Ações, não palavras – Nosso Plano de Ação de Segurança em 7 Etapas!

Garantindo o futuro do 3CX após o primeiro ataque em cascata da cadeia de suprimentos de software em software

Estamos nos comprometendo com etapas acionáveis – 7 para ser exato – para fortalecer nossos sistemas e minimizar nosso risco de ataques futuros. Algumas etapas já estão concluídas, enquanto outras ainda estão em andamento. A fim disso, estamos elaborando uma Carta de Segurança – chamada ‘EFTA‘, que significa 7 em grego. Aqui está o que estamos priorizando na Carta de Segurança e no Plano de Segurança ‘EFTA’.

1. Fortalecimento de Múltiplas Camadas de Segurança de Rede

Elaboramos um plano estratégico para reforçar a segurança de nossa rede, incluindo:

• Reconstrução de rede, começando com um ambiente de construção dedicado que é reforçado e isolado
• Implementação de novas ferramentas de monitoramento de EDR
• Aplicação de monitoramento externo 24 horas por dia, 7 dias por semana – composto por especialistas em caça de ameaças
• Políticas de controle de acesso mais rígidas em todos os níveis em um modelo Zero Trust
• Trabalho em estreita colaboração com a Mandiant para implementar as Recomendações do Plano de Remediação

2. Renovando a Segurança da Construção

Aprimoramos procedimentos e estamos empregando ferramentas adicionais para garantir a integridade dos softwares disponibilizados em nosso servidor de downloads. Isso inclui:

• Maior análise de código estático e dinâmico – nosso código é verificado antes de cada confirmação, procurando por problemas de qualidade de código e vulnerabilidades em todo o projeto do sistema telefônico – incluindo o Web Client.
• Soluções de assinatura e monitoramento de código – Estamos avaliando possíveis soluções de assinatura e monitoramento de código para garantir que nosso software não seja modificado.

3. Revisão Contínua da Segurança do Produto com a Mandiant

Esse comprometimento da nossa rede nos levou a examinar cada aspecto de nosso produto. Dessa forma, estamos trabalhando em estreita colaboração com a Mandiant para concluir a revisão contínua de segurança do produto para ajudar a identificar vulnerabilidades nos produtos 3CX. Isso inclui o Web Client, o app Electron, bem como nossa API interna e bibliotecas de comunicação. Corrigimos várias vulnerabilidades em potencial identificadas como parte desse processo.

4. Aprimoramento dos Recursos de Segurança do Produto

Comprometemo-nos a melhorar e aprimorar os recursos de segurança de nossos produtos. Como primeiro passo, lançaremos a Atualização 7A na próxima semana, após uma verificação e revisão de segurança, que inclui:

• PWA como opção preferencial para mais clientes:
  • Adiciona o painel BLF ao discador do aplicativo PWA
  • Suporte para Protocolo Tel (Atualização 8)
  • Veja nossa comparação detalhada aqui
• Hashing de senhas
• Remoção de senha do e-mail de boas-vindas
• Bloqueio do Web Client por IP – para administrador do sistema ou todos os usuários
• Várias vulnerabilidades serão abordadas

Atualizamos nosso roteiro de produtos de curto prazo para incluir uma versão de nosso aplicativo Windows nativo que pode ser instalado na Microsoft Store. Isso adiciona automaticamente um nível de segurança, bem como atualizações automáticas e quarentena, se necessário. Também estamos planejando atualizações de segurança adicionais, como 2MFA para instalações não SSO. Mais detalhes junto com o roteiro serão divulgados em breve.

5. Realização de Testes de Penetração em Andamento

Estamos firmando um contrato com uma empresa de testes de penetração estabelecida para realizar testes de penetração contínuos em nossa rede, nossos aplicativos da Web on-line, incluindo site e portal do cliente, bem como nosso produto.

6. Refinando nosso Plano de Gerenciamento de Crises e Tratamento de Alertas

À medida que esse incidente se desenrolava, fornecemos atualizações contínuas e operamos com transparência para ajudar a informar nossos clientes e a comunidade de segurança. Pode ser um sentimento assustador, que abala uma organização em seu núcleo, quando você percebe que um ator de um estado-nação é o provável adversário.

Porém, frente à isso, fortalecemos nosso compartilhamento de informações nas mídias sociais, o que aumentou nosso envolvimento com a comunidade. Isso incluiu comunicações bidirecionais em nossos blogs e fóruns dedicados, bem como um aumento nos seguidores da 3CX no Twitter e LinkedIn. Sentimos que nosso compromisso com a transparência foi apreciado por aqueles que mais valorizamos.

Daqui para frente, formalizaremos o Plano de Segurança ‘EFTA’, um plano de gestão de crises e tratamento de alertas para aproveitar as lições aprendidas com este incidente.

7. Estabelecimento de um Novo Departamento para Operações de Rede e Segurança

Para enfatizar a importância da segurança e das operações de rede, criamos um departamento dedicado focado em operações e segurança de rede. Este novo departamento ‘Network Operations & Security’ será liderado por Agathocles Prodromou, que traz quase 20 anos de experiência no domínio de TI e segurança. Como Chief Network Officer (CNO), Agathocles se reportará diretamente ao CEO para garantir uma linha de comunicação direta e aberta enquanto revisamos e melhoramos continuamente nossas práticas operacionais e programa de segurança. Com um orçamento de segurança significativo e autoridade para agir com rapidez e eficácia, Agathocles estará equipado e capacitado para proteger tanto a empresa quanto nosso produto.

3,2,1 Ação!

Este é o Plano de Segurança ‘EFTA’. Aguardamos com expectativa este próximo capítulo de renovação e regeneração à medida que implementamos a Carta de Segurança da EFTA. Fique conosco enquanto colocamos em prática nossas palavras e transformamos o 3CX na solução de comunicação mais segura disponível no mercado.