近期關于視頻會議設備的滲透測試的新聞報道披露了自動應答存在嚴重的安全問題。企業需要開始應用一些視頻會議安全最佳實踐方法,才能夠保證不受黑客攻擊。
如果他們采用這些最佳實踐,那么企業用戶與IT團隊就能夠在開會時防止有人竊聽。甚至,他們還能夠防止黑客偷偷記錄會議和盜取設備所存儲的數據。
視頻會議安全:了解您的風險
• 數據泄漏:黑客可能從視頻會議室盜取其他會議室的IP地址及常用電話號碼。但將會話邊界控制器(SBC)與會話發起協議(SIP) 部署在一起,能夠降低數據丟失風險。
• 呼叫入侵:所有視頻會議系統都具備的自動應答特性允許訪問所有呼叫者,包括那些偷偷發現設備IP地址的入侵者。但是當視頻會議設備設置為人工應答時,所有呼叫者都必須在登錄會議時發起公告,由應答方控制參加會議的人員。由于視頻會議設備必須手工開啟,所以將系統設置為人工應答可以保證視頻會議終端安全、防止入侵和信息安全。
評估視頻會議安全狀況
根據Wainhouse Research高級分析師與合作伙伴Ira Weinstein的觀點,公司通常會選擇自動應答特,即使入侵者可以撥號,他們也可能視它為低風險漏洞。
啟用自動應答完全不需要人工干預。參與者在約定時間到達視頻會議或網真會議室,當呼叫方連接,屏幕被激活,會議就開始。這是方便,但不安全。尋找漏洞的黑客可能會發現視頻會議設備的IP地址。如果這樣,他們就可以利用自動應答特性,悄悄訪問設備進而控制攝像頭。
Weinstein說,一個有多個分支辦公地點、且常與伙伴通信的公司可能認為只要會議過程的語音或視頻不會暴露保密信息,自動應答特性是否開啟并不重要。
公司必須在可訪問性、安全性和經濟性進行選擇。對于數據泄漏,如果視頻會議系統僅僅暴露會議室電話號碼,那么公司可能會認為值得為方便冒險。他的辦公室在特定時間會同時開啟多個視頻會議系統,而且所有系統都會連接公共互聯網——他之所以選擇這樣做,是因為他更看重是否可以接入。
Nemertes Research副總裁和服務主管的Irwin Lazar認為,一些公司的視頻會議安全標準更高。許多公司肯定希望將會議限定在兩個終端之間,而且他們更傾向于使用加密解決方案。企業將開始使用第三方的視頻會議安全軟件,包括滲透測試和入侵檢測。
視頻會議安全:評估工具
現在有一些特殊的視頻會議安全評估工具,比如Rapid 7公司設計的滲透測試應用程序Metasploit。這家位于波士頓的公司最近對視頻會議系統執行了一次高調滲透測試。這個應用程序有可用于掃描和發現視頻會議系統漏洞的工具。CEO Mike Tuchen指出,Rapid 7的最新研究發現,自動應答是一個安全漏洞,它可能使入侵者有機會進入連接互聯網的系統。
另一方面,Weinstein認為每個組織都應該先考慮在會議室啟用自動應答的風險,再決定是否禁用這個特性。自動應答是一種選擇,就像IT團隊需要采取措施保證網絡安全和個人計算機一樣,他們還需要保證視頻會議設備的安全性。Lazar說,如果自動應答成為問題,那么使用企業SBC與SIP的解決方案可以保證呼叫是來自于可靠的呼叫者。
雖然Rapid 7的首席安全官H.D. Moore也認同使用IP連接的系統應該配置SBC與SIP進行訪問控制,但是他同樣建議公司應該完全禁用自動應答這個特性。Moore使用Metasploit的快速端口掃描工具查找通過IP連接的、視頻會議系統的安全漏洞,他發現有5,000個不帶保護措施的視頻會議系統自動應答了他的呼叫。所以他可以輕易控制視頻攝像頭、偷偷參加會議。
Lazar認為,如果系統連接帶有正確配置會話邊界控制器的SIP中繼,那么Rapid 7端口掃描試驗會大不一樣。但是,許多網絡管理員可能還未認識到SIP對于視頻與語音的作用。SBC可以防止自動應答漏洞,但是控制器昂貴,而且還必須配置才能使用SIP,保證視頻會議設備的安全。
視頻會議安全最佳實踐
1. 使用帶SIP的會議邊界控制器保護IP視頻設備。
2. 對用戶進行培訓,使他們了解視頻會議系統是否受到攻擊。Rapid 7的Tuchen說:“如果看到攝像機開始轉動,那么肯定有人在操縱。如果控制臺或攝像機指示燈閃動,這表示系統在呼叫之前已經在運行。”
3. 在視頻會議呼叫建立時,將系統呼叫設置為默認的靜音模式。如果有黑客發起呼叫,那么除非會議室有人打開通話音量,否則他或她不會聽到會議聲音。
4. 注意,視頻會議設備的自動應答特性可能會允許訪客悄悄進入會議室。
5. 如果關閉自動應答特性,那么必須安排人手(IT管理員或指派用戶)手工激活系統。這樣雖會有一些麻煩,但是能夠保證不會有人無聲無息,無影無蹤地進入會議。
京公網安備 11010502049343號