VoIP 安全、加密和漏洞完整指南
已发表: 2021-08-09VoIP 电话系统为大型和小型企业提供了无数好处,例如简化的通信、更快的客户服务解决率和提高的生产力。
但是 VoIP 安全吗?
在这篇文章中,我们将概述为什么 VoIP 安全很重要,即使您“没有什么可隐藏的”、呼叫加密在创建安全环境中所起的作用、最常见的 VoIP 安全漏洞以及安全管理员可以采取哪些措施来确保您的业务受到保护。
即使您无法完全消除网络犯罪的全球威胁,提高对 VoIP 安全问题的认识和防范也可以大大降低您的风险。
目录:
- 为什么 VoIP 安全很重要?
- VoIP 比固定电话更安全吗?
- 什么是 VoIP 加密以及它是如何工作的?
- VoIP 安全风险的类型以及如何预防它们
- 如何判断您的 VoIP 提供商是否安全
- IT 领导者的 VoIP 安全最佳实践
- 最安全和加密的 VoIP 提供商
- VoIP 安全常见问题解答
为什么 VoIP 安全很重要?
接近 70%的顶级商业决策者认为他们正在经历网络安全风险的大幅增加。 事实上,大多数 CEO 都表示他们“非常担心”:
企业非常注重快速适应远程和混合劳动力的“新常态”,以至于 VoIP 安全成为事后的考虑,而不是预先考虑。 ( Zoombombing在大流行开始时的突然兴起完美地说明了这一点。)
不幸的是,许多企业没有看到为什么 VoIP 安全很重要——以及数据泄露和其他网络犯罪的灾难性影响——直到为时已晚。
那么,为什么要关心 VoIP 安全性呢? 这是一个3分钟的视频解释:
小型企业是主要目标
每年有超过一半的小企业遭受数据泄露或其他网络攻击。
为什么?
因为黑客知道大多数小型企业没有适当的安全策略——如果他们有的话——就位。 大约 43%的网络攻击和95% 的信用卡泄露发生在小企业身上,但这些企业中只有 14% 的企业采取了安全措施来抵御它们。
此外,35% 的企业自实施以来甚至没有审查或更新其安全策略。
网络攻击具有严重的财务后果
到 2021 年,数据泄露的平均成本为386 万美元——而且事情只会从那里上升。
即使您的企业不必付出那么多,您仍然会损失大部分利润。
有更明显的事情,比如法律费用、诉讼和审计,还有一些隐藏的成本,比如失去工作时间、失去客户和网络停机时间。
小型企业也看到了灾难性的财务后果,数据泄露给每位员工造成的损失约为 3,533 美元。
许多企业无法从安全漏洞中恢复
仍然认为您可以从数据泄露中“反弹”吗?
现实情况是,超过 60%的小企业在遭受网络攻击后的六个月内被迫永久关门。
即使您的所有数据都已“备份”和“恢复”,您仍将面临可能在财务上破坏您的业务的重大损失。
(图片来源)
而且,即使您可以支付罚款并保持营业,也可能没有足够的业务来保持这种状态。 研究表明,即使在最初的事件发生三年后,经历过网络攻击的零售商的表现也差了 15% 以上。 Target 等大公司在 2013 年臭名昭著的数据泄露事件后,消费者的认知度每年下降约 54% ,因此难以恢复。
因此,虽然一些主要零售商和知名品牌可以从数据泄露中恢复,但您的小型企业可能不会那么幸运。
过度依赖“没什么可隐瞒”的神话
许多企业错误地认为数据泄露不会成为主要问题,因为他们“没有什么可隐瞒的”。
仅仅因为您没有任何可耻的电子邮件或阴暗的后门交易,这并不意味着您不会成为网络攻击的目标和严重影响。 没有人能够免受网络犯罪及其后果的影响。 但最重要的是,“没有什么可隐瞒的”是一个神话。
对企业帐户使用与个人帐户相同的密码? 您是否已保存信用卡信息以加快结帐速度? 预先填写您的个人联系信息,例如您的家庭住址和电话号码? 那么那些同步的设备、公司报告、税收、发票等等呢?
