دوس وما يترك لتأمين الاتصالات عبر بروتوكول الإنترنت

الأمان أمر ضروري لكل خدمة مستندة إلى مجموعة النظراء متصلة بعملك ، ويتطور متجهات الهجوم كل يوم. بالنسبة لتطبيق الاتصال عبر الإنترنت مثل تطبيق Voice-over-IP (VoIP) الذي يعمل كمحور لاتصالات مؤسستك ، فإن الإجراءات الأمنية الداخلية أكثر إلحاحًا ، لا سيما معرفة الممارسات والمجالات التي يجب تجنبها.

سواء أكنت تضمن مصادقة مستخدم آمنة وتكوين شبكة أو تمكين تشفير من طرف إلى آخر في جميع الاتصالات عبر بروتوكول الإنترنت وتخزين البيانات ، يجب على المؤسسات أن تكون حريصة على كل من الإشراف على إدارة تكنولوجيا المعلومات والعمل بشكل وثيق مع موفر خدمة الصوت عبر بروتوكول الإنترنت للأعمال الخاصة بهم لضمان تلبية متطلبات الأمان التقى وفرض.

يشرف مايكل ماتشادو ، كبير ضباط الأمن (CSO) في RingCentral ، على الأمن لجميع خدمات السحاب و VoIP في RingCentral. قضى Machado السنوات الخمس عشرة الماضية في مجال تكنولوجيا المعلومات والأمن السحابي ، أولاً كمهندس أمن ومدير عمليات في WebEx ، ثم في Cisco بعد أن حصلت الشركة على خدمة مؤتمرات الفيديو.

تبدأ اعتبارات الأمان في اتصالات VoIP الخاصة بشركتك في مرحلة البحث والشراء حتى قبل تحديد موفر VoIP ، وتستمر خلال التنفيذ والإدارة. تخطى ماتشادو العملية برمتها من منظور أمني ، متوقفًا لشرح الكثير من الأعمال والقيام بالأعمال التجارية من جميع الأحجام على طول الطريق.

اختيار مزود الصوت عبر بروتوكول الإنترنت

لا: أهمل نموذج الأمان المشترك

سواء كنت شركة صغيرة أو مؤسسة كبيرة ، فإن أول ما تحتاج إلى فهمه - بغض النظر عن بروتوكول VoIP والاتصالات الموحدة كخدمة (UCaaS) - هو أن جميع الخدمات السحابية بشكل عام تحتاج إلى أمان مشترك نموذج. قال ماتشادو إن عملك ، بصفتك العميل ، يشارك دائمًا بعض المسؤولية في التنفيذ الآمن لجميع الخدمات السحابية التي تعتمدها.

وقال ماتشادو "من المهم للعملاء أن يفهموا ، خاصة عندما تكون الشركة أصغر حجماً ولديها موارد أقل". "يعتقد الناس أن VoIP عبارة عن جهاز ميكانيكي متصل بخط نحاسي. إنه ليس كذلك. هاتف VoIP ، سواء كان جهازًا فعليًا أو كمبيوترًا يعمل به برنامج أو تشغيله أو تطبيقًا للهاتف المحمول أو تطبيق softphone ، إنه ليس نفس الشيء مثل هاتف ميكانيكي موصول بشبكة PSTN. إنه ليس مثل الهاتف العادي ، فستتحمل بعض المسؤولية عن التأكد من أن حلقة الأمان مغلقة بين العميل والبائع."

القيام: البائع العناية الواجبة

بمجرد أن تفهم هذه المسؤولية المشتركة وتريد اعتماد خدمة VoIP السحابية ، فمن المنطقي أن تبذل العناية الواجبة عند اختيار البائع الخاص بك. بناءً على حجمك وخبرتك في مجال الموظفين ، أوضح ماتشادو كيف يمكن للمؤسسات والشركات الصغيرة والمتوسطة الحجم القيام بذلك بطرق مختلفة.

وقال ماتشادو "إذا كنت شركة كبيرة تستطيع أن تقضي وقتًا في العناية الواجبة ، فيمكنك الخروج بقائمة من الأسئلة لطرحها على كل بائع ومراجعة تقرير التدقيق الخاص بهم وعقد اجتماعات قليلة لمناقشة الأمان".. "إذا كنت شركة صغيرة ، فقد لا تملك الخبرة لتحليل تقرير تدقيق SOC 2 أو الوقت المناسب للاستثمار في نقاش كبير.

