VoIP 安全吗? VoIP 安全和呼叫加密终极指南

已发表: 2024-03-27

VoIP 安全吗? — 这是一些 IT 领导者最近一直在问的问题。 最近通过供应链攻击对 3CX VoIP 造成的损害也无济于事 [*]。

在大多数情况下,VoIP 的本质涉及通过互联网而不是通过传统的电话线传输语音通信。

解决此问题的一种先进方法是 VoIP 将模拟语音信号转换为数字数据包,然后通过互联网或其他数据包交换网络进行传输。 VoIP 的最佳部分是其成本效益、灵活性和集成能力。

然而,通过互联网传输语音通信的本质存在一些可被网络犯罪分子利用的漏洞。

考虑到这一点,更多的问题随之而来——如何保护 VoIP 通话的安全? 最佳实践? 缓解策略? 所有这些以及更多内容都将在本指南中得到解答。

但首先 -

VoIP 是如何工作的?

以下是 VoIP 系统工作原理的快速概述:

  • 语音信号转换:当您对支持 VoIP 的设备(如智能手机、计算机或 VoIP 电话)讲话时,它会将您的语音转换为数字数据。 此转换由设备的麦克风和模数转换器 (ADC) 完成,将声音的声波转换为数字数据包。
  • 数据压缩:接下来,它使用编解码器(编码器-解码器)压缩数字语音数据。

注意 →此步骤对于减小数据包的大小非常重要,以便可以更有效地通过 Internet 传输数据包。 不同的编解码器在语音质量和所使用的数据带宽量之间提供平衡。

  • 打包:压缩的数字数据被分成小数据包。 每个数据包都包装有一个标头,其中包含在数据包到达目的地后以正确的顺序路由和重新组装数据包所需的信息。
  • 传输:数据包通过 Internet 或任何其他 IP 网络发送。 为了到达目的地,它们通过各种路由器和网络,这是由每个数据包标头中的路由信息​​确定的。 互联网的结构允许这些数据包在传输时采用最有效的可用路径。
  • 重组:一旦数据包到达目的地,它们就会被重新组装成原始序列,以准确地再现所说的话。 此重组考虑了可能无序到达或在传输过程中丢失的任何数据包。
  • 解压缩和转换:然后将数字数据解压缩(如有必要)并使用数模转换器 (DAC) 将其转换回模拟声波。

注意 →此步骤与发送方端发生的情况相反。

  • 回放:最后,模拟信号被发送到接收设备的扬声器,让接收者听到发送者的声音,就像传统电话一样。

推荐 → VoIP 是如何工作的? VoIP 电话系统初学者指南

为什么 VoIP 安全很重要

安全对于每个企业都至关重要。 无论您拥有大型组织还是小型企业,都没有关系。 您的电话系统中断将是灾难性的。

互联网协议语音 (VoIP) 也不例外。 VoIP 较低的成本吸引了企业主。 攻击者很乐意在您不注意的时候利用您的 VoIP 网络。

好消息是,如今 VoIP 相当安全。 即使经过二十年的渗透测试,它仍然经久不衰。 总体而言,即使安全威胁的性质不断演变,VoIP 服务提供商也是可靠且安全的

商业领袖最关心的问题 - 摩根大通 2020 年调查


摩根大通对企业领导者进行了调查,发现 94% 的企业已采取措施强化其基础设施。 恶意软件、支付欺诈和数据泄露是他们最担心的问题。


与其他 IT 安全威胁不同,IP 语音为攻击者提供了新的机会。 主要风险包括呼叫拦截、来电显示欺骗、电话钓鱼和拒绝服务 (DoS) 攻击。 稍后我们将详细介绍这些细节。

VoIP 安全不仅仅涉及呼叫加密。 它与通过语音和文本网络传递的信任程度有关。 如果您的业务通信平台遭到破坏,可能会发起更多攻击。
违规成本每年都在持续上升。 根据 Statista 的报告,美国的一次安全漏洞平均造成 940 万美元的损失。

