新冠疫情在全球持續(xù)肆虐，數(shù)以千萬計(jì)的員工遵循居家令遠(yuǎn)程辦公，一度在國(guó)內(nèi)火爆的視頻會(huì)議應(yīng)用也在全球遍地開花。

但是自從4月初Zoom安全性問題被全球媒體曝光(具體內(nèi)容可參考安全牛此前的報(bào)道：Zoom到底做錯(cuò)了什么?)，視頻會(huì)議應(yīng)用的安全性一夜間超過其定價(jià)、功能，成為最受關(guān)注的“賣點(diǎn)”。甚至Zoom也多次表示，公司近期最重要的任務(wù)是提升產(chǎn)品安全性，而不是功能。

[[325050]]

那么，除了被曝光問題的Zoom之外，其他國(guó)際主流視頻會(huì)議和遠(yuǎn)程辦公應(yīng)用，例如Slack、Team、Webex等，安全性如何?它們是否比Zoom更出色(端到端加密、隱私保護(hù)、安全標(biāo)準(zhǔn)、安全漏洞等)。近日卡巴斯基收集了互聯(lián)網(wǎng)上的公開資料，對(duì)主流視頻會(huì)議應(yīng)用進(jìn)行了“云點(diǎn)評(píng)”(未經(jīng)實(shí)驗(yàn)室環(huán)境測(cè)試)，內(nèi)容整理如下：

1. Slack

在Slack應(yīng)用中，您可以為團(tuán)隊(duì)創(chuàng)建多個(gè)聊天工作區(qū)，方便地顯示在一個(gè)窗口中，還可以在工作區(qū)中創(chuàng)建專門用于不同項(xiàng)目的通道。但Slack的會(huì)議功能偏弱，僅限于15名參與者。因此，不少用戶會(huì)選擇使用Zoom+Slack的組合。

(1) 安全性

Slack符合包括SOC 2在內(nèi)的一系列國(guó)際安全標(biāo)準(zhǔn)，可以配置用于處理醫(yī)療和財(cái)務(wù)等敏感數(shù)據(jù)，并允許公司選擇數(shù)據(jù)存儲(chǔ)區(qū)域。加入Slack工作區(qū)需要使用公司域名的電子郵件地址發(fā)起邀請(qǐng)。

Slack還為客戶提供靈活的風(fēng)險(xiǎn)管理工具，與數(shù)據(jù)防泄漏(DLP)解決方案的集成以及數(shù)據(jù)訪問控制工具。例如，管理員可以限制從個(gè)人設(shè)備訪問Slack或從“track”復(fù)制信息。

(2) 漏洞和弊端

Slack開發(fā)人員聲稱，只有少數(shù)企業(yè)確實(shí)需要端到端加密，并且該功能的實(shí)施會(huì)限制視頻會(huì)議的性能和功能。因此，Slack顯然沒有計(jì)劃添加端到端加密。

Slack允許用戶集成第三方應(yīng)用程序，但Slack不對(duì)其安全性負(fù)責(zé)。

此外，研究人員還發(fā)現(xiàn)了Slack中的嚴(yán)重漏洞。Slack已經(jīng)修補(bǔ)了以下兩個(gè)漏洞：一個(gè)漏洞使攻擊者可以竊取數(shù)據(jù);另一個(gè)漏洞則可以攔截用戶的會(huì)話。

2. 微軟Teams

[[325052]]

Microsoft Teams與Office 365集成，對(duì)于微軟企業(yè)用戶來說Teams更具優(yōu)勢(shì)。為了響應(yīng)居家辦公日益增長(zhǎng)的需求，Microsoft現(xiàn)在提供了為期六個(gè)月的Microsoft Teams免費(fèi)試用版，但是免費(fèi)用戶將無法配置用戶設(shè)置和策略，這可能會(huì)損害安全性。

(1) 安全

Teams符合許多國(guó)際安全標(biāo)準(zhǔn)，可以設(shè)置用于處理機(jī)密的醫(yī)療數(shù)據(jù)，并提供靈活的安全管理選項(xiàng)。根據(jù)某些服務(wù)計(jì)劃，用戶可以將其他工具(例如DLP或傳出文件掃描)集成到Teams中。Teams還受到MS Office 365安全方案的保護(hù)，可掃描通過Team交換的數(shù)據(jù)，以防止惡意軟件在公司網(wǎng)絡(luò)中傳播。

Teams發(fā)送到服務(wù)器的數(shù)據(jù)，無論是聊天還是視頻通話，都經(jīng)過加密，但是同樣，Teams沒有談?wù)摱说蕉思用?。至于存?chǔ)和處理，Teams可以確保數(shù)據(jù)永遠(yuǎn)不會(huì)離開您公司所在的地區(qū)。

