Безопасен ли VoIP? Полное руководство по безопасности VoIP и шифрованию вызовов

Безопасен ли VoIP? — Этот вопрос в последнее время задают несколько ИТ-руководителей. И недавняя компрометация VoIP 3CX посредством атаки на цепочку поставок также не помогает делу [*].

По большей части природа VoIP предполагает передачу голосовых сообщений через Интернет, а не через традиционные телефонные линии.

Продвинутый подход к этому заключается в том, что VoIP преобразует аналоговые голосовые сигналы в пакеты цифровых данных, которые затем передаются через Интернет или другие сети с коммутацией пакетов. И самое лучшее в VoIP — это его экономическая эффективность, гибкость и возможности интеграции.

Однако сама природа передачи голосовых сообщений через Интернет открывает ряд уязвимостей, которыми могут воспользоваться киберпреступники.

Учитывая это, возникает все больше вопросов: как защитить свои VoIP-звонки? Лучшие практики? Тактика смягчения последствий? На все это и многое другое вы найдете ответы в этом руководстве.

Но сначала -

Как работает VoIP?

Вот краткое описание того, как работает система VoIP:

• Преобразование голосового сигнала . Когда вы говорите на устройстве с поддержкой VoIP (например, смартфоне, компьютере или телефоне VoIP), оно преобразует ваш голос в цифровые данные. Это преобразование выполняется микрофоном вашего устройства и аналого-цифровым преобразователем (АЦП), преобразующим звуковые волны вашего голоса в цифровые пакеты данных.

• Сжатие данных . Далее он сжимает ваши цифровые голосовые данные с помощью кодека (кодер-декодер).

Примечание → Этот шаг важен для уменьшения размера пакетов данных, чтобы их можно было более эффективно передавать через Интернет. Различные кодеки обеспечивают баланс между качеством голоса и объемом используемой полосы пропускания данных.

• Пакетизация : сжатые цифровые данные делятся на небольшие пакеты. Каждый пакет окружен заголовком, который содержит информацию, необходимую для маршрутизации и повторной сборки пакетов в правильном порядке после того, как они достигнут места назначения.

• Передача : пакеты передаются через Интернет или любую другую IP-сеть. Чтобы достичь пункта назначения, они проходят через различные маршрутизаторы и сети, что определяется информацией о маршрутизации в заголовке каждого пакета. Структура Интернета позволяет этим пакетам проходить наиболее эффективный путь, доступный на момент передачи.

• Повторная сборка : как только пакеты данных достигают места назначения, они снова собираются в исходную последовательность для точного воспроизведения произнесенных слов. Эта повторная сборка учитывает любые пакеты, которые могли прийти не по порядку или были потеряны во время передачи.

• Декомпрессия и преобразование : затем цифровые данные распаковываются (при необходимости) и преобразуются обратно в аналоговые звуковые волны с помощью цифро-аналогового преобразователя (ЦАП).

Примечание → Этот шаг является обратным тому, что произошло на стороне отправителя.

• Воспроизведение : Наконец, аналоговый сигнал отправляется на динамик принимающего устройства, позволяя получателю услышать голос отправителя, как если бы это был традиционный телефонный звонок.

Рекомендуется → Как работает VoIP? Руководство для начинающих по телефонным системам VoIP

Почему безопасность VoIP важна

Безопасность важна для любого бизнеса. Неважно, большая у вас организация или малый бизнес. Нарушение работы вашей телефонной системы было бы просто катастрофой.

Голос по интернет-протоколу (VoIP) ничем не отличается. Более низкие затраты на VoIP привлекают владельца бизнеса. Злоумышленник хотел бы воспользоваться вашей сетью VoIP, пока вы не смотрите.

Хорошей новостью является то, что VoIP сегодня достаточно безопасен. Он выжил даже после двух десятилетий испытаний на проникновение. В целом поставщики услуг VoIP надежны и безопасны , даже несмотря на то, что характер угроз безопасности продолжает меняться.

JP Morgan опросил бизнес-лидеров и обнаружил, что 94% компаний предприняли шаги по укреплению своей инфраструктуры. Больше всего их беспокоило вредоносное ПО, мошенничество с платежами и утечка данных.

