‘Beveiligde communicatie is nog geen commodity’
Je ziet vandaag de dag veel telecomaanbieders die communicatie-oplossingen verkopen zonder geïntegreerde security. Dat betekent dat je je aangekochte connectiviteit of telefonie-oplossingen nog via een andere partij moet gaan beveiligen. Dat is redelijk gek.
Eigenlijk verwacht je van de telecom partijen dat zij alle cloudcommunicatie-oplossingen met ingebouwde security bieden. “Dat klinkt misschien logisch, maar dat is het niet”. IT-aanbieders en collaboration vendors leveren dat allang standaard, maar de telecommarkt is nog niet zover. “Telecom is een commodity en dus een prijzenkwestie. Partners moeten zich daarom onderscheiden en wij bieden hen die kans met standaard VoIP security.
Security erbij doen
Veel telecombedrijven doen security ‘er maar bij, en bij de operators is weinig kennis en kunde is van security. Nu zijn de security oplossingen binnen Cloud Distributie ingebouwd in de diensten of ze kunnen als add-on worden ingekocht door partners. “Wat wij onze partners aanbieden zijn security-oplossingen die aangepast zijn aan de communicatieplatformen die hun klanten gebruiken en waarin wij onze expertise op het vlak van implementatie en support ten dienste stellen van onze partners.
Handig!
VoIP security standaard ingesteld
Om die reden zijn al onze oplossingen standaard uitgerust met een extra security laag. Via de Cloud Distributie portal Flux kan jij om bel fraude via internet te voorkomen dit nog verder instellen voor je klanten. Bescherm jouw klanten tegen bel fraude met de volgende security instellingen in Flux:
- Intrusion Detection Systeem (IDS)
- Gelijktijdig uitgaande gesprekken en gespreksduur
- IP restricties
- Bestemmingsblokkade
- Oproepen naar frauduleuze bestemmingen blokkeren
1. IDS wat beter uitgelegd:
Allereerst is een IDS systeem geen garantie en/of verzekeringspolis voor het tegengaan van fraude. Wij doen echter ons uiterste best om in geval van fraude bij uw klanten deze tot een minimum te beperken. Hiervoor maken wij gebruik van statistische gegevens over het belgedrag (Internationaal; NL Premium) van uw klanten over de afgelopen 60 dagen. Op basis van deze statistiek bepalen wij een daggemiddelde waarop u als partner een maximale delta kunt instellen als afwijking van het daggemiddelde. Wanneer wij detecteren dat het verbruik op een dag hoger is dan (daggemiddelde + ingestelde delta) dan grijpen wij in en blokkeren het getroffen account en hangen alle lopende gesprekken voor dit account op dat moment op.
2. Maximale gespreksduur en aantal gelijktijdige gesprekken:
Een
IDS systeem kijkt dus naar de kosten aan verbelde gesprekken boven het daggemiddelde aan internationaal en premium verkeer van een klant. Een gesprek moet echter afgebroken zijn om te kunnen monitoren door een IDS systeem. Dat laatste is dus belangrijk om rekening mee te houden. Bij een VoIP centrale met 10 gelijktijdige gesprekken en maximaal 4 uur gespreksduur loop je het volgende risico (bij een hack van een toestel oid): Er kunnen dan direct 10 gesprekken opzet worden die 4 uur doorgaan voordat de IDS in werking kan treden. Als dat 10 gesprekken zijn van € 50 per uur kan dat wel erg kostbaar worden.Bij een bedrijf met 5 werknemers heb je geen 10 gelijktijdige gesprekken nodig en een gespreksduur van 4 uur is ook wel erg lang. Ga altijd in gesprek met je klant om te bepalen wat de maximale gespreksduur gaat zijn en hoeveel gelijktijdige gesprekken er nodig zijn.
3. IP restricties en IP-Blacklist:
De veiligheid van VoIP producten is van het grootste belang. Daarom streven IP telefonie leveranciers er bij elke release naar om de kernelementen van het systeem te verbeteren, terwijl ze waakzaam blijven voor nieuwe wereldwijde bedreigingen. De wereldwijde IP-blacklist van 3CX is daarvan een goed voorbeeld en is een belangrijk hulpmiddel in de strijd tegen hacking. Maar wat is het en hoe werkt het?
Wereldwijde IP-blacklist uitgelegd
De 3CX wereldwijde IP-blacklist werd voor het eerst uitgebracht met versie 16. Het is een centrale database met IP-adressen die door een of meerdere 3CX-systemen op de zwarte lijst zijn geplaatst. Elke instantie die deelneemt aan het 3CX wereldwijde anti-hacking verdedigingsprogramma maakt deel uit van een wereldwijde gemeenschap van IP-PBX-servers, die allemaal bijdragen om hackers buiten kritieke systemen te houden.
