De snelle acceptatie van IP-gebaseerde telefoonsystemen zorgt voor opschudding in zowel de zakelijke als de IT-wereld. Maar het brengt ook een aantal uitdagingen met zich mee, niet in de laatste plaats als het gaat om het veilig houden van de communicatie.
VoIP, zoals bij elke nieuwe technologie, brengt potentiële veiligheidsrisico's met zich mee. Omdat het gebruik maakt van bestaande netwerk- en internetinfrastructuur, is het onderhevig aan bestaande bedreigingen en zijn er ook enkele nieuwe waarmee rekening moet worden gehouden. U moet zich niet alleen beschermen tegen bredere netwerkbedreigingen zoals DDoS-aanvallen, maar ook tegen enkele meer VoIP-specifieke bedreigingen.
Het probleem begrijpen
Een essentiële factor bij het effectief kunnen beschermen van uw VoIP-systeem is het begrijpen van de bedreigingen waarmee het wordt geconfronteerd. Deze kunnen zowel intern als extern zijn. Bescherming moet daarom over meerdere lagen heen werken: applicatie, netwerk en beveiliging.
Technieken zoals gedragsanalyse worden steeds vaker gebruikt. Deze maken gebruik van machine learning om patronen te ontdekken die op verdachte activiteiten kunnen duiden, maar vormen slechts een deel van de uitgebreide monitoring die nodig is voor echte veiligheid.
Spraakbeëindiging en data gescheiden houden
Een belangrijk onderdeel van veel beveiligingsstrategieën is het scheiden van spraak- en dataverkeer op het netwerk. De technologie zorgt ervoor dat dit niet per se fysiek hoeft te gebeuren. Virtuele segmentatie kan worden gebruikt om ervoor te zorgen dat VoIP-verkeer alleen via specifieke netwerkapparaten en -paden stroomt.
Door op deze manier speciale bronnen zoals subnetten en virtuele interfaces te gebruiken, kunt u er ook voor zorgen dat het spraakverkeer altijd de bandbreedte heeft die het nodig heeft voor een soepele werking en een blijvende hoge gesprekskwaliteit. VoIP is bijzonder gevoelig voor bandbreedtebeperkingen, dus dit is een belangrijke overweging. Dit is uiteraard een tweesnijdend zwaard, omdat het ook van cruciaal belang is dat toepassingen die veel bandbreedte gebruiken, waaronder SaaS, geen bronnen van VoIP stelen.
Idealiter moet met dit alles rekening worden gehouden bij het specificeren van de netwerkinfrastructuur. Voor doorlopend gebruik moeten netwerkbeheerders een duidelijk beeld hebben van het VoIP-verkeer, zodat ze de impact ervan kunnen begrijpen. Ze moeten ook prioriteit kunnen geven aan informatie met betrekking tot VoIP-verkeersstromen en gegevens kunnen loggen, zodat ze snel kunnen reageren op eventuele beveiligingsincidenten of andere problemen met betrekking tot spraakverkeer.
Dit informatieniveau is uiteraard elders nuttig en zorgt voor diepgaande managementrapporten die u kunnen helpen begrijpen hoe het systeem wordt gebruikt en waar eventuele verkeersknelpunten optreden.
Bescherming tegen VoIP-fraude
Een van de belangrijkste bedreigingen voor VoIP-systemen is het verkrijgen van toegang tot het systeem om ongeautoriseerde gesprekken te voeren; zogenaamde ‘tolfraude’. Om hiertegen te waken, gaat het effectief om het opstellen van regels op basis van netwerkgebeurtenissen. Deze kunnen worden geactiveerd door netwerkapparaten of door de VoIP-applicatie zelf.
Ook hier is het in de gaten houden van de bestemming van het verkeer een nuttige techniek. Snelle onverwachte veranderingen in de belbestemming van VoIP-verkeer zijn een sterk teken dat het netwerk mogelijk is gecompromitteerd en dat er ongeautoriseerde oproepen worden gedaan. Dit is ook een goede manier om intern misbruik van het systeem op te sporen.
Beleidsoverwegingen
Bedrijfsbreed beleid om het gebruik van VoIP te regelen is essentieel bij de implementatie van dit soort systemen. Dit helpt er niet alleen voor te zorgen dat het op een goedgekeurde manier wordt gebruikt, maar helpt beheerders ook bij het opmerken van het gebruik van ongeautoriseerde ‘schaduw’-systemen zoals peer-to-peer-chatapplicaties of softphone-applicaties. Gebruik hiervan is in strijd met de basisbehoefte die we hierboven hebben besproken om spraak- en dataverkeer van elkaar gescheiden te houden.
Dit gaat hand in hand met netwerkbeleid dat is ontworpen om ervoor te zorgen dat VoIP en gegevens binnen hun afzonderlijke delen van de infrastructuur blijven. Het is belangrijk om ook beleid te hebben voor protocolgebruik. SIP (Sessie-initiatieprotocol) wordt snel de norm voor IP-spraaksystemen en een effectief monitoringsysteem zal problemen zoals verkeerd opgestelde SIP-pakketten kunnen opsporen.
Nalevingskwesties
Beveiliging gaat uiteraard niet alleen over het terugdringen van misbruik, zowel binnen als buiten het bedrijf. Het is ook van cruciaal belang om naleving van de regelgeving te garanderen. Dit is een bijzonder probleem voor bedrijven in strak gereguleerde sectoren, waaronder de financiële dienstverlening en de gezondheidszorg, maar met de komst van de AVG heeft het gevolgen voor vrijwel alle ondernemingen.
Het hebben van VoIP en data op hetzelfde netwerk opent de mogelijkheid van datadiefstal met betrekking tot spraakverkeer. Dit kan met name een zorg zijn wanneer naleving vereist dat gesprekken worden opgenomen en gedurende een bepaalde periode worden opgeslagen.
Ook hier is monitoring en analyse van netwerk- en gebruikersactiviteit essentieel om het VoIP-systeem en de gespreksgegevens veilig te houden.
Het beschermen van informatie, ongeacht de bron ervan, moet vandaag de dag hoog op de agenda van elk bedrijf staan. Dit geldt ongeacht of het materiaal afkomstig is van spraak of data en of de dreiging van binnen of buiten de organisatie komt. Essentieel voor het bieden van die bescherming is het vermogen om te begrijpen wat er op het netwerk gebeurt en om spraak en data effectief te scheiden.