Daftar Isi:
Video: DOS attack on VoIP Server (Desember 2024)
Keamanan adalah keharusan bagi setiap layanan berbasis cloud yang terhubung ke bisnis Anda, dan vektor serangan berevolusi setiap hari. Untuk aplikasi yang terhubung ke internet seperti aplikasi Voice-over-IP (VoIP) yang berfungsi sebagai pusat komunikasi perusahaan Anda, langkah-langkah keamanan luar-dalam menjadi lebih penting, terutama mengetahui praktik dan bidang masalah apa yang harus dihindari.
Baik itu memastikan otentikasi pengguna yang aman dan konfigurasi jaringan atau mengaktifkan enkripsi ujung ke ujung dalam semua komunikasi VoIP dan penyimpanan data, organisasi harus rajin mengawasi manajemen TI dan bekerja sama dengan penyedia VoIP bisnis mereka untuk memastikan bahwa persyaratan keamanan dipatuhi. bertemu dan ditegakkan.
Michael Machado, Chief Security Officer (CSO) di RingCentral, mengawasi keamanan untuk semua layanan cloud dan VoIP RingCentral. Machado telah menghabiskan 15 tahun terakhir di bidang IT dan keamanan cloud, pertama sebagai arsitek keamanan dan manajer operasi di WebEx, dan kemudian di Cisco setelah perusahaan memperoleh layanan konferensi video.
Pertimbangan keamanan dalam komunikasi VoIP perusahaan Anda mulai dalam tahap penelitian dan pembelian bahkan sebelum Anda memilih penyedia VoIP, dan bertahan melalui implementasi dan manajemen. Machado berjalan melalui seluruh proses dari perspektif keamanan, berhenti untuk menjelaskan banyak hal yang harus dan tidak boleh dilakukan untuk bisnis dari semua ukuran di sepanjang jalan.
Memilih Penyedia VoIP Anda
JANGAN: Abaikan Model Keamanan Bersama
Baik Anda bisnis kecil atau perusahaan besar, hal pertama yang perlu Anda pahami - terlepas dari VoIP dan Komunikasi Terpadu sebagai Layanan (UCaaS) -adalah semua layanan cloud pada umumnya perlu memiliki keamanan bersama model. Machado mengatakan bahwa, sebagai pelanggan, bisnis Anda selalu berbagi tanggung jawab dalam implementasi aman semua layanan cloud yang Anda adopsi.
"Ini kunci bagi pelanggan untuk mengerti, terutama ketika perusahaan lebih kecil dan memiliki sumber daya lebih sedikit, " kata Machado. "Orang-orang berpikir VoIP adalah perangkat mekanis yang terhubung ke saluran tembaga. Ini bukan. Telepon VoIP, apakah itu handset fisik, komputer dengan perangkat lunak yang berjalan atau itu, aplikasi seluler, atau aplikasi softphone, itu tidak sama dengan telepon mekanis dicolokkan ke PSTN. Ini tidak seperti telepon biasa - Anda akan memiliki tanggung jawab untuk memastikan keamanan memiliki loop tertutup antara pelanggan dan vendor."
DO: Vendor Due Diligence
Setelah Anda memahami tanggung jawab bersama dan ingin mengadopsi layanan cloud VoIP, masuk akal untuk melakukan uji tuntas Anda saat memilih vendor Anda. Tergantung pada ukuran Anda dan keahlian yang Anda miliki tentang staf, Machado menjelaskan bagaimana perusahaan dan usaha kecil dan menengah (UKM) dapat melakukan hal ini dengan cara yang berbeda.
"Jika Anda adalah perusahaan besar yang mampu menghabiskan waktu untuk uji tuntas, Anda dapat membuat daftar pertanyaan untuk ditanyakan kepada setiap vendor, meninjau laporan audit mereka, dan mengadakan beberapa pertemuan untuk membahas keamanan, " kata Machado. "Jika Anda adalah bisnis kecil, Anda mungkin tidak memiliki keahlian untuk menganalisis laporan audit SOC 2 atau waktu untuk berinvestasi dalam diskusi yang berat.
"Sebaliknya, kamu bisa melihat hal-hal seperti laporan Magic Quadrant Gartner, dan melihat apakah mereka memiliki laporan SOC 1 atau SOC 2, bahkan jika kamu tidak punya waktu atau keahlian untuk membaca dan memahaminya, " Machado dijelaskan. "Laporan audit merupakan indikasi yang baik dari perusahaan yang melakukan investasi kuat dalam keamanan dibandingkan perusahaan yang tidak. Anda juga dapat mencari laporan SOC 3 selain SOC 2. Ini adalah versi ringan, seperti sertifikasi dengan standar yang sama. Ini adalah hal-hal yang dapat Anda cari sebagai bisnis kecil untuk mulai bergerak ke arah yang benar pada keamanan."
LAKUKAN: Negosiasikan Ketentuan Keamanan dalam Kontrak Anda
Sekarang Anda berada pada titik di mana Anda telah memilih vendor VoIP dan Anda sedang mempertimbangkan kemungkinan untuk membuat keputusan pembelian. Machado merekomendasikan bahwa, jika memungkinkan, bisnis harus mencoba untuk mendapatkan perjanjian keamanan dan persyaratan tertulis secara eksplisit ketika menegosiasikan kontrak dengan vendor cloud.