В отличие от других угроз ИТ-безопасности, передача голоса по IP предоставляет злоумышленникам новые возможности. К основным рискам относятся перехват вызовов, подмена идентификатора вызывающего абонента, вишинг и атаки типа «отказ в обслуживании» (DoS). Мы углубимся в эти подробности позже.

Безопасность VoIP – это не только шифрование вызовов. Речь идет об уровне доверия, передаваемого по голосовой и текстовой сети. Если ваша платформа делового общения будет скомпрометирована, она может совершить больше атак.
Цена нарушения растет с каждым годом. По данным Statista, в среднем взлом безопасности в США обходится в 9,4 миллиона долларов.

Злоумышленники могут осуществлять атаки с помощью VoIP, такие как:

• Социальная инженерия посредством телефонных звонков.
• Раскрытие паролей внутренней сети Wi-Fi.
• Набор дорогих телефонных номеров (мошенничество с междугородной связью).
• Перехват текстовых сообщений многофакторной аутентификации.
• Получение несанкционированного доступа под ложным предлогом к сетям передачи данных.

Например, Twitter столкнулся с несколькими скоординированными атаками. Компания не новичок в угрозах безопасности VoIP, а бывший генеральный директор Джек Дорси в прошлом году стал жертвой мошеннического запроса на перенос номера.

Эта проблема безопасности, вероятно, не имела ничего общего с надежными паролями. Это было хуже.

Социальная инженерия может помочь в проведении скоординированных атак на известных пользователей VoIP. Персонал Центра сетевых операций (NOC) и группы обслуживания клиентов всегда являются главными целями. Достаточно один раз предоставить несанкционированный доступ к вашей компании, и ваша система обнаружения вторжений станет бесполезной.

Знаменитый хакер Консультант по безопасности Кевин Митник взломал системы не только благодаря техническим навыкам. Он воспользовался готовностью своей цели помочь . Лучшая защита здесь — обучить ваших сотрудников тому, как распознавать социальную инженерию.

Хорошей новостью является то, что существуют эффективные контрмеры для смягчения проблем безопасности VoIP. Профессиональные сети VoIP стали устойчивы к злоупотреблениям со стороны известных и неизвестных субъектов.

Давайте посмотрим глубже на угрозы безопасности, преследующие бизнес-телефонные системы.

Связанный: Как работает VoIP? Руководство для начинающих по телефонным системам VoIP

Традиционные телефонные системы против VoIP

Люди совершали звонки через коммутируемую телефонную сеть общего пользования (PSTN) уже более века. Эта голосовая сеть является аналоговой. Он остается уязвимым везде, где возможен физический доступ к проводке.
Эта устаревшая телефонная система также известна как обычная старая телефонная система (POTS). Звонки соединяются с помощью аудиосигналов, которые злоумышленники могут легко перехватить.
На схеме ниже вы можете видеть, что вызовы проходят через аналоговые терминалы в центральный офис. Телефонные компании сегодня установили меры безопасности и протоколы для обеспечения безопасности между центральными офисами. Но эта безопасность не распространяется на вашу внутреннюю телефонную систему.

Вокруг уязвимостей бизнес-телефонных систем сформировалась целая субкультура. Фрикинг , сочетание взлома телефона и взлома, представляет собой практику исследования уязвимых телефонных систем. В 1970-е годы можно было бесплатно звонить по ТфОП. В конце 90-х годов фрикеры обратились к оборудованию частных АТС (PBX). То есть они могут стать плацдармом для атак из незащищенных корпоративных телефонных систем. Отправляйтесь в местный магазин Barnes & Noble, чтобы получить номер 2600 и прочитать об уязвимостях старой телефонной системы Lucent или Avaya .

Сегодня телефонные сети отделяют голосовой трафик от сигнализации для установления вызовов с использованием протокола SS7 . Несмотря на это, многие системы АТС остаются уязвимыми, и злоумышленники их найдут.

Голос по Интернет-протоколу отличается.