"بدلاً من ذلك ، يمكنك إلقاء نظرة على أشياء مثل تقرير غارتنر ماجيك كوادرانت ، ومعرفة ما إذا كان لديهم تقرير SOC 1 أو SOC 2 ، حتى إذا لم يكن لديك الوقت أو الخبرة لقراءة ذلك وفهمه" ، ماتشادو شرح. "يعد تقرير التدقيق مؤشراً جيداً على قيام الشركات باستثمار قوي في مجال الأمن مقابل الشركات التي لا تفعل ذلك. يمكنك أيضًا البحث عن تقرير SOC 3 بالإضافة إلى SOC 2. إنه إصدار خفيف الوزن يشبه شهادة نفس المعايير. هذه هي الأشياء التي يمكنك البحث عنها كشركة صغيرة لبدء التحرك في الاتجاه الصحيح فيما يتعلق بالأمان."

افعل: التفاوض بشأن شروط الأمن في العقد الخاص بك

أنت الآن في النقطة التي حددت فيها بائع VoIP وتفكر في إمكانية اتخاذ قرار شراء. أوصى ماتشادو بأنه ، كلما أمكن ذلك ، ينبغي أن تحاول الشركات الحصول على اتفاقيات وشروط أمنية صريحة كتابة عند التفاوض على عقد مع بائع سحابي.

وقال ماتشادو "شركة صغيرة ، شركة كبيرة ، لا يهم. فكلما كانت الشركة أصغر ، قلت قدرتك على التفاوض بشأن هذه الشروط المحددة ولكنها سيناريو" لا تسأل ، لا تحصل ". "راجع ما يمكنك الحصول عليه في اتفاقيات البائعين الخاصة بك فيما يتعلق بالتزامات الأمان من البائع."

نشر تدابير الأمن عبر بروتوكول الإنترنت

القيام: استخدام خدمات الصوت عبر بروتوكول الإنترنت المشفرة

عندما يتعلق الأمر بالنشر ، قال ماتشادو إنه لا يوجد عذر لخدمة VoIP الحديثة لعدم تقديم التشفير من طرف إلى طرف. أوصى Machado المؤسسات بالبحث عن الخدمات التي تدعم تشفير أمان طبقة النقل (TLS) أو تشفير بروتوكول النقل الآني في الوقت الحقيقي (SRTP) ، والتي تقوم بذلك ، من الناحية المثالية ، دون التشديد على التدابير الأمنية الأساسية.

وقال ماتشادو "لا تذهب دائمًا لأرخص خدمة ؛ فقد يكون من المجدي دفع علاوة مقابل خدمة نقل الصوت عبر الإنترنت (VoIP) الأكثر أمانًا. والأفضل من ذلك هو أنه عندما لا تضطر إلى دفع قسط تأمين مقابل خدمات السحابة الخاصة بك". "كعميل ، يجب أن تكون قادرًا فقط على تمكين بروتوكول VoIP المشفر وإيقاف تشغيله. من المهم أيضًا أن يستخدم الموفر ليس فقط الإشارات المشفرة ولكن أيضًا تشفير الوسائط في الراحة. يريد الناس أن تكون محادثاتهم خاصة ، وليس عبور الإنترنت بصوت نص عادي. تأكد من دعم البائع لهذا المستوى من التشفير وأنه لن يكلفك أكثر."

لا: خلط شبكات LAN الخاصة بك

على جانب الشبكة لنشرك ، تمتلك معظم المؤسسات مزيجًا من الهواتف والواجهات المستندة إلى مجموعة النظراء. قد يستخدم العديد من الموظفين فقط تطبيق الهاتف المحمول عبر بروتوكول الإنترنت أو الهاتف المحمول ، ولكن غالبًا ما يكون هناك مزيج من الهواتف المكتبية وهواتف المؤتمرات المتصلة بشبكة الاتصال الصوتي عبر الإنترنت. بالنسبة لجميع عوامل الشكل هذه ، قال ماتشادو إنه من الضروري عدم خلط عوامل الشكل والأجهزة المتصلة داخل نفس تصميم الشبكة.

