3CX安全七步走

3CX安全事件已逐步得到有效的解决，但为了增强3CX系统的安全性，为未来潜在的安全攻击做好充分准备，3CX团队提出了“七步安全法”，目前详细的步骤正在完善中，以下为现阶段的成果和想法。

1、强化多层网络安全

3CX团队设计了一套策略，用以增强网络的安全性，包括以下几点：

在强化和隔离的专用环境下重新搭建网络
实施全新的EDR监控工具
雇佣场外安全专家团队进行7×24小时监控
在零信任模式的所有级别上采用更严格的访问控制策略
与安全专家Mandiant紧密合作，实施补救计划

2、改进构建安全性

针对服务器下载端的软件，3CX团队改进了流程并采用额外的工具确保其完整性，具体包括：

增加网页客户端静态和动态代码分析，在每次提交代码之前都会对代码进行扫描，查找整个电话系统的代码质量问题和漏洞
对代码签名和监控方案进行升级，确保软件不会被轻易修改

3、联合安全专家Mandiant审查现有产品安全情况

3CX正联合Mandiant开展对包括网页客户端、应用app、内部API和通信库在内的3CX产品的安全性审查，仔细检查产品的方方面面并识别其潜在漏洞，截至目前，已修复了在这个过程中发现的几个潜在漏洞。

4、增强产品安全性

针对安全审查发现的问题，3CX还将发布新版本Update 7A，其中涉及的功能优化包括：

将PWA作为更多用户的首选——包括在PWA应用拨号增加BLF面板、Update8中增加对电话协议的支持
哈希算法存储密码
删除欢迎邮件中的密码
按IP锁定Web客户端（所有用户均适用）
修复一系列已知漏洞

3CX团队更新了近期的产品路线图，新增了一个可以从微软商店直接安装的本地Windows版本，该版本在必要时可进行自动更新和隔离，进一步增强了安全性，同时，3CX团队还计划增加额外的安全更新，如针对非SSO安装的2MFA。

5、执行持续渗透测试

3CX和专业的渗透测试企业达成了协议，将开展对3CX的网络、网站、客户端和产品的持续渗透测试

6、完善危机管理和警报处理计划

随着此次安全事件的发生，3CX团队启用了信息透明化策略，持续公布最新情况和处理结果，帮助3CX客户和安全社区及时掌握情况。不仅增加了在社交媒体上的信息共享，而且增强了在博客和论坛的双向交流互动，这种透明化策略得到了客户的认可。3CX团队将总结此次安全事件的经验，持续构建、完善危机管理和警报处理计划。

7、组建网络运营和安全部门

为了提升对信息安全和网络运营的重视，3CX团队组建了一个全新的部门——网络运营与安全部，该部门将着重关注网络运营和安全相关的事务，由在IT安全领域拥有近20年经验的Agathocles Prodromou担任CNO，并直接向CEO汇报，Agathocles将获得足够的安全预算和管理权限，肩负起增强企业和产品安全性能的责任。

伴随着“七步安全计划”的实施，3CX将迈向新的台阶，为各位呈现最安全的通讯解决方案，让我们拭目以待。

文章源文：

Actions not words – Our 7 Step Security Action Plan!

翻译整理：

Juli

查看更多文章→