Будущее 3CX под надежной защитой после уникальной каскадной атаки на цепочку поставок “software-in-software”.
Мы принимаем обязательства выполнить конкретные шаги, а именно, 7 пунктов безопасности по укреплению наших систем и минимизации риска будущих атак. Некоторые шаги уже выполнены, а некоторые уже в процессе. С этой целью мы разрабатываем Хартию безопасности, названную “EFTA”. На греческом языке “EFTA” означает “7”. Вот главное в нашей Хартии EFTA.
1. Усиление многоуровневой сетевой безопасности
Мы разработали стратегический план укрепления безопасности нашей сети, который включает:
- Восстановление сети, начиная с выделенной, изолированной и защищенной среды сборки ПО
- Внедрение новых инструментов мониторинга EDR
- Внедрение круглосуточного мониторинга за различными мировыми угрозами кибербезопасности
- Более строгие политики контроля доступа на всех уровнях – модель Zero Trust.
- Тесное сотрудничество с Mandiant для реализации этих рекомендаций и устранению последствий вторжения
2. Новая система безопасности среды сборки ПО
Мы усовершенствовали процедуры и инструменты обеспечения целостности ПО, доступного на нашем сервере загрузок. Это включает:
- Усиленный статический и динамический анализ кода. Код сканируется перед каждым коммитом на наличие проблем с качеством и возможных уязвимостей. Сканируется весь проект Phone System, включая веб-клиент.
- Цифровая подпись кода и решение для мониторинга – мы тестируем решения для мониторинга и подписания кода. Они должны гарантировать, что наше ПО не будет изменено.
3. Текущий обзор безопасности продукта с Mandiant
Компрометация нашей сети заставила нас тщательно проанализировать каждый аспект создания продукта. Поэтому мы сотрудничаем с Mandiant, которая проводит мониторинг всего кода, помогая обнаружить возможные уязвимости во всех наших продуктах – веб-клиенте, приложении Electron, внутреннем API и коммуникационных библиотеках. В ходе этого процесса мы уже выявили и устранили несколько потенциальных уязвимостей!
4. Усиление функций безопасности продуктов
Мы приняли обязательство по улучшению и совершенствованию функций безопасности наших продуктов. И первый шаг – выпуск Update 7A на следующей неделе. В ней имплементированы такие рекомендации по безопасности:
- Приложение PWA – теперь предпочтительный клиент для большинства пользователей:
- Панель BLF в номеронабирателе приложения PWA.
- Поддержка протокола Tel (Update 8)
- Подробное сравнение приведено здесь
- Хеширование паролей
- Удаление паролей из приветственного письма
- Блокировка доступа к веб-клиенту по IP – для системного администратора или всех пользователей
- Также устранен ряд найденных уязвимостей
Мы обновили дорожную карту выпуска продуктов на ближайший период и включили туда нативное приложения Windows, распространяемое теперь через Microsoft Store. Это добавляет еще один уровень безопасности, автоматические обновления ПО и помещение в карантин при необходимости. Мы также планируем внедрить дополнительные технологии безопасности, такие как 2MFA для инсталляций без SSO. Подробная информация о новой дорожной карте будет опубликована в ближайшее время.
5. Непрерывное тестирование на вторжение
Мы заключаем соглашение с известной компанией по пен-тестированию для постоянного тестирования нашей сети и онлайн-приложений – веб-сайта и портала для клиентов. Разумеется, тестируется и наш основной продукт.
6. Усовершенствование плана антикризисного менеджмента и оперативные оповещения
По мере исследования инцидента мы действовали максимально прозрачно, публикуя постоянные обновления о ходе расследования. Это позволило нашим клиентам и сообществу специалистов по безопасности чувствовать себя уверенно. Когда вашим противником, вероятно, являются государственные службы, это вызывает серьезное беспокойство.
Мы публикуем всю важную информацию в социальных сетях, повышая вовлеченность наших пользователей. Мы общаемся с ними в блоге, на специализированном форуме, в Twitter и LinkedIn. Думаем, наша прозрачность была оценено теми, кого мы ценим больше всего.
В будущем мы официально оформим план антикризисного управления, используя уроки, извлеченные из этого инцидента.
7. Новый департамент сетевых операций и безопасности
Чтобы подчеркнуть важность безопасности нашей сети, мы создали специальный департамент сетевых операций и безопасности. Этот отдел возглавить Агатоклис Продрому (Agathocles Prodromou), имеющий 20-летний опыт работы в сфере ИТ и безопасности. Как главный сетевой директор (CNO), Агатоклис будет подчиняться непосредственно генеральному директору. Прямой контакт позволит постоянно анализировать и совершенствовать наши процессы и программу безопасности. Имея значительный бюджет на безопасность и соответствующие полномочия, Агатоклис сможет действовать быстро и эффективно.
7 пунктов безопасности – 3,2,1, Пуск!
Таков наш план. Реализация Хартии безопасности ЕАСТ сделает нас еще лучше. Оставайтесь с нами и смотрите, как мы выполняем обещания, превращая 3CX в самую безопасную коммуникационную систему на рынке.