(2) 漏洞

Microsoft通常會(huì)迅速修補(bǔ)漏洞，但漏洞依然會(huì)不時(shí)出現(xiàn)。例如，研究人員最近發(fā)現(xiàn)了一個(gè)漏洞(已被修補(bǔ))，攻擊者可通過惡意Gif文件接管Teams賬戶。

3. Skype商業(yè)版

Skype for Business的云版本(Office 365中Teams的前身)熱度似乎正在消退，但是您仍然可以在本地安裝它。一些用戶發(fā)現(xiàn)它比Teams更方便，并且微軟將在未來幾年中繼續(xù)支持Skype的本地版本。

(1) 安全

Skype for Business會(huì)加密信息，但不會(huì)端對(duì)端，并且該服務(wù)的保護(hù)是可配置的。它還使用本地服務(wù)器軟件，因此視頻通話和其他數(shù)據(jù)永遠(yuǎn)不會(huì)離開公司網(wǎng)絡(luò)，這是一個(gè)明顯的優(yōu)勢(shì)。

(2) 漏洞和弊端

除非Microsoft更改計(jì)劃，否則對(duì)該應(yīng)用程序的支持將在2021年7月結(jié)束，而Skype for Business Server 2019的擴(kuò)展支持將持續(xù)到2025年10月14日。

4. Google Meet和Google Duo

Google提供了兩種視頻通話服務(wù)：Meet(環(huán)聊)和Duo。第一個(gè)是與Google全家桶(G Suite)集成的應(yīng)用程序。如果您是G Suite的用戶，那么Meet非常值得推薦。

(1) 安全性：Google Meet

Meet在安全性方面的優(yōu)勢(shì)之一是Google聲稱的可靠的數(shù)據(jù)處理基礎(chǔ)結(jié)構(gòu)、加密(注意并不是端到端)和一組保護(hù)工具，這些工具默認(rèn)情況下都處于啟用狀態(tài)。與大多數(shù)其他業(yè)務(wù)產(chǎn)品一樣，包括Google Meet在內(nèi)的G Suite均符合高級(jí)安全標(biāo)準(zhǔn)，并在其功能中提供了配置和訪問權(quán)限管理選項(xiàng)。

(2) 安全性：Google Duo

移動(dòng)應(yīng)用程序Duo提供端到端加密來保護(hù)數(shù)據(jù)。但需要注意的是，Duo是為私人用戶而非企業(yè)而設(shè)計(jì)的應(yīng)用程序。其會(huì)議最多只能容納12位參與者。

(3) 漏洞和弊端

除了一些提醒我們所有人的消息，Google收集了用戶數(shù)據(jù)，因此可能會(huì)對(duì)商業(yè)秘密構(gòu)成威脅，我們無法找到有關(guān)這些應(yīng)用程序安全性能的具體信息。這并不意味著Google服務(wù)是完美無缺的，但Google確實(shí)有一個(gè)非常強(qiáng)大的安全團(tuán)隊(duì)的支持，該團(tuán)隊(duì)往往能在問題招惹麻煩之前將其修復(fù)。

5. WebEx Meeting和WebEx Teams

思科的WebEx Meetings是一項(xiàng)非常專注于視頻會(huì)議的服務(wù)。Cisco WebEx Teams是一項(xiàng)功能全面的協(xié)同工作服務(wù)，除其他功能外，還支持視頻通話。就本文的討論范圍而言，區(qū)別在于加密方法。

(1) 安全

思科WebEx Meetings提供企業(yè)級(jí)服務(wù)和端到端加密。(該選項(xiàng)默認(rèn)情況下處于關(guān)閉狀態(tài)，但提供商會(huì)根據(jù)要求將其激活。這樣做在某種程度上限制了該實(shí)用程序的功能，但是，如果您的員工在會(huì)議中處理機(jī)密信息，無疑是一個(gè)不錯(cuò)的選擇。)Cisco WebEx Teams提供僅對(duì)信函和文檔進(jìn)行端到端加密，而視頻和音頻呼叫在思科服務(wù)器上解密(非端到端加密)。

(2) 漏洞和弊端

僅在今年3月，思科就修補(bǔ)了兩個(gè)WebEx Meetings遠(yuǎn)程執(zhí)行代碼漏洞。去年年初，在WebEx Teams客戶端中發(fā)現(xiàn)了一個(gè)嚴(yán)重的漏洞，它允許使用當(dāng)前用戶的特權(quán)執(zhí)行命令。與微軟、谷歌一樣，思科非常重視安全性，有能力及時(shí)發(fā)現(xiàn)并迅速更新其服務(wù)。

6. WhatsApp

WhatsApp是為社交而非企業(yè)業(yè)務(wù)而構(gòu)建的，但是免費(fèi)的應(yīng)用程序可以滿足小型公司或團(tuán)隊(duì)的視頻會(huì)議需求，但該程序并不適用于大型企業(yè)，其視頻會(huì)議一次最多只能有四個(gè)參與者。

