Inhaltsverzeichnis:
Video: IP Technologie einfach erklärt - Internettelefonie, VoIP, Funktionsweise, Vorteile & Nachteile (November 2024)
Sicherheit ist ein Muss für jeden Cloud-basierten Dienst, der in Ihr Unternehmen eingebunden ist, und die Angriffsvektoren entwickeln sich täglich weiter. Für eine Internetverbindungsanwendung wie eine Voice-over-IP-App (VoIP), die als Drehscheibe für Ihre Unternehmenskommunikation dient, sind Inside-Out-Sicherheitsmaßnahmen noch wichtiger, insbesondere wenn Sie wissen, welche Vorgehensweisen und Problembereiche vermieden werden müssen.
Unabhängig davon, ob eine sichere Benutzerauthentifizierung und Netzwerkkonfiguration oder eine durchgängige Verschlüsselung für die gesamte VoIP-Kommunikation und -Datenspeicherung sichergestellt werden soll, müssen Unternehmen das IT-Management sorgfältig überwachen und eng mit ihrem VoIP-Anbieter zusammenarbeiten, um die Sicherheitsanforderungen zu erfüllen erfüllt und durchgesetzt.
Michael Machado, Chief Security Officer (CSO) bei RingCentral, überwacht die Sicherheit aller Cloud- und VoIP-Dienste von RingCentral. Machado war in den letzten 15 Jahren in den Bereichen IT- und Cloud-Sicherheit tätig, zunächst als Sicherheitsarchitekt und Betriebsleiter bei WebEx und dann bei Cisco, nachdem das Unternehmen den Videokonferenzdienst übernommen hatte.
Sicherheitsaspekte bei der VoIP-Kommunikation Ihres Unternehmens beginnen bereits in der Recherche- und Kaufphase, bevor Sie einen VoIP-Anbieter auswählen, und bestehen bis zur Implementierung und Verwaltung fort. Machado ging den gesamten Prozess unter Sicherheitsgesichtspunkten durch und hielt inne, um auf dem Weg zahlreiche Vor- und Nachteile für Unternehmen aller Größen zu erläutern.
Auswahl Ihres VoIP-Providers
NICHT: Vernachlässigen Sie das gemeinsam genutzte Sicherheitsmodell
Unabhängig davon, ob Sie ein kleines Unternehmen oder ein großes Unternehmen sind, müssen Sie zunächst verstehen, dass unabhängig von VoIP und Unified Communications-as-a-Service (UCaaS) für alle Cloud-Dienste im Allgemeinen eine gemeinsame Sicherheit erforderlich ist Modell. Machado sagte, dass Ihr Unternehmen als Kunde immer eine gewisse Verantwortung für die sichere Implementierung aller Cloud-Services trägt, die Sie übernehmen.
"Für Kunden ist es wichtig zu verstehen, insbesondere wenn ein Unternehmen kleiner ist und weniger Ressourcen hat", sagte Machado. "Die Leute denken, VoIP ist ein mechanisches Gerät, das an eine Kupferleitung angeschlossen ist. Ist es nicht. Ein VoIP-Telefon, sei es ein physisches Mobilteil, ein Computer mit laufender Software oder eine mobile App oder eine Softphone-Anwendung, ist nicht dasselbe wie Ein mechanisches Telefon, das an das öffentliche Telefonnetz angeschlossen ist. Es ist nicht wie ein normales Telefon. Sie werden eine gewisse Verantwortung dafür tragen, dass die Sicherheit einen geschlossenen Kreislauf zwischen Kunde und Anbieter bildet."
DO: Vendor Due Diligence
Sobald Sie diese geteilte Verantwortung verstanden haben und einen Cloud-VoIP-Dienst einführen möchten, ist es sinnvoll, bei der Auswahl Ihres Anbieters Ihre Sorgfalt zu walten. Abhängig von Ihrer Größe und dem Fachwissen, das Sie über Mitarbeiter verfügen, erläuterte Machado, wie Unternehmen und kleine bis mittelständische Unternehmen (SMBs) auf unterschiedliche Weise vorgehen können.
