Le cose da fare e non fare per proteggere le tue comunicazioni voip

La sicurezza è un must per ogni servizio basato su cloud collegato alla tua azienda e i vettori di attacco si evolvono ogni giorno. Per un'applicazione di connessione Internet come un'app Voice-over-IP (VoIP) che funge da hub per le comunicazioni aziendali, le misure di sicurezza interne sono ancora più imperative, in particolare sapere quali pratiche e aree problematiche evitare.

Che si tratti di garantire l'autenticazione utente sicura e la configurazione di rete o di abilitare la crittografia end-to-end in tutte le comunicazioni VoIP e l'archiviazione dei dati, le organizzazioni devono essere diligenti sia nel supervisionare la gestione IT sia nel lavorare a stretto contatto con il proprio provider VoIP aziendale per garantire che i requisiti di sicurezza siano rispettati incontrato e applicato.

Michael Machado, Chief Security Officer (CSO) di RingCentral, supervisiona la sicurezza di tutti i servizi cloud e VoIP di RingCentral. Machado ha trascorso gli ultimi 15 anni in sicurezza IT e cloud, prima come architetto della sicurezza e responsabile delle operazioni presso WebEx, e poi presso Cisco dopo che l'azienda ha acquisito il servizio di videoconferenza.

Le considerazioni sulla sicurezza nelle comunicazioni VoIP della tua azienda iniziano nella fase di ricerca e acquisto prima ancora di selezionare un fornitore VoIP e persistono attraverso l'implementazione e la gestione. Machado ha attraversato l'intero processo dal punto di vista della sicurezza, fermandosi a spiegare un sacco di cose da fare e non fare per le aziende di tutte le dimensioni lungo la strada.

Selezione del provider VoIP

NON: trascurare il modello di sicurezza condivisa

Che tu sia una piccola impresa o una grande impresa, la prima cosa che devi capire - indipendentemente anche da VoIP e Unified Communications-as-a-Service (UCaaS) -è che tutti i servizi cloud in generale devono avere una sicurezza condivisa modello. Machado ha affermato che, in quanto cliente, la tua azienda condivide sempre alcune responsabilità nell'implementazione sicura di tutti i servizi cloud che stai adottando.

"È fondamentale per i clienti capire, soprattutto quando un'azienda è più piccola e ha meno risorse", ha dichiarato Machado. "La gente pensa che VoIP sia un dispositivo meccanico collegato a una linea di rame. Non lo è. Un telefono VoIP, che si tratti di un telefono fisico, di un computer con software in esecuzione o di esso, di un'app mobile o di un'applicazione per softphone, non è la stessa cosa di un telefono meccanico collegato al PSTN. Non è come un normale telefono: avrai la responsabilità di assicurarti che la sicurezza abbia un circuito chiuso tra il cliente e il fornitore."

DO: Due Diligence del fornitore

Una volta che hai compreso quella responsabilità condivisa e desideri adottare un servizio VoIP cloud, ha senso fare la dovuta diligenza nella scelta del fornitore. A seconda delle dimensioni e dell'esperienza acquisita con il personale, Machado ha spiegato come le imprese e le piccole e medie imprese (PMI) possono fare ciò in diversi modi.

"Se sei una grande azienda che può permettersi di dedicare tempo alla due diligence, puoi creare un elenco di domande da porre a tutti i fornitori, rivedere il loro rapporto di audit e tenere alcune riunioni per discutere della sicurezza", ha affermato Machado. "Se sei una piccola impresa, potresti non avere le competenze per analizzare un rapporto di audit SOC 2 o il tempo per investire in una discussione di grande portata.

"Invece, puoi guardare cose come il rapporto Quadrante magico di Gartner e vedere se hanno un rapporto SOC 1 o SOC 2 disponibile, anche se non hai il tempo o l'esperienza per leggere e capire", Machado ha spiegato. "Il rapporto di audit è una buona indicazione delle aziende che fanno un forte investimento in sicurezza rispetto alle aziende che non lo sono. Puoi anche cercare un rapporto SOC 3 oltre a SOC 2. È una versione leggera, simile alla certificazione, degli stessi standard. Queste sono le cose che puoi cercare come piccola impresa per iniziare a muoverti nella giusta direzione in materia di sicurezza ".

DO: Negozia i termini di sicurezza nel tuo contratto

Ora sei nel punto in cui hai selezionato un fornitore VoIP e stai considerando la possibilità di prendere una decisione di acquisto. Machado ha raccomandato che, quando possibile, le aziende dovrebbero cercare di ottenere accordi e termini di sicurezza espliciti per iscritto durante la negoziazione di un contratto con un fornitore di servizi cloud.

