Os prós e contras de proteger suas comunicações voip

A segurança é essencial para todos os serviços baseados em nuvem conectados aos seus negócios, e os vetores de ataque evoluem todos os dias. Para um aplicativo de conexão à Internet como um aplicativo de Voz sobre IP (VoIP) que serve como o centro das comunicações da sua empresa, as medidas de segurança internas são ainda mais imperativas, principalmente sabendo quais práticas e áreas problemáticas devem ser evitadas.

Seja garantindo a autenticação segura do usuário e a configuração de rede ou ativando a criptografia de ponta a ponta em toda a comunicação VoIP e armazenamento de dados, as organizações precisam ser diligentes na supervisão do gerenciamento de TI e no trabalho em estreita colaboração com seu provedor de VoIP comercial para garantir que os requisitos de segurança estejam sendo cumpridos. cumpridos e aplicados.

Michael Machado, CSO (Chief Security Officer) da RingCentral, supervisiona a segurança de todos os serviços de nuvem e VoIP da RingCentral. Machado passou os últimos 15 anos em segurança de TI e nuvem, primeiro como arquiteto de segurança e gerente de operações na WebEx e depois na Cisco depois que a empresa adquiriu o serviço de videoconferência.

As considerações de segurança nas comunicações VoIP da sua empresa começam no estágio de pesquisa e compra antes mesmo de você selecionar um provedor de VoIP e persistem na implementação e gerenciamento. Machado percorreu todo o processo de uma perspectiva de segurança, parando para explicar muitas coisas que você deve ou não fazer para empresas de todos os tamanhos ao longo do caminho.

Selecionando seu provedor de VoIP

NÃO: Negligencie o modelo de segurança compartilhada

Seja você uma pequena empresa ou uma grande empresa, a primeira coisa que você precisa entender - independente mesmo de VoIP e UCaaS - é que todos os serviços em nuvem em geral precisam ter uma segurança compartilhada modelo. Machado disse que, como cliente, sua empresa sempre compartilha alguma responsabilidade na implementação segura de todos os serviços em nuvem que você está adotando.

"É fundamental que os clientes entendam, especialmente quando uma empresa é menor e tem menos recursos", disse Machado. "As pessoas pensam que o VoIP é um dispositivo mecânico conectado a uma linha de cobre. Não é. Um telefone VoIP, seja um aparelho físico, um computador com software em execução, um aplicativo móvel ou um aplicativo de softphone, não é a mesma coisa que um telefone mecânico conectado à PSTN. Não é como um telefone comum - você terá alguma responsabilidade em garantir que a segurança tenha um ciclo fechado entre o cliente e o fornecedor ".

DO: Due Diligence do fornecedor

Depois de entender essa responsabilidade compartilhada e desejar adotar um serviço de VoIP em nuvem, faz sentido fazer a devida diligência ao selecionar seu fornecedor. Dependendo do seu tamanho e da experiência que você tem na equipe, Machado explicou como as empresas e pequenas e médias empresas (SMBs) podem fazer isso de diferentes maneiras.

"Se você é uma grande empresa que pode gastar tempo com a devida diligência, pode elaborar uma lista de perguntas para fazer a cada fornecedor, revisar seu relatório de auditoria e realizar algumas reuniões para discutir segurança", disse Machado. "Se você é uma empresa de pequeno porte, pode não ter o conhecimento necessário para analisar um relatório de auditoria do SOC 2 ou o tempo para investir em uma discussão pesada.

"Em vez disso, você pode analisar itens como o relatório Quadrante Mágico do Gartner e verificar se eles têm um relatório SOC 1 ou SOC 2 disponível, mesmo se você não tiver tempo ou conhecimento para ler e entendê-lo", Machado explicado. "O relatório de auditoria é uma boa indicação de que as empresas fazem um forte investimento em segurança em comparação às empresas que não o são. Você também pode procurar um relatório do SOC 3 além do SOC 2. É uma versão leve e semelhante à certificação dos mesmos padrões. Essas são as coisas que você pode procurar como uma pequena empresa para começar a seguir na direção certa em segurança ".

