統(tǒng)一通信安全忽視和誤解全面透視

責(zé)任編輯:Cathy

2011-05-23 09:25:37

摘自:全球IP通信聯(lián)盟

部署統(tǒng)一通信目前仍缺乏嚴(yán)密的安全保障,企業(yè)的安全系統(tǒng)無法識(shí)別內(nèi)部威脅是最大的隱患。

部署統(tǒng)一通信目前仍缺乏嚴(yán)密的安全保障,企業(yè)的安全系統(tǒng)無法識(shí)別內(nèi)部威脅是最大的隱患。

“我認(rèn)為人們普遍沒有意識(shí)到統(tǒng)一通信和IP語音(VoIP)安全的必要性,”有安全專家曾這樣說。“人們主要關(guān)注在節(jié)約成本,直到遇到了問題,才開始重視安全。”

企業(yè)已經(jīng)開始認(rèn)識(shí)到統(tǒng)一通信某些方面安全的必要,例如即時(shí)通信(IM)。也有一些廠商開始銷售即時(shí)通信(IM)安全設(shè)備,而且賣得很火。然而,在許多組織中,他們的統(tǒng)一通信(UC)系統(tǒng)中的核心部分,像VoIP,仍然十分容易遭受攻擊和入侵。

“在你考慮用VoIP之前,必須從根本上確保你所使用網(wǎng)絡(luò)的安全,”安全專家說。“你需要認(rèn)真研究你的VoIP配置。如果有任何安全通信的需要,就應(yīng)該對(duì)VoIP進(jìn)行加密。”

Nemertes Research的首席分析師表示,許多企業(yè)在真正應(yīng)該重視統(tǒng)一通信(UC)內(nèi)部威脅的時(shí)候,他們卻把精力放在阻止外部威脅。

“現(xiàn)在我們的感覺是,當(dāng)我們與企業(yè)談到語音安全的時(shí)候,他們所擔(dān)心的是底層網(wǎng)絡(luò),”Nemertes Research的首席分析師說。“他們擔(dān)心拒絕服務(wù)攻擊,擔(dān)心服務(wù)器攻擊等,但是他們不考慮或關(guān)心內(nèi)部威脅。”

Nemertes Research的首席分析師說,一般而言,大約有70%的網(wǎng)絡(luò)攻擊來自內(nèi)部,但企業(yè)總是不愿意把重點(diǎn)放在保護(hù)自己免受內(nèi)部威脅。他們在防火墻和其他技術(shù)上花費(fèi)數(shù)百萬美元來阻止周邊外圍的威脅,外部威脅反而變得越來越難以控制。

Nemertes Research的首席分析師提供了一些基本的確保統(tǒng)一通信(UC)安全的最優(yōu)方法:

●確保你安裝了現(xiàn)有所有的安全補(bǔ)丁。

●使用如Sipera Systems和VoIPShield等公司提供的測試工具來掃描漏洞。

●遵守諸如VoIP安全聯(lián)盟之類公共機(jī)構(gòu)制定的安全標(biāo)準(zhǔn)或協(xié)議。

●把進(jìn)行風(fēng)險(xiǎn)評(píng)估作為部署統(tǒng)一通信(UC)的一部分。

“我們認(rèn)為安全很早就應(yīng)該和統(tǒng)一通信(UC)緊密地聯(lián)系在一起,”Nemertes Research的首席分析師說。“不過,我仍然沒有感覺到人們在這方面有足夠的認(rèn)識(shí)。上一次,就是我們在2007年中期的一次調(diào)查研究,不到1%的公司告訴我們,他們曾遭受過對(duì)他們語音系統(tǒng)的攻擊。”

但他表示,公司開始更加清楚地知道統(tǒng)一通信其中的一部分,統(tǒng)一消息安全的必要性。

“公司擔(dān)心語音郵件向組織外部傳播,”Nemertes Research的首席分析師說。“所以,如果我開始以一個(gè).wav格式的文件作為附件給你發(fā)一封語音郵件,這是一個(gè)敏感的語音信息可以發(fā)到外部網(wǎng)絡(luò)或重新發(fā)送,使其聽起來就像我說過一句話,實(shí)際上我并沒有說。我們看到了一些公司用統(tǒng)一消息的實(shí)例。當(dāng)時(shí)負(fù)責(zé)公司系統(tǒng)安全方面的人回來說,‘你應(yīng)該三個(gè)月之前就把這些告訴我們,那時(shí)我們將會(huì)告訴你我們不能做,因?yàn)槲覀儾荒苊半U(xiǎn)把語音郵件泄露到公司外部。’所以他們暫停了統(tǒng)一消息的部署。”

統(tǒng)一通信(UC)的另一個(gè)嚴(yán)重漏洞是內(nèi)部人員可以進(jìn)行VoIP竊聽。

“VoIP竊聽是一個(gè)為人熟知的攻擊,”統(tǒng)一通信安全廠商Sipera Systems的主管說。“這個(gè)攻擊基本上是人為的攻擊,把欺騙性的ARP數(shù)據(jù)包注入到網(wǎng)絡(luò)中。”

通過ARP數(shù)據(jù)包欺騙入侵到局域網(wǎng)(LAN)中,再誘騙受攻擊者的電腦網(wǎng)絡(luò)重定向語音數(shù)據(jù)包,那么攻擊者就可以順利地記錄談話內(nèi)容了。

“人們認(rèn)為他們把信息直接發(fā)送到了對(duì)方,但是電腦上的漏洞在暗中運(yùn)行,默默地截取,交接和轉(zhuǎn)發(fā)信息給不知情的用戶。”統(tǒng)一通信安全廠商Sipera Systems的主管說。

在這樣的情況下,一個(gè)不滿的員工很很容易地?cái)r截CEO和董事長或財(cái)務(wù)總監(jiān)和人力資源之間的手機(jī)通話。這些易受攻擊的漏洞存在到今天,那么這個(gè)行業(yè)必然將會(huì)遭受一次重大的事故或調(diào)整。

“人們說語音竊聽被夸大了,”統(tǒng)一通信安全廠商Sipera Systems的主管說。“我認(rèn)為這是真實(shí)的,并沒有夸張,只是需要教育和宣傳。它能夠真正地發(fā)生,而且大多數(shù)組織沒有用保護(hù)系統(tǒng)進(jìn)行適當(dāng)?shù)貦z測漏洞程序何時(shí)運(yùn)行,也沒有采取措施避免遭受攻擊。”

考慮到這一點(diǎn),統(tǒng)一通信安全廠商Sipera Systems的主管開發(fā)了一個(gè)叫UCSniff的測試工具,它可以顯示出VoIP網(wǎng)絡(luò)中的漏洞。他設(shè)計(jì)的應(yīng)用程序把VoIP竊聽技術(shù)和公司的人名地址薄聯(lián)系到一起,這樣這個(gè)工具就可以定位到組織內(nèi)部中明確的用戶和分機(jī)上面。這個(gè)工具不僅可以評(píng)估、測試和顯示企業(yè)現(xiàn)有統(tǒng)一通信(UC)系統(tǒng)的漏洞,而且還可以在統(tǒng)一通信(UC)系統(tǒng)設(shè)計(jì)和部署階段進(jìn)行評(píng)估測試。

所以,在考慮部署統(tǒng)一通信(UC)之前,不僅要想到需要進(jìn)行可行性分析,投資回報(bào)率(ROI)分析,制定統(tǒng)一通信(UC)策略等,還要考慮到系統(tǒng)的安全性,做好全面地安全分析和測試。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)