"Piccola azienda, grande azienda, non importa. Più piccola è l'azienda, minore sarà il potere di negoziare quei termini specifici, ma è uno scenario" non chiedere, non ottenere "", ha detto Machado. "Scopri cosa puoi ottenere nei contratti del fornitore in merito agli obblighi di sicurezza del fornitore."

Implementazione di misure di sicurezza VoIP

DO: utilizzare i servizi VoIP crittografati

Quando si parla di distribuzione, Machado ha affermato che non ci sono scuse per un moderno servizio VoIP che non offra la crittografia end-to-end. Machado ha raccomandato alle organizzazioni di cercare servizi che supportino la crittografia Transport Layer Security (TLS) o Secure Real-Time Transport Protocol (SRTP) e che lo facciano, idealmente, senza ricorrere a misure di sicurezza fondamentali.

"Non optare sempre per il servizio più economico; può valere la pena pagare un premio per un VoIP più sicuro. Ancora meglio è quando non devi pagare un premio per la sicurezza nei tuoi servizi cloud", ha detto Machado. "Come cliente, dovresti essere in grado di abilitare VoIP crittografato e partire. È anche importante che il provider stia utilizzando non solo segnali crittografati, ma anche crittografando i media a riposo. Le persone vogliono che le loro conversazioni siano private, non attraversino Internet con la semplice voce vocale. Assicurati che il tuo fornitore supporti tale livello di crittografia e che non ti costerà di più."

NON: Mescola le tue LAN

Dal lato della rete della distribuzione, la maggior parte delle organizzazioni dispone di un mix di telefoni e interfacce basate su cloud. Molti dipendenti potrebbero semplicemente utilizzare un'app mobile VoIP o un softphone, ma spesso ci sarà anche un mix di telefoni da scrivania e telefoni da conferenza collegati alla rete VoIP. Per tutti questi fattori di forma, Machado ha affermato che è fondamentale non mescolare i fattori di forma e i dispositivi collegati all'interno della stessa struttura di rete.

"Volete creare una LAN vocale separata. Non volete che i vostri telefoni vocali si confondano sulla stessa rete con le vostre stazioni di lavoro e stampanti. Non è un buon progetto di rete", ha detto Machado. "Se sì, ci sono implicazioni di sicurezza problematiche in futuro. Non c'è motivo per le aree di lavoro di comunicare tra loro. Il mio laptop non ha bisogno di parlare con il tuo; non è lo stesso di una server farm con applicazioni con cui parlare banche dati."

Invece, Machado raccomanda…

DO: imposta le VLAN private

Una VLAN privata (LAN virtuale), come spiegato da Machado, consente ai responsabili IT di segmentare e controllare meglio la tua rete. La VLAN privata funge da punto di accesso singolo e uplink per connettere il dispositivo a un router, un server o una rete.

"Dal punto di vista dell'architettura di sicurezza degli endpoint, le VLAN private sono una buona progettazione di rete perché ti danno la possibilità di attivare questa funzione sullo switch che dice" questa workstation non può comunicare con l'altra workstation ". Se hai i tuoi telefoni VoIP o dispositivi abilitati alla voce sulla stessa rete di tutto il resto, non funziona ", ha dichiarato Machado. "È importante configurare la propria LAN vocale dedicata come parte di un progetto di sicurezza più privilegiato."

NON: lasciare il VoIP fuori dal firewall

Il telefono VoIP è un dispositivo di elaborazione collegato a Ethernet. Come endpoint connesso, Machado ha affermato che è importante ricordare ai clienti che, proprio come qualsiasi altro dispositivo di elaborazione, deve essere protetto dal firewall aziendale.

"Il telefono VoIP ha un'interfaccia utente che consente agli utenti di accedere e agli amministratori di eseguire l'amministrazione del sistema sul telefono. Non tutti i telefoni VoIP dispongono di firmware per la protezione dagli attacchi di forza bruta", ha affermato Machado. "Il tuo account e-mail si bloccherà dopo alcuni tentativi, ma non tutti i telefoni VoIP funzionano allo stesso modo. Se non si mette davanti un firewall, è come aprire quell'applicazione Web a chiunque su Internet voglia scrivere un attacco di forza bruta ed accesso."