"Wenn Sie ein großes Unternehmen sind, das es sich leisten kann, die Zeit für die Due Diligence zu verwenden, können Sie jedem Anbieter eine Liste mit Fragen vorlegen, den Auditbericht überprüfen und ein paar Besprechungen über die Sicherheit abhalten", sagte Machado. "Wenn Sie ein kleines Unternehmen sind, haben Sie möglicherweise nicht das Fachwissen, um einen SOC 2-Prüfungsbericht zu analysieren, oder nicht die Zeit, um in eine Diskussion über Schwerlast zu investieren.
"Stattdessen können Sie sich Dinge wie Gartners Magic Quadrant-Bericht ansehen und prüfen, ob ein SOC 1- oder SOC 2-Bericht verfügbar ist, auch wenn Sie nicht über die Zeit oder das Fachwissen verfügen, um ihn zu lesen und zu verstehen", so Machado erklärt. "Der Auditbericht ist ein gutes Indiz dafür, dass Unternehmen stark in Sicherheit investieren, im Gegensatz zu Unternehmen, die dies nicht tun. Neben SOC 2 können Sie auch nach einem SOC 3-Bericht suchen. Es handelt sich um eine kompakte, zertifizierungsähnliche Version derselben Standards. Dies sind die Dinge, nach denen Sie als kleines Unternehmen suchen können, um die richtige Richtung für die Sicherheit einzuschlagen."
DO: Sicherheitsbestimmungen in Ihrem Vertrag aushandeln
Jetzt sind Sie an dem Punkt angelangt, an dem Sie einen VoIP-Anbieter ausgewählt haben, und erwägen, eine Kaufentscheidung zu treffen. Machado empfahl Unternehmen, wenn immer möglich, explizite Sicherheitsvereinbarungen und -bestimmungen schriftlich einzuholen, wenn sie einen Vertrag mit einem Cloud-Anbieter aushandeln.
"Kleine Firma, große Firma, das spielt keine Rolle. Je kleiner die Firma, desto weniger Macht muss man über diese spezifischen Bedingungen verhandeln, aber es ist ein" Nicht fragen, nicht bekommen "-Szenario", sagte Machado. "Sehen Sie, was Sie in Ihren Anbietervereinbarungen in Bezug auf die Sicherheitspflichten des Anbieters erhalten können."
Bereitstellen von VoIP-Sicherheitsmaßnahmen
DO: Verwenden Sie verschlüsselte VoIP-Dienste
Bei der Bereitstellung gibt es laut Machado keine Entschuldigung dafür, dass ein moderner VoIP-Dienst keine End-to-End-Verschlüsselung bietet. Machado empfahl Unternehmen, nach Diensten zu suchen, die TLS-Verschlüsselung (Transport Layer Security) oder SRTP-Verschlüsselung (Secure Real-Time Transport Protocol) unterstützen, und dies im Idealfall ohne Upselling für die wichtigsten Sicherheitsmaßnahmen.
"Wählen Sie nicht immer den günstigsten Dienst. Es kann sich lohnen, eine Prämie für ein sichereres VoIP zu zahlen. Noch besser ist es, wenn Sie für die Sicherheit Ihrer Cloud-Dienste keine Prämie zahlen müssen", sagte Machado. "Als Kunde sollten Sie nur in der Lage sein, verschlüsseltes VoIP zu aktivieren, und schon kann es losgehen. Es ist auch wichtig, dass der Anbieter nicht nur verschlüsselte Signale verwendet, sondern auch Medien in Ruhe verschlüsselt. Die Benutzer möchten, dass ihre Gespräche privat sind und nicht das Internet durchlaufen." Stellen Sie sicher, dass Ihr Anbieter diese Verschlüsselungsstufe unterstützt und Sie nicht mehr kostet."
NICHT: Mischen Sie Ihre LANs
Auf der Netzwerkseite Ihrer Bereitstellung verfügen die meisten Organisationen über eine Mischung aus Mobilteilen und Cloud-basierten Schnittstellen. Viele Mitarbeiter verwenden möglicherweise nur eine VoIP-App oder ein VoIP-Softphone. Oft sind jedoch auch Tischtelefone und Konferenztelefone mit dem VoIP-Netzwerk verbunden. Für all diese Formfaktoren ist es laut Machado von entscheidender Bedeutung, Formfaktoren und verbundene Geräte nicht im selben Netzwerkdesign zu mischen.