"Perusahaan kecil, perusahaan besar, tidak masalah. Semakin kecil perusahaan, semakin sedikit kekuatan yang Anda miliki untuk menegosiasikan persyaratan spesifik tersebut tetapi ini adalah skenario 'jangan tanya, jangan dapatkan', " kata Machado. "Lihat apa yang bisa Anda dapatkan dalam perjanjian vendor Anda sehubungan dengan kewajiban keamanan dari vendor."
Menyebarkan Tindakan Keamanan VoIP
LAKUKAN: Gunakan Layanan VoIP Terenkripsi
Ketika datang ke penyebaran, Machado mengatakan tidak ada alasan untuk layanan VoIP modern untuk tidak menawarkan enkripsi ujung ke ujung. Machado merekomendasikan agar organisasi mencari layanan yang mendukung enkripsi Transport Layer Security (TLS) atau Secure Real-Time Transport Protocol (SRTP), dan yang melakukannya, idealnya, tanpa menganjurkan tindakan keamanan inti.
"Jangan selalu mencari layanan termurah; akan lebih baik untuk membayar premi untuk VoIP yang lebih aman. Bahkan lebih baik adalah ketika Anda tidak harus membayar premi untuk keamanan di layanan cloud Anda, " kata Machado. "Sebagai seorang pelanggan, Anda seharusnya dapat mengaktifkan VoIP terenkripsi dan pergilah. Penting juga bahwa penyedia menggunakan tidak hanya pensinyalan terenkripsi tetapi juga mengenkripsi media saat istirahat. Orang-orang ingin percakapan mereka bersifat pribadi, tidak melintasi internet dengan suara teks biasa. Pastikan vendor Anda akan mendukung tingkat enkripsi itu dan itu tidak akan dikenakan biaya lebih banyak."
JANGAN: Campur LAN Anda
Di sisi jaringan penyebaran Anda, sebagian besar organisasi memiliki campuran handset dan antarmuka berbasis cloud. Banyak karyawan mungkin hanya menggunakan aplikasi seluler VoIP atau softphone, tetapi sering kali akan ada campuran telepon meja dan telepon konferensi yang terhubung ke jaringan VoIP juga. Untuk semua faktor bentuk itu, Machado mengatakan sangat penting untuk tidak mencampur faktor bentuk dan perangkat yang terhubung dalam desain jaringan yang sama.
"Anda ingin mengatur LAN suara yang terpisah. Anda tidak ingin ponsel bersuara keras itu berbaur di jaringan yang sama dengan workstation dan printer Anda. Itu bukan desain jaringan yang bagus, " kata Machado. "Jika sudah, ada implikasi keamanan yang bermasalah di telepon. Tidak ada alasan bagi ruang kerja Anda untuk berbicara satu sama lain. Laptop saya tidak perlu berbicara dengan Anda; itu tidak sama dengan server server dengan aplikasi yang sedang berbicara dengan database."
Sebaliknya, Machado merekomendasikan…
LAKUKAN: Mengatur VLAN Pribadi
VLAN pribadi (LAN virtual), seperti yang dijelaskan Machado, memungkinkan manajer TI melakukan segmentasi yang lebih baik dan mengendalikan jaringan Anda. VLAN pribadi bertindak sebagai titik akses dan uplink tunggal untuk menghubungkan perangkat ke router, server, atau jaringan.
"Dari sudut pandang arsitektur keamanan titik akhir, VLAN pribadi adalah desain jaringan yang baik karena mereka memberi Anda kemampuan untuk mengaktifkan fitur ini di sakelar yang mengatakan 'workstation ini tidak dapat berbicara dengan workstation lain.' Jika Anda memiliki telepon VoIP atau perangkat yang mendukung suara di jaringan yang sama dengan yang lainnya, itu tidak berfungsi, "kata Machado. "Penting untuk mengatur LAN suara khusus Anda sebagai bagian dari desain keamanan yang lebih istimewa."
JANGAN: Tinggalkan VoIP Anda Di Luar Firewall
Telepon VoIP Anda adalah perangkat komputasi yang terhubung ke Ethernet. Sebagai titik akhir yang terhubung, Machado mengatakan penting bagi pelanggan untuk mengingat bahwa, sama seperti perangkat komputasi lainnya, perangkat ini juga harus berada di belakang firewall perusahaan.
"Telepon VoIP memiliki antarmuka pengguna untuk pengguna masuk dan admin untuk melakukan administrasi sistem pada telepon. Tidak setiap telepon VoIP memiliki firmware untuk melindungi terhadap serangan brute-force, " kata Machado. "Akun email Anda akan terkunci setelah beberapa upaya, tetapi tidak semua telepon VoIP bekerja dengan cara yang sama. Jika Anda tidak memasang firewall di depannya, itu seperti membuka aplikasi web itu kepada siapa pun di internet yang ingin membuat skrip serangan brutal dan masuk."
