Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Приведение конфигурации IP телефонов в соответствие требованиям безопасности

Цель: защита IP телефонов от несанкционированного доступа и эксплуатации.
Пример требований безопасности к конфигурации IP телефонов:
  1. Смена пароля для учетной записи администратора
  2. Обновление прошивки IP телефонов до крайней стабильной версии
  3. Отключение неиспользуемых/небезопасных портов/протоколов
    1. HTTP (порт 80)
    2. Telnet (порт 23)
    3. VxWorks debugger (порт 17185) 
  4. Настройка встроенного межсетевого экрана
Отключение портов/протоколов осуществляется или соответствующими пунктами меню (например у Yealink) или через настройку встроенного межсетевого экрана (например у D-Link).

Примечание: рекомендуется включить настройку безопасной конфигурации в процесс установки новых телефонов и внедрить защитную меру как регулярную ежегодную задачу

Инструкция

  1. Найти в локальной сети все IP телефоны
    Для поиска IP телефонов можно использовать nmap с такими параметрами: nmap -p 5060,5061 --open 192.168.1.0/24
  2. Проверить текущие настройки и версию прошивки.
  3. Если требуется - провести настройку в соответствии с установленными требованиями
Классификация
Тип
Техническая ? Технические (логические) меры Технологические решения и меры, реализуемые в организации для снижения вероятности реализации рисков безопасности и их воздействия на организацию. Внутри орган...
Превентивная ? Превентивные (превентативные) меры Эти меры направлены на предотвращение совершения злонамеренных действий, блокируя или останавливая кого-либо или что-либо. Примеры: Межсетевые экраны; Системы...
Реализация
Вручную
Периодичность
Ежегодно
Ответственный
Не определено
Инструменты
Не определено
Предшествующие меры
Не требуется
Следующие меры
Не определено