"Sie möchten ein separates Sprach-LAN einrichten. Sie möchten nicht, dass sich Ihre Festnetztelefone mit Ihren Workstations und Druckern im selben Netzwerk vermischen. Das ist kein gutes Netzwerkdesign", sagte Machado. "Wenn ja, gibt es später problematische Auswirkungen auf die Sicherheit. Es gibt keinen Grund dafür, dass Ihre Arbeitsbereiche miteinander sprechen. Mein Laptop muss nicht mit Ihrem sprechen. Es ist nicht dasselbe wie eine Serverfarm mit Anwendungen, mit denen gesprochen wird Datenbanken."
Machado empfiehlt stattdessen…
DO: Private VLANs einrichten
Mit einem privaten VLAN (virtuelles LAN) können IT-Manager, wie Machado erklärte, Ihr Netzwerk besser segmentieren und steuern. Das private VLAN fungiert als einzelner Zugriffs- und Uplink-Punkt, um das Gerät mit einem Router, Server oder Netzwerk zu verbinden.
"Aus Sicht der Endpoint-Sicherheitsarchitektur sind private VLANs ein gutes Netzwerkdesign, da Sie diese Funktion über den Switch aktivieren können, der besagt, dass diese Workstation nicht mit der anderen Workstation kommunizieren kann." Wenn Sie Ihre VoIP-Telefone oder sprachgesteuerten Geräte im selben Netzwerk wie alle anderen Geräte haben, funktioniert dies nicht ", sagte Machado. "Es ist wichtig, Ihr dediziertes Sprach-LAN als Teil eines privilegierten Sicherheitsdesigns einzurichten."
NICHT: Lassen Sie Ihr VoIP außerhalb der Firewall
Ihr VoIP-Telefon ist ein an Ethernet angeschlossenes Computergerät. Als verbundener Endpunkt ist es laut Machado für Kunden wichtig, sich daran zu erinnern, dass sich das Gerät wie jedes andere Computergerät auch hinter der Unternehmens-Firewall befinden muss.
"Das VoIP-Telefon verfügt über eine Benutzeroberfläche, über die sich Benutzer anmelden und Administratoren die Systemadministration des Telefons ausführen können. Nicht jedes VoIP-Telefon verfügt über eine Firmware zum Schutz vor Brute-Force-Angriffen", so Machado. "Ihr E-Mail-Konto wird nach einigen Versuchen gesperrt, aber nicht jedes VoIP-Telefon funktioniert auf die gleiche Weise. Wenn Sie keine Firewall davor platzieren, öffnen Sie diese Webanwendung für jeden im Internet, der ein Skript erstellen möchte brute force attack und log dich ein."
VoIP-Systemverwaltung
DO: Ändern Sie Ihre Standardkennwörter
Unabhängig vom Hersteller, von dem Sie Ihre VoIP-Mobilteile erhalten, werden die Geräte mit den Standardanmeldeinformationen wie jede andere Hardware geliefert, die mit einer Web-Benutzeroberfläche geliefert wird. Um die einfachen Sicherheitslücken zu vermeiden, die zum DDoS-Angriff auf Mirai-Botnets geführt haben, ist es laut Machado am einfachsten, diese Standardeinstellungen zu ändern.
"Kunden müssen proaktive Maßnahmen ergreifen, um ihre Telefone zu schützen", sagte Machado. "Ändern Sie die Standardkennwörter sofort oder stellen Sie sicher, dass sie diese Standardkennwörter in Ihrem Namen ändern, wenn Ihr Anbieter die Telefonendpunkte für Sie verwaltet."
DO: Verfolgen Sie Ihre Nutzung
Unabhängig davon, ob es sich um ein Cloud-Telefonsystem, ein lokales Sprachsystem oder eine Nebenstellenanlage (PBX) handelt, hat Machado erklärt, dass alle VoIP-Dienste eine Angriffsfläche haben und möglicherweise gehackt werden. In diesem Fall sei einer der typischsten Angriffe eine Kontoübernahme (ATO), auch bekannt als Telekommunikationsbetrug oder Traffic Pumping. Dies bedeutet, dass der Angreifer beim Hacken eines VoIP-Systems versucht, Anrufe zu tätigen, die diesen Besitzer Geld kosten. Die beste Verteidigung besteht darin, Ihre Nutzung im Auge zu behalten.