通过忽略 VoIP 安全性,您还心甘情愿地将客户的个人信息和数据置于被盗或公开的风险之中。 这将损害消费者对您品牌的信任和您公司的财力(您好,诉讼!)
对 VoIP 安全采取积极主动的态度,并认识到它的严重威胁,将使您、您的员工和您的客户保持安全。
VoIP 比固定电话更安全吗?
如果配置正确,是的,VoIP 电话通常比固定电话更安全。
为了更好地理解答案,请考虑虚拟电话与固定电话在传输和存储数据方面的差异。
传统的模拟电话通过由铜线和光缆组成的 PSTN 网络拨打和接听电话。 换句话说,呼叫者和接收者之间存在物理连接(如下图所示。
VoIP 通过 Internet 传输数据,通过分组交换进行数字呼叫。
在分组交换中,语音数据被分解成更小的分组,然后通过 Internet 连接发送到线路的接收端。 在那里,他们重新连接并成功传输语音数据。(如下图所示。)
要访问固定电话,窃听者会侵入电线/电缆(AKA,“窃听”)。在固定电话上防范这种情况不仅比使用 VoIP 更困难,而且成本也高得多。
固定电话的安全性因其缺乏技术和监控能力而受到严重限制——VoIP 系统成群结队地拥有这些能力。
因此,虽然在纸面上,固定电话似乎更安全,但只要您使用它提供的工具(如 VoIP 加密),VoIP 系统实际上提供了更高的整体安全水平。
什么是 VoIP 加密以及安全性有何不同?
VoIP 加密是在传输过程中将语音数据包打乱成不可读的混乱的过程,以防止它们被黑客截获或破译。
即使黑客以某种方式拦截了呼叫,加密也确保他们无法理解他们发现的任何内容。
要了解加密的工作原理,我们需要仔细研究传输过程。
当语音数据包从发送方传输到接收方时,它们使用称为SRTP (安全实时传输协议)的 IP 传输协议。SRTP 是一种将高级加密标准 (AES) 应用于数据包的加密协议,提供消息身份验证,并提供针对潜在重放攻击的额外保护。
除了 SRTP 之外,VoIP 提供商还使用另一种加密形式,称为传输层安全 (TLS) 或 TLS 上的 SIP,以保护其他呼叫信息。
TLS 对电话号码、呼叫者姓名、用户名等数据进行加扰。 它还可以阻止消息篡改和呼叫窃听。
请记住,质量提供商应同时提供 TLS 和 AES 加密。
什么是端到端加密?
在研究 VoIP 安全性时,您可能经常听到“端到端加密”这个术语。
标准 TLS 加密仅包括客户端到服务器加密或 C2S。
如果黑客闯入 C2S 服务器,他们将有权访问您网络的所有数据和通信。 访问 C2S 服务器意味着黑客可以窃听和记录通话,在传输文件时操纵文件,并查看您公司的所有消息历史记录。
端到端加密 (E2EE) 直接加密用户之间的通信,这意味着唯一能够访问呼叫和消息的人是发送者和接收者。 当您拨打电话时,您端的数据包在发送时会被加密,只有在到达接收方后才会解密。
服务器、ISP、黑客和电信提供商将无法访问您的通信,只要它是端到端加密的。
在开始在 VoIP 系统上进行通信之前,请检查以确保您已启用端到端加密。 某些提供商,例如 Skype ,不会将端到端加密作为默认选项,从而使您容易受到黑客和攻击。
VoIP 安全风险的类型以及如何预防它们
任何设备(无论是您的智能手机、软件电话还是 IP 桌面电话)都无法 100% 地免受所有安全威胁。
但是,通过识别最常见的 VoIP 漏洞并努力预防和应对它们,您可以确保它们不会破坏您的业务。 软电话和智能设备都存在 VoIP 的潜在漏洞。
下面,我们概述了最常见的 VoIP 安全风险以及如何阻止它们破坏您的业务的提示。
数据包嗅探和黑洞攻击
最常见的 VoIP 攻击之一称为数据包嗅探,它允许黑客在传输过程中窃取和记录语音数据包中包含的未加密信息。
