VoIP 安全、加密和漏洞完整指南
已發表: 2021-08-09VoIP 電話系統為大型和小型企業提供了無數好處,例如簡化的通信、更快的客戶服務解決率和提高的生產力。
但是 VoIP 安全嗎?
在這篇文章中,我們將概述為什麼 VoIP 安全很重要,即使您“沒有什麼可隱藏的”、呼叫加密在創建安全環境中所起的作用、最常見的 VoIP 安全漏洞以及安全管理員可以採取哪些措施來確保您的業務受到保護。
即使您無法完全消除網絡犯罪的全球威脅,提高對 VoIP 安全問題的認識和防範也可以大大降低您的風險。
目錄:
- 為什麼 VoIP 安全很重要?
- VoIP 比固定電話更安全嗎?
- 什麼是 VoIP 加密以及它是如何工作的?
- VoIP 安全風險的類型以及如何預防它們
- 如何判斷您的 VoIP 提供商是否安全
- IT 領導者的 VoIP 安全最佳實踐
- 最安全和加密的 VoIP 提供商
- VoIP 安全常見問題解答
為什麼 VoIP 安全很重要?
接近 70%的頂級商業決策者認為他們正在經歷網絡安全風險的大幅增加。 事實上,大多數 CEO 都表示他們“非常擔心”:
企業非常注重快速適應遠程和混合勞動力的“新常態”,以至於 VoIP 安全成為事後的考慮,而不是預先考慮。 ( Zoombombing在大流行開始時的突然興起完美地說明了這一點。)
不幸的是,許多企業沒有看到為什麼 VoIP 安全很重要——以及數據洩露和其他網絡犯罪的災難性影響——直到為時已晚。
那麼,為什麼要關心 VoIP 安全性呢? 這是一個3分鐘的視頻解釋:
小型企業是主要目標
每年有超過一半的小企業遭受數據洩露或其他網絡攻擊。
為什麼?
因為黑客知道大多數小型企業沒有適當的安全策略——如果他們有的話——就位。 大約 43%的網絡攻擊和95% 的信用卡洩露發生在小企業身上,但這些企業中只有 14% 的企業採取了安全措施來抵禦它們。
此外,35% 的企業自實施以來甚至沒有審查或更新其安全策略。
網絡攻擊具有嚴重的財務後果
到 2021 年,數據洩露的平均成本為386 萬美元——而且事情只會從那裡上升。
即使您的企業不必付出那麼多,您仍然會損失大部分利潤。
有更明顯的事情,比如法律費用、訴訟和審計,還有一些隱藏的成本,比如失去工作時間、失去客戶和網絡停機時間。
小型企業也看到了災難性的財務後果,數據洩露給每位員工造成的損失約為 3,533 美元。
許多企業無法從安全漏洞中恢復
仍然認為您可以從數據洩露中“反彈”嗎?
現實情況是,超過 60%的小企業在遭受網絡攻擊後的六個月內被迫永久關門。
即使您的所有數據都已“備份”和“恢復”,您仍將面臨可能在財務上破壞您的業務的重大損失。
而且,即使您可以支付罰款並保持營業,也可能沒有足夠的業務來保持這種狀態。 研究表明,即使在最初的事件發生三年後,經歷過網絡攻擊的零售商的表現也差了 15% 以上。 Target 等大公司在 2013 年臭名昭著的數據洩露事件後,消費者的認知度每年下降約 54% ,因此難以恢復。
因此,雖然一些主要零售商和知名品牌可以從數據洩露中恢復,但您的小型企業可能不會那麼幸運。
過度依賴“沒什麼可隱瞞”的神話
許多企業錯誤地認為數據洩露不會成為主要問題,因為他們“沒有什麼可隱瞞的”。
僅僅因為您沒有任何可恥的電子郵件或陰暗的後門交易,這並不意味著您不會成為網絡攻擊的目標和嚴重影響。 沒有人能夠免受網絡犯罪及其後果的影響。 但最重要的是,“沒有什麼可隱瞞的”是一個神話。
對企業帳戶使用與個人帳戶相同的密碼? 您是否已保存信用卡信息以加快結帳速度? 預先填寫您的個人聯繫信息,例如您的家庭住址和電話號碼? 那麼那些同步的設備、公司報告、稅收、發票等等呢?
