Mục lục:
Video: How to Set Up a VoIP Phone (Tháng Chín 2024)
Bảo mật là điều bắt buộc đối với mọi dịch vụ dựa trên đám mây được cắm vào doanh nghiệp của bạn và các vectơ tấn công phát triển mỗi ngày. Đối với một ứng dụng kết nối internet như ứng dụng Thoại qua IP (VoIP) đóng vai trò là trung tâm liên lạc doanh nghiệp của bạn, các biện pháp bảo mật từ trong ra ngoài thậm chí còn cấp thiết hơn, đặc biệt là cần biết những thực tiễn và vấn đề cần tránh.
Cho dù nó đảm bảo xác thực người dùng và cấu hình mạng an toàn hay cho phép mã hóa đầu cuối trong tất cả lưu trữ và truyền dữ liệu VoIP, các tổ chức cần phải siêng năng trong việc giám sát quản lý CNTT và làm việc chặt chẽ với nhà cung cấp VoIP kinh doanh của họ để đảm bảo rằng các yêu cầu bảo mật đang được thực hiện gặp gỡ và thi hành
Michael Machado, Giám đốc an ninh (CSO) tại RingCentral, giám sát bảo mật cho tất cả các dịch vụ VoIP và đám mây của RingCentral. Machado đã dành 15 năm qua cho CNTT và bảo mật đám mây, đầu tiên là kiến trúc sư bảo mật và quản lý hoạt động tại WebEx, sau đó tại Cisco sau khi công ty mua dịch vụ hội nghị video.
Cân nhắc bảo mật trong giao tiếp VoIP của công ty bạn bắt đầu trong giai đoạn nghiên cứu và mua trước khi bạn thậm chí chọn nhà cung cấp VoIP và kiên trì thực hiện và quản lý. Machado đi qua toàn bộ quá trình từ góc độ bảo mật, dừng lại để giải thích nhiều việc nên làm và không dành cho các doanh nghiệp thuộc mọi quy mô trên đường đi.
Chọn nhà cung cấp VoIP của bạn
KHÔNG: Bỏ qua mô hình bảo mật được chia sẻ
Cho dù bạn là doanh nghiệp nhỏ hay doanh nghiệp lớn, điều đầu tiên bạn cần hiểu là độc lập ngay cả VoIP và Truyền thông hợp nhất (UCaaS) mà tất cả các dịch vụ đám mây nói chung cần phải có bảo mật chung mô hình. Machado cho biết, với tư cách là khách hàng, doanh nghiệp của bạn luôn chia sẻ một số trách nhiệm trong việc triển khai an toàn tất cả các dịch vụ đám mây mà bạn đang áp dụng.
"Đó là chìa khóa để khách hàng hiểu, đặc biệt là khi một công ty nhỏ hơn và có ít tài nguyên hơn", Machado nói. "Mọi người nghĩ VoIP là một thiết bị cơ học được kết nối với đường dây đồng. Không phải vậy. Điện thoại VoIP, cho dù đó là điện thoại vật lý, máy tính có phần mềm chạy hay ứng dụng di động hay ứng dụng điện thoại mềm, nó không giống như một chiếc điện thoại cơ học được cắm vào PSTN. Nó không giống như một chiếc điện thoại thông thường. Bạn sẽ có một số trách nhiệm trong việc đảm bảo an ninh có một vòng khép kín giữa khách hàng và nhà cung cấp. "
DO: Nhà cung cấp do siêng năng
Khi bạn hiểu rằng trách nhiệm được chia sẻ và muốn áp dụng dịch vụ VoIP trên đám mây, sẽ rất hợp lý khi bạn chọn nhà cung cấp của mình. Tùy thuộc vào quy mô của bạn và chuyên môn bạn có trong đội ngũ nhân viên, Machado giải thích cách các doanh nghiệp và doanh nghiệp vừa và nhỏ (SMB) có thể thực hiện việc này theo những cách khác nhau.
Machado nói: "Nếu bạn là một công ty lớn có thể dành thời gian cho sự chuyên cần, bạn có thể đưa ra một danh sách các câu hỏi để hỏi mọi nhà cung cấp, xem xét báo cáo kiểm toán của họ và có một vài cuộc họp để thảo luận về bảo mật". . "Nếu bạn là một doanh nghiệp nhỏ, bạn có thể không có chuyên môn để phân tích báo cáo kiểm toán SOC 2 hoặc thời gian để đầu tư vào một cuộc thảo luận nâng hạng nặng.
