Asegurando el futuro de 3CX tras el primer ataque en cascada de su clase a la cadena de suministro de software en software.

Nos hemos comprometido a adoptar medidas prácticas – 7 para ser exactos – para minimizar el riesgo de nuevos ataques. Algunas ya se han completado, otras aún están en proceso. Con este fin, estamos redactando una Carta de Seguridad, denominada “EFTA“. Que significa 7 en griego. He aquí lo que estamos priorizando.

1. Refuerzo de múltiples capas de seguridad de la red

Hemos tomado medidas concretas para reforzar la seguridad de nuestra red, incluyendo:

  • Hemos reconstruido nuestra red, empezando con un entorno de compilación dedicado que está ahora aislado y reforzado.
  • Se han instalado nuevas herramientas de supervisión EDR.
  • Vigilancia 24/7 fuera de las instalaciones – a cargo de especialistas en la detección de amenazas.
  • Políticas de control de acceso más estrictas a todos los niveles en un modelo de confianza cero.
  • Trabajando en colaboración con Mandiant para aplicar las recomendaciones del plan de corrección.

2. Renovación de la seguridad de la infraestructura

Hemos reunido herramientas y procedimientos para garantizar la integridad de los softwares disponibles en nuestros servidores de descarga. Esto incluye:

  • Mayor análisis estático y dinámico del código – nuestro código se analiza antes de cada confirmación, en busca de problemas de calidad y vulnerabilidades en todo el proyecto de la Central Telefónica, incluido el Cliente Web.
  • Soluciones de supervisión y firma de código – estamos evaluando posibles soluciones de supervisión y firma de código para garantizar que nuestro software no se modifica.

3. Revisión continua de la seguridad de los productos con Mandiant

Este compromiso a nuestra red nos hizo revisar cada aspecto de nuestro producto. Con este fin, estamos trabajando estrechamente con Mandiant para completar la revisión de seguridad del producto en curso para ayudar a identificar vulnerabilidades en todos los productos 3CX. Esto incluye el Cliente Web, la aplicación Electron, así como nuestra API interna y librerías de comunicación. Hemos corregido varias vulnerabilidades potenciales identificadas como parte de este proceso.

4. Mejora de las funciones de seguridad de los productos

Nos hemos comprometido a mejorar las funciones de seguridad de nuestros productos. Como primer paso, la semana que viene lanzaremos la actualización 7A, tras una revisión y comprobación de seguridad, que incluye:

  • PWA como opción preferida para más clientes:
    • Añade un panel BLF al marcador de la aplicación PWA.
    • Compatibilidad con el protocolo Tel (actualización 8).
    • Vea nuestra comparación detallada aquí.
  • Hashing de contraseña.
  • Eliminación de la contraseña del correo electrónico de bienvenida.
  • Bloqueo del Cliente Web por IP – para el administrador del sistema o todos los usuarios.
  • Se abordarán una serie de vulnerabilidades.

Hemos actualizado nuestra hoja de ruta de productos a corto plazo para incluir una versión de nuestra aplicación nativa para Windows que puede instalarse desde la Microsoft Store. Esto añade automáticamente un nivel de seguridad, así como actualizaciones automáticas y cuarentena en caso necesario. También estamos planeando actualizaciones de seguridad adicionales como 2MFA para instalaciones no SSO. Más detalles junto con la hoja de ruta que se dará a conocer en breve.

5. Realización de pruebas de penetración continuas

Estamos entrando en un acuerdo con una empresa de pruebas de penetración establecida para realizar pruebas de penetración en curso de nuestra red, nuestras apps web en línea, incluyendo el sitio web y el portal del cliente, así como nuestro producto.

6. Perfeccionamiento de nuestro plan de gestión de crisis y gestión de alertas

A medida que se desarrollaba este incidente, proporcionamos actualizaciones continuas y actuamos con transparencia para ayudar a informar a nuestros clientes y a la comunidad de seguridad. Puede ser una sensación desalentadora que sacuda a una organización hasta sus cimientos, al conocer que un actor del Estado-nación es el probable adversario.

Reforzamos el intercambio de información a través de las redes sociales, lo que aumentó la participación de nuestra comunidad. Esto incluyó comunicaciones bidireccionales a través de nuestros blogs y foro, así como un aumento de los seguidores de 3CX en Twitter y LinkedIn. Sentimos que nuestro compromiso con la transparencia ha sido apreciado por aquellos que más valoramos.

En el futuro, formalizaremos un plan de gestión de crisis y gestión de alertas para aprovechar las lecciones aprendidas a través de este incidente.

7. Creación de un nuevo departamento de operaciones de red y seguridad

Para subrayar la importancia tanto de la seguridad como de las operaciones de red, hemos creado un departamento especializado en operaciones de red y seguridad. Este nuevo departamento, “Operaciones de red y seguridad”, estará dirigido por Agathocles Prodromou, que aporta casi 20 años de experiencia en TI y seguridad. Como Chief Network Officer (CNO), Agathocles dependerá directamente del CEO para garantizar una línea de comunicación directa y abierta mientras revisamos y mejoramos continuamente nuestras prácticas operativas y nuestro programa de seguridad. Con un importante presupuesto de seguridad y la autoridad para actuar con rapidez y eficacia, Agathocles estará equipado y capacitado para asegurar tanto la empresa como nuestro producto.

3,2,1 ¡Acción!

Este es el plan. Esperamos con impaciencia este próximo capítulo de renovación y regeneración mientras ponemos en práctica la Carta de Seguridad de la EFTA. Quédese con nosotros mientras ponemos en práctica nuestras palabras y convertimos 3CX en la solución de comunicaciones más segura disponible en el mercado.