当语音数据包没有到达目的地时,数据包丢失是由数据包嗅探器通过丢包攻击(有时称为黑洞攻击)窃取信息和减慢服务造成的。这些数据包嗅探器故意将数据包丢弃到数据流中控制您的路由器,导致网络服务速度变慢或网络连接完全丢失。
数据包嗅探还使黑客可以轻松拦截用户名、密码和其他敏感数据。
为了使您的 Internet 线路更加安全,请使用可靠的VoIP VPN选项或虚拟专用网络来发送信息。 这需要一些时间来设置和运行,但它可以确保信息安全。
用户还可以通过确保所有数据端到端加密并通过一致的网络监控来防范数据包嗅探和黑洞攻击,这将立即提醒用户可疑的登录尝试、不熟悉的设备等。
DDoS 攻击
顾名思义, DDoS(分布式拒绝服务)攻击使企业无法通过故意压倒服务器来使用自己的 VoIP 服务。
通常,这些 DDoS 是由僵尸网络网络引起的,僵尸网络是黑客操纵的远程控制计算机/机器人。 这些“僵尸计算机”向网络、网站和服务器充斥着比它们能够处理的更多的数据或连接请求,导致 VoIP 服务无法运行。
DDoS 攻击的常见迹象包括:
- 不寻常且长时间的带宽峰值
- 503 HTTP 错误响应
- 服务缓慢
- 来自类似设备、IP 地址或位置的流量突然激增
要缓解 DDoS 攻击,请使用单独的专用 Internet 连接,仅用于 VoIP。 专门为 VoIP 流量配置的 VLAN(虚拟局域网)在这里是一个很好的选择,这在很大程度上是因为它可以更容易地识别未经授权或不熟悉的数据流。 对于通过广域网 (WAN) 共享的 VoIP 用户,托管加密是防御 DDoS 攻击的最佳方式。
钓鱼
Vishing 是基于 VoIP 的网络钓鱼,这意味着黑客假装从受信任的电话号码或来源给您打电话,目的是让您向他们透露敏感信息,例如密码、信用卡号码等。
来电显示欺骗——这些网络钓鱼黑客使你的来电显示上出现的姓名和号码看起来合法的过程——故意混淆潜在的受害者。 这些黑客似乎是从您银行的电话号码拨打电话,声称您的帐户已被盗用,并要求您提供密码,以便他们立即保护您的密码。
为防止网络钓鱼,目标机构应验证所有电话请求,即使它们似乎来自组织的 IT 部门。 代理人还需要接受培训,以拒绝透露敏感信息,除非得到主管的许可。
钓鱼攻击的可能迹象包括:
- 线路另一端的人极度紧迫/急迫
- 黑客不断要求您通过提供信息来验证信息
- 来自已知号码或知名公司的意外电话
- 来电筛选显示来电显示中的短而异常的电话号码
为了防止钓鱼攻击:
- 避免通过电话向任何自称是 IRS、Medicare 或社会保障局的人提供信息(他们不会主动联系)
- 加入请勿来电登记处
- 不要通过语音应答或按键响应语音提示
恶意软件和病毒
(图片来源)
恶意软件和病毒会影响 VoIP 等基于 Internet 的应用程序,造成大量网络安全问题。 这些破坏性程序特别消耗网络带宽并增加信号拥塞,从而导致您的 VoIP 呼叫信号中断。 这些还会破坏通过网络传输的数据,这意味着您将遇到数据包丢失。
恶意软件和病毒本身会造成很大的破坏,但它们也会通过创建特洛伊木马后门来助长未来的漏洞。
这些后门会在您的安全性中留下漏洞,未来的黑客会利用这些漏洞来呼叫篡改或窃取您呼叫中中继的信息。
为防止恶意软件和病毒,请采用加密等数据安全措施,并定期检查网络感染情况。 一些路由器会主动阻止恶意软件,甚至会阻止网络中的危险站点。
最重要的是,实施与 VoIP 兼容的软件和硬件防火墙,扫描信息以确保其安全。
网络攻击
飞钓攻击是一种欺诈行为,黑客侵入您的 VoIP 系统以拨打长途电话、更改通话计划、添加更多帐户信用以及拨打他们想要的任何其他电话——所有这些都花在您的钱上。
这些黑客还可以窃取您存储的计费信息,访问您的语音邮件,甚至重新配置呼叫转移和路由策略。
