Forrester公司在最近的研究中,推薦下述六個步驟來幫助IT組織避免VoIP安全風險並最終確保他們的UC系統安全。
在許多公司中,資料網路和電信世界融合,且語音和影片流量同企業的其它資料一起跑在同一個網路上。眾所周知的行業術語如IP語音(Voice over IP ,VoIP),IP電話(IPT)和統一通訊(unified communications 、UC),也漸漸成為駭客們攻擊的新途徑。更令人擔憂的是,大多數的企業沒有考慮保護他們的UC部署設施,因為他們沒有意識到通訊、視訊會議以及其它UC 技術的固有風險。這樣一來,反而使得這些設施的部署大大地增大了他們網路的攻擊面。
明白VoIP網路大多數的威脅不是針對UC裝置(例如呼叫管理伺服器、語音信箱伺服器或互動語音應答系統(IVR)十分關鍵。相反,攻擊者們使用 VoIP網路作為進入資料網路的入口,以便他們獲得對真正能賺錢的資料(例如帳戶編號、信用卡資訊和其它私人資料)的特權訪問。UC攻擊者們從經驗中瞭解到這些網路沒有傳統的邊界入口如公共因特網那麼安全,後者擁有狀態防火牆和入侵防禦系統(IPS)等控制措施保護。
對於安全來說,部署統一通訊設施(UC)需要新的思路和方法。透過在前期就考慮UC安全,安全專家們能幫助他們的公司更為順利、經濟的過渡到統一通訊技術。Forrester公司在最近的研究中,推薦下述六個步驟來幫助IT組織避免VoIP安全風險並最終確保他們的UC系統安全。
步驟1:制定UC安全實施指導
該指導應包括的具體行動,就如何安全地部署系統中的元件,以及用於配置當前網路和其現有安全控制的準則。它應該闡明:
你應該如何將網路資料和VoIP流量隔離
你應該如何使用防火牆和IPS來提升安全
保護UC網路免於竊聽攻擊的計劃
在安全和基礎設施團隊之間IT規劃如何劃分各種職責
步驟2:制定UC安全策略
公司必須從安全的角度對UC系統的操作和維護制定可行性策略。一般來說,你可以將你的呃UC安全實施指導演化為策略。UC安全正處於起步階段,還需數年來形成一般的、可用於第三方的最佳實踐或策略文件。
步驟3:建立UC安全架構
當今大部分網路設計沒有充分定義UC系統相關的安全控制。因此,和你的IT基礎設施同行們一起,由內而外地擴充套件和設計網路架構十分重要。建立一個新的架構,定義針對已知攻擊的預防措施。例如,在關鍵的UC子系統如呼叫管理系統、IVR和語音郵件伺服器的前面放置一個IPS裝置,這些都有可能阻止最常見的UC攻擊。或是透過正確地配置用於防護UC的伺服器來預防基礎設施攻擊,確保你的伺服器被配置為不給未知的MAC地址分配地址,並且分析來自非權威性伺服器的資訊。此外,透過開啟SRTP協議的媒體傳輸加密,以及給像SIP這樣的通道協議新增傳輸層的安全(TLS),可以更好地減輕竊聽攻擊。記住,如果內部網路上的流量沒有加密的話,在聚合網路上的所有聲音和影片流量很容易被攔截和竊聽。
步驟4:利用現有的安全控制
許多公司有現成的安全控制可以用來提升UC網路的安全。然而由於UC安全對於許多組織來說還是新的準則,很少有人意識到他們已經存在的控制可以用於保護極其重要的UC元件。
步驟5:在VoIP實施後進行滲透測試
考慮聘請專業的服務公司來對實施完成的UC系統進行滲透測試。這會有助於判斷在實施過程中的安全和策略決策是否有效。這些型別的測試從攻擊者的角度觀察UC網路,使用最新的工具來嘗試繞過控制以及獲得對網路的特權訪問。
步驟6:增加對滲透測試發現的風險的控制措施
一旦完成UC系統的滲透測試,你會有客觀的、可操作的資料來判斷你部署的UC解決方案是否足夠的安全。如果結果得出,現有部署設施存在不可接受的風險,你能選擇基於當前風險的偏好來增加額外的控制。