通過忽略 VoIP 安全性,您還心甘情願地將客戶的個人信息和數據置於被盜或公開的風險之中。 這將損害消費者對您品牌的信任和您公司的財力(您好,訴訟!)
對 VoIP 安全採取積極主動的態度,並認識到它的嚴重威脅,將使您、您的員工和您的客戶保持安全。
VoIP 比固定電話更安全嗎?
如果配置正確,是的,VoIP 電話通常比固定電話更安全。
為了更好地理解答案,請考慮虛擬電話與固定電話在傳輸和存儲數據方面的差異。
傳統的模擬電話通過由銅線和光纜組成的 PSTN 網絡撥打和接聽電話。 換句話說,呼叫者和接收者之間存在物理連接(如下圖所示。
VoIP 通過 Internet 傳輸數據,通過分組交換進行數字呼叫。
在分組交換中,語音數據被分解成更小的分組,然後通過 Internet 連接發送到線路的接收端。 在那裡,他們重新連接並成功傳輸語音數據。(如下圖所示。)
要訪問固定電話,竊聽者會侵入電線/電纜(AKA,“竊聽”)。在固定電話上防範這種情況不僅比使用 VoIP 更困難,而且成本也高得多。
固定電話的安全性因其缺乏技術和監控能力而受到嚴重限制——VoIP 系統成群結隊地擁有這些能力。
因此,雖然在紙面上,固定電話似乎更安全,但只要您使用它提供的工具(如 VoIP 加密),VoIP 系統實際上提供了更高的整體安全水平。
什麼是 VoIP 加密以及安全性有何不同?
VoIP 加密是在傳輸過程中將語音數據包打亂成不可讀的混亂的過程,以防止它們被黑客截獲或破譯。
即使黑客以某種方式攔截了呼叫,加密也確保他們無法理解他們發現的任何內容。
要了解加密的工作原理,我們需要仔細研究傳輸過程。
當語音數據包從發送方傳輸到接收方時,它們使用稱為SRTP (安全實時傳輸協議)的 IP 傳輸協議。SRTP 是一種將高級加密標準 (AES) 應用於數據包的加密協議,提供消息身份驗證,並提供針對潛在重放攻擊的額外保護。
除了 SRTP 之外,VoIP 提供商還使用另一種加密形式,稱為傳輸層安全 (TLS) 或 TLS 上的 SIP,以保護其他呼叫信息。
TLS 對電話號碼、呼叫者姓名、用戶名等數據進行加擾。 它還可以阻止消息篡改和呼叫竊聽。
請記住,質量提供商應同時提供 TLS 和 AES 加密。
什麼是端到端加密?
在研究 VoIP 安全性時,您可能經常聽到“端到端加密”這個術語。
標準 TLS 加密僅包括客戶端到服務器加密或 C2S。
如果黑客闖入 C2S 服務器,他們將有權訪問您網絡的所有數據和通信。 訪問 C2S 服務器意味著黑客可以竊聽和記錄通話,在傳輸文件時操縱文件,並查看您公司的所有消息歷史記錄。
端到端加密 (E2EE) 直接加密用戶之間的通信,這意味著唯一能夠訪問呼叫和消息的人是發送者和接收者。 當您撥打電話時,您端的數據包在發送時會被加密,只有在到達接收方後才會解密。
服務器、ISP、黑客和電信提供商將無法訪問您的通信,只要它是端到端加密的。
在開始在 VoIP 系統上進行通信之前,請檢查以確保您已啟用端到端加密。 某些提供商,例如 Skype ,不會將端到端加密作為默認選項,從而使您容易受到黑客和攻擊。