他们通过拨打您的电话系统并输入 PIN 号码来访问外线,这样他们就可以拨打电话并向您收费。
如果您发现电话费突然增加、通话记录中出现过多未知号码或在非工作时间拨打电话,则您可能是钓鱼攻击的受害者。
防止欺诈的最好方法是加密所有 SIP 中继,经常更改帐户密码,购买勒索软件保护软件,并尽可能避免将计费信息保存在系统中。
吐
SPIT 或 IP 电话垃圾邮件类似于网络钓鱼尝试和电子邮件中的其他垃圾邮件。
SPIT 包含在 VoIP 电话系统上发送的预先录制的消息。 这些电话主要是占用您的虚拟电话号码的麻烦,但垃圾邮件还带有其他风险,例如病毒、恶意软件和其他恶意攻击。
可靠的 VoIP 解决方案有助于确保垃圾邮件不会损坏您的电话系统。
没有办法完全防止 SPIT,但拥有防火墙有助于在垃圾邮件到达时识别并控制它,以免它淹没您的系统。
中间人攻击
顾名思义,当黑客将自己插入您的 VoIP 网络和呼叫的预定目的地之间时,就会发生中间人攻击。
这通常发生在公共和不安全的 WiFi 网络上。 黑客可以很容易地拦截呼叫并通过他们自己的服务器重新路由它,在那里他们可以很容易地用间谍软件、恶意软件和病毒感染它。
这些攻击的真正问题是它们很难被检测到,甚至像篡改检测或身份验证尝试这样的方法也并不总是有效。
除了避免公共 WiFi 之外,用户还可以通过对接入点进行强大的 WAP/WEP 加密、改进路由器登录凭据、使用 VPN 等来防止中间人攻击。
收费欺诈
收费欺诈有点类似于网络钓鱼攻击,但在这里,黑客故意从您的商务电话系统拨打过多的国际电话,以便他们可以从这些电话为自己产生的收入中分得一部分。
有时被称为国际收入分享欺诈 (IRSF),它每年给企业造成大约 100 亿美元的损失。
但是这些黑客实际上是如何赚钱的呢?
国际收费号码 (IPRN) 提供商从运营商集团或国家监管机构购买和转售电话号码。 然后,黑客通过这些号码拨打大量国际电话,并通过 IPRN 进行削减。
为防止收费欺诈,请在您的帐户上启用双因素身份验证,通过仅允许用户联系某些国家/地区来限制地理权限,并对并发通话和通话时长等设置速率限制。
呼叫篡改
呼叫篡改可能不像此列表中的其他一些攻击那样严重,但它仍然严重限制了您开展业务的方式。
通话篡改是指黑客在通话流中注入额外的噪音数据包,立即破坏通话质量并迫使双方挂断。 这些黑客还可以阻止数据包被传送到正确的目的地,这会导致服务参差不齐、出现乱码和长时间的沉默。
为防止这种情况,请启用端到端加密,使用 TLS 验证数据包,并使用端点检测软件。
呕吐
配置错误的 Internet 电话或 VOMIT 的语音(我们知道这很糟糕)是一种 VoIP 黑客工具,它实际上将对话转换为可以在任何地方播放的文件,从而可以轻松地从您的商务电话系统中获取信息。
这种窃听方式不仅会从您的系统中获取数据,还会帮助攻击者收集业务数据,例如呼叫来源、密码、用户名、电话号码和银行信息。
为防止 VOMIT,请使用基于云的 VoIP 提供商,在呼叫发送之前对其进行加密。
这对于需要 VoIP 加密以使系统符合 HIPAA 和 HITECH 标准的医疗保健公司特别有用。 遵循 VoIP 提供商的指导方针,以便您的系统与当今的通信基础设施保持兼容,并创建一个专用 PBX 网络,因为它比公共网络安全得多。
如何判断您的 VoIP 提供商是否安全
既然您知道要注意的风险,您需要确保选择了像您一样重视安全和用户隐私的高质量 VoIP 提供商。
下面的问题列表将帮助您确定云通信系统所采用的策略和安全级别。
当您与 VoIP 提供商交谈时,请向他们询问以下问题:
- 保证正常运行时间是多少,您如何最大限度地减少停机时间?