Исполнение требований

Международный стандарт ISO № 27001 от 01.10.2013 "Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности - Требования - Приложение А":
A.14.2.5 ? Косвенная связь
A.14.2.5 Принципы разработки защищенных систем
Средства реализации: Принципы разработки защищенных систем должны быть установлены, документированы, поддерживаться и применяться во всех случаях внедрения информационных систем.
A.8.1.3 ? Косвенная связь
A.8.1.3 Надлежащее использование активов
Средства реализации: Правила для надлежащего использования информации и активов, связанных с информацией и устройствами обработки информации должны быть определены, документированы и внедрены.
A.18.2.3 ? Косвенная связь
A.18.2.3 Анализ технического соответствия
Средства реализации: Информационные системы должны регулярно анализироваться на соответствие политикам и стандартам информационной безопасности организации.
A.12.1.2 ? Косвенная связь
A.12.1.2 Управление изменениями
Средства реализации: Изменения в организации, бизнес-процессах, средствах для обработки информации и системах, которые влияют на информационную безопасность, должны быть управляемыми.
A.14.2.4 ? Косвенная связь
A.14.2.4 Ограничения на изменения в пакетах программ
Средства реализации: Модификация пакетов программ не должна поощряться и должна быть ограничена только необходимыми изменениями, а все изменения должны строго контролироваться.
A.14.2.2 ? Косвенная связь
A.14.2.2 Процедуры управления системными изменениями
Средства реализации: Изменения в системах в течение цикла разработки должны быть управляемыми посредством формализованных процедур управления изменениями.
A.12.5.1 ? Косвенная связь
A.12.5.1 Установка программ в эксплуатируемых системах
Средства реализации: Должны быть внедрены процедуры для управления установкой программного обеспечения в эксплуатируемых системах.
A.14.2.3 ? Косвенная связь
A.14.2.3 Технический анализ приложений после изменений операционной платформы
Средства реализации: После изменения операционных платформ, критичные бизнес-приложения должны быть проанализированы и протестированы, чтобы гарантировать, что отсутствует негативное влияние на деятельность организации или безопасность.
A.12.6.2 ? Косвенная связь
A.12.6.2 Ограничения на установку программного обеспечения
Средства реализации: Правила, регулирующие установку программного обеспечения пользователями, должны быть разработаны и внедрены.
A.9.1.2 ? Косвенная связь
A.9.1.2 Доступ к сетям и сетевым службам
Средства реализации: Пользователи должны получать доступ только к тем сетям и сетевым службам, для которых у них есть авторизация.
The 20 CIS Controls Resources:
CSC 5.1 Establish Secure Configurations
Maintain documented security configuration standards for all authorized operating systems and software.
CSC 18.11 ? Косвенная связь
CSC 18.11 Use Standard Hardening Configuration Templates for Databases
For applications that rely on a database, use standard hardening configuration templates. All systems that are part of critical business processes should also be tested.
CSC 7.2 ? Косвенная связь
CSC 7.2 Disable Unnecessary or Unauthorized Browser or Email Client Plugins
Uninstall or disable any unauthorized browser or email client plugins or add-on applications.
CSC 7.3 ? Косвенная связь
CSC 7.3 Limit Use of Scripting Languages in Web Browsers and Email Clients
Ensure that only authorized scripting languages are able to run in all web browsers and email clients.
CSC 5.2 ? Косвенная связь
CSC 5.2 Maintain Secure Images
Maintain secure images or templates for all systems in the enterprise based on the organization's approved configuration standards. Any new system deployment or existing system that becomes compromised should be imaged using one of those images or templates.
CSC 9.2 ? Косвенная связь
CSC 9.2 Ensure Only Approved Ports, Protocols, and Services Are Running
Ensure that only network ports, protocols, and services listening on a system with validated business needs are running on each system.
CSC 15.4 ? Косвенная связь
CSC 15.4 Disable Wireless Access on Devices if Not Required
Disable wireless access on devices that do not have a business purpose for wireless access.
CSC 7.1 ? Косвенная связь
CSC 7.1 Ensure Use of Only Fully Supported Browsers and Email Clients
Ensure that only fully supported web browsers and email clients are allowed to execute in the organization, ideally only using the latest version of the browsers and email clients provided by the vendor.
CSC 15.5 ? Косвенная связь
CSC 15.5 Limit Wireless Access on Client Devices
Configure wireless access on client machines that do have an essential wireless business purpose, to allow access only to authorized wireless networks and to restrict access to other wireless networks.
CSC 4.7 ? Косвенная связь
CSC 4.7 Limit Access to Script Tools
Limit access to scripting tools (such as Microsoft® PowerShell and Python) to only administrative or development users with the need to access those capabilities.
CSC 13.4 ? Косвенная связь
CSC 13.4 Only Allow Access to Authorized Cloud Storage or Email Providers
Only allow access to authorized cloud storage or email providers.
NIST Cybersecurity Framework:
PR.IP-1: A baseline configuration of information technology/industrial control systems is created and maintained incorporating security principles (e.g. concept of least functionality)
PR.PT-3: The principle of least functionality is incorporated by configuring systems to provide only essential capabilities

Связанные риски

Риск Угроза Уязвимость Тип актива Связи
Несанкционированный доступ к IP телефону из локальной сети из-за наличия технических (программных) уязвимостей в IP телефоне
НСД
Несанкционированный доступ к IP телефону из локальной сети
НСД
Наличие технических (программных) уязвимостей IP телефон 2
Несанкционированный доступ к IP телефону из локальной сети из-за возможности подбора пароля путем перебора (bruteforce) в IP телефоне
НСД
Несанкционированный доступ к IP телефону из локальной сети
НСД
Возможность подбора пароля путем перебора (bruteforce) IP телефон 2
Несанкционированный доступ к IP телефону из локальной сети из-за использования протокола Telnet в IP телефоне
НСД
Несанкционированный доступ к IP телефону из локальной сети
НСД
Использование протокола Telnet IP телефон 2