Asegurar el futuro de 3CX después del primer ataque en cascada de la cadena de suministro de software en software

3CX se comprometio a seguir pasos prácticos, 7 para ser exactos, para fortalecer los sistemas y minimizar el riesgo de futuros ataques. Algunos pasos ya se han completado, algunos todavía en proceso. Con este fin, actualmente estamos redactando una Carta de Seguridad - llamada ' EFTA '. Significa 7 en griego. 

1. Fortalecimiento de múltiples capas de seguridad de red

Se ha ideado un plan estratégico para reforzar la seguridad de nuestra red que incluye:

• Reconstruir la red comenzando con un entorno de construcción dedicado que está reforzado y aislado
• Implementación de nuevas herramientas de monitoreo de EDR
• Empleando monitoreo externo las 24 horas del día, los 7 días de la semana, atendido por especialistas en caza de amenazas
• Políticas de control de acceso más estrictas a todos los niveles en un modelo Zero Trust
• Trabajando en estrecha colaboración con Mandiant para implementar las recomendaciones del plan de remediación

2. Renovación de la seguridad de compilación

Se ha mejorado los procedimientos y estamos empleando herramientas adicionales para garantizar la integridad del software disponible en nuestro servidor de descargas. Esto incluye:

• Mayor análisis de código estático y dinámico: nuestro código se escanea antes de cada compromiso, en busca de problemas de calidad del código y vulnerabilidades en todo el proyecto del sistema telefónico, incluido el cliente web.
• Soluciones de monitoreo y firma de código: estamos evaluando posibles soluciones de monitoreo y firma de código para garantizar que nuestro software no se modifique.

3. Revisión continua de la seguridad del producto con Mandiant

Este compromiso con nuestra red hizo que se escudriñára cada aspecto de nuestro producto. Con este fin, se esta trabajando en estrecha colaboración con Mandiant para completar la revisión de seguridad del producto en curso para ayudar a identificar vulnerabilidades en los productos 3CX. Esto incluye el cliente web, la aplicación Electron, así como nuestra API interna y bibliotecas de comunicación. Hemos solucionado varias vulnerabilidades potenciales identificadas como parte de este proceso.

4. Mejora de las características de seguridad del producto

Se ha comprometido a mejorar y mejorar las funciones de seguridad de nuestros productos. Como primer paso, se lanzara la Actualización 7A la próxima semana, luego de una verificación y revisión de seguridad, que incluye:

• PWA como opción preferida para más clientes:
  • Agrega el panel BLF al marcador de la aplicación PWA
  • Compatibilidad con el protocolo Tel (Actualización 8)
  • Vea nuestra comparación detallada aquí
• Hash de contraseña
• Eliminación de contraseña del correo electrónico de bienvenida
• Bloqueo de Web Client por IP: para el administrador del sistema o para todos los usuarios
• Se abordarán una serie de vulnerabilidades.

Se ha actualizado la hoja de ruta de productos a corto plazo para incluir una versión de nuestra aplicación nativa de Windows que se puede instalar desde Microsoft Store. Esto agrega automáticamente un nivel de seguridad, así como actualizaciones automáticas y cuarentena si es necesario. También estamos planeando actualizaciones de seguridad adicionales como 2MFA para instalaciones sin SSO. Más detalles junto con la hoja de ruta se publicarán pronto.

5. Realización de pruebas de penetración continuas

Se esta celebrando un acuerdo con una empresa establecida de pruebas de penetración para realizar pruebas de penetración continuas de nuestra red, nuestras aplicaciones web en línea, incluido el sitio web y el portal del cliente, así como nuestro producto.

6. Refinar nuestro Plan de Gestión de Crisis y Manejo de Alertas

A medida que se desarrollaba este incidente, brindamos actualizaciones continuas y operamos con transparencia para ayudar a informar a nuestros clientes y a la comunidad de seguridad. Puede ser un sentimiento desalentador que sacude una organización hasta la médula, cuando te das cuenta de que un actor del estado-nación es el probable adversario.

Se fortalecio el intercambio de información a través de las redes sociales, lo que aumentó el compromiso con la comunidad. Esto incluyó comunicaciones bidireccionales en nuestros blogs y foros dedicados , así como un aumento en los seguidores de 3CX en Twitter y LinkedIn. 

En el futuro, se  formalizara un plan de gestión de crisis y manejo de alertas para aprovechar las lecciones aprendidas a través de este incidente.

7. Establecimiento de un nuevo Departamento de Operaciones y Seguridad de la Red

Para enfatizar la importancia tanto de la seguridad como de las operaciones de red, se ha creado un departamento dedicado centrado en las operaciones y la seguridad de la red. Este nuevo departamento de 'Operaciones y seguridad de red' estará dirigido por Agathocles Prodromou, que aporta casi 20 años de experiencia en el dominio de TI y seguridad. Como director de redes (CNO), Agathocles informará directamente al director ejecutivo para garantizar una línea de comunicación directa y abierta mientras revisamos y mejoramos continuamente nuestras prácticas operativas y nuestro programa de seguridad. Con un presupuesto de seguridad significativo y la autoridad para actuar con rapidez y eficacia, Agathocles estará equipado y capacitado para proteger tanto a la empresa como a nuestro producto.

3,2,1 ¡Acción!

Este es el plan. Se espera con ansias este próximo capítulo de renovación y regeneración a medida que implementamos la Carta de Seguridad de la AELC.