Lo que se debe y no se debe hacer para asegurar sus comunicaciones voip

La seguridad es una necesidad para todos los servicios basados ​​en la nube que están conectados a su negocio, y los vectores de ataque evolucionan todos los días. Para una aplicación de conexión a Internet como una aplicación de Voz sobre IP (VoIP) que sirve como el centro de las comunicaciones de su empresa, las medidas de seguridad de adentro hacia afuera son aún más imperativas, particularmente saber qué prácticas y áreas problemáticas evitar.

Ya sea para garantizar la autenticación segura de los usuarios y la configuración de la red o para habilitar el cifrado de extremo a extremo en todas las comunicaciones VoIP y el almacenamiento de datos, las organizaciones deben ser diligentes para supervisar la gestión de TI y trabajar estrechamente con su proveedor de VoIP empresarial para garantizar que se cumplan los requisitos de seguridad cumplido y forzado.

Michael Machado, Director de Seguridad (CSO) en RingCentral, supervisa la seguridad de todos los servicios de VoIP y la nube de RingCentral. Machado ha pasado los últimos 15 años en TI y seguridad en la nube, primero como arquitecto de seguridad y gerente de operaciones en WebEx, y luego en Cisco después de que la compañía adquirió el servicio de videoconferencia.

Las consideraciones de seguridad en las comunicaciones VoIP de su empresa comienzan en la etapa de investigación y compra incluso antes de seleccionar un proveedor de VoIP, y persisten durante la implementación y la administración. Machado recorrió todo el proceso desde una perspectiva de seguridad, deteniéndose para explicar muchas cosas que hacer y no hacer para empresas de todos los tamaños en el camino.

Selección de su proveedor de VoIP

NO HAGA: descuidar el modelo de seguridad compartida

Ya sea que sea una pequeña empresa o una gran empresa, lo primero que debe comprender, independientemente de VoIP y Unified Communications-as-a-Service (UCaaS), es que todos los servicios en la nube en general necesitan tener una seguridad compartida modelo. Machado dijo que, como cliente, su empresa siempre comparte cierta responsabilidad en la implementación segura de todos los servicios en la nube que está adoptando.

"Es clave que los clientes lo entiendan, especialmente cuando una empresa es más pequeña y tiene menos recursos", dijo Machado. "La gente piensa que VoIP es un dispositivo mecánico conectado a una línea de cobre. No lo es. Un teléfono VoIP, ya sea un teléfono físico, una computadora con software o no, una aplicación móvil o una aplicación softphone, no es lo mismo que un teléfono mecánico conectado a la PSTN. No es como un teléfono normal: tendrá la responsabilidad de asegurarse de que la seguridad tenga un circuito cerrado entre el cliente y el proveedor ".

DO: Diligencia debida del vendedor

Una vez que comprenda esa responsabilidad compartida y desee adoptar un servicio de VoIP en la nube, tiene sentido hacer su debida diligencia al seleccionar su proveedor. Dependiendo de su tamaño y la experiencia que tenga en el personal, Machado explicó cómo las empresas y las pequeñas y medianas empresas (PYMES) pueden hacer esto de diferentes maneras.

"Si usted es una gran empresa que puede permitirse el lujo de dedicar el tiempo a la diligencia debida, puede hacer una lista de preguntas para cada proveedor, revisar su informe de auditoría y tener algunas reuniones para discutir la seguridad", dijo Machado. "Si es una pequeña empresa, es posible que no tenga la experiencia para analizar un informe de auditoría de SOC 2 o el tiempo para invertir en una discusión de gran envergadura.

"En cambio, puede ver cosas como el informe del Cuadrante Mágico de Gartner y ver si tienen un informe SOC 1 o SOC 2 disponible, incluso si no tiene el tiempo o la experiencia para leerlo y comprenderlo", dijo Machado. explicado. "El informe de auditoría es una buena indicación de que las compañías están haciendo una fuerte inversión en seguridad frente a las compañías que no lo están. También puede buscar un informe SOC 3 además del SOC 2. Es una versión ligera, similar a la certificación, de los mismos estándares. Estas son las cosas que puede buscar como una pequeña empresa para comenzar a moverse en la dirección correcta en materia de seguridad ".