VoIP 安全風險的類型以及如何預防它們
任何設備(無論是您的智能手機、軟件電話還是 IP 桌面電話)都無法 100% 地免受所有安全威脅。
但是,通過識別最常見的 VoIP 漏洞並努力預防和應對它們,您可以確保它們不會破壞您的業務。 軟電話和智能設備都存在 VoIP 的潛在漏洞。
下面,我們概述了最常見的 VoIP 安全風險以及如何阻止它們破壞您的業務的提示。
數據包嗅探和黑洞攻擊
最常見的 VoIP 攻擊之一稱為數據包嗅探,它允許黑客在傳輸過程中竊取和記錄語音數據包中包含的未加密信息。
當語音數據包沒有到達目的地時,數據包丟失是由數據包嗅探器通過丟包攻擊(有時稱為黑洞攻擊)竊取信息和減慢服務造成的。這些數據包嗅探器故意將數據包丟棄到數據流中控制您的路由器,導致網絡服務速度變慢或網絡連接完全丟失。
數據包嗅探還使黑客可以輕鬆攔截用戶名、密碼和其他敏感數據。
為了使您的 Internet 線路更加安全,請使用可靠的VoIP VPN選項或虛擬專用網絡來發送信息。 這需要一些時間來設置和運行,但它可以確保信息安全。
用戶還可以通過確保所有數據端到端加密並通過一致的網絡監控來防範數據包嗅探和黑洞攻擊,這將立即提醒用戶可疑的登錄嘗試、不熟悉的設備等。
DDoS 攻擊
顧名思義, DDoS(分佈式拒絕服務)攻擊使企業無法通過故意壓倒服務器來使用自己的 VoIP 服務。
通常,這些 DDoS 是由殭屍網絡網絡引起的,殭屍網絡是黑客操縱的遠程控制計算機/機器人。 這些“殭屍計算機”向網絡、網站和服務器充斥著比它們能夠處理的更多的數據或連接請求,導致 VoIP 服務無法運行。
DDoS 攻擊的常見跡象包括:
- 不尋常且長時間的帶寬峰值
- 503 HTTP 錯誤響應
- 服務緩慢
- 來自類似設備、IP 地址或位置的流量突然激增
要緩解 DDoS 攻擊,請使用單獨的專用 Internet 連接,僅用於 VoIP。 專門為 VoIP 流量配置的 VLAN(虛擬局域網)在這裡是一個很好的選擇,這在很大程度上是因為它可以更容易地識別未經授權或不熟悉的數據流。 對於通過廣域網 (WAN) 共享的 VoIP 用戶,託管加密是防禦 DDoS 攻擊的最佳方式。
釣魚
Vishing 是基於 VoIP 的網絡釣魚,這意味著黑客假裝從受信任的電話號碼或來源給您打電話,目的是讓您向他們透露敏感信息,例如密碼、信用卡號碼等。
來電顯示欺騙——這些網絡釣魚黑客使你的來電顯示上出現的姓名和號碼看起來合法的過程——故意混淆潛在的受害者。 這些黑客似乎是從您銀行的電話號碼撥打電話,聲稱您的帳戶已被盜用,並要求您提供密碼,以便他們立即保護您的密碼。
為防止網絡釣魚,目標機構應驗證所有電話請求,即使它們似乎來自組織的 IT 部門。 代理人還需要接受培訓,以拒絕透露敏感信息,除非得到主管的許可。
釣魚攻擊的可能跡象包括:
- 線路另一端的人極度緊迫/急迫
- 黑客不斷要求您通過提供信息來驗證信息
- 來自已知號碼或知名公司的意外電話
- 來電篩選顯示來電顯示中的短而異常的電話號碼