寻找至少 99.99% 的正常运行时间——并以书面形式提出。 您还应该查看提供商的状态页面,其中显示了历史系统中断、网络问题、系统升级以及其他事件。
- 您需要多长时间来响应安全漏洞,以及恢复安全服务需要多长时间?
确保您对提供商如何准确地响应诸如企图窃听或 DDoS 攻击等威胁有充分的了解。 他们采取了哪些预防措施? 例如,如果出现可疑登录或异常活动,他们是否会向您发送实时警报? 他们多久备份一次您的数据,以确保在发生重大攻击时您拥有数据副本? 恢复服务需要多长时间? 他们需要多长时间才能对攻击做出反应?
- 您是否符合 GDPR、HIPAA 和 PCI 标准? 您还有哪些其他安全认证? SOC(服务组织合规性)2 合规性是最基本的必备条件之一。 它由美国注册会计师协会创建,旨在明确定义安全数据管理的标准。 它由 5 个主要组成部分组成:安全性、处理完整性、隐私性、可用性和机密性。任何接受通过卡付款的企业都需要遵守 PCI(支付卡行业)。 它确保提供商使用安全的 VLAN,需要频繁的渗透测试来保护您的 IP 地址,并使您的系统保持最新。HIPAA 合规性确保患者健康数据得到适当保护,无论它是否存储在基于云的平台上或与通话录音和语音邮件有关。公司还应获得 ISO/IEC 20071 认证,以确保提供商拥有强大且最新的安全控制措施。
- 您如何从物理上保护您的服务器,以及您采取了哪些额外措施来减轻 DNS 攻击、网络钓鱼、收费欺诈等安全风险?
- 如果您的软件使用第三方应用程序或服务,您如何确保它们遵循所需的安全协议?
- 您如何加密数据,加密会影响通话质量吗?
