องนี้ (หมายถึงไม่ได้ใช้ PBX แบบดั้งเดิมหรือ VoIP ในสถานที่) จากนั้นสนทนากับผู้ขายของคุณเพื่อถามว่าคุณกำลังทำอะไรเพื่อปกป้องฉัน” เขากล่าวเสริม "มีปุ่มหมุนและปุ่มหมุนที่ฉันสามารถเปิดและปิดในเรื่องการให้บริการหรือไม่คุณกำลังทำการตรวจสอบการโกงหลังสิ้นสุดหรือการวิเคราะห์พฤติกรรมผู้ใช้ที่กำลังมองหาการใช้งานที่ผิดปกติในนามของฉันหรือไม่

ไม่ได้: มีการอนุญาตด้านความปลอดภัยที่กว้างขวาง

ในเรื่องของการใช้งานวิธีหนึ่งในการกำหนดความเสียหายที่อาจเกิดขึ้นกับ ATO คือการปิดการอนุญาตและคุณลักษณะที่คุณรู้ว่าธุรกิจของคุณไม่ต้องการในกรณีนี้ Machado ให้การโทรระหว่างประเทศเป็นตัวอย่าง

“ หากธุรกิจของคุณไม่จำเป็นต้องโทรไปทั่วทุกมุมโลกก็อย่าเปิดการโทรไปทั่วทุกมุมโลก” เขากล่าว "หากคุณทำธุรกิจเฉพาะในสหรัฐอเมริกาแคนาดาและเม็กซิโกคุณต้องการให้ทุกประเทศอื่น ๆ พร้อมใช้งานสำหรับการโทรหรือไม่หรือเพียงแค่ปิดการใช้งานในกรณีของ ATO หรือไม่อย่าปล่อยให้มีการอนุญาตที่กว้างเกินไปสำหรับ ผู้ใช้ของคุณสำหรับบริการเทคโนโลยีใด ๆ และสิ่งใดก็ตามที่ไม่จำเป็นสำหรับการใช้งานทางธุรกิจของคุณจะถือว่ามีคุณสมบัติกว้างเกินไป "

ไม่: ลืมเกี่ยวกับการปะ

การอัพเดทและการอัพเดทเป็นสิ่งสำคัญสำหรับซอฟต์แวร์ทุกประเภท ไม่ว่าคุณจะใช้ softphone, แอพมือถือ VoIP หรือฮาร์ดแวร์ประเภทใดก็ได้ที่มีการอัปเดตเฟิร์มแวร์ Machado กล่าวว่าเกมนี้ไม่มีเกมง่ายๆ

"คุณจัดการโทรศัพท์ VoIP ของคุณเองหรือไม่ถ้าผู้จำหน่ายปล่อยเฟิร์มแวร์ทดสอบและปรับใช้อย่างรวดเร็ว - เหล่านี้มักจะจัดการกับแพตช์ทุกประเภทในบางครั้งแพทช์รักษาความปลอดภัยมาจากผู้จำหน่ายที่จัดการโทรศัพท์แทนคุณ อย่าลืมถามว่าใครเป็นผู้ควบคุมการปะและวงจรคืออะไร "Machado กล่าว

ทำ: เปิดใช้งานการรับรองความถูกต้องที่แข็งแกร่ง

การรับรองความถูกต้องด้วยสองปัจจัยที่แข็งแกร่งและการลงทุนในการจัดการเอกลักษณ์ที่หนักกว่านั้นเป็นอีกหนึ่งแนวทางปฏิบัติด้านความปลอดภัยที่ชาญฉลาด นอกเหนือจาก VoIP เท่านั้น Machado กล่าวว่าการรับรองความถูกต้องเป็นปัจจัยสำคัญที่มีอยู่เสมอ

"เปิดใช้งานการรับรองความถูกต้องที่แข็งแกร่งเสมอซึ่งไม่แตกต่างกันหากคุณลงชื่อเข้าใช้ cloud PBX หรืออีเมลหรือ CRM ของคุณค้นหาคุณสมบัติเหล่านั้นและใช้งาน" Machado กล่าว “ เราไม่ได้พูดถึงโทรศัพท์บนโต๊ะของคุณเท่านั้น แต่เรากำลังพูดถึงเว็บแอปพลิเคชั่นและส่วนต่าง ๆ ทั้งหมดของบริการทำความเข้าใจว่าชิ้นส่วนมารวมกันและรักษาความปลอดภัยในแต่ละชิ้นได้อย่างไร”

dos และ don'ts ของการรักษาความปลอดภัยการสื่อสาร voip ของคุณ