為了防止釣魚攻擊:
- 避免通過電話向任何自稱是 IRS、Medicare 或社會保障局的人提供信息(他們不會主動聯繫)
- 加入請勿來電登記處
- 不要通過語音應答或按鍵響應語音提示
惡意軟件和病毒
惡意軟件和病毒會影響 VoIP 等基於 Internet 的應用程序,造成大量網絡安全問題。 這些破壞性程序特別消耗網絡帶寬並增加信號擁塞,從而導致您的 VoIP 呼叫信號中斷。 這些還會破壞通過網絡傳輸的數據,這意味著您將遇到數據包丟失。
惡意軟件和病毒本身會造成很大的破壞,但它們也會通過創建特洛伊木馬後門來助長未來的漏洞。
這些後門會在您的安全性中留下漏洞,未來的黑客會利用這些漏洞來呼叫篡改或竊取您呼叫中中繼的信息。
為防止惡意軟件和病毒,請採用加密等數據安全措施,並定期檢查網絡感染情況。 一些路由器會主動阻止惡意軟件,甚至會阻止網絡中的危險站點。
最重要的是,實施與 VoIP 兼容的軟件和硬件防火牆,掃描信息以確保其安全。
網絡攻擊
飛釣攻擊是一種欺詐行為,黑客侵入您的 VoIP 系統以撥打長途電話、更改通話計劃、添加更多帳戶信用以及撥打他們想要的任何其他電話——所有這些都花在您的錢上。
這些黑客還可以竊取您存儲的計費信息,訪問您的語音郵件,甚至重新配置呼叫轉移和路由策略。
他們通過撥打您的電話系統並輸入 PIN 號碼來訪問外線,這樣他們就可以撥打電話並向您收費。
如果您發現電話費突然增加、通話記錄中出現過多未知號碼或在非工作時間撥打電話,則您可能是釣魚攻擊的受害者。
防止欺詐的最好方法是加密所有 SIP 中繼,經常更改帳戶密碼,購買勒索軟件保護軟件,並儘可能避免將計費信息保存在系統中。
吐
SPIT 或 IP 電話垃圾郵件類似於網絡釣魚嘗試和電子郵件中的其他垃圾郵件。
SPIT 包含在 VoIP 電話系統上發送的預先錄製的消息。 這些電話主要是佔用您的虛擬電話號碼的麻煩,但垃圾郵件還帶有其他風險,例如病毒、惡意軟件和其他惡意攻擊。
可靠的 VoIP 解決方案有助於確保垃圾郵件不會損壞您的電話系統。
沒有辦法完全防止 SPIT,但擁有防火牆有助於在垃圾郵件到達時識別並控制它,以免它淹沒您的系統。
中間人攻擊
顧名思義,當黑客將自己插入您的 VoIP 網絡和呼叫的預定目的地之間時,就會發生中間人攻擊。
這通常發生在公共和不安全的 WiFi 網絡上。 黑客可以很容易地攔截呼叫並通過他們自己的服務器重新路由它,在那裡他們可以很容易地用間諜軟件、惡意軟件和病毒感染它。
這些攻擊的真正問題是它們很難被檢測到,甚至像篡改檢測或身份驗證嘗試這樣的方法也並不總是有效。
除了避免公共 WiFi 之外,用戶還可以通過對接入點進行強大的 WAP/WEP 加密、改進路由器登錄憑據、使用 VPN 等來防止中間人攻擊。
收費欺詐
收費欺詐有點類似於網絡釣魚攻擊,但在這裡,黑客故意從您的商務電話系統撥打過多的國際電話,以便他們可以從這些電話為自己產生的收入中分得一部分。
有時被稱為國際收入分享欺詐 (IRSF),它每年給企業造成大約 100 億美元的損失。
但是這些黑客實際上是如何賺錢的呢?
