Taten statt Worte – Unser 7-Schritte-Sicherheits-Aktionsplan!

Sicherung der Zukunft von 3CX nach dem ersten kaskadierenden Angriff auf die Software-in-Software-Lieferkette

Wir verpflichten uns zu umsetzbaren Schritten – 7 um genau zu sein – um unsere Systeme zu stärken und unser Risiko zukünftiger Angriffe zu minimieren. Einige Schritte sind bereits abgeschlossen, andere noch in Bearbeitung. Zu diesem Zweck entwerfen wir derzeit eine Sicherheitscharta – genannt „EFTA“. Es bedeutet 7 auf Griechisch. Hier ist, was wir in der EFTA-Sicherheitscharta priorisieren.

1. Stärkung mehrerer Ebenen der Netzwerksicherheit

Wir haben einen strategischen Plan entwickelt, um die Sicherheit unseres Netzwerks zu verstärken, einschließlich:

• Neuaufbau des Netzwerks, beginnend mit einer dedizierten Build-Umgebung, die gesichert und isoliert ist
• Implementierung neuer EDR-Überwachungstools
• Einsatz von Offsite-Überwachung rund um die Uhr – besetzt mit Spezialisten für die Bedrohungssuche
• Strengere Zugriffskontrollrichtlinien auf allen Ebenen bei einem Zero-Trust-Modell
• Enge Zusammenarbeit mit Mandiant zur Umsetzung der Empfehlungen des Sanierungsplans

2. Überarbeitung der Build-Sicherheit

Wir haben die Verfahren verbessert und setzen zusätzliche Tools ein, um die Integrität der auf unserem Download-Server zur Verfügung gestellten Software sicherzustellen. Das beinhaltet:

• Verstärkte statische und dynamische Codeanalyse – unser Code wird vor jedem Commit gescannt, um nach Codequalitätsproblemen und Schwachstellen im gesamten Telefonsystemprojekt zu suchen – einschließlich des Webclients.
• Code-Signatur- und Überwachungslösungen – Wir evaluieren mögliche Code-Signatur- und Überwachungslösungen, um sicherzustellen, dass unsere Software nicht modifiziert wird.

3. Laufende Überprüfung der Produktsicherheit mit Mandiant

Diese Gefährdung unseres Netzwerks veranlasste uns, jeden Aspekt unseres Produkts zu prüfen. Zu diesem Zweck arbeiten wir eng mit Mandiant zusammen, um die laufende Überprüfung der Produktsicherheit abzuschließen, um Schwachstellen in 3CX-Produkten zu identifizieren. Dazu gehören der Webclient, die Electron-App sowie unsere internen API- und Kommunikationsbibliotheken. Wir haben mehrere potenzielle Schwachstellen behoben, die im Rahmen dieses Prozesses identifiziert wurden.

4. Verbesserung der Produktsicherheitsfunktionen

Wir haben uns verpflichtet, unsere Produktsicherheitsfunktionen zu verbessern und zu stärken. Als ersten Schritt veröffentlichen wir nächste Woche Update 7A nach einer Sicherheitsüberprüfung, die Folgendes umfasst:

• PWA als bevorzugte Option für mehr Kunden:
  • Fügt BLF-Panel zum PWA-App-Dialer hinzu
  • Unterstützung für das Tel-Protokoll (Update 8)
  • Sehen Sie hier unseren ausführlichen Vergleich
• Passwort-Hashing
• Entfernen des Passworts aus der Willkommens-E-Mail
• Sperren des Webclients per IP – für den Systemadministrator oder alle Benutzer
• Eine Reihe von Schwachstellen wird behoben

Wir haben unsere kurzfristige Produkt-Roadmap aktualisiert, um eine Version unserer nativen Windows-App aufzunehmen, die aus dem Microsoft Store installiert werden kann. Dies fügt automatisch eine Sicherheitsstufe sowie bei Bedarf automatische Updates und Quarantäne hinzu. Wir planen auch zusätzliche Sicherheitsupdates wie 2MFA für Nicht-SSO-Installationen. Weitere Details sowie die Roadmap werden in Kürze veröffentlicht.

5. Durchführen laufender Penetrationstests

Wir schließen eine Vereinbarung mit einem etablierten Unternehmen für Penetrationstests ab, um laufende Penetrationstests unseres Netzwerks, unserer Online-Webanwendungen einschließlich Website und Kundenportal sowie unseres Produkts durchzuführen.

6. Verfeinerung unseres Krisenmanagement- und Alarmbehandlungsplans

Als sich dieser Vorfall abspielte, stellten wir fortlaufend Updates bereit und arbeiteten mit Transparenz, um unsere Kunden und die Sicherheitsgemeinschaft zu informieren. Es kann ein beängstigendes Gefühl sein, das eine Organisation bis ins Mark erschüttert, wenn einem klar wird, dass ein nationalstaatlicher Akteur der wahrscheinliche Gegner ist.

Wir haben unseren Informationsaustausch über soziale Medien verstärkt, was unser Engagement in der Community erhöht hat. Dazu gehörten die wechselseitige Kommunikation über unsere Blogs und unser dediziertes Forum sowie eine Zunahme der Follower von 3CX auf Twitter und LinkedIn. Wir sind der Meinung, dass unser Engagement für Transparenz von denen geschätzt wird, die wir am meisten schätzen.

In Zukunft werden wir einen Krisenmanagement- und Alarmbehandlungsplan formalisieren, um auf den Lehren aus diesem Vorfall aufzubauen.

7. Einrichtung einer neuen Abteilung für Netzwerkbetrieb und -sicherheit

Um die Bedeutung sowohl der Sicherheit als auch des Netzwerkbetriebs hervorzuheben, haben wir eine eigene Abteilung geschaffen, die sich auf Netzwerkbetrieb und -sicherheit konzentriert. Diese neue Abteilung „Network Operations & Security“ wird von Agathocles Prodromou geleitet, der fast 20 Jahre Erfahrung im IT- und Sicherheitsbereich mitbringt. Als Chief Network Officer (CNO) wird Agathocles direkt an den CEO berichten, um eine direkte und offene Kommunikationslinie zu gewährleisten, während wir unsere Betriebspraktiken und unser Sicherheitsprogramm kontinuierlich überprüfen und verbessern. Mit einem beträchtlichen Sicherheitsbudget und der Befugnis, schnell und effektiv zu handeln, wird Agathocles gerüstet und befähigt sein, sowohl das Unternehmen als auch unser Produkt zu schützen.

3,2,1 Action!

Das ist der Plan. Wir freuen uns auf dieses nächste Kapitel der Erneuerung und Regenerierung bei der Umsetzung der EFTA-Sicherheitscharta. Bleiben Sie bei uns, während wir unsere Worte in die Tat umsetzen und 3CX zur sichersten Kommunikationslösung auf dem Markt machen.