Manajemen Sistem VoIP
DO: Ubah Kata Sandi Default Anda
Terlepas dari produsen tempat Anda menerima handset VoIP Anda, perangkat akan dikirimkan dengan kredensial default seperti perangkat keras lainnya yang dilengkapi dengan UI web. Untuk menghindari jenis kerentanan sederhana yang mengarah pada serangan DDoS botai Mirai, Machado mengatakan hal yang paling mudah untuk dilakukan adalah hanya mengubah default-default itu.
"Pelanggan perlu mengambil langkah proaktif untuk mengamankan ponsel mereka, " kata Machado. "Ubah kata sandi default segera atau, jika vendor Anda mengelola titik akhir telepon untuk Anda, pastikan mereka mengubah kata sandi default itu atas nama Anda."
LAKUKAN: Melacak Penggunaan Anda
Baik itu sistem telepon cloud, sistem suara di tempat, atau pertukaran cabang pribadi (PBX), Machado mengatakan bahwa semua layanan VoIP memiliki permukaan serangan dan akhirnya bisa diretas. Ketika itu terjadi, ia mengatakan salah satu serangan paling khas adalah pengambilalihan akun (ATO), juga dikenal sebagai penipuan telekomunikasi atau pemompaan lalu lintas. Ini berarti bahwa, ketika sistem VoIP diretas, penyerang mencoba melakukan panggilan yang memakan biaya uang pemilik. Pertahanan terbaik adalah untuk melacak penggunaan Anda.
"Katakanlah Anda adalah aktor ancaman. Anda memiliki akses ke layanan suara dan Anda mencoba untuk membuat panggilan keluar. Jika organisasi Anda mengawasi penggunaannya, Anda akan dapat melihat apakah ada tagihan yang terlalu tinggi atau melihat sesuatu seperti pengguna di telepon selama 45 menit dengan lokasi yang tidak ada karyawan punya alasan untuk menelepon. Ini semua tentang memberi perhatian, "kata Machado.
"Jika Anda melakukan cloud-ifying ini (artinya, tidak menggunakan PBX tradisional atau VoIP lokal), maka bicarakan dengan vendor Anda menanyakan apa yang Anda lakukan untuk melindungi saya, " tambahnya. "Apakah ada kenop dan tombol yang dapat saya aktifkan dan nonaktifkan sehubungan dengan layanan? Apakah Anda melakukan pemantauan penipuan back-end atau analisis perilaku pengguna yang mencari penggunaan yang aneh atas nama saya? Ini adalah pertanyaan penting untuk ditanyakan."
JANGAN: Memiliki Izin Keamanan Yang Luas
Mengenai masalah penggunaan, satu cara untuk membatasi potensi kerusakan ATO adalah mematikan izin dan fitur yang Anda tahu bisnis Anda tidak perlu, untuk berjaga-jaga. Machado memberikan panggilan internasional sebagai contoh.
"Jika bisnis Anda tidak perlu memanggil semua bagian dunia, maka jangan nyalakan panggilan ke semua bagian dunia, " katanya. "Jika Anda hanya melakukan bisnis di AS, Kanada, dan Meksiko, apakah Anda ingin setiap negara lain tersedia untuk menelepon atau apakah masuk akal untuk mematikannya dalam kasus ATO? Jangan meninggalkan izin yang terlalu luas untuk pengguna Anda untuk layanan teknologi apa pun, dan segala sesuatu yang tidak perlu untuk penggunaan bisnis Anda memenuhi syarat sebagai terlalu luas."
JANGAN: Lupakan Tentang Menambal
Menambal dan menjaga pembaruan saat ini sangat penting untuk semua jenis perangkat lunak. Baik Anda menggunakan softphone, aplikasi seluler VoIP, atau perangkat keras apa pun dengan pembaruan firmware, Machado mengatakan yang ini tidak perlu repot.
"Apakah Anda mengelola telepon VoIP Anda sendiri? Jika vendor mengeluarkan firmware, uji dan gunakan dengan cepat - ini sering kali berhubungan dengan tambalan dari semua jenis. Terkadang, tambalan keamanan datang dari vendor yang mengelola ponsel atas nama Anda, jadi, dalam hal ini, pastikan untuk bertanya siapa yang mengendalikan tambalan dan apa siklusnya, "kata Machado.
LAKUKAN: Aktifkan Otentikasi Kuat
Otentikasi dua faktor yang kuat dan berinvestasi dalam manajemen identitas yang lebih berat adalah praktik keamanan cerdas lainnya. Selain VoIP, Machado mengatakan otentikasi selalu menjadi faktor penting yang harus ada.
"Selalu aktifkan otentikasi yang kuat. Itu tidak berbeda jika Anda masuk ke cloud PBX atau email atau CRM Anda. Cari fitur-fitur itu dan gunakan, " kata Machado. "Kami tidak hanya berbicara tentang telepon di meja Anda; kami berbicara tentang aplikasi web dan semua bagian layanan yang berbeda. Pahami bagaimana potongan-potongan itu bersatu dan mengamankan masing-masing bagian secara bergantian."