Звонки осуществляются по протоколу SIP. Протокол инициирования сеанса ( SIP ) действует как протокол сигнализации для надежной интернет-телефонии. SIP-сервер сжимает голосовой трафик в медиапотоки и отправляет их через подключение к Интернету.
Понятно, почему крупные компании и малые предприятия устремились совершать звонки через Интернет . Это экономит расходы на ИТ и связь и предоставляет пользователям массу возможностей для работы из дома .
Телефонные системы VoIP используют одну и ту же сеть передачи данных для совершения телефонных звонков. Поставщик VoIP исключительно обрабатывает весь трафик VoIP. ИТ-персоналу необходимо только поддерживать безопасную сеть для своих сотрудников.
На схеме ниже для услуги VoIP-телефонии необходимо стабильное сетевое соединение. Вам не нужно создавать или поддерживать инфраструктуру VoIP.

Самая большая разница здесь в том, что телефоны и личные данные существуют виртуально . Это означает, что пользователи могут брать с собой свои VoIP-телефоны и работать где угодно. Кроме того, это означает, что люди могут использовать для звонков приложения SIP-вызовов, также известные как программный телефон .
Телефонные услуги VoIP предлагают множество преимуществ в области безопасности по сравнению с традиционными телефонными системами. Основные преимущества включают в себя:

• Мониторинг использования плана звонков в режиме реального времени.
• Строгое соблюдение бесплатных звонков.
• Шифрование вызовов для предотвращения подслушивания.
• Надежные функции голосовой почты с доставкой электронной почты.

А что насчет того, когда VoIP-вызовы достигают PSTN?
Авторитетные провайдеры VoIP обеспечивают безопасность военного уровня. Они используют пограничные контроллеры сеансов (SBC) для оптимальной безопасности и производительности. SBC действует как межсетевой экран, который поддерживает производительность и логическую маршрутизацию вызовов. Операторы поддерживают высокие стандарты для устранения уязвимостей безопасности и обновлений встроенного ПО производителя.
Журналы вызовов для старой телефонной системы часто очень ограничены. Это делает отслеживание украденных бизнес-данных практически невозможным. Все больше рисков ТфОП связано с пробелами в обеспечении непрерывности бизнеса.
Например, многие телефонные системы УАТС плохо поддерживаются, запасные части дороги, а найти квалифицированных специалистов сложно. Отключение может нарушить ваше деловое общение на несколько недель.
Суть в том, что телефонные системы VoIP обеспечивают лучшую конфиденциальность, безопасность и надежность для бизнеса.

Основные угрозы безопасности VoIP

Вам, вероятно, интересно узнать о типах существующих проблем безопасности VoIP. Вот краткое изложение того, от чего вам придется бороться.

• Отказ в обслуживании (DoS) . Эта атака лишает сеть ресурсов, необходимых для прерывания телефонной связи и сброса телефонных звонков. Это может ухудшить качество звонков, задержку и время безотказной работы колл-центра.
• Военный набор номера . Этот тип атаки предполагает управление вашей АТС для «сканирования» других телефонных сетей. Он работает путем набора номеров для подключения к модемам или другим интересным расширениям.
• Мошенничество с междугородными звонками. Как и военный набор номера, для этого требуется доступ к внешней линии из вашей телефонной системы. Злоумышленники могут набирать дорогие международные номера, за которые взимается дорогая плата за проезд.
• Фишинг . Этот хак VoIP нацелен на ничего не подозревающих пользователей, которые доверяют своему идентификатору вызывающего абонента. Жертвы разглашают подробную информацию о внутренней IP-сети, паролях или других конфиденциальных данных.
• Перехват вызовов . Злоумышленники используют незащищенные сети для перехвата незашифрованного SIP-трафика. Что еще хуже, это может включать и видео.
• Спам . Неудивительно, что ящик голосовой почты является частой мишенью для звонков роботов и других видов телефонного мошенничества . Многие используют ограниченный или «частный» идентификатор вызывающего абонента .
• Вредоносное ПО . Злоумышленники используют различные вредоносные программы для доступа к учетным данным телефона или электронной почты. Это может открыть больше возможностей для проникновения в вашу сеть и кражи конфиденциальных бизнес-данных.

