3CX 七步安全计划

我们承诺采取可操作的步骤 —— 准确地说,是 7 步 —— 来加固我们的系统,并将我们未来遭受攻击的风险降到最低。有些步骤已经完成,有些仍在进行中。为此,我们目前正在起草一份安全宪章 —— 称为 “EFTA”。它在希腊语中的意思是 7。以下是我们在《EFTA 安全宪章》中优先考虑的内容。

1 强化网络安全的多个层次

我们制定了一项战略计划来加强我们网络的安全性,包括:

  • 从一个经过加固和隔离的专用构建环境开始重建网络
  • 实施新的 EDR 监控工具
  • 采用场外 24/7 监控 —— 由专家负责
  • 在零信任模式下,所有级别的访问控制政策更加严格
  • 与 Mandiant 紧密合作,实施补救计划建议

2 改进构建安全性

我们已经加强了程序,并采用了额外的工具,以确保我们的下载服务器上提供的软件的完整性。这包括:

  • 增加静态和动态代码分析 —— 我们的代码在每次提交前都会被扫描,寻找整个电话系统项目的代码质量问题和漏洞 —— 包括网络客户端。
  • 代码签名和监控解决方案 —— 我们正在评估可能的代码签名和监控解决方案,以确保我们的软件不被修改。

3 与 Mandiant 进行的持续产品安全审查

这次对我们的网络的破坏,使我们不得不仔细检查我们产品的每一个方面。为此,我们正在与 Mandiant 密切合作,完成正在进行的产品安全审查,以帮助确定整个 3CX 产品的漏洞。这包括 Web 客户端,Electron 应用程序,以及我们的内部 API 和通信库。我们已经修复了作为这一过程一部分的几个潜在漏洞。

4 加强产品安全功能

  • 推荐客户使用 PWA:
    • 在 PWA 拨号盘增加了 BLF 面板
    • 支持 Tel 协议(Update 8)
    • 查看更多对比,见我们的文章
  • 对密码进行哈希处理
  • 删除欢迎邮件中的密码
  • 根据 IP 锁定网页客户端 —— 对于系统管理员和所有用户
  • 解决一系列漏洞

我们已经更新了我们的近期产品路线图,包括一个可以从微软商店安装的本地 windows 应用程序的版本。这将自动增加一个安全级别,并在必要时自动更新和隔离。我们还计划进行额外的安全更新,例如为非 SSO 安装的 2MFA。更多细节和路线图将很快发布。

5 进行持续的渗透测试

我们正在与一家成熟的渗透测试公司达成协议,对我们的网络、我们的在线网络应用,包括网站和客户门户,以及我们的产品进行持续的渗透测试。

6 完善我们的危机管理和警报处理计划

随着这一事件的展开,我们提供了持续的更新和透明的操作,以帮助通知我们的客户和安全社区。当你意识到对手可能是一个国家时,这可能是一种令人望而生畏的感觉,使一个组织的核心受到震动。

我们加强了在社交媒体上的信息共享,这增加了我们的社区参与。这包括通过我们的博客专用论坛进行双向交流,以及增加3CX在TwitterLinkedIn上的关注者。我们觉得我们对透明度的承诺得到了我们最重视的人的赞赏。

7 建立新的网络运行和安全部

为了强调安全和网络运营的重要性,我们已经创建了一个专注于网络运营和安全的专门部门。这个新部门 “网络运营与安全 “将由 Agathocles Prodromou 领导,他在 IT 和安全领域拥有近20年的经验。作为首席网络官(CNO),Agathocles 将直接向首席执行官报告,以确保在我们不断审查和改进我们的运营实践和安全计划时有一个直接和开放的沟通渠道。Agathocles拥有大量的安全预算和快速有效的行动权,他将有能力确保公司和我们产品的安全。

3,2,1 开始!

这就是计划。我们期待着在实施《欧洲自由贸易联盟安全宪章》的过程中翻开更新和再生的下一章。在我们采取行动,将 3CX 变成市场上最安全的通信解决方案时,请与我们保持联系。