Geen woorden maar daden – Ons 7-staps beveiligingsactieplan!

Een veilige toekomst voor 3CX na de eerste cascading software-in-software supplychainaanval

We nemen gerichte stappen, 7 om precies te zijn, om onze systemen robuuster te maken en het risico op toekomstige aanvallen te beperken. Sommige stappen zijn al uitgevoerd, met andere zijn we nog bezig. Daarom zijn we ook bezig met het opstellen van een beveiligingshandvest met de naam ‘EFTA’, Grieks voor ‘zeven’. Hieraan geven we prioriteit in het EFTA-beveiligingshandvest:

1. Meerdere lagen van netwerkbeveiliging robuuster maken

We hebben een strategisch plan opgesteld om de veiligheid van ons netwerk te versterken, met onder andere de volgende acties:

• We herbouwen ons netwerk, te beginnen met een speciale robuuste en geïsoleerde build-omgeving
• We implementeren nieuwe EDR-monitoringtools
• We gebruiken offsite 24/7 monitoring, uitgevoerd door specialisten op het gebied van dreigingen opsporen
• We hanteren een strikter toegangsbeheerbeleid op alle niveaus op basis van een Zero Trust-model
• We werken nauw samen met Mandiant om Remediation Plan-aanbevelingen te implementeren

2. Buildbeveiliging vernieuwen

We hebben onze procedures vernieuwd en gebruiken aanvullende tools om de integriteit van software op onze downloadserver te waarborgen. Denk aan:

• Analyse van statische en dynamische code: onze code wordt gescand voordat deze wordt uitgevoerd. Daarbij wordt gezocht naar kwaliteitsproblemen en kwetsbaarheden in de volledige telefooncentrale, inclusief de Web Client.
• Oplossing voor ondertekening en monitoring van code: we onderzoeken mogelijke oplossingen voor het ondertekenen en monitoren van code, om te zorgen dat onze software niet wordt aangepast.

3.  Doorlopende controle van productbeveiliging met Mandiant

Door deze aanval op ons netwerk bekijken we elk aspect van ons product zorgvuldig. Daarvoor werken we nauw samen met Mandiant en samen controleren we doorlopend de productbeveiliging om kwetsbaarheden in 3CX-producten te vinden. Dit geldt voor de Web Client, Electron-app en onze interne API en communicatiebibliotheken. We hebben al diverse potentiële kwetsbaarheden opgelost.

4. Productbeveiligingsfuncties uitbreiden

We richten ons op verbetering van onze productbeveiliging. Als eerste stap brengen we volgende week update 7A uit, na een beveiligingscontrole, met onder andere de volgende correcties:

• PWA als voorkeursoptie voor meer klanten:
  • Voegt BLF-paneel toe aan dialer van PWA-app
  • Ondersteunt Tel-protocol (update 8)
  • Bekijk hier onze uitgebreide vergelijking
• Hashing van wachtwoorden
• Wachtwoord wordt verwijderd uit welkomstmail
• Vergrendeling van Web Client op basis van IP – voor systeembeheerder of alle gebruikers
• Een aantal kwetsbaarheden wordt aangepakt

We hebben onze productroadmap voor de korte termijn uitgebreid met een versie van onze native Windows-app die via de Microsoft Store kan worden geïnstalleerd. Daarmee wordt automatisch een extra beveiligingsniveau toegevoegd, naast automatische updates en quarantaine indien nodig. Bovendien komen er aanvullende beveiligingsupdates zoals 2MFA voor installaties zonder SSO. Binnenkort volgen meer details en een roadmap.

5. Doorlopende penetratietests uitvoeren

We gaan een samenwerking aan met een gevestigde naam om doorlopende penetratietests uit te voeren op ons netwerk, inclusief onze webapplicaties met de website en het klantenportaal, en ons product.

6. Plan voor crisismanagement en alertverwerking verfijnen

Tijdens dit incident gaven we doorlopend updates en bleven we transparant, om onze klanten en de beveiligingscommunity op de hoogte te houden. Het is intimiderend en je wordt als organisatie in je kern geraakt wanneer je beseft dat je tegenstander waarschijnlijk een natie is.

We hielden u op de hoogte via social media, waardoor onze community meer betrokken werd. Er was sprake van communicatie over en weer via onze blogs en ons speciale forum, maar ook van een toename van het aantal volgers van 3CX op Twitter en LinkedIn. We merken dat onze transparantie op prijs wordt gesteld door de mensen die we het meeste waarderen.

We werken nu aan een officieel plan voor crisismanagement en alertverwerking, zodat we kunnen leren van dit incident.

7. Een nieuwe afdeling voor netwerkactiviteiten en beveiliging oprichten

Om het belang van zowel beveiligings- als netwerkactiviteiten te benadrukken, hebben we een volledig nieuwe afdeling opgericht. Aan het hoofd van deze nieuwe afdeling ‘Network Operations & Security’ staat Agathocles Prodromou, met bijna 20 jaar ervaring in IT en beveiliging. Als Chief Network Officer (CNO) legt Agathocles verantwoording af aan de CEO, voor directe, open communicatie terwijl we onze werkwijzen en beveiligingsprogramma doorlopend herzien en verbeteren. Met een significant beveiligingsbudget en de bevoegdheid om snel en effectief te handelen, krijgt Agathocles alle mogelijkheden om zowel het bedrijf als het product veilig te houden.

3, 2, 1, actie!

Dit is het plan. We kijken uit naar dit nieuwe hoofdstuk van vernieuwing en herstel, op basis van het EFTA-beveiligingshandvest. We gaan er hard aan werken 3CX de veiligste communicatieoplossing ooit te maken.