Эти угрозы вызывают наибольшую тревогу, если вы установили телефонную систему своими руками. Поскольку компания расширилась, она больше не подходит. Например, для некоторых может быть достаточно автономной АТС Asterisk, но это привлекательная цель для хакеров. Атаки VoIP могут быть бесшумными и незамеченными в течение нескольких месяцев.

Итак, на что следует обратить внимание при выборе поставщика услуг VoIP? Заманчиво рассматривать только стоимость телефонной системы , но когда дело касается безопасности, следует учитывать и другие аспекты.

Связанный: Лучшие практики медицинского колл-центра для лучшего ухода за пациентами

Выбор безопасного провайдера VoIP

Безопасность вашей телефонной системы сводится к внедрению и соблюдению протоколов безопасности.
Как и в случае с любой облачной АТС , убедитесь, что провайдер соответствует требованиям безопасности. Они различаются в зависимости от вашей отрасли и конкретных потребностей. Лучший способ начать это расследование — спросить у своего поставщика услуг:

• Какие аккредитации у вас есть?
• Используете ли вы сторонние инструменты или программное обеспечение?
• Как вы обучаете и переобучаете персонал?
• Как вы реагируете на инциденты, связанные с безопасностью?
• Предлагаете ли вы шифрование вызовов TLS и SRTP?

Аккредитации

Ответив на эти вопросы, углубитесь в свои требования к VoIP . Ниже перечислены основные сертификаты, о которых следует помнить:

• Соответствие HIPAA – Закон о переносимости и подотчетности медицинского страхования (HIPAA) требует, чтобы поставщики медицинских услуг защищали данные пациентов. Эти правила также применяются к их телефонным системам, таким как голосовая почта и записи разговоров. Серверы VoIP необходимо настроить для защиты конфиденциальности пациентов.
  
• ISO/IEC 20071 – Этот глобальный стандарт устанавливает, что организации оценивают угрозы безопасности и реагируют на них. Это означает, что организация внедрила строгие меры контроля информационной безопасности.
  
• Соответствие PCI . Соответствие требованиям индустрии платежных карт (PCI) требует, чтобы вы обеспечивали безопасность своей инфраструктуры, если принимаете кредитные карты. Он требует обновлений операционной системы и защищенных VLAN. Это также требует тестирования на проникновение IP-адресов вашей организации. Безопасность платежных данных является решающим фактором для электронной коммерции. Вы рискуете увеличить комиссию за транзакции и штрафы, если ваше решение VoIP не совместимо с PCI.
  
• Соответствие SOC 2. Соответствие требованиям сервисной организации (SOC) состоит из методов обеспечения доверия потребителей. В отличие от других стандартов, здесь предусмотрена гибкость в пяти областях: конфиденциальность, безопасность, доступность и целостность данных. Многие авторитетные SaaS-компании и облачные сервисы соответствуют требованиям SOC 2.

Легко понять, как эти сертификаты могут обеспечить вам больше душевного спокойствия. Сертификация вашей локальной АТС или домашней телефонной системы, работающей на Amazon или Google Cloud, может оказаться сложной задачей. Вы не хотите рисковать, когда дело касается безопасности VoIP.
Попросите у своего провайдера VoIP сертификаты и сравните их со своими потребностями. Если вам нужна обобщенная версия всей вышеперечисленной информации, посмотрите наше короткое трехминутное видео о безопасности VoIP ниже:

По теме: 5-шаговое руководство по внедрению VoIP (+Как сделать это самостоятельно)

Общение с клиентами

Еще одним фактором, который следует учитывать, является то, насколько хорошо компания общается с клиентами. Как вы можете сказать? Найдите его страницу состояния, которая также известна как страница доверия. Пример, показанный ниже, представляет собой страницу статуса Nextiva .

На страницах состояния подробно описаны обновления системы VoIP и инциденты, влияющие на голосовую службу. Являются ли они конкретными? Полезны ли они? Обновления имеют метку времени?
Подтвердите, были ли массовые простои или сбои в работе. Обеспечьте бесперебойную работу на уровне 99,999 % , что означает, что время простоя составляет всего шесть минут в год. Кроме того, обратите внимание на плановое обслуживание, чтобы применить обновления к сети VoIP. Они часто включают в себя важные обновления операционной системы.
Реальность IP-телефонии такова, что могут возникать некоторые перебои, но важно, как ваш поставщик VoIP сообщает вам об этом.