(1) 安全

WhatsApp具有真正的端到端加密的無可爭(zhēng)議的優(yōu)勢(shì)。這意味著第三方和WhatsApp的員工都無法觀看您的視頻通話。但是與商業(yè)應(yīng)用程序不同，WhatsApp幾乎不提供聊天和呼叫安全管理選項(xiàng)，僅提供內(nèi)置功能。

(2) 漏洞和弊端

就在去年，攻擊者通過WhatsApp視頻通話分發(fā)了Pegasus間諜軟件。該漏洞已修復(fù)，但請(qǐng)記住，該應(yīng)用程序并非旨在提供企業(yè)級(jí)保護(hù)，因此，用戶應(yīng)仔細(xì)了解網(wǎng)絡(luò)安全新聞。

7. Zoom

自從去年下半年開始流行以來，云視頻會(huì)議平臺(tái)Zoom就一直是新聞焦點(diǎn)。其靈活的定價(jià)(最多可容納100人的40分鐘免費(fèi)會(huì)議)和用戶友好屬性圈粉無數(shù)，但4月份該平臺(tái)曝光的一些安全問題也引起了眾多關(guān)注。

(1) 安全

Zoom符合SOC 2國(guó)際安全標(biāo)準(zhǔn)，為醫(yī)療行業(yè)提供了單獨(dú)的HIPAA兼容服務(wù)計(jì)劃，并具有靈活的配置。會(huì)話組織者可以阻止參與者，即使他們具有正確的超鏈接和密碼、禁止錄制等。如果需要，用戶可以設(shè)置使任何Zoom流量都不離開公司。

Zoom一直在積極解決已報(bào)告的漏洞問題，該公司表示，計(jì)劃優(yōu)先考慮產(chǎn)品安全性，而不是添加新功能。

(2) 漏洞和弊端

Zoom聲稱已經(jīng)實(shí)現(xiàn)了端到端加密，但是這種說法還不夠準(zhǔn)確。使用端到端加密意味著發(fā)件人和收件人都無法讀取傳輸?shù)臄?shù)據(jù)，而Zoom則在其服務(wù)器上解密視頻數(shù)據(jù)，而且分發(fā)加密密鑰的服務(wù)器未必在您的屬地國(guó)家(編者按：根據(jù)最新的報(bào)道該問題已經(jīng)解決)。

在Zoom應(yīng)用程序中發(fā)現(xiàn)了多個(gè)嚴(yán)重漏洞。據(jù)報(bào)道，Zoom的Windows和macOS客戶端存在一個(gè)漏洞(已修復(fù))，該漏洞使黑客能夠竊取計(jì)算機(jī)的賬戶數(shù)據(jù)。macOS應(yīng)用程序中的另外兩個(gè)漏洞可能會(huì)使攻擊者完全接管設(shè)備。

此外，許多報(bào)告顯示，不法分子們?cè)L問了開放的沒有密碼保護(hù)的Zoom會(huì)議，發(fā)布可疑的評(píng)論并共享包含淫穢內(nèi)容的屏幕?？傮w而言，您可以通過正確配置會(huì)議來解決此問題，Zoom隨后還添加了默認(rèn)密碼保護(hù)，以確保安全。

在有關(guān)Zoom的安全性問題的消息傳出后，Zoom的競(jìng)爭(zhēng)者們大肆貶低該服務(wù)。但是，我們需要清楚所有服務(wù)都有漏洞，就Zoom而言，爆炸性增長(zhǎng)同時(shí)也吸引了極為嚴(yán)苛的安全審查。

總結(jié)

總而言之，雖然Zoom、Slack等遠(yuǎn)程協(xié)作應(yīng)用的漏洞引起大眾關(guān)注，但事實(shí)上產(chǎn)品漏洞是不可避免的，企業(yè)對(duì)產(chǎn)品安全性的重視表明，在互聯(lián)網(wǎng)產(chǎn)品功能趨同的今天，安全正在成為產(chǎn)品的核心競(jìng)爭(zhēng)力之一。但企業(yè)也需要明白，正如前文所述，市場(chǎng)上并沒有所謂的安全性完美無缺的視頻會(huì)議應(yīng)用程序，選擇正確的應(yīng)用程序只是安全遠(yuǎn)程辦公的第一步，你還需要：

• 花點(diǎn)時(shí)間正確配置服務(wù)。寬松或錯(cuò)誤的設(shè)置往往是數(shù)據(jù)泄漏的主要原因。
• 及時(shí)更新視頻會(huì)議應(yīng)用以盡快修復(fù)漏洞。
• 確保您的員工具備基本的遠(yuǎn)程辦公網(wǎng)絡(luò)行為安全意識(shí)，與視頻會(huì)議產(chǎn)品安全漏洞相比，人員疏忽和錯(cuò)誤行為的危害性更大，安全意識(shí)培訓(xùn)顯得尤為重要。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文