HACER: negociar los términos de seguridad en su contrato

Ahora está en el punto en el que seleccionó un proveedor de VoIP y está considerando la posibilidad de tomar una decisión de compra. Machado recomendó que, siempre que sea posible, las empresas deben tratar de obtener acuerdos y términos de seguridad explícitos por escrito al negociar un contrato con un proveedor de la nube.

"Una pequeña empresa, una gran empresa, no importa. Cuanto más pequeña sea la empresa, menos poder tendrá para negociar esos términos específicos, pero es un escenario de 'no preguntar, no obtener'", dijo Machado. "Vea lo que puede obtener en sus acuerdos de proveedor con respecto a las obligaciones de seguridad del proveedor".

Implementación de medidas de seguridad VoIP

HACER: utilizar servicios de VoIP cifrados

Cuando se trata de la implementación, Machado dijo que no hay excusa para que un servicio moderno de VoIP no ofrezca cifrado de extremo a extremo. Machado recomendó que las organizaciones busquen servicios que admitan la Seguridad de la capa de transporte (TLS) o el cifrado del Protocolo de transporte seguro en tiempo real (SRTP), y que lo hagan, idealmente, sin aumentar las ventas para medidas de seguridad centrales.

"No siempre elija el servicio más barato; puede valer la pena pagar una prima por una VoIP más segura. Aún mejor es cuando no tiene que pagar una prima por la seguridad en sus servicios en la nube", dijo Machado. "Como cliente, debería poder habilitar VoIP encriptada y listo. También es importante que el proveedor esté utilizando no solo la señalización encriptada sino también encriptando los medios en reposo. La gente quiere que sus conversaciones sean privadas, no atraviesen Internet con voz de texto sin formato. Asegúrese de que su proveedor admitirá ese nivel de cifrado y que no le costará más ".

NO: mezcle sus LAN

En el lado de la red de su implementación, la mayoría de las organizaciones tienen una combinación de teléfonos e interfaces basadas en la nube. Muchos empleados pueden estar usando una aplicación móvil VoIP o softphone, pero a menudo también habrá una combinación de teléfonos de escritorio y teléfonos de conferencia conectados a la red VoIP. Para todos esos factores de forma, Machado dijo que es crucial no mezclar factores de forma y dispositivos conectados dentro del mismo diseño de red.

"Desea configurar una LAN de voz separada. No desea que sus teléfonos de voz dura se mezclen en la misma red con sus estaciones de trabajo e impresoras. Eso no es un buen diseño de red", dijo Machado. "Si es así, hay implicaciones de seguridad problemáticas en el futuro. No hay razón para que sus espacios de trabajo estén hablando entre sí. Mi computadora portátil no necesita hablar con la suya; no es lo mismo que una granja de servidores con aplicaciones que hablan bases de datos ".

En cambio, Machado recomienda…

HACER: configurar VLAN privadas

Una VLAN privada (LAN virtual), como explicó Machado, permite a los administradores de TI segmentar y controlar mejor su red. La VLAN privada actúa como un único punto de acceso y enlace ascendente para conectar el dispositivo a un enrutador, servidor o red.

"Desde una perspectiva de arquitectura de seguridad de punto final, las VLAN privadas son un buen diseño de red porque le dan la capacidad de activar esta función en el conmutador que dice 'esta estación de trabajo no puede comunicarse con la otra estación de trabajo'. Si tiene sus teléfonos VoIP o dispositivos habilitados para voz en la misma red que todo lo demás, eso no funciona ", dijo Machado. "Es importante configurar su LAN de voz dedicada como parte de un diseño de seguridad más privilegiado".

NO: deje su VoIP fuera del firewall

Su teléfono VoIP es un dispositivo informático conectado a Ethernet. Como punto final conectado, Machado dijo que es importante que los clientes recuerden que, al igual que cualquier otro dispositivo informático, también debe estar detrás del firewall corporativo.

"El teléfono VoIP tiene una interfaz de usuario para que los usuarios inicien sesión y para que los administradores administren el sistema en el teléfono. No todos los teléfonos VoIP tienen firmware para proteger contra ataques de fuerza bruta", dijo Machado. "Su cuenta de correo electrónico se bloqueará después de algunos intentos, pero no todos los teléfonos VoIP funcionan de la misma manera. Si no coloca un cortafuegos frente a él, es como abrir esa aplicación web a cualquier persona en Internet que quiera escribir un script ataque de fuerza bruta e iniciar sesión ".