攻击者可以借助VoIP进行攻击,例如:

  • 通过电话进行社会工程。
  • 泄露内部 Wi-Fi 网络密码。
  • 拨打昂贵的电话号码(话费欺诈)。
  • 拦截多重身份验证短信。
  • 以虚假借口获得对数据网络的未经授权的访问。

例如,Twitter面临多次协同攻击。 该公司对 VoIP 安全风险并不陌生,前首席执行官 Jack Dorsey 去年就成为了欺诈性号码移植请求的目标

这个安全问题可能与强密码无关。 情况更糟。

社会工程可以帮助对已知 VoIP 用户进行协调攻击。 网络运营中心 (NOC) 员工和客户服务团队始终是首要目标。 只需授予对您公司的未经授权的访问一次,您的入侵检测系统就会变得毫无价值。

名声大噪黑客安全顾问凯文·米特尼克(Kevin Mitnick)不仅利用技术技能来破坏系统。 他利用了目标的帮助意愿。 最好的防御是教育你的员工如何发现社会工程。

好消息是有有效的对策来缓解 VoIP 安全问题。 专业 VoIP 网络已经能够抵御已知和未知行为者的滥用。

让我们更深入地了解困扰商务电话系统的安全威胁。

相关:VoIP 是如何工作的? VoIP 电话系统初学者指南

传统电话系统与 VoIP

普通旧电话系统 - 图表

一个多世纪以来,人们通过公共交换电话网络 (PSTN) 拨打电话。 该语音网络是模拟的。 在任何可能物理接触线路的地方,它仍然容易受到攻击。
这种传统电话系统也称为普通老式电话系统 (POTS)。 呼叫通过音频信号连接,攻击者可以轻松拦截。
在下图中,您可以看到呼叫通过模拟终端进入中心局。 如今,电话公司已经制定了安全措施和协议,以确保中心局之间的安全。 但这种安全性并没有延伸到您的内部电话系统。

围绕商务电话系统的漏洞形成了整个亚文化。 Phreaking是电话 + 黑客攻击的组合,是一种探索易受攻击的电话系统的做法。 在 20 世纪 70 年代,通过 PSTN 可以免费拨打电话。 20 世纪 90 年代末,网络攻击者转向专用交换机(PBX) 设备。 也就是说,他们可以从不安全的公司电话系统发起攻击。 前往当地的 Barnes & Noble 领取2600并了解旧 Lucent 或Avaya电话系统的漏洞。

如今的电话网络将语音流量与信令分开,以使用SS7协议建立呼叫。 尽管如此,许多 PBX 系统仍然容易受到攻击,攻击者会发现它们。

互联网协议语音则不同。

托管 VoIP 基础设施图 (2019)

使用 SIP 协议建立呼叫。 会话发起协议 ( SIP ) 充当可靠互联网电话的信令协议。 SIP 服务器将语音流量压缩为媒体流​​并通过互联网连接发送它们。
很明显,大公司和小企业纷纷通过互联网拨打电话。 它节省了 IT 和通信费用,并为用户在家工作提供了极大的灵活性。
VoIP 电话系统使用相同的数据网络来建立电话呼叫。 VoIP 提供商专门处理所有 VoIP 流量。 IT 人员只需为其员工维护一个安全的网络。
在下图中,VoIP 电话服务需要稳定的网络连接。 您无需构建或维护 VoIP 基础设施。

这里最大的区别是电话和身份是虚拟存在的。 这意味着用户可以随身携带 VoIP 电话并在任何地方工作。 此外,这意味着人们可以使用 SIP 呼叫应用程序(也称为软件电话)进行呼叫。
与传统电话系统相比,VoIP 电话服务具有许多安全优势。 主要好处包括:

