Azioni non parole – Il nostro piano d’azione per la sicurezza in 7 passi!

Sicurezza per il futuro di 3CX dopo l’attacco hacker. Il primo nel suo genere!

Ci stiamo impegnando in passi concreti – 7 per l’esattezza – per rafforzare i nostri sistemi e ridurre al minimo il rischio di attacchi futuri. Alcune fasi sono già state completate, altre sono ancora in corso. A tal fine, stiamo redigendo una “Security Charter”, chiamata appunto “EFTA” che in greco significa 7. Ecco quali sono le priorità di questa Security charter EFTA.

1. Rafforzare i livelli multipli di sicurezza della rete

Abbiamo elaborato un piano strategico per rafforzare la sicurezza della nostra rete che comprende:

• Ricostruzione della rete, a partire da un ambiente di costruzione dedicato, protetto e isolato.
• Implementazione di nuovi strumenti di monitoraggio EDR
  Impiegare un monitoraggio fuori sede 24 ore su 24, 7 giorni su 7, con personale specializzato nella caccia alle minacce.
• Politiche di controllo degli accessi più severe a tutti i livelli su un modello Zero Trust.
• Lavorare a stretto contatto con Mandiant per implementare le raccomandazioni del piano di rimedio.

2. Rinnovamento della sicurezza delle build

Abbiamo migliorato le procedure e stiamo impiegando strumenti aggiuntivi per garantire l’integrità del software reso disponibile sul nostro server di download. Questo include:

• Aumento dell’analisi statica e dinamica del codice – il nostro codice viene analizzato prima di ogni commit, alla ricerca di problemi di qualità del codice e di vulnerabilità nell’intero progetto del centralino, compreso il web client.
• Soluzioni di firma e monitoraggio del codice – Stiamo valutando possibili soluzioni di firma e monitoraggio del codice per garantire che il nostro software non venga modificato.

3. Continua revisione della sicurezza del prodotto con Mandiant

La violazione della nostra rete ci ha spinto a esaminare ogni aspetto del nostro prodotto. A tal fine, stiamo lavorando a stretto contatto con Mandiant per completare la revisione della sicurezza del prodotto in corso per aiutare a identificare le vulnerabilità nei prodotti 3CX. Ciò include il web client, l’app Electron, nonché le nostre API interne e le librerie di comunicazione. Abbiamo risolto diverse vulnerabilità potenziali identificate come parte di questo processo.

4. Miglioramento delle funzioni di sicurezza dei prodotti

Ci siamo impegnati a migliorare e potenziare le funzioni di sicurezza del nostro prodotto. Come primo passo, la prossima settimana rilasceremo l’Update 7A, dopo un controllo e una revisione della sicurezza, che comprende:

• PWA come opzione preferita da un maggior numero di clienti:
  • Aggiunge il pannello BLF al dialer dell’app PWA.
  • Supporto per il protocollo Tel (aggiornamento 8)
  • Consultate il nostro confronto dettagliato qui
• Hashing della password
• Rimozione della password dall’e-mail di benvenuto
• Blocco del client Web per IP – per l’amministratore di sistema o per tutti gli utenti
• Verranno affrontate diverse vulnerabilità

Abbiamo aggiornato la nostra roadmap di prodotti a breve termine per includere una versione della nostra applicazione nativa per Windows che può essere installata dal Microsoft Store. Questo aggiunge automaticamente un livello di sicurezza, nonché aggiornamenti automatici e quarantena, se necessario. Stiamo inoltre pianificando ulteriori aggiornamenti di sicurezza, come il 2MFA per le installazioni non SSO. Maggiori dettagli e la roadmap saranno rilasciati a breve.

5. Esecuzione di test di violazione in corso

Stiamo stipulando un accordo con un’affermata società di pen-testing per eseguire pen-testing continui della nostra rete, delle nostre app web online, compresi il sito web e il portale clienti, nonché del nostro prodotto.

6. Perfezionamento del piano di gestione delle emergenze e degli allarmi

Durante lo sviluppo di questo incidente, abbiamo fornito aggiornamenti continui e operato con trasparenza per informare sempre i nostri clienti e la community. Può essere una sensazione scoraggiante che scuote un’organizzazione nel profondo, quando ci si rende conto che il probabile autore è uno Stato/nazione.

Abbiamo rafforzato la condivisione delle informazioni sui social media, aumentando il coinvolgimento della community. Ciò ha comportato comunicazioni bidirezionali attraverso i nostri blog e il forum dedicato, nonché un aumento dei follower di 3CX su Twitter e LinkedIn. Riteniamo che il nostro impegno per la trasparenza sia stato apprezzato.

In futuro, formalizzeremo un piano di gestione delle emergenze e degli avvisi per fare tesoro degli insegnamenti tratti da questo incidente.

7. Creazione di un nuovo dipartimento per le operazioni e la sicurezza della rete

Per sottolineare l’importanza della sicurezza e delle operazioni di rete, abbiamo creato un dipartimento dedicato alle operazioni di rete e alla sicurezza. Questo nuovo dipartimento “Operazioni di rete e sicurezza” sarà diretto da Agathocles Prodromou, che vanta quasi 20 anni di esperienza nel settore IT e della sicurezza. In qualità di Chief Network Officer (CNO), Agathocles riporterà direttamente all’Amministratore Delegato per garantire una linea di comunicazione diretta e aperta durante la revisione e il miglioramento continui delle nostre pratiche operative e del nostro programma di sicurezza. Con un budget significativo per la sicurezza e l’autorità di agire in modo rapido ed efficace, Agathocles sarà equipaggiato e dotato di strumenti per proteggere sia l’azienda che il nostro prodotto.

3,2,1 Azione!

Questo è il piano. Non vediamo l’ora di affrontare il prossimo capitolo di rinnovamento e rigenerazione, mentre implementiamo la “EFTA”. Restate con noi mentre mettiamo in pratica le nostre parole e trasformiamo 3CX nella soluzione di comunicazione più sicura disponibile sul mercato.