Gestione del sistema VoIP

DO: modifica le password predefinite

Indipendentemente dal produttore da cui ricevi i tuoi telefoni VoIP, i dispositivi verranno forniti con credenziali predefinite come qualsiasi altro componente hardware fornito con un'interfaccia utente Web. Per evitare il tipo di semplici vulnerabilità che hanno portato all'attacco DDoS della botnet Mirai, Machado ha detto che la cosa più semplice da fare è semplicemente cambiare quelle impostazioni predefinite.

"I clienti devono adottare misure proattive per proteggere i loro telefoni", ha affermato Machado. "Modifica immediatamente le password predefinite o, se il tuo fornitore gestisce per te gli endpoint del telefono, assicurati che cambino tali password predefinite per tuo conto."

DO: Tieni traccia del tuo utilizzo

Che si tratti di un sistema di telefonia cloud, di un sistema vocale locale o di uno scambio di filiali private (PBX), Machado ha affermato che tutti i servizi VoIP hanno una superficie di attacco e che alla fine potrebbero essere hackerati. Quando ciò accade, ha affermato che uno degli attacchi più tipici è un acquisizione di account (ATO), noto anche come frode delle telecomunicazioni o pumping del traffico. Ciò significa che, quando un sistema VoIP viene violato, l'aggressore cerca di effettuare chiamate che costano denaro al proprietario. La miglior difesa è tenere traccia del tuo utilizzo.

"Supponiamo che tu sia un attore di minacce. Hai accesso ai servizi vocali e stai cercando di effettuare chiamate. Se la tua organizzazione ne sta osservando l'utilizzo, sarai in grado di individuare se c'è un conto insolitamente alto o vedere qualcosa come un utente al telefono per 45 minuti con una posizione che nessun dipendente ha motivo di chiamare. Si tratta solo di prestare attenzione ", ha detto Machado.

"Se stai cercando di risolvere il problema con il cloud (ovvero, non utilizzando un PBX tradizionale o un VoIP locale), fai una conversazione con il tuo fornitore chiedendoti cosa stai facendo per proteggermi", ha aggiunto. "Ci sono manopole e quadranti che posso accendere e spegnere per quanto riguarda il servizio? Stai eseguendo il monitoraggio delle frodi back-end o l'analisi del comportamento degli utenti alla ricerca di un utilizzo anomalo per mio conto? Queste sono domande importanti da porre."

NON: avere autorizzazioni di sicurezza troppo ampie

Per quanto riguarda l'utilizzo, un modo per limitare il potenziale danno dell'ATO è quello di disattivare le autorizzazioni e le funzionalità che sai che la tua azienda non ha bisogno, per ogni evenienza. Machado ha dato la chiamata internazionale come esempio.

"Se la tua azienda non ha bisogno di chiamare tutte le parti del mondo, non attivare la chiamata in tutte le parti del mondo", ha detto. "Se fai affari solo negli Stati Uniti, in Canada e in Messico, desideri che tutti gli altri paesi siano disponibili per le chiamate o ha senso spegnerlo nel caso di ATO? Non lasciare autorizzazioni troppo ampie per i tuoi utenti per qualsiasi servizio tecnologico e tutto ciò che non è necessario per il tuo uso aziendale si qualifica come troppo ampio ".

NON: dimentica le patch

L'applicazione di patch e l'aggiornamento degli aggiornamenti è fondamentale per qualsiasi tipo di software. Sia che tu stia utilizzando un softphone, un'app mobile VoIP o qualsiasi tipo di hardware con aggiornamenti del firmware, Machado ha affermato che questo è un gioco da ragazzi.

"Gestisci i tuoi telefoni VoIP? Se il fornitore rilascia firmware, testalo e implementalo rapidamente: spesso questi gestiscono patch di tutti i tipi. A volte, le patch di sicurezza provengono da un fornitore che gestisce il telefono per tuo conto, quindi, in tal caso, assicurati di chiedere chi controlla il patching e qual è il ciclo ", ha detto Machado.

DO: Abilita autenticazione forte

Un'autentica autenticazione a due fattori e investimenti nella gestione delle identità più pesante sono un'altra pratica di sicurezza intelligente. Oltre al VoIP, Machado afferma che l'autenticazione è sempre un fattore importante da attuare.

"Attiva sempre l'autenticazione avanzata. Non è diverso se accedi al tuo cloud PBX o alla tua e-mail o al tuo CRM. Cerca quelle funzionalità e usale", ha dichiarato Machado. "Non stiamo solo parlando di telefoni sulla tua scrivania; stiamo parlando di applicazioni web e di tutte le diverse parti del servizio. Comprendi come i pezzi si uniscono e assicurano ogni pezzo a turno."