  • 实时监控通话计划的使用情况。
  • 严格执行免费电话。
  • 通话加密,防止窃听。
  • 强大的语音邮件功能和电子邮件发送功能。

那么,当 VoIP 呼叫到达 PSTN 时会怎样呢?
信誉良好的 VoIP 提供商维护军用级安全性。 他们使用会话边界控制器 (SBC) 来实现最佳安全性和性能。 SBC 充当维护性能和逻辑呼叫路由的防火墙。 运营商保持高标准来修补安全漏洞和制造商的固件更新。
老式电话系统的通话记录通常非常有限。 这使得追踪被盗的业务数据几乎不可能。 更多 PSTN 风险源自业务连续性缺口。
例如,许多 PBX 电话系统没有得到很好的支持,更换零件价格昂贵,而且找到合格的技术人员也很困难。 一次中断可能会导致您的业务通信中断数周。
最重要的是, VoIP 电话系统为企业提供更好的隐私、安全性和可靠性。

主要 VoIP 安全威胁

您可能对现有的 VoIP 安全问题类型感到好奇。 以下是您需要防范的概述。

  • 拒绝服务 (DoS) – 这种攻击会导致网络资源匮乏,导致电话服务中断和电话挂断。 这会降低呼叫中心的通话质量、延迟和正常运行时间。
  • 战争拨号——这种类型的攻击涉及控制您的 PBX“扫描”其他电话网络。 它的工作原理是拨打号码连接到调制解调器或其他有趣的扩展。
  • 长途电话欺诈– 与战争拨号一样,这需要从您的电话系统拨打外线。 攻击者可以拨打昂贵的国际号码,从而产生昂贵的长途费用。
  • 网络钓鱼– 这种VoIP 黑客攻击信任其来电显示的毫无戒心的用户。 受害者泄露有关内部 IP 网络、密码或其他敏感数据的详细信息。
  • 呼叫拦截– 攻击者使用不安全的网络拦截未加密的 SIP 流量。 更糟糕的是,这还可能包括视频。
  • 垃圾邮件– 语音信箱成为自动电话和其他电话诈骗的常见目标也就不足为奇了。 许多人使用受限或“私人”来电显示
  • 恶意软件– 攻击者使用不同的恶意软件来获取电话或电子邮件凭据。 这可以为渗透您的网络和泄露敏感业务数据提供更多机会。

如果您已经建立了 DIY 电话系统,这些威胁将是最令人担忧的。 随着公司规模的扩大,它不再适合公司。 例如,自托管的 Asterisk PBX 对于某些人来说可能就足够了,但它对黑客来说是一个有吸引力的目标。 VoIP 攻击可能会悄无声息地持续数月而不被发现。

那么,您应该在 VoIP 服务提供商中寻找什么? 人们很容易只关注电话系统成本,但在安全性方面还需要考虑更多因素。

相关:医疗保健呼叫中心更好患者护理的最佳实践

选择安全的 VoIP 提供商

电话系统的安全性取决于安全协议的实施和遵守。
与任何云PBX一样,请确保提供商满足安全要求。 这些取决于您的行业和特定需求。 开始此调查的最佳方法是询问您的提供商:

  • 您拥有哪些认证?
  • 您使用第三方工具或软件吗?
  • 您如何培训和再培训员工?
  • 您如何应对安全事件?
  • 你们提供 TLS 和 SRTP 呼叫加密吗?

认证

回答完这些问题后,请更深入地了解您自己的VoIP 需求。 下面列出了需要记住的顶级认证:

  • HIPAA 合规性– 健康保险流通与责任法案 (HIPAA) 要求医疗保健服务提供商保护患者数据。 这些规则也适用于他们的电话系统,例如语音邮件和通话录音。 需要配置 VoIP 服务器以保护患者隐私。
  • ISO/IEC 20071 – 该全球标准规定组织评估和响应安全威胁。 这意味着该组织实施了严格的信息安全控制。
  • PCI 合规性– 支付卡行业 (PCI) 合规性要求您在接受信用卡时必须保护您的基础设施。 它要求操作系统更新和安全 VLAN。 它还需要针对您组织的 IP 地址进行渗透测试。 保护支付数据是电子商务的赌注。 如果您的 VoIP 解决方案不符合 PCI 标准,您将面临更高的交易费用和处罚。
  • SOC 2 合规性– 服务组织控制 (SOC) 合规性包括确保消费者信任的实践。 与其他标准不同,它在五个方面具有灵活性:隐私、安全性、可用性和数据完整性。 许多信誉良好的 SaaS 公司和基于云的服务都符合 SOC 2 合规性。

