Дела, а не слова – 7 пунктов безопасности!

Будущее 3CX под надежной защитой после уникальной каскадной атаки на цепочку поставок “software-in-software”.

Мы принимаем обязательства выполнить конкретные шаги, а именно, 7 пунктов безопасности по укреплению наших систем и минимизации риска будущих атак. Некоторые шаги уже выполнены, а некоторые уже в процессе. С этой целью мы разрабатываем Хартию безопасности, названную “EFTA”. На греческом языке “EFTA” означает “7”. Вот главное в нашей Хартии EFTA.

1. Усиление многоуровневой сетевой безопасности

Мы разработали стратегический план укрепления безопасности нашей сети, который включает:

• Восстановление сети, начиная с выделенной, изолированной и защищенной среды сборки ПО
• Внедрение новых инструментов мониторинга EDR
• Внедрение круглосуточного мониторинга за различными мировыми угрозами кибербезопасности
• Более строгие политики контроля доступа на всех уровнях  – модель Zero Trust.
• Тесное сотрудничество с Mandiant для реализации этих рекомендаций и устранению последствий вторжения

2. Новая система безопасности среды сборки ПО

Мы усовершенствовали процедуры и инструменты обеспечения целостности ПО, доступного на нашем сервере загрузок. Это включает:

• Усиленный статический и динамический анализ кода. Код сканируется перед каждым коммитом на наличие проблем с качеством и возможных уязвимостей. Сканируется весь проект Phone System, включая веб-клиент.
• Цифровая подпись кода и решение для мониторинга – мы тестируем решения для мониторинга и подписания кода. Они должны гарантировать, что наше ПО не будет изменено.

3.  Текущий обзор безопасности продукта с Mandiant

Компрометация нашей сети заставила нас тщательно проанализировать каждый аспект создания продукта. Поэтому мы сотрудничаем с Mandiant, которая проводит мониторинг всего кода, помогая обнаружить возможные уязвимости во всех наших продуктах – веб-клиенте, приложении Electron, внутреннем API и коммуникационных библиотеках. В ходе этого процесса мы уже выявили и устранили несколько потенциальных уязвимостей!

4. Усиление функций безопасности продуктов

Мы приняли обязательство по улучшению и совершенствованию функций безопасности наших продуктов. И первый шаг – выпуск Update 7A на следующей неделе. В ней имплементированы такие рекомендации по безопасности:

• Приложение PWA – теперь предпочтительный клиент для большинства пользователей:
  • Панель BLF в номеронабирателе приложения PWA.
  • Поддержка протокола Tel (Update 8)
  • Подробное сравнение приведено здесь
• Хеширование паролей
• Удаление паролей из приветственного письма
• Блокировка доступа к веб-клиенту по IP – для системного администратора или всех пользователей
• Также устранен ряд найденных уязвимостей

Мы обновили дорожную карту выпуска продуктов на ближайший период и включили туда нативное приложения Windows, распространяемое теперь через Microsoft Store. Это добавляет еще один уровень безопасности, автоматические обновления ПО и помещение в карантин при необходимости. Мы также планируем внедрить дополнительные технологии безопасности, такие как 2MFA для инсталляций без SSO. Подробная информация о новой дорожной карте будет опубликована в ближайшее время.

5. Непрерывное тестирование на вторжение

Мы заключаем соглашение с известной компанией по пен-тестированию для постоянного тестирования нашей сети и онлайн-приложений – веб-сайта и портала для клиентов. Разумеется, тестируется и наш основной продукт.

6. Усовершенствование плана антикризисного менеджмента и оперативные оповещения

По мере исследования инцидента мы действовали максимально прозрачно, публикуя постоянные обновления о ходе расследования. Это позволило нашим клиентам и сообществу специалистов по безопасности чувствовать себя уверенно. Когда вашим противником, вероятно, являются государственные службы, это вызывает серьезное беспокойство.

Мы публикуем всю важную информацию в социальных сетях, повышая вовлеченность наших пользователей. Мы общаемся с ними в блоге, на специализированном форуме, в Twitter и LinkedIn. Думаем, наша прозрачность была оценено теми, кого мы ценим больше всего.

В будущем мы официально оформим план антикризисного управления, используя уроки, извлеченные из этого инцидента.

7. Новый департамент сетевых операций и безопасности

Чтобы подчеркнуть важность безопасности нашей сети, мы создали специальный департамент сетевых операций и безопасности. Этот отдел возглавить Агатоклис Продрому (Agathocles Prodromou), имеющий 20-летний опыт работы в сфере ИТ и безопасности. Как главный сетевой директор (CNO), Агатоклис будет подчиняться непосредственно генеральному директору. Прямой контакт позволит постоянно анализировать и совершенствовать наши процессы и программу безопасности. Имея значительный бюджет на безопасность и соответствующие полномочия, Агатоклис сможет действовать быстро и эффективно.

7 пунктов безопасности – 3,2,1, Пуск!

Таков наш план. Реализация Хартии безопасности ЕАСТ сделает нас еще лучше. Оставайтесь с нами и смотрите, как мы выполняем обещания, превращая 3CX в самую безопасную коммуникационную систему на рынке.