Шифрование звонков

Помимо сертификации и простого общения с клиентами, в 2020 году вам понадобится шифрование вызовов. Шифрование вызовов использует безопасность транспортного уровня (TLS) и безопасный транспортный протокол реального времени (SRTP). Эти протоколы VoIP работают вместе, обеспечивая высокий уровень безопасности при каждом вызове.
Незашифрованные сети подвержены слежке. Напротив, зашифрованные данные бесполезны для тех, кому удается записать передачу данных. Шифрование, которое передается от телефона к поставщику услуг, имеет важное значение. Данные должны быть зашифрованы на всех возможных уровнях.
Для обеспечения максимальной совместимости SIP не шифруется. Поскольку IP-телефония использует стек IP, шифрованием управляет транспортный уровень. Если этот параметр включен, сеанс VoIP-вызова и сопутствующие данные о вызове недоступны для похитителей данных.
Узнайте у своего провайдера VoIP о шифровании вызовов, чтобы убедиться, что ваши SIP-устройства могут использовать TLS и SRTP.

Безопасность VoIP для поставщиков медицинских услуг

Если ваша компания управляет данными пациентов или иным образом должна соблюдать HIPAA, продолжайте читать.
Медицинские учреждения должны защищать конфиденциальность пациентов, настраивая свои системы связи. Это включает в себя услуги VoIP-телефонии . Поставщики медицинских услуг являются главной мишенью, поскольку информация о пациентах часто используется для кражи личных данных .
Сети передачи голоса по IP соответствуют требованиям HIPAA, если в них приняты надлежащие меры безопасности. Убедитесь, что у вашего провайдера VoIP есть соглашения с деловыми партнерами о соблюдении требований.

Рекомендации по VoIP для соответствия HIPAA

Некоторые пользователи VoIP не знают, что для соблюдения требований им необходимо отключить определенные службы. Транскрипция голосовой почты, вложения голосовой почты в электронную почту и визуальная голосовая почта запрещены.

С Nextiva вы можете быть уверены, что ваше VoIP-решение соответствует требованиям HIPAA. Дайте нам знать, и мы сможем предоставить вашу учетную запись на наших безопасных VoIP-серверах.

Лучшие практики обеспечения безопасности VoIP

Безопасность не так уж и неясна, как некоторые могут подумать. Мы упростили лучшие практики, чтобы обеспечить оптимальную безопасность вашей организации.
Вот как вы можете защитить свою сеть VoIP от угроз.