國際收費號碼 (IPRN) 提供商從運營商集團或國家監管機構購買和轉售電話號碼。 然後,黑客通過這些號碼撥打大量國際電話,並通過 IPRN 進行削減。
為防止收費欺詐,請在您的帳戶上啟用雙因素身份驗證,通過僅允許用戶聯繫某些國家/地區來限制地理權限,並對並發通話和通話時長等設置速率限制。
呼叫篡改
呼叫篡改可能不像此列表中的其他一些攻擊那樣嚴重,但它仍然嚴重限制了您開展業務的方式。
通話篡改是指黑客在通話流中註入額外的噪音數據包,立即破壞通話質量並迫使雙方掛斷。 這些黑客還可以阻止數據包被傳送到正確的目的地,這會導致服務參差不齊、出現亂碼和長時間的沉默。
為防止這種情況,請啟用端到端加密,使用 TLS 驗證數據包,並使用端點檢測軟件。
嘔吐
配置錯誤的 Internet 電話或 VOMIT 的語音(我們知道這很糟糕)是一種 VoIP 黑客工具,它實際上將對話轉換為可以在任何地方播放的文件,從而可以輕鬆地從您的商務電話系統中獲取信息。
這種竊聽方式不僅會從您的系統中獲取數據,還會幫助攻擊者收集業務數據,例如呼叫來源、密碼、用戶名、電話號碼和銀行信息。
為防止 VOMIT,請使用基於雲的 VoIP 提供商,在呼叫發送之前對其進行加密。
這對於需要 VoIP 加密以使系統符合 HIPAA 和 HITECH 標準的醫療保健公司特別有用。 遵循 VoIP 提供商的指導方針,以便您的系統與當今的通信基礎設施保持兼容,並創建一個專用 PBX 網絡,因為它比公共網絡安全得多。
如何判斷您的 VoIP 提供商是否安全
既然您知道要注意的風險,您需要確保選擇了像您一樣重視安全和用戶隱私的高質量 VoIP 提供商。
下面的問題列表將幫助您確定云通信系統所採用的策略和安全級別。
當您與 VoIP 提供商交談時,請向他們詢問以下問題:
- 保證正常運行時間是多少,您如何最大限度地減少停機時間?
尋找至少 99.99% 的正常運行時間——並以書面形式提出。 您還應該查看提供商的狀態頁面,其中顯示了歷史系統中斷、網絡問題、系統升級以及其他事件。
- 您需要多長時間來響應安全漏洞,以及恢復安全服務需要多長時間?
確保您對提供商如何準確地響應諸如企圖竊聽或 DDoS 攻擊等威脅有充分的了解。 他們採取了哪些預防措施? 例如,如果出現可疑登錄或異常活動,他們是否會向您發送實時警報? 他們多久備份一次您的數據,以確保在發生重大攻擊時您擁有數據副本? 恢復服務需要多長時間? 他們需要多長時間才能對攻擊做出反應?
- 您是否符合 GDPR、HIPAA 和 PCI 標準? 您還有哪些其他安全認證? SOC(服務組織合規性)2 合規性是最基本的必備條件之一。 它由美國註冊會計師協會創建,旨在明確定義安全數據管理的標準。 它由 5 個主要組成部分組成:安全性、處理完整性、隱私性、可用性和機密性。任何接受通過卡付款的企業都需要遵守 PCI(支付卡行業)。 它確保提供商使用安全的 VLAN,需要頻繁的滲透測試來保護您的 IP 地址,並使您的系統保持最新。HIPAA 合規性確保患者健康數據得到適當保護,無論它是否存儲在基於雲的平台上或與通話錄音和語音郵件有關。公司還應獲得 ISO/IEC 20071 認證,以確保提供商擁有強大且最新的安全控制措施。
- 您如何從物理上保護您的服務器,以及您採取了哪些額外措施來減輕 DNS 攻擊、網絡釣魚、收費欺詐等安全風險?
- 如果您的軟件使用第三方應用程序或服務,您如何確保它們遵循所需的安全協議?
- 您如何加密數據,加密會影響通話質量嗎?