وقال ماتشادو "تريد إعداد شبكة محلية منفصلة للصوت. لا تريد أن تتداخل هواتفك ذات الصوت الصلب على نفس الشبكة مع محطات العمل والطابعات. هذا ليس تصميم شبكة جيدًا". "إذا كان لديك ، فهناك تداعيات أمنية إشكالية أسفل الخط. لا يوجد سبب لأن تكون مساحات العمل الخاصة بك تتحدث مع بعضها البعض. لا يحتاج الكمبيوتر المحمول إلى التحدث معكم ؛ إنه ليس مثل مزرعة الخوادم مع التطبيقات التي تتحدث إلى قواعد بيانات."

بدلاً من ذلك ، يوصي ماتشادو…

القيام: إعداد شبكات محلية ظاهرية خاصة

شبكة محلية ظاهرية خاصة (LAN ظاهرية) ، كما أوضح ماتشادو ، تتيح لمديري تكنولوجيا المعلومات تقسيم أفضل والتحكم في شبكتك. تعمل شبكة VLAN الخاصة كنقطة وصول ووصلة واحدة لتوصيل الجهاز بموجه أو خادم أو شبكة.

"من منظور بنية أمان نقطة النهاية ، تعد شبكات VLAN الخاصة تصميمًا جيدًا للشبكة لأنها تمنحك القدرة على تشغيل هذه الميزة على المحول الذي يقول" لا يمكن لمحطة العمل هذه التحدث إلى محطة العمل الأخرى. " إذا كان لديك هواتف VoIP أو أجهزة تدعم الصوت على نفس الشبكة مثل أي شيء آخر ، فإن ذلك لن ينجح "، قال ماتشادو. "من المهم إعداد شبكة LAN الصوتية الخاصة بك كجزء من تصميم أمان أكثر امتيازًا."

لا: اترك الصوت عبر بروتوكول الإنترنت خارج جدار الحماية

هاتف VoIP الخاص بك هو جهاز حوسبي متصل بشبكة Ethernet. كنقطة نهاية متصلة ، قال ماتشادو إنه من المهم للعملاء أن يتذكروا أنه ، مثله مثل أي جهاز كمبيوتر آخر ، يحتاج أيضًا أن يكون وراء جدار حماية الشركة.

وقال ماتشادو "يحتوي هاتف VoIP على واجهة مستخدم للمستخدمين لتسجيل الدخول وللمدراء للقيام بإدارة النظام على الهاتف. ليس لكل هاتف VoIP برامج ثابتة للحماية من هجمات القوة الغاشمة". "سيتم قفل حساب البريد الإلكتروني الخاص بك بعد عدة محاولات ، ولكن لا يعمل كل هاتف VoIP بنفس الطريقة. إذا لم تضع جدار حماية أمامه ، فسيكون مثل فتح تطبيق الويب هذا لأي شخص على الإنترنت يرغب في كتابة نص هجوم القوة الغاشمة وتسجيل الدخول ".

إدارة نظام VoIP

DO: تغيير كلمات المرور الافتراضية الخاصة بك

بغض النظر عن الشركة المصنعة التي تتلقى منها أجهزة VoIP الخاصة بك ، ستشحن الأجهزة ببيانات الاعتماد الافتراضية مثل أي قطعة أخرى من الأجهزة تأتي مع واجهة مستخدم ويب. لتجنب هذا النوع من الثغرات البسيطة التي أدت إلى هجوم Mirai botnet DDoS ، قال ماتشادو إن أسهل شيء فعله هو ببساطة تغيير تلك الإعدادات الافتراضية.

وقال ماتشادو "يحتاج العملاء إلى اتخاذ خطوات استباقية لتأمين هواتفهم". "تغيير كلمات المرور الافتراضية على الفور أو ، إذا كان البائع الخاص بك يدير نقاط نهاية الهاتف نيابة عنك ، فتأكد من تغيير كلمات المرور الافتراضية هذه نيابة عنك."

القيام به: تتبع استخدامك

سواءً كان نظامًا سحابيًا للهاتف أو نظامًا صوتيًا داخليًا أو تبادل فرع خاص (PBX) ، قال ماتشادو إن جميع خدمات الصوت عبر بروتوكول الإنترنت (VoIP) لها سطح هجوم وقد تتعرض للاختراق في نهاية المطاف. عندما يحدث ذلك ، قال إن أحد أكثر الهجمات شيوعًا هو الاستيلاء على الحساب (ATO) ، المعروف أيضًا باسم احتيال الاتصالات أو ضخ حركة المرور. هذا يعني أنه عندما يتم اختراق نظام VoIP ، يحاول المهاجم إجراء مكالمات تكلف مال المالك. أفضل دفاع هو تتبع استخدامك.