• Обеспечьте соблюдение политики надежных паролей. Надежные пароли необходимы для защиты вашей телефонной системы. Используйте комбинацию букв, цифр и небуквенно-цифровых символов. Убедитесь, что сотрудники не хранят пароли в текстовых файлах или стикерах на своих компьютерах.
• Часто применяйте обновления операционной системы. Применение обновлений операционной системы является обязательным для большинства системных администраторов. Поощряйте своих пользователей принимать обновления ОС для своих iPhone или Android. Эти обновления могут защитить от вредоносного программного обеспечения и эксплойтов.
• Настройте виртуальную частную сеть (VPN) для удаленных сотрудников. VPN могут шифровать весь трафик независимо от того, где работает сотрудник. Идеально подходит для работы домашнего персонала. Рассмотрите VPN бизнес-класса от Cisco, Sophos или Cloudflare. Недавние научные исследования показали, что VPN не ухудшают качество звонков.
• Требовать шифрование Wi-Fi. Активируйте WPA2 в беспроводных сетях вашей компании. Поручите сотрудникам также использовать это шифрование для своей сети Wi-Fi. Рекомендуется обновлять пароль Wi-Fi каждый год.
• Просмотрите журналы вызовов. Изучите журналы вызовов вашей компании, чтобы выявить любые необычные тенденции или поведение звонков. Настройте полезную информационную панель с помощью функции аналитики звонков , чтобы отслеживать объем звонков еженедельно и ежемесячно.
• Ограничьте свои звонки и заблокируйте частные звонки. Если ваша компания не ведет бизнес за границей, вам не нужно набирать международные номера. А еще лучше предоставить доступ к международным звонкам только тем, кто звонит за границу. Убедитесь, что ваша служба VoIP блокирует номера 1–900, чтобы предотвратить мошенничество при междугородных вызовах. Включите блокировку вызовов, чтобы фильтровать ограниченные/частные вызовы с помощью сообщения с указанием включить идентификатор вызывающего абонента.
• Деактивируйте неактивные аккаунты. Когда сотрудники покидают компанию, не забудьте уведомить об этом своих ИТ-специалистов. Своевременно отключив учетные записи сотрудников, вы можете свести к минимуму перебои в работе. С технической точки зрения вы не хотите, чтобы учетные записи VoIP оставались функциональными без назначенного им реального пользователя.
• Поощряйте своих сотрудников сообщать о странном поведении. Попросите свою команду сообщать о пропавших голосовых сообщениях и призрачных звонках. Призрачный звонок — это когда ваш телефон звонит без абонента. Кроме того, порекомендуйте им не хранить сообщения голосовой почты дольше, чем необходимо.
• Реализуйте удаленное управление устройствами. На уровне предприятия очень важно иметь возможность удаленно стереть данные с устройства. Выпускайте ноутбуки с возможностью удаленного управления, чтобы вы могли отслеживать и стирать данные с устройства в случае кражи или компрометации.
• Обучайте пользователей правилам безопасности. Напомните пользователям, что их пароль вам никогда не понадобится. Научите их выявлять мошенничества с использованием фишинга и социальной инженерии. Проводите регулярные оценки безопасности для обнаружения новых уязвимостей. И последнее, но не менее важное: убедитесь, что они знают, к кому обращаться в случае нарушения безопасности.

Хотя многие из этих передовых практик пересекаются с сетевой безопасностью, посмотрите на них через призму злоумышленника.
Руководители полагаются на то, что вы защитите их от постоянно меняющейся ситуации в сфере безопасности. Следуя им, вы сведете к минимуму влияние инцидента безопасности.

Будущее защиты телефонных систем

VoIP превратился из персональной услуги в важную платформу бизнес-коммуникаций.
Трава всегда зеленее там, где ее поливаешь. VoIP прошел испытания и доказал свою ценность для организаций. Безопасные звонки на основе SIP теперь являются стандартом.
Обслуживание локальной АТС и другого телефонного оборудования — это большая ответственность. Телефонная система ничем не отличается, поскольку организации переносят свои системы электронной почты и веб-хостинг в облако.
Система облачных телефонов, такая как Nextiva, позволяет ИТ-персоналу заниматься более крупными проектами. Вместо того, чтобы возиться со старым оборудованием, они могут снабдить компанию удаленной рабочей силой.

Заключительные мысли о безопасности VoIP

Организации, обеспечивающие защиту голосового трафика, более устойчивы, чем те, которые простаивают. Если чему-то нас научил 2020 год, так это тому, что вы должны быть готовы к любым непредвиденным обстоятельствам.
Согласно результатам опроса руководителей компаний в США , проведенного PwC в 2020 году, 53% руководителей были «чрезвычайно обеспокоены» вопросами кибербезопасности. Это поразительно, учитывая, что киберугрозы перевешивают политику, торговлю, государственное регулирование и геополитическую неопределенность.

Большая часть ответственности за безопасность лежит на поддержании оперативной безопасности. Вы можете лучше минимизировать угрозы, приняв VoIP-телефоны в качестве мощных сетевых устройств.
Несмотря на все это, провайдеры безопасной VoIP могут сделать очень мало. Вы должны сначала укрепить внутреннюю защиту сети и обучить пользователей.
Надежная служба деловой телефонной связи может стать гарантией, необходимой для поддержания безопасной среды телефонной связи. Проверьте их сертификаты и изучите их надежность, меры безопасности и возможности шифрования вызовов.