"Angenommen, Sie sind ein Bedrohungsschauspieler. Sie haben Zugang zu Sprachdiensten und möchten Anrufe tätigen. Wenn Ihre Organisation die Nutzung überwacht, können Sie feststellen, ob eine ungewöhnlich hohe Rechnung vorliegt oder nicht So etwas wie ein Benutzer, der 45 Minuten lang mit einem Ort telefoniert, an dem kein Mitarbeiter einen Grund hat anzurufen. Es geht nur um Aufmerksamkeit ", sagte Machado.
"Wenn Sie dies in der Cloud tun (dh keine herkömmliche Telefonanlage oder lokales VoIP verwenden), wenden Sie sich an Ihren Händler und fragen Sie, was Sie tun, um mich zu schützen", fügte er hinzu. "Gibt es Knöpfe und Wählscheiben, die ich in Bezug auf den Service ein- und ausschalten kann? Führen Sie Back-End-Betrugsüberwachung oder Nutzerverhaltensanalysen durch, um in meinem Namen eine anormale Verwendung zu finden? Dies sind wichtige Fragen, die Sie stellen müssen."
NICHT: Verfügen Sie über umfassende Sicherheitsberechtigungen
In Bezug auf die Nutzung besteht eine Möglichkeit, potenziellen ATO-Schaden zu begrenzen, darin, Berechtigungen und Funktionen zu deaktivieren, von denen Sie wissen, dass sie Ihr Unternehmen nicht benötigt, nur für den Fall. Machado nannte als Beispiel internationale Anrufe.
"Wenn Ihr Unternehmen nicht alle Teile der Welt anrufen muss, sollten Sie nicht alle Teile der Welt anrufen", sagte er. "Wenn Sie nur in den USA, Kanada und Mexiko Geschäfte tätigen, möchten Sie, dass jedes andere Land für Anrufe zur Verfügung steht, oder ist es nur sinnvoll, es bei ATO auszuschalten? Lassen Sie keine übermäßigen Berechtigungen für Ihre Benutzer für jeden Technologiedienst und alles, was für Ihre geschäftliche Nutzung nicht erforderlich ist, wird als zu umfassend eingestuft."
NICHT: Vergessen Sie das Patchen
Das Patchen und Aktualisieren von Updates ist bei jeder Art von Software von entscheidender Bedeutung. Egal, ob Sie ein Softphone, eine VoIP-App für Mobilgeräte oder irgendeine Art von Hardware mit Firmware-Updates verwenden, laut Machado ist dies ein Kinderspiel.
"Verwalten Sie Ihre eigenen VoIP-Telefone? Wenn der Anbieter Firmware herausgibt, testen und implementieren Sie diese schnell - diese beziehen sich häufig auf Patches aller Art. Manchmal stammen Sicherheitspatches von einem Anbieter, der das Telefon in Ihrem Namen verwaltet. In diesem Fall Fragen Sie unbedingt, wer das Patchen kontrolliert und wie der Zyklus abläuft ", sagte Machado.
DO: Starke Authentifizierung aktivieren
Starke Zwei-Faktor-Authentifizierung und Investitionen in ein umfangreicheres Identitätsmanagement sind eine weitere intelligente Sicherheitsmaßnahme. Neben VoIP ist laut Machado die Authentifizierung immer ein wichtiger Faktor.
"Aktivieren Sie immer die starke Authentifizierung. Dies ist nicht anders, wenn Sie sich bei Ihrer Cloud-PBX, Ihrer E-Mail oder Ihrem CRM anmelden. Suchen Sie nach diesen Funktionen und verwenden Sie sie", sagte Machado. "Wir sprechen nicht nur über Telefone auf Ihrem Schreibtisch, sondern auch über Webanwendungen und all die verschiedenen Teile des Dienstes. Verstehen Sie, wie die Teile zusammenkommen, und sichern Sie sie nacheinander."
