思科认证：如何防范由VoIP引发的安全威胁

会计考友

你是否风闻过最新的VoIP垂钓手法—Vishing的恶名? 　　它的运行流程如下：易受骗的用户会收到一封电子邮件(或者一个电话)，被奉告他的信用卡信息正在被人盗看，然后让他赶紧拨打某个电话号码。这个电话中会有电脑建造的语音提醒，让他输入信用卡号码和其他认证信息等等。
　　这个垂钓欺诈中与VoIP有关的部门就是这个电话号码。和传统的电话分歧，它可以让欺诈者同时用年夜约800个当地电话号码进行呼叫，只要设置好系统后便可起头自动收集信用卡信息了。而用传统电话，电话公司一般需要确认一项营业是否正当，然后只给在某个特定区域有现实工作场地的公司分配一个当地号码。
　　Vishing恰是最新的VoIP平安恐怖威胁。《Network World》比来就曾报道过，各类VoIP系统，搜罗很有名气的开放源码系统Asterisk都存在这样的易于被分布式DoS抨击袭击的弱点，这种抨击袭击可以彻底摧毁企业的电话系统。
　　眼下就有一个相当有名的关于IP犯罪(FoIP)的案子，其中的两名嫌犯侵入了多简单业和处事供给商的收集，“卷走”了年夜约1000万分钟的呼叫时长，而受害企业为此支出了人均30万美元的毗连费用。此类案例正呈上升势头。
　　那么，企业该若何提防此类因为VoIP系统而激发的新的平安威胁或者裂痕呢?对于企业来说，需要有专人负责VoIP的平安。这听上去似乎明晰而又简单，但你不知道企业里会有若干好多人认为VoIP的平安理应由平安团队负责，可各个平安团队之间现实上会彼此扯皮。假如连该谁负责这样的小工作都明晰不了，那么平安又年夜何谈起?
0 [; R" Z0 L+ k- x8 V1 T2 ?6 O* _7 T　　再下一步，评估系统的裂痕风险。企业级VoIP威胁一般会有4个首要来历：可用性、隐私、处事窃取以及获得对敏感信息的访谒权。可用性涉及是否易受分布式DoS或其他抨击袭击，年夜而导致VoIP系统失踪线。隐私涉及VoIP呼叫的泄密。处事窃取自然是指系统是否易受他人滥用，好比膳缦沔所说的FoIP案例。而最后一项则需要考虑Vishing对企业的入侵特征：好比黑客可能会截获某个VoIP呼叫，将其ID改削成“IT部门”，再拨到好比总裁秘书处，精心制造一些场景要求总裁秘书供给总裁的系统口令或其他神秘信息。秘书则会认为她是在与IT部门通话，年夜而等闲地将神秘信息泄露给了黑客。
　　最后，对每一种威胁都需要专门的解决法子。好比要确保可用性，就要确保一般的分布式DoS提防必需切确到位。要确保隐私，可以操作恰当的加密手艺。要提防处事窃取风险或敏感信息外泄，则需要进行人员培训，具备精准的呼叫监控功能等。