Hoe werkt het wereldwijde anti-hacking verdedigingsprogramma?
Stap 1
Bij nieuwe installaties is de zwarte lijst standaard ingeschakeld. Elk 3CX-systeem waarvoor de optie is ingeschakeld, importeert elke 6 uur de centraal beheerde lijst in zijn lokale zwarte lijst.
Stap 2
Instanties rapporteren ook en dragen bij aan de globale lijst door elke nieuwe blacklisting-gebeurtenis te posten die lokaal wordt geactiveerd. Dit is voornamelijk te wijten aan herhaalde mislukte authenticaties via SIP of webtoegang.
Stap 3
Dit is het belangrijkste en meest nette kenmerk van de service. De beveiligingsteams van 3CX controleren elk nieuw gemeld IP-adres. Ze kunnen aanvalspatronen identificeren, wat resulteert in een menselijke beslissing om het adres wereldwijd te blokkeren. Ze hebben dit proces niet voor niets volledig geautomatiseerd. Om ervoor te zorgen dat legitieme VoIP-servers of providers niet worden geblokkeerd, voeren de beveiligingsteams verschillende handmatige controles uit voordat het IP-adres aan de zwarte lijst wordt toegevoegd.
Stap 4
Soms nemen ze contact op met beheerders van gecompromitteerde servers om hen erop te wijzen dat hun machines deelnemen aan hackpogingen. Op deze manier kunnen ze hun machine beveiligen om de aanval of scan te vertragen.
Hoe effectief is het?
Op het moment van schrijven is de wereldwijde lijst gegroeid tot ongeveer 400.000 IP-adressen. Veel van deze adressen zijn de typische use-case VPN- en proxyservers, waarachter hackers geautomatiseerde SIP-scanning en brute-force-campagnes lanceren.
De lijst bevat ook veel gecompromitteerde machines die worden gebruikt als onderdeel van gedistribueerde botnetscans. We zien regelmatig patronen van machines zoals ongepatchte mailservers, netwerkapparatuur en videobewakingsservers die op deze manier worden gebruikt.
Waarom aanzetten?
Zodra een SIP-service online wordt ingezet met de standaard 5060-poort, wordt deze vrijwel onmiddellijk aangevallen. De SIP-scan die we eerder noemden is gebouwd om te zoeken naar servers of eindpunten die zijn geconfigureerd met zwakke referenties. Als de wereldwijde IP-blacklist is ingeschakeld, wordt een groot deel van dit verkeer onmiddellijk verwijderd.
Bovendien zal elke beheerder die de e-mailwaarschuwingen van het IP-adres ontvangt, profiteren van een rustige dag.
Zo voorkom je onverwachte hoge belkosten en zelfs bij hacking ben je zeker dat er niet voor hoge bedragen kan gebeld worden vanuit je VoIP systeem.
Zo voorkom je onverwachte hoge belkosten en zelfs bij hacking ben je zeker dat er niet voor hoge bedragen kan gebeld worden vanuit je VoIP systeem.
3. Bestemmingsblokkade en frauduleuze bestemmingen:
Vaak bellen klanten alleen in Nederland en wil je het risico van het bellen naar dure amusement en buitenlandse nummers blokkeren. Zeker als een toestel gehackt is wil je niet dat er gebeld kan worden naar dure betaalnummer in het buitenland. In veel telefoon centrales zoals
3CX kan je gebruikers toestaan of juist blokkeren om naar het buitenland te kunnen bellen.
Maar ook Nederlandse amusement nummers wil je eigenlijk wel blokkeren. Deze blokkades kan je instellen op trunk niveau. Ook hier mag security geen optie zijn! Er zijn verschillende bestemmingen die geblokkeerd kunnen worden:
Blokkeer oproepen naar frauduleuze bestemmingen
Ook kan je bekende exotische en frauduleuze bestemmingen standaard blokkeren op de trunk. Zo kan je oproepen naar betalende nummers en bepaalde dure internationale nummers blokkeren en ben je zeker dat er nooit op kosten van het bedrijf naar dergelijke fauduleuze bestemmingen kan worden gebeld.
Zo voorkom je onverwachte hoge belkosten bij je klanten en zelfs bij hacking ben je zeker dat er niet voor hoge bedragen kan gebeld worden vanuit je VoIP systeem.