DO: negociar termos de segurança em seu contrato

Agora você está no ponto em que selecionou um fornecedor de VoIP e está considerando a possibilidade de tomar uma decisão de compra. Machado recomendou que, sempre que possível, as empresas tentassem obter termos e acordos de segurança explícitos por escrito ao negociar um contrato com um fornecedor de nuvem.

"Pequena empresa, grande empresa, não importa. Quanto menor a empresa, menos poder você terá para negociar esses termos específicos, mas é um cenário de 'não pergunte, não entenda'", disse Machado. "Veja o que você pode obter nos seus acordos de fornecedores com relação às obrigações de segurança do fornecedor".

Implantando medidas de segurança de VoIP

DO: use serviços de VoIP criptografados

Quando se trata de implantação, Machado disse que não há desculpa para que um serviço de VoIP moderno não ofereça criptografia de ponta a ponta. Machado recomendou que as organizações procurassem serviços compatíveis com a criptografia TLS (Transport Layer Security) ou SRTP (Secure Real-Time Transport Protocol) e que o fizessem, idealmente, sem aumentar as vendas para as principais medidas de segurança.

"Nem sempre procure o serviço mais barato; pode valer a pena pagar um prêmio por um VoIP mais seguro. Melhor ainda é quando você não precisa pagar um prêmio pela segurança em seus serviços em nuvem", disse Machado. "Como cliente, você deve ser capaz de habilitar o VoIP criptografado e pronto. Também é importante que o provedor esteja usando não apenas sinalização criptografada, mas também criptografando a mídia em repouso. As pessoas querem que suas conversas sejam privadas, e não acessem a Internet. com voz em texto sem formatação. Verifique se o fornecedor oferece suporte a esse nível de criptografia e se não vai custar mais."

NÃO: Misture suas LANs

No lado da rede da sua implantação, a maioria das organizações possui uma mistura de aparelhos e interfaces baseadas na nuvem. Muitos funcionários podem estar apenas usando um aplicativo móvel ou softphone VoIP, mas muitas vezes haverá uma mistura de telefones de mesa e de conferência conectados à rede VoIP. Para todos esses fatores de forma, Machado disse que é crucial não misturar fatores de forma e dispositivos conectados no mesmo design de rede.

"Você deseja configurar uma LAN de voz separada. Você não deseja que seus telefones de voz combinem na mesma rede com suas estações de trabalho e impressoras. Isso não é um bom design de rede", disse Machado. "Se você tiver, existem implicações problemáticas de segurança na linha. Não há razão para os seus espaços de trabalho conversarem entre si. Meu laptop não precisa conversar com o seu; não é o mesmo que um farm de servidores com aplicativos conversando com eles. bancos de dados ".

Em vez disso, Machado recomenda…

DO: configurar VLANs privadas

Uma VLAN privada (LAN virtual), como explicou Machado, permite que os gerentes de TI segmentem e controlem melhor sua rede. A VLAN privada atua como um único ponto de acesso e uplink para conectar o dispositivo a um roteador, servidor ou rede.

"Do ponto de vista da arquitetura de segurança do endpoint, as VLANs privadas são um bom design de rede, pois permitem ativar esse recurso no comutador que diz 'esta estação de trabalho não pode falar com a outra estação de trabalho'. Se você tem seus telefones VoIP ou dispositivos habilitados para voz na mesma rede que tudo o resto, isso não funciona ", disse Machado. "É importante configurar sua LAN de voz dedicada como parte de um projeto de segurança mais privilegiado".

NÃO: deixe seu VoIP fora do firewall

Seu telefone VoIP é um dispositivo de computação conectado à Ethernet. Como ponto de extremidade conectado, Machado disse que é importante que os clientes lembrem que, como qualquer outro dispositivo de computação, ele também precisa estar atrás do firewall corporativo.

"O telefone VoIP tem uma interface de usuário para que os usuários efetuem login e os administradores façam a administração do sistema no telefone. Nem todo telefone VoIP possui firmware para proteger contra ataques de força bruta", disse Machado. "Sua conta de e-mail será bloqueada após algumas tentativas, mas nem todos os telefones VoIP funcionam da mesma maneira. Se você não colocar um firewall na frente, é como abrir o aplicativo da web para qualquer pessoa na Internet que queira criar um script para um telefone. ataque de força bruta e faça login."

