美國(guó)國(guó)家安全局(NSA)分享了系統(tǒng)管理員在保護(hù)統(tǒng)一通信(UC)和基于IP協(xié)議的語(yǔ)音和視頻(VVoIP)呼叫處理系統(tǒng)時(shí)應(yīng)遵循的緩解措施和最佳實(shí)踐。
這份名為《在IP系統(tǒng)上部署安全統(tǒng)一通信/語(yǔ)音和視頻》指南全文43頁(yè),共分為四個(gè)部分,第一部分,網(wǎng)絡(luò)安全最佳實(shí)踐和緩解措施;第二部分,邊界安全最佳實(shí)踐和緩解措施;第三部分,企業(yè)傳話控制器安全最佳實(shí)踐和緩解措施。發(fā)布該指南文件是為了促進(jìn)國(guó)家安全局的網(wǎng)絡(luò)安全任務(wù),包括其識(shí)別和傳播對(duì)國(guó)家安全系統(tǒng)、國(guó)防部信息系統(tǒng)和國(guó)防工業(yè)基地的威脅,以及開(kāi)發(fā)和發(fā)布網(wǎng)絡(luò)安全規(guī)范和緩解措施的責(zé)任。這些信息可以廣泛地共享給所有適當(dāng)?shù)氖鼙姟?/p>
UC和VVoIP是在企業(yè)環(huán)境中用于各種目的的呼叫處理系統(tǒng),從視頻會(huì)議到即時(shí)消息和項(xiàng)目協(xié)作。由于這些通信系統(tǒng)與企業(yè)網(wǎng)絡(luò)中的其他IT設(shè)備緊密集成,它們也會(huì)不經(jīng)意地增加攻擊面,因?yàn)樗鼈円肓诵碌穆┒春碗[蔽訪問(wèn)組織通信的可能性。
如果沒(méi)有足夠的安全和配置,不安全的UC/VVoIP設(shè)備,也會(huì)面臨同樣的安全風(fēng)險(xiǎn),并通過(guò)間諜軟件、病毒、軟件漏洞和其他惡意手段成為威脅行為者的攻擊目標(biāo)。
美國(guó)情報(bào)機(jī)構(gòu)解釋稱:“惡意行為者可以滲透IP網(wǎng)絡(luò),竊聽(tīng)通話、假冒用戶、實(shí)施收費(fèi)欺詐和拒絕服務(wù)攻擊。”
“如果被成功攻擊,可能導(dǎo)致高清房間音頻和/或視頻被秘密收集,并通過(guò)IP基礎(chǔ)設(shè)施作為傳輸機(jī)制交付給惡意行為者。”
指南建議管理員采取以下關(guān)鍵措施,以最大限度地降低其組織的企業(yè)網(wǎng)絡(luò)被利用UC/VVoIP系統(tǒng)的風(fēng)險(xiǎn):
通過(guò)VLAN (Virtual Local Area network)對(duì)企業(yè)網(wǎng)進(jìn)行分段,實(shí)現(xiàn)語(yǔ)音、視頻流量與數(shù)據(jù)流量的分離;
通過(guò)訪問(wèn)控制列表和路由規(guī)則來(lái)限制跨VLAN對(duì)設(shè)備的訪問(wèn);
實(shí)現(xiàn)二層保護(hù)和地址解析協(xié)議(ARP)和IP欺騙防御;
通過(guò)對(duì)所有UC/VVoIP連接進(jìn)行鑒權(quán),保護(hù)PSTN網(wǎng)關(guān)和互聯(lián)網(wǎng)邊界;
經(jīng)常更新軟件,以減輕UC/VVoIP軟件的漏洞;
驗(yàn)證和加密信令和媒體流量,以防止惡意行動(dòng)者假冒和竊聽(tīng);
部署SBC (session border controller)監(jiān)控UC/VVoIP流量,通過(guò)欺詐檢測(cè)方案審計(jì)話單,防止欺詐行為的發(fā)生;
維護(hù)軟件配置和安裝的備份,以確保可用性;
通過(guò)限速管理拒絕服務(wù)攻擊,限制呼入數(shù),防止UC/VVoIP服務(wù)器過(guò)載;
使用識(shí)別卡、生物識(shí)別或其他電子手段控制物理訪問(wèn)安全區(qū)域與網(wǎng)絡(luò)和UC/VVoIP基礎(chǔ)設(shè)施;
在將新設(shè)備(和潛在的流氓設(shè)備)添加到網(wǎng)絡(luò)之前,在測(cè)試臺(tái)上驗(yàn)證它們的特性和配置;
邊界安全設(shè)備部署遵循NSA的指南
美國(guó)國(guó)家安全局總結(jié)說(shuō):“利用UC/VVoIP系統(tǒng)的優(yōu)勢(shì),比如節(jié)省運(yùn)營(yíng)成本或高級(jí)通話處理。但這不可避免地引入了新的潛在安全漏洞。了解漏洞類型和緩解措施,以更好地保護(hù)您的UC/VVoIP部署。”
在實(shí)際部署UC/VVoIP系統(tǒng)時(shí),關(guān)于如何準(zhǔn)備網(wǎng)絡(luò)、建立網(wǎng)絡(luò)邊界、使用企業(yè)會(huì)話控制器和添加端點(diǎn)的更廣泛的安全最佳實(shí)踐和緩解措施可以在NSA的這份指南中找到。
今年1月,美國(guó)國(guó)家安全局還分享了如何用最新的安全變體來(lái)檢測(cè)和替換過(guò)時(shí)的傳輸層安全(TLS)協(xié)議版本的指導(dǎo)。
該機(jī)構(gòu)還警告企業(yè)使用自托管的DNS- overhttps (DoH)解析器,以阻止威脅行為者的DNS流量竊聽(tīng)和操縱企圖。
需要明確的是,如果這些系統(tǒng)沒(méi)有得到適當(dāng)?shù)谋Wo(hù),它們將面臨與IP系統(tǒng)相同的風(fēng)險(xiǎn),包括軟件漏洞和各種類型的惡意軟件。威脅行動(dòng)者可以濫用這些系統(tǒng)來(lái)冒充用戶,竊聽(tīng)對(duì)話,造成中斷,并進(jìn)行欺詐。
該情報(bào)機(jī)構(gòu)還提供了一份7頁(yè)的信息表,總結(jié)了該指南。
過(guò)去一年,美國(guó)國(guó)家安全局發(fā)布了許多指南和建議,以幫助公共和私營(yíng)部門組織保護(hù)其系統(tǒng)免受網(wǎng)絡(luò)威脅。
該機(jī)構(gòu)發(fā)布的指南包括確保IT-OT連接、采用零信任安全、安全I(xiàn)Psec VPN、在家辦公建議和實(shí)施保護(hù)性DNS。
