Forrester公司在最近的研究中,推荐下述六个步骤来帮助IT组织避免VoIP安全风险并最终确保他们的UC系统安全。
在许多公司中,数据网络和电信世界融合,且语音和视频流量同企业的其它数据一起跑在同一个网络上。众所周知的行业术语如IP语音(Voice over IP ,VoIP),IP电话(IPT)和统一通信(unified communications 、UC),也渐渐成为黑客们攻击的新途径。更令人担忧的是,大多数的企业没有考虑保护他们的UC部署设施,因为他们没有意识到通信、视频会议以及其它UC技术的固有风险。这样一来,反而使得这些设施的部署大大地增大了他们网络的攻击面。
明白VoIP网络大多数的威胁不是针对UC设备(例如呼叫管理服务器、语音信箱服务器或交互语音应答系统(IVR)十分关键。相反,攻击者们使用VoIP网络作为进入数据网络的入口,以便他们获得对真正能赚钱的数据(例如帐户编号、信用卡信息和其它私人数据)的特权访问。UC攻击者们从经验中了解到这些网络没有传统的边界入口如公共因特网那么安全,后者拥有状态防火墙和入侵防御系统(IPS)等控制措施保护。
对于安全来说,部署统一通信设施(UC)需要新的思路和方法。通过在前期就考虑UC安全,安全专家们能帮助他们的公司更为顺利、经济的过渡到统一通信技术。Forrester公司在最近的研究中,推荐下述六个步骤来帮助IT组织避免VoIP安全风险并最终确保他们的UC系统安全。
步骤1:制定UC安全实施指导
该指导应包括的具体行动,就如何安全地部署系统中的组件,以及用于配置当前网络和其现有安全控制的准则。它应该阐明:
你应该如何将网络数据和VoIP流量隔离
你应该如何使用防火墙和IPS来提升安全
保护UC网络免于窃听攻击的计划
在安全和基础设施团队之间IT规划如何划分各种职责
步骤2:制定UC安全策略
公司必须从安全的角度对UC系统的操作和维护制定可行性策略。一般来说,你可以将你的呃UC安全实施指导演化为策略。UC安全正处于起步阶段,还需数年来形成一般的、可用于第三方的最佳实践或策略文档。
步骤3:创建UC安全架构
当今大部分网络设计没有充分定义UC系统相关的安全控制。因此,和你的IT基础设施同行们一起,由内而外地扩展和设计网络架构十分重要。创建一个新的架构,定义针对已知攻击的预防措施。例如,在关键的UC子系统如呼叫管理系统、IVR和语音邮件服务器的前面放置一个IPS设备,这些都有可能阻止最常见的UC攻击。或是通过正确地配置用于防护UC的服务器来预防基础设施攻击,确保你的服务器被配置为不给未知的MAC地址分配地址,并且分析来自非权威性服务器的信息。此外,通过开启SRTP协议的媒体传输加密,以及给像SIP这样的信道协议添加传输层的安全(TLS),可以更好地减轻窃听攻击。记住,如果内部网络上的流量没有加密的话,在聚合网络上的所有声音和视频流量很容易被拦截和窃听。
步骤4:利用现有的安全控制
许多公司有现成的安全控制可以用来提升UC网络的安全。然而由于UC安全对于许多组织来说还是新的准则,很少有人意识到他们已经存在的控制可以用于保护极其重要的UC组件。
步骤5:在VoIP实施后进行渗透测试
考虑聘请专业的服务公司来对实施完成的UC系统进行渗透测试。这会有助于判断在实施过程中的安全和策略决策是否有效。这些类型的测试从攻击者的角度观察UC网络,使用最新的工具来尝试绕过控制以及获得对网络的特权访问。
步骤6:增加对渗透测试发现的风险的控制措施
一旦完成UC系统的渗透测试,你会有客观的、可操作的数据来判断你部署的UC解决方案是否足够的安全。如果结果得出,现有部署设施存在不可接受的风险,你能选择基于当前风险的偏好来增加额外的控制。
【编辑推荐】