- 提供哪些類型的客戶支持,支持時間是多少? (電話、在線實時聊天、電子郵件等)
IT 領導者的 VoIP 安全最佳實踐
在尋求緩解和預防措施之前,IT 領導者應該問自己以下問題:
一旦您進行了自我評估,以下是每個人都應該遵循的一些通用 VOIP 安全最佳實踐。
實施強密碼策略
這似乎很明顯,但蠻力攻擊(黑客試圖猜測您的密碼)是很大一部分數據洩露的原因。
為獲得最佳效果,請告知員工至少每兩週更改一次密碼,確保他們不會為多個帳戶使用相同的密碼,並指示他們避免使用任何個人或公共信息(街道地址號碼、寵物名稱等) .) 在工作密碼中。
避免使用公共 WiFi
公共 WiFi 是黑客攻擊的溫床,因為惡意軟件和其他病毒很容易通過不安全的網絡傳播。
告訴團隊成員永遠不要在工作設備上使用不安全的 WiFi。
進行頻繁的安全審計
即使是網絡安全方面的一個簡單失誤,也會對 VoIP 通話的質量和安全性產生重大影響。 最佳情況下,安全評估應由獨立且經過驗證的安全機構執行,因此不會忽略任何事情並採取適當的預防措施。
獨立安全評估的關鍵因素包括:
- 網關評估– VoIP 由 VoIP 網關傳輸到 PSTN 線路,並且需要在這些端點以及網絡上的其他端點建立保護機制。
- 防火牆配置——您的防火牆需要阻止網絡犯罪分子,並允許您發送的數據包不受阻礙地傳播。
- 網絡攻擊模擬——執行這些模擬是為了幫助您的組織評估其漏洞並改進入侵檢測。
- 基於應用程序的安全掃描——一個普通的業務網絡使用多個應用程序來實現各種功能,並且應該對每個應用程序進行掃描以查找問題。
- 修補程序——還應評估修補程序以確定軟件/硬件是否存在可能被利用的弱點
保護 BYOD/移動設備
移動 VoIP 應用程序非常適合具有遠程/混合團隊的辦公室,通常位於適當安全的網絡上。
但是,如果移動設備或 BYOD 設備通過公共 WiFi 用於 VoIP,由於不安全的 802.11x 無線連接,它們極易受到網絡犯罪分子的攻擊。
為防止這種情況,請啟用端到端加密,並通過比 802.11x 更安全的協議保護無線接入點。 其中包括 WPA,它使用加密來保護連接的設備。
此外,會話邊界控制器可幫助遠程員工連接到 SIP 中繼,同時分析所有傳入和傳出 VoIP 流量的漏洞和攻擊。
運行一致的軟件和系統更新
儘管許多 VoIP 提供商運行自動軟件更新,但確保您使用的是所有業務通信工具的最新版本仍然是一個好主意。
這些更新不只是升級功能和改善用戶體驗。 它們還包含基本的安全更新以及針對您可能不知道存在的病毒和惡意軟件的保護。
此外,他們經常引入技術來修復數據包丟失並彌補弱點。
對於大多數 VoIP 電話來說,普通文件傳輸協議 (TFTP) 是提供安全補丁的主要係統。 不幸的是,這帶來了一個安全漏洞,因為任何黑客都可以將一個簡單的文件提交到系統中,該文件會暴露漏洞並提供進入網絡的入口點。
為了防止這種情況發生,需要採取安全措施來保護硬件免受欺詐性修補,並且 IT 人員必須定期修補 VoIP 電話,以防止任何漏洞被利用。
最安全和加密的 VoIP 提供商
談到安全性,尤其是加密,並非所有 VoIP 提供商都是平等的。
下表概述了提供加密和卓越安全功能的提供商。
提供者 | 8×8 | 環中央 | Nextiva | Vonage | GoToConnect |
正常運行時間 | 99.9999% | 99.999% | 99.999% | 99.999% | 99.999% |
端到端加密 | ✓ | ✓ | ✓ | ✓ | ✓ |
支持時間 | 電話:週一至週六,上午 6:00 至下午 6:00 聊天支持:24/7 | 電話:週一至週五上午 5:00 至下午 6:00 聊天支持:24/7 | 電話:週一至週五上午 5:00 至下午 6:00 聊天支持:24/7 | 電話:24/7 聊天支持:24/7 | |
HIPAA 合規性 | ✓ | ✓ | ✓ | ✓ | ✓ |
ISO-27001 認證和 SOC 2 合規性 | ✓ | ✓ | ✓ | ✓ | ✓ |
獨立安全審計 | 每年 | 每年 | 定期滲透測試 | 獨立安全審計,頻率未知 | 每年 |
更多信息 | 我們的 8×8 評論 | 我們的 RingCentral 評論 | 我們的 Nextiva 評論 | 我們的 Vonage 評論 | 我們的 GoToConnect 評論 |
要了解更多關於我們在此處提到的加密 VoIP 提供商的信息,並發現其他商業通信解決方案,請查看我們的頂級商業 VoIP 軟件交互式表格。
VoIP 安全常見問題解答
下面,我們回答了一些最常見的 VoIP 安全問題。