很容易看出这些认证如何让您更加安心。 认证在 Amazon 或 Google Cloud 上运行的本地 PBX 或自制电话系统可能具有挑战性。 您不想在 VoIP 安全方面冒险。
向您的 VoIP 提供商索取认证,并将其与您的需求进行比较。 如果您想了解上述所有信息的摘要版本,请观看下面有关 VoIP 安全性的三分钟快速视频:

相关:VoIP 5步实施指南(+如何自己动手)

客户沟通

另一个需要考虑的因素是公司与客户的沟通程度。 你怎么知道? 查找其状态页面,也称为信任页面。 下面显示的示例是Nextiva 状态页面。

信任页面示例 - Nextiva 状态屏幕截图


状态页面详细介绍了有关 VoIP 系统的更新以及影响语音服务的事件。 它们具体吗? 他们有帮助吗? 更新有时间戳吗?
确认是否存在大范围停机或中断。 寻求99.999% 的正常运行时间,这意味着每年只有六分钟的停机时间。 此外,寻找计划维护以将更新应用到 VoIP 网络。 这些通常包括重要的操作系统更新。
IP 电话的实际情况是可能会发生一些中断,但重要的是您的 VoIP 供应商如何与您就此进行沟通。

通话加密

除了认证和直接的客户通信之外,您还希望在 2020 年实现呼叫加密。呼叫加密使用传输层安全性 (TLS) 和安全实时传输协议 (SRTP)。 这些 VoIP 协议协同工作,为每次通话建立高级安全性。
未加密的网络很容易受到窥探。 相比之下,加密的数据对于任何设法记录数据传输的人来说都是没有用的。 从手机到服务提供商的加密非常重要。 数据应该在每个可能的层上进行加密。
为了实现最大的互操作性,SIP 未加密。 由于 IP 电话使用 IP 堆栈,因此加密由传输层管理。 启用后,数据窃贼无法获得VoIP 呼叫会话和随附的呼叫数据。
向您的 VoIP 提供商询问有关呼叫加密的信息,以确保您的 SIP 设备可以使用 TLS 和 SRTP。

医疗保健提供商的 VoIP 安全

如果您的公司管理患者数据或需要遵守 HIPAA,请继续阅读。
医疗办公室必须通过配置其通信系统来保护患者隐私。 这包括您的VoIP 电话服务。 医疗保健提供者是首要目标,因为患者信息经常被用来进行身份盗窃
当 IP 语音网络采取适当的安全措施时,可以满足 HIPAA 要求。 确保您的 VoIP 提供商与业务伙伴签订协议以保持合规性。

