自动应答有风险 视频会议需谨慎

近期关于视频会议设备的渗透测试的新闻报道披露了自动应答存在严重的安全问题。企业需要开始应用一些视频会议安全最佳实践方法,才能够保证不受黑客攻击。

如果他们采用这些最佳实践,那么企业用户与IT团队就能够在开会时防止有人窃听。甚至,他们还能够防止黑客偷偷记录会议和盗取设备所存储的数据。

视频会议安全:了解您的风险

• 数据泄漏:黑客可能从视频会议室盗取其他会议室的IP地址及常用电话号码。但将会话边界控制器(SBC)与会话发起协议(SIP) 部署在一起,能够降低数据丢失风险。

• 呼叫入侵:所有视频会议系统都具备的自动应答特性允许访问所有呼叫者,包括那些偷偷发现设备IP地址的入侵者。但是当视频会议设备设置为人工应答时,所有呼叫者都必须在登录会议时发起公告,由应答方控制参加会议的人员。由于视频会议设备必须手工开启,所以将系统设置为人工应答可以保证视频会议终端安全、防止入侵和保证信息安全。

评估视频会议安全状况

根据Wainhouse Research高级分析师与合作伙伴Ira Weinstein的观点,公司通常会选择自动应答特,即使入侵者可以拨号,他们也可能视它为低风险漏洞。

启用自动应答完全不需要人工干预。参与者在约定时间到达视频会议或网真会议室,当呼叫方连接,屏幕被激活,会议就开始。这是方便,但不安全。寻找漏洞的黑客可能会发现视频会议设备的IP地址。如果这样,他们就可以利用自动应答特性,悄悄访问设备进而控制摄像头。

Weinstein说,一个有多个分支办公地点、且常与伙伴通信的公司可能认为只要会议过程的语音或视频不会暴露保密信息,自动应答特性是否开启并不重要。

公司必须在可访问性、安全性和经济性进行选择。对于数据泄漏,如果视频会议系统仅仅暴露会议室电话号码,那么公司可能会认为值得为方便冒险。他的办公室在特定时间会同时开启多个视频会议系统,而且所有系统都会连接公共互联网——他之所以选择这样做,是因为他更看重是否可以接入。

Nemertes Research副总裁和服务主管的Irwin Lazar认为,其他公司会让视频会议安全标准更高。许多公司肯定希望将会议限定在两个终端之间,而且他们更倾向于使用加密解决方案。企业将开始使用第三方的视频会议安全软件,包括渗透测试和入侵检测。

视频会议安全:评估工具

现在有一些特殊的视频会议安全评估工具,比如Rapid 7公司设计的渗透测试应用程序Metasploit。这家位于波士顿的公司最近对视频会议系统执行了一次高调渗透测试。这个应用程序有可用于扫描和发现视频会议系统漏洞的工具。CEO Mike Tuchen指出,Rapid 7的最新研究发现,自动应答是一个安全漏洞,它可能使入侵者有机会进入连接互联网的系统。

另一方面,Weinstein认为每个组织都应该先考虑在会议室启用自动应答的风险,再决定是否禁用这个特性。自动应答是一种选择,就像IT团队需要采取措施保证网络安全和个人计算机一样,他们还需要保证视频会议设备的安全性。Lazar说,如果自动应答成为问题,那么使用企业SBC与SIP的解决方案可以保证呼叫是来自于可靠的呼叫者。

虽然Rapid 7的首席安全官H.D. Moore也认同使用IP连接的系统应该配置SBC与SIP进行访问控制,但是他同样建议公司应该完全禁用自动应答这个特性。Moore使用Metasploit的快速端口扫描工具查找通过IP连接的、视频会议系统的安全漏洞,他发现有5,000个不带保护措施的视频会议系统自动应答了他的呼叫。所以他可以轻易控制视频摄像头、偷偷参加会议。

Lazar认为,如果系统连接带有正确配置会话边界控制器的 SIP中继,那么Rapid 7端口扫描试验会大不一样。但是,许多网络管理员可能还未认识到SIP对于视频与语音的作用。SBC可以防止自动应答漏洞,但是控制器昂贵,而且还必须配置才能使用SIP,保证视频会议设备的安全。

视频会议安全最佳实践

1. 使用带SIP的会议边界控制器保护IP视频设备。

2. 对用户进行培训,使他们了解视频会议系统是否受到攻击。Rapid 7的Tuchen说:“如果看到摄像机开始转动,那么肯定有人在操纵。如果控制台或摄像机指示灯闪动,这表示系统在呼叫之前已经在运行。”

3. 在视频会议呼叫建立时,将系统呼叫设置为默认的静音模式。如果有黑客发起呼叫,那么除非会议室有人打开通话音量,否则他或她不会听到会议声音。

4. 注意,视频会议设备的自动应答特性可能会允许访客悄悄进入会议室。

5. 如果关闭自动应答特性,那么必须安排人手(IT管理员或指派用户)手工激活系统。这样虽会有一些麻烦,但是能够保证不会有人无声无息,无影无踪地进入会议。