"Thay vào đó, bạn có thể xem những thứ như báo cáo Magic Quadrant của Gartner và xem liệu họ có sẵn báo cáo SOC 1 hoặc SOC 2 hay không, ngay cả khi bạn không có thời gian hoặc chuyên môn để đọc và hiểu nó, " Machado giải thích. "Báo cáo kiểm toán là một dấu hiệu tốt cho thấy các công ty đầu tư mạnh vào bảo mật so với các công ty không có. Bạn cũng có thể tìm kiếm báo cáo SOC 3 ngoài SOC 2. Đây là phiên bản nhẹ, giống như chứng nhận của cùng tiêu chuẩn. Đây là những điều bạn có thể tìm kiếm khi là một doanh nghiệp nhỏ để bắt đầu đi đúng hướng về an ninh. "
NÊN: Đàm phán các điều khoản bảo mật trong hợp đồng của bạn
Bây giờ bạn đang ở thời điểm mà bạn đã chọn một nhà cung cấp VoIP và bạn đang xem xét khả năng đưa ra quyết định mua hàng. Machado khuyến nghị rằng, bất cứ khi nào có thể, các doanh nghiệp nên cố gắng có được các thỏa thuận và điều khoản bảo mật rõ ràng bằng văn bản khi đàm phán hợp đồng với một nhà cung cấp đám mây.
"Công ty nhỏ, công ty lớn, không thành vấn đề. Công ty càng nhỏ, bạn sẽ càng ít quyền lực để đàm phán các điều khoản cụ thể đó nhưng đó là một kịch bản 'đừng hỏi, đừng hiểu', " Machado nói. "Xem những gì bạn có thể nhận được trong các thỏa thuận của nhà cung cấp liên quan đến nghĩa vụ bảo mật từ nhà cung cấp."
Triển khai các biện pháp bảo mật VoIP
NÊN: Sử dụng các dịch vụ VoIP được mã hóa
Khi nói đến việc triển khai, Machado cho biết không có lý do gì để dịch vụ VoIP hiện đại không cung cấp mã hóa đầu cuối. Machado khuyến nghị các tổ chức nên tìm kiếm các dịch vụ hỗ trợ mã hóa Giao thức bảo mật lớp vận chuyển (TLS) hoặc bảo mật giao thức thời gian thực bảo mật (SRTP) và thực hiện điều đó một cách lý tưởng mà không cần bán lại các biện pháp bảo mật cốt lõi.
Machado nói: "Đừng luôn luôn sử dụng dịch vụ rẻ nhất; có thể đáng để trả phí cho một VoIP an toàn hơn. Thậm chí tốt hơn là khi bạn không phải trả phí bảo mật cho các dịch vụ đám mây của mình". "Là một khách hàng, bạn chỉ cần có thể kích hoạt VoIP được mã hóa và tắt đi. Điều quan trọng nữa là nhà cung cấp không chỉ sử dụng tín hiệu được mã hóa mà còn mã hóa phương tiện khi nghỉ ngơi. Mọi người muốn cuộc trò chuyện của họ ở chế độ riêng tư, không truy cập internet với giọng nói văn bản đơn giản. Hãy chắc chắn rằng nhà cung cấp của bạn sẽ hỗ trợ mức mã hóa đó và điều đó sẽ không làm bạn tốn thêm tiền. "
ĐỪNG: Trộn mạng LAN của bạn
Về phía mạng triển khai của bạn, hầu hết các tổ chức đều có sự kết hợp giữa thiết bị cầm tay và giao diện dựa trên đám mây. Nhiều nhân viên có thể chỉ đang sử dụng một ứng dụng di động VoIP hoặc điện thoại mềm, nhưng thường sẽ có sự kết hợp giữa điện thoại bàn và điện thoại hội nghị được kết nối với mạng VoIP. Đối với tất cả các yếu tố hình thức đó, Machado cho biết điều quan trọng là không trộn lẫn các yếu tố hình thức và các thiết bị được kết nối trong cùng một thiết kế mạng.
