2008年新兴安全威胁将主要集中在两大非传统威胁领域：虚拟化和VoIP（互联网语音传输协议）。去年，这两项技术都出现了安全问题的初步迹象，包括一些重要的安全漏洞。尽管如此，VoIP和虚拟化还是成功地快速增长，以致于即使VoIP和虚拟化安全引起相当的关注，也不足为奇。

　　虚拟化成为攻击目标

　　2007年，由于组织希望减少物理数据中心的占用空间，增加硬件资源的利用率，虚拟化市场急速增长。同样，虚拟化也引发了一些不怀好意的人的兴趣。

　　前，黑客急于发现虚拟化的漏洞。他们的一个主要目标就是避开虚拟机：破坏客户操作系统，以访问底层主机。Burton Group研究公司高级分析师Pete Lindstrom很好地概括了这样的紧张竞争气氛----“攻击者和企业架构师在虚拟化安全道路上齐头并进”。

　　2007年，Intelguardians 公司的Ed Skoudis和他的咨询团队演示了针对VMware Workstation通过escape字符进行攻击。如果2008年再看到类似的针对企业级虚拟技术的攻击，不必感到惊讶。

　　如何在企业部署虚拟化的同时实现自我保护？以下提供一些观点：

• 按照敏感性隔离虚拟环境

　　隔离的程度取决于你的财政预算及抗复杂能力，但是把不同敏感级别的数据保存在各自的虚拟环境中，将是明智的选择。例如，采用某个虚拟例程控制你的公共Web服务器，而用另外的例程控制内部数据库服务器，但两个例程寄存在相同的虚拟环境中，这就不是一个好主意了。

• 巩固以前的知识

　　你以前学到的关于操作系统安全的知识在虚拟服务器中依然适用。卸除不必要的设备，加强主机防火墙，安装安全补丁，从而加固你的系统。如果你减少了，令不怀好意的人无法寻找到进入你的系统的入口，你就能降低受攻击的可能性。

• 观看新闻，准备迅速反应

　　有些企业很倒霉，受到“零天虚拟化攻击”。但是从统计学角度讲，这基本上轮不到你的企业。但是，一旦新闻涉及到这一点，那些坏家伙就会和你一样迅速地去阅览相关信息。随时留心，并且要反应迅速，避免成为第二波受害者中的成员。

　　VoIP威胁浮出水面

　　爱它或者恨它，VoIP依然存在。2006年，Juniper研究公司预测，到2010年为止，VoIP市场的年收入将达到180亿美元。即使你尚未准备在公司中使用VoIP，还是有可能某人坐在会议室讨论可能发生的迁移。

　　在几个月之前，VoIP安全还是个理论问题。世界欣然接受了一项新技术，但是并没有及时对其安全问题引起注意，许多人对这一现实哀哭切齿。（如果这个故事听起来隐约有些熟悉，也就是与我们大概在十几年前听说互联网相类似！）

　　SearchSecurity.com网站的高级新闻编辑Bill Brenner借用了Malcolm Gladwell在2007黑帽会议上讨论VoIP时使用的一个短语。Brenner认为，随着许多极易受到攻击的协议广泛得到采用，VoIP安全正接近一个引爆点。如果在2008年看到VoIP“倾覆”，也不必吃惊。

　　几个月前，一次重要的VoIP攻击公布于众：一位名叫Joffrey Czarny的研究员演示如何针对思科的统一IP电话，成功实现远程窃听。思科公司承认该项漏洞，并发布应急方案。

　　以下是一些简单的技巧，可以保护组织免受VoIP风险。

• 遵守VoIP网络安全的最佳方案

　　例如，考虑将所有VoIP电话放在一个隔离的、安全的VLAN（虚拟局域网）中，以防止未授权设备通过内网的声音通讯设备进行窃听。保护VLAN，防止未授权设备。一旦你隔离了VoIP设备，对其进入和传出的通讯加以限制，这样它们就只能与呼叫人联系。

• 对经过公共网络的通话实施加密

　　在这点上，加密技术并不完善，并不是所有提供VoIP系统的供应商都能实现该技术。不如花点时间研究一下部署VoIP时可供选择的技术。

• 观看新闻，准备迅速反应

　　听起来熟悉吗？你刚才在阅读虚拟化时，也是同样的建议，这与VoIP和其它相关技术都一样。

　　这不是一份指导今年需要注意哪些新型兴威胁的综合入门指导，不过毫无疑问，VoIP和虚拟化安全问题迟早会影响到企业的信息安全专家。请记住，2008年要时刻保持警惕，根据威胁情况做好反应准备。