SecAst pode verificar todos os números de telefone discados em um banco de dados de números de telefone conhecidos por estarem envolvidos em atividades de fraude (e hacking). Chamadas suspeitas de fraude podem ser automaticamente desconectadas e/ou dispositivos de origem podem ser bloqueados de conexão ao PBX. SecAst também pode tratar a taxa premium e os números de custos compartilhados de forma diferente, ajudando a evitar chamadas para explorações de número de telefone de fraude de zero-dia. O banco de dados de fraudes da Teliumfoi desenvolvido ao longo de muitos anos e é uma das maiores e mais abrangentes ferramentas de prevenção de fraudes disponíveis para as operadoras e usuários finais.

SecAst pode verificar o endereço IP de origem de cada dispositivo/agente de usuário conectado ao PBX em um banco de dados de endereços IP conhecidos por serem usados em atividades de hackers (e fraudes). SecAst também pode tratar endereços próximos (que podem ser usados pelo mesmo hacker) como suspeitos e avaliá-los com base em seus vizinhos. Dispositivos suspeitos de estarem envolvidos em hacking podem ser impedidos de fazer chamadas e/ou impedidos de se conectar ao PBX. O banco de dados de endereços IP de hackers da Teliumfoi desenvolvido ao longo de muitos anos e é uma das maiores e mais abrangentes ferramentas específicas de prevenção de intrusões PBX disponíveis para operadoras e usuários finais.

SecAst incorpora um banco de dados de endereços IPv4 e IPv6 de todo o mundo, incluindo o continente/país/região/cidade de cada IP. SecAst pode ser configurado para permitir ou negar acesso a qualquer combinação desses atributos geográficos (bem como um comportamento padrão de “permitir/ negar”). Se um invasor tentar acessar o servidor Asterisk de um local negado, o usuário será imediatamente desconectado. Isso cria uma cerca geográfica (ou geocerca) que mantém os mocinhos dentro e os bandidos fora.

SecAst pode detectar padrões de tráfego e uso incomuns indicativos de credenciais que foram violadas (vazadas ou de alguma forma descobertas por um invasor). Isso inclui monitorar o número de chamadas em andamento, a rapidez com que as chamadas são configuradas, até mesmo a taxa em que o usuário está discando dígitos. SecAst pode responder a essas atividades suspeitas bloqueando o usuário no nível da rede e impedindo quaisquer outras explorações. Esses blocos podem durar horas, dias ou indefinidamente.

SecAst pode aprender novos padrões de ataque e ajustar sua detecção e defesas de acordo. O scanner heurístico monitora uma variedade de padrões de tráfego Asterisk e de rede para detectar atividades suspeitas, correlacioná-los com regras que indicam atividade provável do invasor e, em seguida, bloquear o invasor no nível da rede impedindo quaisquer tentativas adicionais. Esses blocos podem durar horas, dias ou indefinidamente.

SecAst pode detectar ataques de hackers que estão mudando constantemente e rapidamente endereços IP. Hackers profissionais estão agora movendo seus endereços IP através de grandes variedades de endereços IP de nuvens, serviços de VPN, grandes sub-redes, etc. para evitar a detecção por ferramentas simplistas como fail2ban ou firewalls regulares. SecAst integra uma coleção diversificada de pontos de dados para permitir a detecção de hackers no instante em que eles se conectam ao PBX a partir de um novo endereço IP.

SecAst pode detectar ataques de força bruta (tentativas de obter acesso tentando várias combinações de nomes de usuário / senhas, extensões comumente usadas, senhas comumente usadas, etc). Ao contrário de outros produtos, SecAst pode detectar esses ataques mesmo que se espalhem por muitos dias (os atacantes estão agora realizando ataques “finos” para contornar programas de detecção simplistas como fail2ban) e muitos endereços IP. SecAst pode responder a esses ataques bloqueando-os no nível da rede e impedindo novas tentativas. Esses blocos podem durar horas, dias ou indefinidamente.

SecAst monitora todos os dígitos que estão sendo discados e pode bloquear tentativas de chamar números restritos ou discar outros padrões. Embora os planos de discagem também executem essa função, se um servidor Asterisk estiver comprometido (por exemplo: FreePBX® GUI hackeado) então o SecAst substituirá o dialplan e ainda bloqueará ou aceitará apenas certos números. O reconhecimento do padrão de discagem pode corresponder a qualquer seqüência de discagem e permitir ou bloquear a tentativa de discagem com base em regras definidas pelo administrador.

SecAst pode ser instruído a confiar em troncos específicos, pontos finais (usuários ou telefones) e endereços IP para que eles estejam isentos de triagem de segurança. Isso permite que os administradores concedam acesso a determinados usuários ou dispositivos, independentemente da localização, volumes de chamadas, etc. (o que pode ser necessário para a equipe de vendas de viagens, autodiscadores, etc. Isso também permite que os administradores designem certos troncos/rotas como confiáveis e outros como não confiáveis.

SecAst monitora o número e a taxa de ataques contra o servidor Asterisk e, com base em limiares definidos pelo administrador, mantém um nível global de ameaça enfrentado pelo PBX. Alterações no nível de ameaça podem ativar scripts personalizados, notificações e outras respostas baseadas no sistema. O nível de ameaça se integra diretamente ao sistema de manipulador de eventos, conforme observado abaixo.

Embora SecAst possa bloquear hackers diretamente no PBX, se necessário, o SecAst pode bloquear hackers em um firewall na borda da rede. SecAst pode interagir diretamente com praticamente qualquer firewall externo, ordenando-o a adicionar regras para bloquear endereços IP, remover endereços IP bloqueados, etc. usando o sistema de manipulador de eventos descrito abaixo. (Para mitigar o risco global de hackers, os ambientes PBX comerciais devem sempre bloquear os atacantes na borda da rede.)

Um recurso que torna SecAst flexível e poderoso é o sistema de manipulador de eventos, que permite que os administradores conectem qualquer programa/script em eventos gerados ou detectados pelo SecAst. Por exemplo, eventos relacionados a um ataque permitem que os administradores automatizem alterações em firewalls, roteadores, pontos finais sip, regras do dialplan, extensões acessíveis, etc.

Os administradores ficarão imediatamente confortáveis com a interface de telnet simples e poderosa para SecAst. Toda a segurança PBX pode ser gerenciada e controlada a partir de uma interface telnet, seja a partir de um PC, um tablet ou um celular. A interface inclui ajuda on-line e saída terminal amigável e amigável ao usuário.

Administradores experientes e novatos ficarão confortáveis com a interface simples e poderosa do navegador (web) para SecAst. A segurança pode ser monitorada a partir de qualquer navegador, incluindo um PC, um tablet ou um celular. A interface fornece detalhes de ataques, nível de ameaça, mapas de origem de ataque e muito mais.

Os desenvolvedores apreciarão as interfaces socket, PHP e REST (Representational State Transfer) para SecAstpois o poder e o controle do SecAst podem ser facilmente expandidos e integrados com outras ferramentas de administração e monitoramento do sistema. O pacote de download inclui código de amostra demonstrando como extrair dados e controlar SecAst através de um serviço web, através de uma classe PHP, e através da interface do soquete.