Machado nói: "Bạn muốn thiết lập một mạng LAN thoại riêng. Bạn không muốn điện thoại có giọng nói cứng của mình kết hợp trên cùng một mạng với máy trạm và máy in của bạn. Đó không phải là thiết kế mạng tốt". "Nếu bạn có, có vấn đề bảo mật có vấn đề ở bên dưới. Không có lý do gì để không gian làm việc của bạn nói chuyện với nhau. Máy tính xách tay của tôi không cần nói chuyện với bạn, nó không giống như một trang trại máy chủ có ứng dụng nói chuyện với cơ sở dữ liệu. "
Thay vào đó, Machado khuyên bạn nên
NÊN: Thiết lập Vlan riêng
Một Vlan riêng (LAN ảo), như Machado đã giải thích, cho phép các nhà quản lý CNTT phân khúc tốt hơn và kiểm soát mạng của bạn. Vlan riêng hoạt động như một điểm truy cập và đường lên duy nhất để kết nối thiết bị với bộ định tuyến, máy chủ hoặc mạng.
"Từ góc độ kiến trúc bảo mật điểm cuối, Vlan riêng là một thiết kế mạng tốt vì chúng cho bạn khả năng bật tính năng này trên công tắc có nội dung 'máy trạm này không thể nói chuyện với máy trạm khác.' Nếu bạn có điện thoại VoIP hoặc thiết bị hỗ trợ giọng nói trên cùng một mạng với mọi thứ khác, điều đó không hoạt động, "Machado nói. "Điều quan trọng là thiết lập mạng LAN thoại chuyên dụng của bạn như một phần của thiết kế bảo mật đặc quyền hơn."
KHÔNG: Để VoIP của bạn bên ngoài tường lửa
Điện thoại VoIP của bạn là một thiết bị điện toán được cắm vào Ethernet. Là một điểm cuối được kết nối, Machado cho biết điều quan trọng đối với khách hàng là phải nhớ rằng, giống như bất kỳ thiết bị điện toán nào khác, nó cũng cần phải đứng sau tường lửa của công ty.
"Điện thoại VoIP có giao diện người dùng để người dùng đăng nhập và quản trị viên thực hiện quản trị hệ thống trên điện thoại. Không phải mọi điện thoại VoIP đều có chương trình cơ sở để bảo vệ chống lại các cuộc tấn công vũ phu", Machado nói. "Tài khoản email của bạn sẽ bị khóa sau một vài lần thử, nhưng không phải mọi điện thoại VoIP đều hoạt động theo cùng một cách. Nếu bạn không đặt tường lửa trước nó, thì giống như mở ứng dụng web đó cho bất kỳ ai trên internet muốn viết kịch bản tấn công vũ phu và đăng nhập. "
Quản lý hệ thống VoIP
NÊN: Thay đổi mật khẩu mặc định của bạn
Bất kể nhà sản xuất nào bạn nhận thiết bị cầm tay VoIP của bạn, các thiết bị sẽ xuất xưởng với thông tin xác thực mặc định giống như bất kỳ phần cứng nào khác đi kèm với giao diện người dùng web. Để tránh các loại lỗ hổng đơn giản dẫn đến cuộc tấn công DDoS botnet Mirai, Machado cho biết điều dễ nhất chỉ đơn giản là thay đổi các mặc định đó.
"Khách hàng cần thực hiện các bước chủ động để bảo mật điện thoại của họ", Machado nói. "Thay đổi mật khẩu mặc định ngay lập tức hoặc, nếu nhà cung cấp của bạn quản lý các điểm cuối điện thoại cho bạn, hãy đảm bảo rằng họ thay đổi các mật khẩu mặc định đó thay cho bạn."
NÊN: Theo dõi việc sử dụng của bạn
Cho dù đó là hệ thống điện thoại đám mây, hệ thống thoại tại chỗ hay tổng đài nhánh riêng (PBX), Machado nói rằng tất cả các dịch vụ VoIP đều có bề mặt tấn công và cuối cùng có thể bị hack. Khi điều đó xảy ra, ông nói một trong những cuộc tấn công điển hình nhất là chiếm đoạt tài khoản (ATO), còn được gọi là gian lận viễn thông hoặc bơm lưu lượng. Điều này có nghĩa là, khi một hệ thống VoIP bị hack, kẻ tấn công cố gắng thực hiện các cuộc gọi có chi phí đó cho chủ sở hữu. Cách phòng thủ tốt nhất là theo dõi việc sử dụng của bạn.