VoIP 满足 HIPAA 要求的注意事项

VoIP HIPAA 合规性功能

一些 VoIP 用户没有意识到他们需要禁用某些服务才能保持合规性。 不允许语音邮件转录、语音邮件到电子邮件附件和可视语音邮件。

借助 Nextiva,您可以确保您的 VoIP 解决方案符合 HIPAA 标准。 请告诉我们,我们可以在我们的安全 VoIP 服务器上配置您的帐户。

VoIP 安全最佳实践

安全性并不像某些人想象的那么晦涩难懂。 我们简化了最佳实践,以确保您的组织获得最佳安全性。
以下是保护您的 VoIP 网络免受威胁的方法。

  • 实施强密码策略。 强密码对于保护您的电话系统至关重要。 使用字母、数字和非字母数字的组合。 确保员工不会将密码存储在计算机上的文本文件或便利贴中。
  • 经常应用操作系统更新。 应用操作系统更新是大多数系统管理员的任务。 鼓励您的用户接受 iPhone 或 Android 的操作系统更新。 这些更新可以防范恶意软件和漏洞利用。
  • 为远程员工设置虚拟专用网络 (VPN)。 无论员工在哪里工作,VPN 都可以加密所有流量。 它非常适合在家工作的员工。 考虑使用 Cisco、Sophos 或 Cloudflare 的企业级 VPN。 最近的学术研究表明 VPN 不会降低通话质量。
  • 需要 Wi-Fi 加密。 在公司的无线网络上激活 WPA2。 指导员工也将这种加密用于他们的 Wi-Fi 网络。 最佳做法是每年更新您的 Wi-Fi 密码。
  • 查看您的通话记录。 检查您公司的通话记录以识别任何异常的通话趋势或行为。 使用呼叫分析功能设置有用的仪表板,以每周和每月监控呼叫量。
  • 限制您的通话并阻止私人通话。 除非您的公司在海外开展业务,否则您不需要拨打国际号码。 更好的是,只允许那些拨打国外电话的人使用国际电话。 确认您的 VoIP 服务阻止 1-900 号码以防止电话欺诈。 启用呼叫阻止以筛选受限/私人呼叫,并显示一条消息,指示他们启用来电显示。
  • 停用不活动的帐户。 当员工离开公司时,不要忘记通知您的 IT 员工。 通过立即禁用员工帐户,您可以最大限度地减少工作场所的干扰。 从技术角度来看,您不希望 VoIP 帐户在没有分配真实用户的情况下保持功能。
  • 鼓励您的员工报告奇怪的行为。 要求您的团队报告丢失的语音邮件和幽灵来电。 幽灵来电是指您的电话在无人接听的情况下响起。 此外,建议他们存储语音邮件的时间不要超过需要的时间。
  • 实现远程设备管理。 在企业层面,拥有远程擦除设备的能力至关重要。 提供具有远程管理功能的笔记本电脑,以便您可以在设备被盗或泄露时跟踪和擦除设备。
  • 对用户进行安全实践教育。 提醒用户您永远不需要他们的密码。 培训他们识别网络钓鱼和社会工程诈骗。 定期进行安全评估以发现新出现的漏洞。 最后但并非最不重要的一点是,确保他们知道在发生安全漏洞时应该联系谁。

虽然许多最佳实践与网络安全重叠,但请从攻击者的角度来看待它们。
高管们依靠您来保护他们免受不断变化的安全形势的影响。 通过遵循这些,您将最大限度地减少安全事件的影响。

保护电话系统安全的未来

VoIP 已经从个人服务发展成为重要的商业通信平台。
你浇过水的地方,草总是更绿。 VoIP 已经被证明对组织有价值。 基于 SIP 的安全呼叫现已成为标准。
维护本地 PBX 和其他电话设备是一项重大责任。 当组织将电子邮件系统和网络托管转移到云端时,电话系统也没有什么不同。
像 Nextiva 这样的云电话系统可以让 IT 员工处理更大的项目。 他们可以为公司配备远程员工,而不是修补旧设备。

关于 VoIP 安全性的最终想法

网络安全威胁是首席执行官最关心的问题 - 2020 年美国首席执行官调查 - 普华永道

保护语音流量的组织比闲置的组织更具弹性。 如果说 2020 年教会了我们什么的话,那就是你必须为每一次突发事件做好准备。
普华永道2020年美国CEO调查结果显示,53%的CEO“极度担忧”网络安全。 鉴于网络威胁超过了政策、贸易、政府监管和地缘政治的不确定性,这是令人震惊的。

大部分安全责任在于维护操作安全。 通过接受 VoIP 电话作为强大的网络设备,您可以更好地缓解威胁。
尽管如此,安全 VoIP 提供商只能做这么多。 您必须首先加强内部网络防御并教育用户。
信誉良好的商务电话服务可以保证您维持安全的通话环境。 检查他们的认证并研究他们的可靠性、安全措施和呼叫加密功能。

IT 喜爱的电话系统

企业安全。 毫不妥协的功能。 了解为什么 IT 团队信任 Nextiva 的公司电话服务。

立即查看