Firmy korzystają z różnych usług oferowanych przez systemy komunikacji zunifikowanej (UC), np. z telefonii IP, wideotelefonii lub chatu. Ataki na te systemy mogą skutkować stratami finansowymi czy pogorszeniem reputacji. Mogę mieć również bezpośredni wpływ na ciągłość biznesową. Dlatego istotna jest wiedza o tym, na jakie zagrożenia są wystawione kanały komunikacji oraz jakie zabezpieczenia są skuteczna.
Partnerem bloga jest firma innovaphone.
Typowy system UC (Unified Communication) jest wystawiony na takie ataki, jak przechwytywanie lub podsłuchiwanie połączeń czy podszywanie się pod abonenta. Podszycie się pod abonenta z reguły polega na użyciu przez hakera adresu MAC (Media Access Control) wykorzystywanego przez uprawnione urządzenie, np. smartfon należący do pracownika. W efekcie firmowym system UC może zostać wykorzystany przez postronną osobę do telefonowania na koszt firmy.
Aby podsłuchać lub przechwycić połączenie, haker może użyć technik służących do umieszczania wrogiego kodu, np. w systemie UC. W efekcie może nie tylko sprawdzać, jaka jest treść połączeń, ale także modyfikować ją. Haker może również zainicjować atak DDoS, aby zakłócić działanie systemu UC.
Pierwszym krokiem do zabezpieczenia UC jest opracowanie reguł bezpieczeństwa. Wprawdzie większość organizacji stosuje reguły bezpieczeństwa, ale rzadko są w nich uwzględnione reguły dla UC. W każdej firmie trzeba określić dla użytkowników uprawnienia dostępu do technologii UC. Oprócz tego warto sobie uświadomić, jakie w firmie są luki w obecnie stosowanych zabezpieczeniach.
Typowe rozwiązanie komunikacji zunifikowanej składa się z IP PBX, sieci, poczty głosowej, telekonferencji, mobilnych urządzeń bezprzewodowych. Dlatego bezpieczeństwo UC można podzielić na dwie główne kategorie: bezpieczeństwo infrastruktury UC (głównie bezpieczeństwo sieci i fizyczne) oraz bezpieczeństwo aplikacji UC. Bezpieczeństwo sieci polega na zabezpieczeniu warty przełączników i routerów, urządzeń końcowych oraz sieci bezprzewodowych. Istotne jest stosowanie szyfrowania i tuneli VPN do ochrony połączeń między odległymi sieciami. Jeśli IP PBX jest podłączony do Internetu, przydatne są takie mechanizmy, jak SBC (Session Border Controler) oraz Reversy Proxy, które podnoszą poziom ochrony. W przypadku rozwiązania innovaphone są to standardowe, zintegrowane funkcje dostępne bez dodatkowych opłat W kontekście bezpieczeństwa fizycznego chodzi o ograniczenie dostępu użytkowników do centrum danych.
Kolejnym krokiem jest zabezpieczenia aplikacji UC oraz systemu operacyjnego. Warto zauważyć, że rozwiązanie innovaphone działa na opracowanym przez tę firmę systemie operacyjnym, przez co jest odporne na wiele popularnych luk czy wirusy. Ochrona aplikacji UC polega na zabezpieczeniu aplikacji do komunikacji głosowej UC, narzędzi telekonferencyjnych czy aplikacji contact center.
Jeśli firmy dopiero planuje zakupu aplikacji UC, warto wybrać taką, która oferuje szyfrowanie kanałów komunikacji głosowej. Aplikacja UC powinna obsługiwać szyfrowanie według standardów IEEE (komunikacja sygnałowa) oraz ITU-T (szyfrowanie głosu).
Urządzenia końcowe, jak smartfony czy notebooki, często stają się celem ataków. Do potwierdzenia wiarygodności tych urządzeń można wykorzystywać serwery certyfikatów od firm trzecich. Telefony bezprzewodowe mogą wykorzystywać certyfikaty bazujące na WPA lub WPA2. Firmy mogą również korzystać z rozwiązań do kontroli dostęp do sieci (NAC, Network Access Control), aby uwierzytelniać urządzenia łączące się z siecią. Już w momencie zakupu smartfonów można sprawdzić, jakie są możliwości ich zabezpieczenia (przykładowo, telefony Blackberry szyfrują całą komunikację między urządzeniem a serwerem).
Istotna z punktu zapewnienia bezpieczeństwa jest również interoperacyjność między poszczególnymi komponentami UC. Jeśli w firmie używa się systemów (routerów, aplikacji UC, telefonii) od różnych producentów, trzeba dodatkowo zadbać o interoperacyjność między nimi.
Koszty
Bezpieczeństwo zawsze wiąże się z balansem między ryzykiem a kosztami. Można wyróżnić trzy poziomy bezpieczeństwa UC: niski, średni i wysoki. Jego wybór zależy od wymagań. Przykładowo, w szkołach czy uczelniach powinien wystarczyć niski poziom zabezpieczeń, przedsiębiorstwa będą wdrażały poziom średni, a instytucje finansowe wysoki. Trzeba pamiętać, że nie ma jednego rozwiązania, które wystarczy, aby zabezpieczyć system UC. Ponadto warto regularnie sprawdzać stan zabezpieczeń.
