Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Приведение конфигурации IP телефонов в соответствие требованиям безопасности

Цель: защита IP телефонов от несанкционированного доступа и эксплуатации.

Пример требований безопасности к конфигурации IP телефонов:
  1. Смена пароля для учетной записи администратора
  2. Обновление прошивки IP телефонов до крайней стабильной версии
  3. Отключение неиспользуемых/небезопасных портов/протоколов
    1. HTTP (порт 80)
    2. Telnet (порт 23)
    3. VxWorks debugger (порт 17185) 
  4. Настройка встроенного межсетевого экрана
Отключение портов/протоколов осуществляется или соответствующими пунктами меню (например у Yealink) или через настройку встроенного межсетевого экрана (например у D-Link).

Инструкция к регулярной задаче
  1. Найти в локальной сети все IP телефоны
    Для поиска IP телефонов можно использовать nmap с такими параметрами: nmap -p 5060,5061 --open 192.168.1.0/24
  2. Проверить текущие настройки и версию прошивки.
  3. Если требуется - провести настройку в соответствии с установленными требованиями
Рекомендации к заполнению карточки:
  • Описать требования к безопасной конфигурации
  • Добавить в заметки к мере Инструкции по настройке IP телефонов различного типа
  • Добавить шаблон регулярной задачи по проверке и настройке конфигурации IP телефонов;
Классификация
Тип
Техническая ? Технические (логические) меры Технологические решения и меры, реализуемые в организации для снижения вероятности реализации рисков безопасности и их воздействия на организацию. Внутри орган...
Превентивная ? Превентивные меры Направлены на предотвращение совершения злонамеренных действий, блокируя или останавливая кого-либо, или что-либо. Примеры: Межсетевые экраны; Системы предотвр...
Реализация
Вручную
Периодичность
Ежегодно
Ответственный
Не определено
Инструменты
Не определено
Предшествующие меры
Не требуется
Следующие меры
Не определено

Исполнение требований

CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 5.1 CSC 5.1 Establish Secure Configurations
Maintain documented security configuration standards for all authorized operating systems and software.
NIST Cybersecurity Framework (EN):
PR.IP-1 PR.IP-1: A baseline configuration of information technology/industrial control systems is created and maintained incorporating security principles (e.g. concept of least functionality)
PR.PT-3 PR.PT-3: The principle of least functionality is incorporated by configuring systems to provide only essential capabilities

Связанные риски

Риск Угроза Уязвимость Тип актива Связи
Несанкционированный доступ к IP телефону из локальной сети из-за наличия технических (программных) уязвимостей в IP телефоне
НСД
Несанкционированный доступ к IP телефону из локальной сети
НСД
Наличие технических (программных) уязвимостей IP телефон 2
Несанкционированный доступ к IP телефону из локальной сети из-за возможности подбора пароля путем перебора (bruteforce) в IP телефоне
НСД
Несанкционированный доступ к IP телефону из локальной сети
НСД
Возможность подбора пароля путем перебора (bruteforce) IP телефон 2
Несанкционированный доступ к IP телефону из локальной сети из-за использования протокола Telnet в IP телефоне
НСД
Несанкционированный доступ к IP телефону из локальной сети
НСД
Использование протокола Telnet IP телефон 2