Gestión del sistema de VoIP

HACER: Cambiar sus contraseñas predeterminadas

Independientemente del fabricante del que reciba sus teléfonos VoIP, los dispositivos se enviarán con credenciales predeterminadas como cualquier otra pieza de hardware que viene con una interfaz de usuario web. Para evitar el tipo de vulnerabilidades simples que condujeron al ataque DDoS de la botnet Mirai, Machado dijo que lo más fácil es simplemente cambiar esos valores predeterminados.

"Los clientes deben tomar medidas proactivas para asegurar sus teléfonos", dijo Machado. "Cambie las contraseñas predeterminadas de inmediato o, si su proveedor administra los puntos finales del teléfono por usted, asegúrese de que estén cambiando esas contraseñas predeterminadas en su nombre".

HACER: realizar un seguimiento de su uso

Ya sea que se trate de un sistema telefónico en la nube, un sistema de voz local o una centralita privada (PBX), Machado dijo que todos los servicios de VoIP tienen una superficie de ataque y eventualmente pueden ser pirateados. Cuando eso sucede, dijo que uno de los ataques más típicos es una toma de cuenta (ATO), también conocida como fraude de telecomunicaciones o bombeo de tráfico. Esto significa que, cuando se piratea un sistema VoIP, el atacante intenta realizar llamadas que le cuestan dinero al propietario. La mejor defensa es hacer un seguimiento de su uso.

"Digamos que es un actor de amenazas. Tiene acceso a servicios de voz y está tratando de hacer llamadas. Si su organización está observando su uso, podrá detectar si hay una factura inusualmente alta o ver algo así como un usuario en el teléfono durante 45 minutos con una ubicación a la que ningún empleado tiene ningún motivo para llamar. Se trata de prestar atención ", dijo Machado.

"Si está molestando esto en la nube (es decir, no está usando una PBX tradicional o VoIP local), entonces tenga una conversación con su proveedor preguntándole qué está haciendo para protegerme", agregó. "¿Hay botones y diales que pueda encender y apagar con respecto al servicio? ¿Está haciendo monitoreo de fraude de back-end o análisis de comportamiento del usuario en busca de un uso anómalo en mi nombre? Estas son preguntas importantes que hacer".

NO: tenga permisos de seguridad demasiado amplios

En cuanto al uso, una forma de limitar el daño potencial de ATO es desactivar los permisos y las funciones que sabe que su empresa no necesita, por si acaso. Machado dio llamadas internacionales como ejemplo.

"Si su negocio no necesita llamar a todas las partes del mundo, no active las llamadas a todas las partes del mundo", dijo. "Si solo hace negocios en los EE. UU., Canadá y México, ¿quiere que todos los demás países estén disponibles para llamar o simplemente tiene sentido cerrarlo en el caso de ATO? No deje permisos demasiado amplios para sus usuarios para cualquier servicio de tecnología, y cualquier cosa que no sea necesaria para su uso comercial califica como demasiado amplia ".

NO: Olvídate de los parches

Parchear y mantenerse actualizado con las actualizaciones es fundamental con cualquier tipo de software. Ya sea que esté utilizando un softphone, una aplicación móvil VoIP o cualquier tipo de hardware con actualizaciones de firmware, Machado dijo que este es una obviedad.

"¿Está administrando sus propios teléfonos VoIP? Si el proveedor lanza el firmware, pruébelo e impleméntelo rápidamente; a menudo se trata de parches de todo tipo. A veces, los parches de seguridad provienen de un proveedor que administra el teléfono en su nombre, por lo que, en ese caso, asegúrese de preguntar quién controla los parches y cuál es el ciclo ", dijo Machado.

HACER: Habilitar autenticación fuerte

La fuerte autenticación de dos factores e invertir en una gestión de identidad más pesada es otra práctica de seguridad inteligente. Más allá de solo VoIP, Machado dijo que la autenticación siempre es un factor importante para tener en su lugar.

"Siempre active la autenticación fuerte. Eso no es diferente si está iniciando sesión en su PBX en la nube o en su correo electrónico o su CRM. Busque esas características y úselas", dijo Machado. "No solo estamos hablando de teléfonos en su escritorio; estamos hablando de aplicaciones web y todas las diferentes partes del servicio. Comprenda cómo las piezas se unen y aseguran cada pieza a su vez".