"Giả sử bạn là một diễn viên đe dọa. Bạn đã có quyền truy cập vào các dịch vụ thoại và bạn đang cố gắng thực hiện cuộc gọi. Nếu tổ chức của bạn đang theo dõi việc sử dụng nó, bạn sẽ có thể phát hiện ra nếu có hóa đơn cao bất thường hoặc xem một cái gì đó giống như một người dùng trên điện thoại trong 45 phút với một vị trí mà không nhân viên nào có lý do để gọi. Đó là tất cả về sự chú ý, "Machado nói.
"Nếu bạn đang sử dụng điện toán đám mây này (nghĩa là không sử dụng tổng đài truyền thống hoặc VoIP tại chỗ), thì hãy nói chuyện với nhà cung cấp của bạn để hỏi bạn đang làm gì để bảo vệ tôi", ông nói thêm. "Có nút bấm và quay số nào tôi có thể bật và tắt liên quan đến dịch vụ không? Bạn có đang thực hiện giám sát gian lận hoặc phân tích hành vi người dùng đang tìm kiếm cách sử dụng bất thường thay cho tôi không? Đây là những câu hỏi quan trọng."
KHÔNG: Có quyền bảo mật quá rộng
Về vấn đề sử dụng, một cách để hạn chế thiệt hại ATO tiềm năng là tắt các quyền và tính năng mà bạn biết doanh nghiệp của mình không cần, chỉ trong trường hợp. Machado đã gọi quốc tế là một ví dụ.
"Nếu doanh nghiệp của bạn không cần gọi tất cả các nơi trên thế giới, thì đừng bật gọi đến tất cả các nơi trên thế giới", ông nói. "Nếu bạn chỉ kinh doanh ở Mỹ, Canada và Mexico, bạn có muốn mọi quốc gia khác sẵn sàng gọi điện hay không, có nghĩa là tắt nó trong trường hợp ATO không? Đừng để lại bất kỳ quyền quá rộng nào cho người dùng của bạn cho bất kỳ dịch vụ công nghệ nào và bất kỳ thứ gì không cần thiết cho doanh nghiệp của bạn đều được coi là quá rộng. "
ĐỪNG: Quên về Patching
Vá và giữ bản cập nhật với các bản cập nhật là rất quan trọng với bất kỳ loại phần mềm nào. Cho dù bạn đang sử dụng điện thoại mềm, ứng dụng di động VoIP hay bất kỳ loại phần cứng nào có cập nhật chương trình cơ sở, Machado cho biết đây là một sản phẩm không có trí tuệ.
"Bạn có đang quản lý điện thoại VoIP của riêng mình không? Nếu nhà cung cấp phát hành chương trình cơ sở, hãy kiểm tra và triển khai nhanh chóng. Những thứ này thường xử lý các bản vá của tất cả các loại. Đôi khi, các bản vá bảo mật đến từ một nhà cung cấp quản lý điện thoại thay cho bạn, trong trường hợp đó, hãy chắc chắn để hỏi ai kiểm soát việc vá lỗi và chu kỳ là gì, "Machado nói.
NÊN: Kích hoạt xác thực mạnh
Xác thực hai yếu tố mạnh mẽ và đầu tư vào quản lý danh tính nặng hơn là một thực tiễn bảo mật thông minh khác. Ngoài VoIP, Machado cho biết xác thực luôn là một yếu tố quan trọng cần phải có.
"Luôn luôn bật xác thực mạnh. Điều đó không khác gì nếu bạn đăng nhập vào tổng đài điện toán đám mây hoặc email hoặc CRM của bạn. Hãy tìm các tính năng đó và sử dụng chúng", Machado nói. "Chúng tôi không chỉ nói về điện thoại trên bàn của bạn, chúng tôi đang nói về các ứng dụng web và tất cả các phần khác nhau của dịch vụ. Hiểu cách các phần kết hợp với nhau và bảo mật lần lượt từng phần."