Gerenciamento de sistema VoIP

DO: altere suas senhas padrão

Independentemente do fabricante do qual você recebe seus aparelhos de VoIP, os dispositivos serão enviados com credenciais padrão, como qualquer outra peça de hardware fornecida com uma interface da Web. Para evitar o tipo de vulnerabilidades simples que levaram ao ataque DDoS da botnet Mirai, Machado disse que a coisa mais fácil a fazer é simplesmente alterar esses padrões.

"Os clientes precisam tomar medidas proativas para proteger seus telefones", disse Machado. "Altere as senhas padrão imediatamente ou, se o fornecedor gerenciar os pontos de extremidade do telefone para você, verifique se eles estão alterando essas senhas padrão em seu nome".

DO: Acompanhe seu uso

Seja um sistema de telefone na nuvem, sistema de voz local ou PBX, Machado disse que todos os serviços de VoIP têm uma superfície de ataque e, eventualmente, podem ser invadidos. Quando isso acontece, ele disse que um dos ataques mais comuns é a aquisição de contas (ATO), também conhecida como fraude de telecomunicações ou bombeamento de tráfego. Isso significa que, quando um sistema VoIP é invadido, o invasor tenta fazer chamadas que custam dinheiro ao proprietário. A melhor defesa é acompanhar o seu uso.

"Diga que você é um ator de ameaças. Você tem acesso a serviços de voz e está tentando fazer chamadas. Se a sua organização estiver assistindo ao seu uso, poderá identificar se há uma conta incomumente alta ou ver algo como um usuário no telefone por 45 minutos com um local para o qual nenhum funcionário tem motivo para ligar. É tudo uma questão de prestar atenção ", disse Machado.

"Se você está observando isso na nuvem (ou seja, não está usando um PBX tradicional ou VoIP local), converse com seu fornecedor perguntando o que você está fazendo para me proteger", acrescentou. "Existem botões e discagens que eu posso ativar e desativar em relação ao serviço? Você está monitorando fraudes de back-end ou análises de comportamento do usuário procurando um uso anômalo em meu nome? Essas são perguntas importantes a serem feitas."

NÃO: Tenha permissões de segurança amplas

No que diz respeito ao uso, uma maneira de limitar possíveis danos à ATO é desativar permissões e recursos que você sabe que sua empresa não precisa, apenas por precaução. Machado deu o chamado internacional como exemplo.

"Se sua empresa não precisar ligar para todas as partes do mundo, não ligue para todas as partes do mundo", afirmou ele. "Se você faz apenas negócios nos EUA, Canadá e México, deseja que todos os outros países estejam disponíveis para ligar ou faz sentido desligá-lo no caso da ATO? Não deixe nenhuma permissão abrangente para seus usuários para qualquer serviço de tecnologia e qualquer coisa que não seja necessária para o uso da sua empresa se qualifica como abrangente demais ".

NÃO: Esqueça as correções

Aplicar patches e manter-se atualizado com as atualizações é fundamental para qualquer tipo de software. Esteja você usando um softphone, um aplicativo móvel VoIP ou qualquer tipo de hardware com atualizações de firmware, Machado disse que esse é um acéfalo.

"Você está gerenciando seus próprios telefones VoIP? Se o fornecedor libera o firmware, teste e implanta-o rapidamente - eles geralmente lidam com patches de todos os tipos. Às vezes, os patches de segurança vêm de um fornecedor que gerencia o telefone em seu nome; nesse caso, não deixe de perguntar quem controla as correções e qual é o ciclo ", disse Machado.

DO: Habilitar autenticação forte

A autenticação forte de dois fatores e o investimento em gerenciamento de identidade mais pesado são outra prática de segurança inteligente. Além do VoIP, Machado disse que a autenticação é sempre um fator importante a ser implementado.

"Sempre ative autenticação forte. Isso não é diferente se você estiver acessando seu PBX na nuvem, seu e-mail ou seu CRM. Procure esses recursos e use-os", disse Machado. "Não estamos falando apenas de telefones em sua mesa; estamos falando de aplicativos da Web e de todas as diferentes partes do serviço. Entenda como as peças se juntam e protegem cada peça por vez".