对VoIP的攻击正在增加,重要的是,企业必须知道如何保护自己,同时还要遵守监管机构的要求,以证明系统安全性遵守不断变化的法规。
有哪些威胁?
据行业专家称,许多企业甚至还缺乏针对诸如VoIP拒绝服务,窃听攻击和收费欺诈等问题的基本加密保护。 由于存在可能使其不符合新兴的法规框架(包括HIPPA(健康保险可移植性和责任法案),PCI(支付卡标准)和Sarbanes Oxley)的风险,因此迫切需要解决此问题。经常修改的行为成为移动目标。
近年来,由于涉及产品安全召回,财务欺诈以及环境健康与安全灾难的事件,该问题已成为最重要的问题。 其他司法管辖区的美国监管机构和机构通过加强立法控制加强了斗争。 一般而言,这些法规旨在保护个人信息,这些信息可能导致身份盗窃,银行帐户被盗,公司电话通行欺诈或信用卡欺诈。
尽管在这些修订的法规中很少直接涉及VoIP,但在许多情况下,规则仍适用于该技术。 例如,PCI标准规定了使用安全性和加密技术(如SSL / TLS / IPSEC)的要求,以保护持卡人数据在公共开放网络上传输时的安全性。
这意味着必须加密通过开放Internet且包含信用卡详细信息的VoIP呼叫。 尽管这不适用于在内部网络上进行的VoIP呼叫,但是专家担心企业可能有义务验证这些呼叫是否已加密。 取决于法规中使用的语言,这可以解释为是指VoIP。
例如,HIPAA表示,企业需要采取措施来确保电子管理的健康信息的安全。 这可能不会立即与VoIP呼叫相关联,但可能会影响已记录的呼叫或数字语音邮件存储,这两者都是大多数VoIP系统的一部分。 同样,如果使用交互式语音系统导航到受保护的信息,则必须同时监视和记录其使用。
相反,美国联邦存款保险公司(FDIC)现在发布了有关VoIP的特定准则,该准则旨在保护根据Graham Leach Billey法规在IP语音网络中传输的任何客户数据。 根据此建议,必须评估与VoIP使用相关的风险以及其他定期的业务风险评估。 一旦发现任何弱点,就必须予以纠正,并列出了九项建议供组织遵循。
VoIP行业内部人士对安全性构成真正威胁的一个示例如下所述。 一位怀疑正在进行监听的客户决定将伪造的信息植入VoIP呼叫中,以观察该信息是否后来被他怀疑正在收听的各方引用。 事实证明,VoIP呼叫已被可访问公司网络的第三方窃听。 经常引用另一个例子,说明非法访问了首席执行官的视频通信。
语音终端–未来
一些企业领导者试图进行自我教育以与法规保持一致,但是众所周知这很难做到。 许多其他人完全忽略了VoIP,认为它只是“无懈可击”的电话系统。 随着法规变得越来越复杂,企业可能会被迫直接解决其VoIP合规性问题,可能是投资于内部结构以对其进行监控和实施,或者是通过购买第三方专家的服务来支付的。
对于中等规模的IT部门而言,这些任务很快就会变得不堪重负,除了遵守监管机构的要求并每季度生成合规报告之外,IT部门还可能要求将安全验证作为其他合同的一部分。 常规记录其VoIP呼叫的企业在应非法访问对话的情况下,需要考虑存储规则。
最好通过将涉及的系统与您自己的系统进行比较来响应已发布的攻击的详细信息,以便仔细检查防御措施。 您能阻止发生类似的攻击吗? 如果答案是否定的,则有必要采取进一步的措施。 但是,从他人的不幸中吸取教训的机会是有限的,因为公司没有动力披露是否遭受了破坏。
在IDT,我们是一家可以利用顾问和其他专家的服务的企业,并且在部署VoIP解决方案方面拥有良好的往绩。