- 提供哪些类型的客户支持,支持时间是多少? (电话、在线实时聊天、电子邮件等)
IT 领导者的 VoIP 安全最佳实践
在寻求缓解和预防措施之前,IT 领导者应该问自己以下问题:
一旦您进行了自我评估,以下是每个人都应该遵循的一些通用 VOIP 安全最佳实践。
实施强密码策略
这似乎很明显,但蛮力攻击(黑客试图猜测您的密码)是很大一部分数据泄露的原因。
为获得最佳效果,请告知员工至少每两周更改一次密码,确保他们不会为多个帐户使用相同的密码,并指示他们避免使用任何个人或公共信息(街道地址号码、宠物名称等) .) 在工作密码中。
避免使用公共 WiFi
公共 WiFi 是黑客攻击的温床,因为恶意软件和其他病毒很容易通过不安全的网络传播。
告诉团队成员永远不要在工作设备上使用不安全的 WiFi。
进行频繁的安全审计
即使是网络安全方面的一个简单失误,也会对 VoIP 通话的质量和安全性产生重大影响。 最佳情况下,安全评估应由独立且经过验证的安全机构执行,因此不会忽略任何事情并采取适当的预防措施。
独立安全评估的关键因素包括:
- 网关评估– VoIP 由 VoIP 网关传输到 PSTN 线路,并且需要在这些端点以及网络上的其他端点建立保护机制。
- 防火墙配置——您的防火墙需要阻止网络犯罪分子,并允许您发送的数据包不受阻碍地传播。
- 网络攻击模拟——执行这些模拟是为了帮助您的组织评估其漏洞并改进入侵检测。
- 基于应用程序的安全扫描——一个普通的业务网络使用多个应用程序来实现各种功能,并且应该对每个应用程序进行扫描以查找问题。
- 修补程序——还应评估修补程序以确定软件/硬件是否存在可能被利用的弱点
保护 BYOD/移动设备
移动 VoIP 应用程序非常适合具有远程/混合团队的办公室,通常位于适当安全的网络上。
但是,如果移动设备或 BYOD 设备通过公共 WiFi 用于 VoIP,由于不安全的 802.11x 无线连接,它们极易受到网络犯罪分子的攻击。
为防止这种情况,请启用端到端加密,并通过比 802.11x 更安全的协议保护无线接入点。 其中包括 WPA,它使用加密来保护连接的设备。
此外,会话边界控制器可帮助远程员工连接到 SIP 中继,同时分析所有传入和传出 VoIP 流量的漏洞和攻击。
运行一致的软件和系统更新
尽管许多 VoIP 提供商运行自动软件更新,但确保您使用的是所有业务通信工具的最新版本仍然是一个好主意。
这些更新不只是升级功能和改善用户体验。 它们还包含基本的安全更新以及针对您可能不知道存在的病毒和恶意软件的保护。
此外,他们经常引入技术来修复数据包丢失并弥补弱点。
对于大多数 VoIP 电话来说,普通文件传输协议 (TFTP) 是提供安全补丁的主要系统。 不幸的是,这带来了一个安全漏洞,因为任何黑客都可以将一个简单的文件提交到系统中,该文件会暴露漏洞并提供进入网络的入口点。
为了防止这种情况发生,需要采取安全措施来保护硬件免受欺诈性修补,并且 IT 人员必须定期修补 VoIP 电话,以防止任何漏洞被利用。
最安全和加密的 VoIP 提供商
谈到安全性,尤其是加密,并非所有 VoIP 提供商都是平等的。
下表概述了提供加密和卓越安全功能的提供商。
| 提供者 | 8×8 | 环中央 | Nextiva | Vonage | GoToConnect |
| 正常运行时间 | 99.9999% | 99.999% | 99.999% | 99.999% | 99.999% |
| 端到端加密 | ✓ | ✓ | ✓ | ✓ | ✓ |
| 支持时间 | 电话:周一至周六,上午 6:00 至下午 6:00 聊天支持:24/7 | 电话:周一至周五上午 5:00 至下午 6:00 聊天支持:24/7 | 电话:周一至周五上午 5:00 至下午 6:00 聊天支持:24/7 | 电话:24/7 聊天支持:24/7 | |
| HIPAA 合规性 | ✓ | ✓ | ✓ | ✓ | ✓ |
| ISO-27001 认证和 SOC 2 合规性 | ✓ | ✓ | ✓ | ✓ | ✓ |
| 独立安全审计 | 每年 | 每年 | 定期渗透测试 | 独立安全审计,频率未知 | 每年 |
| 更多信息 | 我们的 8×8 评论 | 我们的 RingCentral 评论 | 我们的 Nextiva 评论 | 我们的 Vonage 评论 | 我们的 GoToConnect 评论 |
要了解更多关于我们在此处提到的加密 VoIP 提供商的信息,并发现其他商业通信解决方案,请查看我们的顶级商业 VoIP 软件交互式表格。
VoIP 安全常见问题解答
下面,我们回答了一些最常见的 VoIP 安全问题。