"قل أنك فاعل تهديد. لديك إمكانية الوصول إلى الخدمات الصوتية وتحاول إجراء مكالمات. إذا كانت مؤسستك تراقب استخدامه ، فستتمكن من اكتشاف ما إذا كانت هناك فاتورة مرتفعة أو غير عادية قال ماتشادو "شيء مثل مستخدم على الهاتف لمدة 45 دقيقة مع موقع لا يوجد لديه أي سبب للاتصال به. الأمر كله يتعلق بالاهتمام".

وأضاف "إذا كنت تتعجب في هذا (بمعنى ، لا تستخدم PBX التقليدي أو VoIP المحلي) ، فقم بإجراء محادثة مع البائع الخاص بك تسأل عما تفعله لحمايتي". "هل هناك مقابض وأرقام هاتفية يمكنني تشغيلها وإيقافها فيما يتعلق بالخدمة؟ هل تقوم بمراقبة الاحتيال الخلفية أو تحليلات سلوك المستخدم التي تبحث عن الاستخدام الشاذ نيابة عني؟ هذه أسئلة مهمة يجب طرحها."

لا: لديك أذونات أمان شاملة

فيما يتعلق بموضوع الاستخدام ، تتمثل إحدى طرق الحد من تلف ATO المحتمل في إيقاف تشغيل الأذونات والميزات التي تعرف أن نشاطك التجاري لا يحتاجها ، فقط في حالة حدوث ذلك. أعطى ماتشادو الاتصال الدولي كمثال.

وقال "إذا كان عملك لا يحتاج إلى الاتصال بجميع أنحاء العالم ، فلا تقم بتشغيل الاتصال بجميع أنحاء العالم". "إذا كنت تمارس نشاطًا تجاريًا في الولايات المتحدة وكندا والمكسيك فقط ، فهل تريد أن تتاح لكل دولة أخرى الاتصال بها أم أنه من المنطقي إغلاقها في حالة ATO؟ لا تترك أي أذونات واسعة النطاق لـ المستخدمين لديك لأي خدمة تقنية ، وأي شيء ليس ضروريًا لاستخدامك التجاري يعد مؤلفًا من نطاق واسع."

لا: ننسى الترقيع

يعد تحديث البرامج والحفاظ عليها محدثًا في أي نوع من البرامج. سواء كنت تستخدم جهاز softphone ، أو تطبيق VoIP للجوال ، أو أي نوع من الأجهزة مع تحديثات البرامج الثابتة ، قال Machado إن هذا الجهاز لا يحتاج إلى تفكير.

"هل تدير هواتف VoIP الخاصة بك؟ إذا أصدر البائع برامج ثابتة ، اختبرها ونشرها بسرعة - وغالبًا ما تتعامل مع تصحيحات من جميع الأنواع. في بعض الأحيان ، تأتي تصحيحات الأمان من بائع يدير الهاتف نيابة عنك ، وفي هذه الحالة ، تأكد من سؤال من يتحكم في الترقيع وما هي الدورة ".

DO: تمكين المصادقة القوية

تعد المصادقة القوية ثنائية العامل والاستثمار في إدارة الهوية الأثقل ممارسة أمنية ذكية أخرى. وراء مجرد الصوت عبر بروتوكول الإنترنت ، قال ماتشادو المصادقة هي دائما عاملا هاما ليكون في المكان.

وقال ماتشادو "قم دائمًا بتشغيل مصادقة قوية. هذا لا يختلف إذا كنت تقوم بتسجيل الدخول إلى السحابة PBX أو بريدك الإلكتروني أو CRM الخاص بك. ابحث عن تلك الميزات واستخدمها". "نحن لا نتحدث فقط عن الهواتف على مكتبك ؛ نحن نتحدث عن تطبيقات الويب وجميع الأجزاء المختلفة من الخدمة. تفهم كيف تتجمع القطع وتؤمن كل قطعة بدورها."