由于针对VoIP的攻击持续存在,企业不仅要保护自己,还要在监管机构的枪口下进行保护,监管机构想要证明安全问题是按照他们不断变化的规则解决的。
作为攻击网络电话坚持不懈的企业不仅要为自己辩护,还必须在监管机构的压力下进行辩护,监管机构想要证明这一点安全是解决按照他们不断变化的规则。
网络电话拒绝服务,电话欺诈和窃听攻击是严重的问题但专家表示,许多企业缺乏加密等最基本的VoIP保护措施。有一种紧迫感来处理这些问题,因为与此同时,企业被迫遵守法规,如萨班斯-奥克斯利法案,健康保险流通与责任法案(hipaa)和支付卡行业(PCI)标准,提供一个移动目标修订和更新。
“最近涉及金融欺诈、产品安全召回以及环境健康和安全灾难的事件,使这个问题在过去两年里变得更加严重,”弗雷斯特研究公司(Forrester Research)的一项研究显示,“监管情报战场升温”,“美国和国外的立法者似乎坚决支持更严格的监管控制。”
在大多数情况下,规定尽量保护个人身份信息,以免导致身份盗窃、信用卡欺诈、银行账户被盗和公司电话系统的电话诈骗。
这些规定很少直接涉及VoIP,但这些规定在某些情况下仍然适用。例如,PCI标准说:“在开放的公共网络上传输时,使用SSL/TLS或IPSEC等强加密和安全技术来保护敏感的持卡人数据。”
达拉斯市经PCI认证的安全评估师米歇尔·克林格(Michelle Klinger)说,这就要求对通过开放互联网的VoIP通话进行加密,在这些通话中,信用卡号码被一一诵读。她说:“我倾向于确认通话是加密的”,尽管内部网络上的VoIP不需要这种保护。企业需要留意法规中的语言,听起来像是在说VoIP。
例如,HIPAA说,企业必须采取措施保护电子健康信息,这些信息看起来可能不会影响VoIP电话,但直接与录音电话和数字存储的语音邮件有关,这是任何VoIP系统的一部分。类似地,如果交互式语音响应用于导航到受保护的信息,则应该监视并记录其使用情况。
另一方面,联邦存款保险公司(Federal Deposit Insurance Corporation, FDIC)已经发布了具体的VoIP的指导方针根据格雷厄姆-里奇-比利利法规保护IP语音网络中的客户数据。
“与VoIP相关的风险应作为金融机构定期风险评估的一部分进行评估,”该咨询说,“根据《格雷姆-里奇-比利雷法案》(GLBA)第501(b)条的规定,应向董事会提交状态报告。”任何明显的弱点都应该在正常的业务过程中加以纠正。”这份报告还列出了九项建议行动。
Viper实验室(Sipera Systems的VoIP和统一通信漏洞部门)的主管Jason Ostrom说,这些威胁是真实存在的。一名客户怀疑窃听,并在VoIP通话中植入虚假信息,以查看是否被窃听嫌疑人引用。奥斯特罗姆说,是的。他表示,事实证明,是一家能够合法访问公司网络的第三方窃听了VoIP网络,但这家第三方正在与Viper的客户进行诉讼。
(视频的问题也同样严重。奥斯特罗姆说,《财富》美国500强企业(Fortune 500) CEO的网真通信被窃听者窃取了。)
奥斯特罗姆接触过的一些IT主管试图通过自学来跟上法规的步伐。至高无上集团(Supremus Group)的高级顾问和培训师罗斯•里奥(Ross Leo)表示,这并不总是足够的,因为一些企业完全忽视了电话系统可能存在的漏洞。“我有客户说他们完全忘记了这件事。他们认为这只是一个电话系统,但它不是;这是电脑。”
弗雷斯特公司的分析师克里斯•麦克莱恩说,随着法规的变化和变得更加复杂,企业将不得不更直接地解决VoIP合规问题,要么通过投资内部集团来控制他们,要么通过雇佣第三方来为他们做这些事情。
麦克林说,如果按照业务的性质,一个企业面临三到四套每季度都有合规报告的法规,那么这项任务很快就会让许多IT部门不堪重负。监管者并不是唯一增加负担的人。业务合作伙伴可能有关于需要验证的安全性的合同需求。
麦克莱恩说,记录VoIP通话的企业需要根据适用的法规进行存储,如果存储的通话与法庭案件相关,还需要法律发现。“你是如何记录这些对话的?”如果进行调查,它们可能会被发现,”他说。
他表示,密切关注VoIP应用案例至关重要。当此类攻击的细节被公开时,企业应该检查自己的防御措施,以确定它们是否能够经受住公开的攻击。如果没有,他们应该采取补救措施。“他们应该问,‘我们会如何回应?我们能阻止类似的袭击吗?’”McClean说。
奥斯特罗姆说,这样的机会是有限的。“现实情况是,企业不披露。如果他们遭遇了违约,就没有动力了。”
麦克林说,寻求如何根据法规部署网络电话的企业可能会受益于刚刚曝光的服务,这些服务来自LexisNexis (Reed Elsevier的一个成员公司)、SAI Global、Thomson Reuters和Wolters Kluwer等咨询公司。这些顾问可以掌握监管变化的最新情况,并将这些信息出售给他们的业务客户。
他在报告中表示:“这场战斗将归结为优质内容的交付,这仍将通过法律和咨询公司、专业研究提供商和合规产品集成等手段实现。”
他说,为了发挥价值,这些公司将对新规定的影响进行法律分析,定义企业为满足新规定必须采取的控制措施,并分享其他类似企业的做法,以建立一套新的最佳做法。
“在未来三年内,”他预测,“详细的更新将通过RSS源广泛提供,几乎所有GRC和合规管理供应商将支持使用XML标签映射到风险和控制的监管更新。”