企業該如何防范由VoIP引發的安全威脅
VoIP的安全策略
你是否聽說過最新的VoIP釣魚伎倆—Vishing的惡名?
它的運行流程如下:易受騙的用戶會收到一封電子郵件(或者一個電話),被告知他的信用卡信息正在被人盜看,然后讓他趕緊撥打某個電話號碼。這個電話中會有電腦制作的語音提示,讓他輸入信用卡號碼和其他認證信息等等。
這個釣魚欺詐中與VoIP有關的部分就是這個電話號碼。和傳統的電話不同,它可以讓欺詐者同時用大約800個本地電話號碼進行呼叫,只要設置好系統后便可開始自動收集信用卡信息了。而用傳統電話,電話公司一般需要確認一項業務是否合法,然后只給在某個特定區域有實際工作場地的公司分配一個本地號碼。
Vishing正是最新的VoIP安全恐怖威脅。《Network World》最近就曾報道過,各類VoIP系統,包括很有名氣的開放源碼系統Asterisk都存在這樣的易于被分布式DoS攻擊的弱點,這種攻擊可以徹底摧毀企業的電話系統。
眼下就有一個相當有名的關于IP犯罪(FoIP)的案子,其中的兩名嫌犯侵入了多家企業和服務提供商的網絡,“卷走”了大約1000萬分鐘的呼叫時長,而受害企業為此付出了人均30萬美元的連接費用。此類案例正呈上升勢頭。
那么,企業該如何防范此類由于VoIP系統而引發的新的安全威脅或者漏洞呢?對于企業來說,需要有專人負責VoIP的安全。這聽上去似乎明確而又簡單,但你不知道企業里會有多少人認為VoIP的安全理應由安全團隊負責,可各個安全團隊之間實際上會相互扯皮。假如連該誰負責這樣的小事情都明確不了,那么安全又從何談起?
再下一步,評估系統的漏洞風險。企業級VoIP威脅一般會有4個主要來源:可用性、隱私、服務竊取以及獲得對敏感信息的訪問權。可用性涉及是否易受分布式DoS或其他攻擊,從而導致VoIP系統掉線。隱私涉及VoIP呼叫的泄密。服務竊取自然是指系統是否易受他人濫用,比如上面所說的FoIP案例。而最后一項則需要考慮Vishing對企業的入侵特性:比如黑客可能會截獲某個VoIP呼叫,將其ID修改成“IT部門”,再撥到比如總裁秘書處,精心制造一些場景要求總裁秘書提供總裁的系統口令或其他機密信息。秘書則會認為她是在與IT部門通話,從而輕易地將機密信息泄露給了黑客。
最后,對每一種威脅都需要專門的解決辦法。比如要確保可用性,就要確保一般的分布式DoS防范必須準確到位。要確保隱私,可以利用適當的加密技術。要防范服務竊取風險或敏感信息外泄,則需要進行人員培訓,具備精準的呼叫監控功能等。
【編輯推薦】
