《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 美國國家安全局發(fā)布企業(yè)級IP語音和視頻通信安全指南

美國國家安全局發(fā)布企業(yè)級IP語音和視頻通信安全指南

2021-06-19
來源:網(wǎng)空閑話
關(guān)鍵詞: 安全指南 美國

美國國家安全局(NSA)分享了系統(tǒng)管理員在保護(hù)統(tǒng)一通信(UC)和基于IP協(xié)議的語音和視頻(VVoIP)呼叫處理系統(tǒng)時應(yīng)遵循的緩解措施和最佳實踐。

微信圖片_20210619205037.jpg

  這份名為《在IP系統(tǒng)上部署安全統(tǒng)一通信/語音和視頻》指南全文43頁,共分為四個部分,第一部分,網(wǎng)絡(luò)安全最佳實踐和緩解措施;第二部分,邊界安全最佳實踐和緩解措施;第三部分,企業(yè)傳話控制器安全最佳實踐和緩解措施。發(fā)布該指南文件是為了促進(jìn)國家安全局的網(wǎng)絡(luò)安全任務(wù),包括其識別和傳播對國家安全系統(tǒng)、國防部信息系統(tǒng)和國防工業(yè)基地的威脅,以及開發(fā)和發(fā)布網(wǎng)絡(luò)安全規(guī)范和緩解措施的責(zé)任。這些信息可以廣泛地共享給所有適當(dāng)?shù)氖鼙姟?/p>

  UC和VVoIP是在企業(yè)環(huán)境中用于各種目的的呼叫處理系統(tǒng),從視頻會議到即時消息和項目協(xié)作。由于這些通信系統(tǒng)與企業(yè)網(wǎng)絡(luò)中的其他IT設(shè)備緊密集成,它們也會不經(jīng)意地增加攻擊面,因為它們引入了新的漏洞和隱蔽訪問組織通信的可能性。

  如果沒有足夠的安全和配置,不安全的UC/VVoIP設(shè)備,也會面臨同樣的安全風(fēng)險,并通過間諜軟件、病毒、軟件漏洞和其他惡意手段成為威脅行為者的攻擊目標(biāo)。

  美國情報機(jī)構(gòu)解釋稱:“惡意行為者可以滲透IP網(wǎng)絡(luò),竊聽通話、假冒用戶、實施收費欺詐和拒絕服務(wù)攻擊?!?/p>

  “如果被成功攻擊,可能導(dǎo)致高清房間音頻和/或視頻被秘密收集,并通過IP基礎(chǔ)設(shè)施作為傳輸機(jī)制交付給惡意行為者?!?/p>

  指南建議管理員采取以下關(guān)鍵措施,以最大限度地降低其組織的企業(yè)網(wǎng)絡(luò)被利用UC/VVoIP系統(tǒng)的風(fēng)險:

  通過VLAN (Virtual Local Area network)對企業(yè)網(wǎng)進(jìn)行分段,實現(xiàn)語音、視頻流量與數(shù)據(jù)流量的分離;

  通過訪問控制列表和路由規(guī)則來限制跨VLAN對設(shè)備的訪問;

  實現(xiàn)二層保護(hù)和地址解析協(xié)議(ARP)和IP欺騙防御;

  通過對所有UC/VVoIP連接進(jìn)行鑒權(quán),保護(hù)PSTN網(wǎng)關(guān)和互聯(lián)網(wǎng)邊界;

  經(jīng)常更新軟件,以減輕UC/VVoIP軟件的漏洞;

  驗證和加密信令和媒體流量,以防止惡意行動者假冒和竊聽;

  部署SBC (session border controller)監(jiān)控UC/VVoIP流量,通過欺詐檢測方案審計話單,防止欺詐行為的發(fā)生;

  維護(hù)軟件配置和安裝的備份,以確??捎眯?;

  通過限速管理拒絕服務(wù)攻擊,限制呼入數(shù),防止UC/VVoIP服務(wù)器過載;

  使用識別卡、生物識別或其他電子手段控制物理訪問安全區(qū)域與網(wǎng)絡(luò)和UC/VVoIP基礎(chǔ)設(shè)施;

  在將新設(shè)備(和潛在的流氓設(shè)備)添加到網(wǎng)絡(luò)之前,在測試臺上驗證它們的特性和配置;

微信圖片_20210619205030.png

  邊界安全設(shè)備部署遵循NSA的指南

  美國國家安全局總結(jié)說:“利用UC/VVoIP系統(tǒng)的優(yōu)勢,比如節(jié)省運(yùn)營成本或高級通話處理。但這不可避免地引入了新的潛在安全漏洞。了解漏洞類型和緩解措施,以更好地保護(hù)您的UC/VVoIP部署?!?/p>

  在實際部署UC/VVoIP系統(tǒng)時,關(guān)于如何準(zhǔn)備網(wǎng)絡(luò)、建立網(wǎng)絡(luò)邊界、使用企業(yè)會話控制器和添加端點的更廣泛的安全最佳實踐和緩解措施可以在NSA的這份指南中找到。

  今年1月,美國國家安全局還分享了如何用最新的安全變體來檢測和替換過時的傳輸層安全(TLS)協(xié)議版本的指導(dǎo)。

  該機(jī)構(gòu)還警告企業(yè)使用自托管的DNS- overhttps (DoH)解析器,以阻止威脅行為者的DNS流量竊聽和操縱企圖。

  需要明確的是,如果這些系統(tǒng)沒有得到適當(dāng)?shù)谋Wo(hù),它們將面臨與IP系統(tǒng)相同的風(fēng)險,包括軟件漏洞和各種類型的惡意軟件。威脅行動者可以濫用這些系統(tǒng)來冒充用戶,竊聽對話,造成中斷,并進(jìn)行欺詐。

  該情報機(jī)構(gòu)還提供了一份7頁的信息表,總結(jié)了該指南。

  過去一年,美國國家安全局發(fā)布了許多指南和建議,以幫助公共和私營部門組織保護(hù)其系統(tǒng)免受網(wǎng)絡(luò)威脅。

  該機(jī)構(gòu)發(fā)布的指南包括確保IT-OT連接、采用零信任安全、安全I(xiàn)Psec VPN、在家辦公建議和實施保護(hù)性DNS。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。