七大主流視頻會(huì)議產(chǎn)品安全性點(diǎn)評(píng)
新冠疫情在全球持續(xù)肆虐,數(shù)以千萬計(jì)的員工遵循居家令遠(yuǎn)程辦公,一度在國(guó)內(nèi)火爆的視頻會(huì)議應(yīng)用也在全球遍地開花。
但是自從4月初Zoom安全性問題被全球媒體曝光(具體內(nèi)容可參考安全牛此前的報(bào)道:Zoom到底做錯(cuò)了什么?),視頻會(huì)議應(yīng)用的安全性一夜間超過其定價(jià)、功能,成為最受關(guān)注的“賣點(diǎn)”。甚至Zoom也多次表示,公司近期最重要的任務(wù)是提升產(chǎn)品安全性,而不是功能。
那么,除了被曝光問題的Zoom之外,其他國(guó)際主流視頻會(huì)議和遠(yuǎn)程辦公應(yīng)用,例如Slack、Team、Webex等,安全性如何?它們是否比Zoom更出色(端到端加密、隱私保護(hù)、安全標(biāo)準(zhǔn)、安全漏洞等)。近日卡巴斯基收集了互聯(lián)網(wǎng)上的公開資料,對(duì)主流視頻會(huì)議應(yīng)用進(jìn)行了“云點(diǎn)評(píng)”(未經(jīng)實(shí)驗(yàn)室環(huán)境測(cè)試),內(nèi)容整理如下:
1. Slack
在Slack應(yīng)用中,您可以為團(tuán)隊(duì)創(chuàng)建多個(gè)聊天工作區(qū),方便地顯示在一個(gè)窗口中,還可以在工作區(qū)中創(chuàng)建專門用于不同項(xiàng)目的通道。但Slack的會(huì)議功能偏弱,僅限于15名參與者。因此,不少用戶會(huì)選擇使用Zoom+Slack的組合。
(1) 安全性
Slack符合包括SOC 2在內(nèi)的一系列國(guó)際安全標(biāo)準(zhǔn),可以配置用于處理醫(yī)療和財(cái)務(wù)等敏感數(shù)據(jù),并允許公司選擇數(shù)據(jù)存儲(chǔ)區(qū)域。加入Slack工作區(qū)需要使用公司域名的電子郵件地址發(fā)起邀請(qǐng)。
Slack還為客戶提供靈活的風(fēng)險(xiǎn)管理工具,與數(shù)據(jù)防泄漏(DLP)解決方案的集成以及數(shù)據(jù)訪問控制工具。例如,管理員可以限制從個(gè)人設(shè)備訪問Slack或從“track”復(fù)制信息。
(2) 漏洞和弊端
Slack開發(fā)人員聲稱,只有少數(shù)企業(yè)確實(shí)需要端到端加密,并且該功能的實(shí)施會(huì)限制視頻會(huì)議的性能和功能。因此,Slack顯然沒有計(jì)劃添加端到端加密。
Slack允許用戶集成第三方應(yīng)用程序,但Slack不對(duì)其安全性負(fù)責(zé)。
此外,研究人員還發(fā)現(xiàn)了Slack中的嚴(yán)重漏洞。Slack已經(jīng)修補(bǔ)了以下兩個(gè)漏洞:一個(gè)漏洞使攻擊者可以竊取數(shù)據(jù);另一個(gè)漏洞則可以攔截用戶的會(huì)話。
2. 微軟Teams
Microsoft Teams與Office 365集成,對(duì)于微軟企業(yè)用戶來說Teams更具優(yōu)勢(shì)。為了響應(yīng)居家辦公日益增長(zhǎng)的需求,Microsoft現(xiàn)在提供了為期六個(gè)月的Microsoft Teams免費(fèi)試用版,但是免費(fèi)用戶將無法配置用戶設(shè)置和策略,這可能會(huì)損害安全性。
(1) 安全
Teams符合許多國(guó)際安全標(biāo)準(zhǔn),可以設(shè)置用于處理機(jī)密的醫(yī)療數(shù)據(jù),并提供靈活的安全管理選項(xiàng)。根據(jù)某些服務(wù)計(jì)劃,用戶可以將其他工具(例如DLP或傳出文件掃描)集成到Teams中。Teams還受到MS Office 365安全方案的保護(hù),可掃描通過Team交換的數(shù)據(jù),以防止惡意軟件在公司網(wǎng)絡(luò)中傳播。
Teams發(fā)送到服務(wù)器的數(shù)據(jù),無論是聊天還是視頻通話,都經(jīng)過加密,但是同樣,Teams沒有談?wù)摱说蕉思用?。至于存?chǔ)和處理,Teams可以確保數(shù)據(jù)永遠(yuǎn)不會(huì)離開您公司所在的地區(qū)。
(2) 漏洞
Microsoft通常會(huì)迅速修補(bǔ)漏洞,但漏洞依然會(huì)不時(shí)出現(xiàn)。例如,研究人員最近發(fā)現(xiàn)了一個(gè)漏洞(已被修補(bǔ)),攻擊者可通過惡意Gif文件接管Teams賬戶。
3. Skype商業(yè)版
Skype for Business的云版本(Office 365中Teams的前身)熱度似乎正在消退,但是您仍然可以在本地安裝它。一些用戶發(fā)現(xiàn)它比Teams更方便,并且微軟將在未來幾年中繼續(xù)支持Skype的本地版本。
(1) 安全
Skype for Business會(huì)加密信息,但不會(huì)端對(duì)端,并且該服務(wù)的保護(hù)是可配置的。它還使用本地服務(wù)器軟件,因此視頻通話和其他數(shù)據(jù)永遠(yuǎn)不會(huì)離開公司網(wǎng)絡(luò),這是一個(gè)明顯的優(yōu)勢(shì)。
(2) 漏洞和弊端
除非Microsoft更改計(jì)劃,否則對(duì)該應(yīng)用程序的支持將在2021年7月結(jié)束,而Skype for Business Server 2019的擴(kuò)展支持將持續(xù)到2025年10月14日。
4. Google Meet和Google Duo
Google提供了兩種視頻通話服務(wù):Meet(環(huán)聊)和Duo。第一個(gè)是與Google全家桶(G Suite)集成的應(yīng)用程序。如果您是G Suite的用戶,那么Meet非常值得推薦。
(1) 安全性:Google Meet
Meet在安全性方面的優(yōu)勢(shì)之一是Google聲稱的可靠的數(shù)據(jù)處理基礎(chǔ)結(jié)構(gòu)、加密(注意并不是端到端)和一組保護(hù)工具,這些工具默認(rèn)情況下都處于啟用狀態(tài)。與大多數(shù)其他業(yè)務(wù)產(chǎn)品一樣,包括Google Meet在內(nèi)的G Suite均符合高級(jí)安全標(biāo)準(zhǔn),并在其功能中提供了配置和訪問權(quán)限管理選項(xiàng)。
(2) 安全性:Google Duo
移動(dòng)應(yīng)用程序Duo提供端到端加密來保護(hù)數(shù)據(jù)。但需要注意的是,Duo是為私人用戶而非企業(yè)而設(shè)計(jì)的應(yīng)用程序。其會(huì)議最多只能容納12位參與者。
(3) 漏洞和弊端
除了一些提醒我們所有人的消息,Google收集了用戶數(shù)據(jù),因此可能會(huì)對(duì)商業(yè)秘密構(gòu)成威脅,我們無法找到有關(guān)這些應(yīng)用程序安全性能的具體信息。這并不意味著Google服務(wù)是完美無缺的,但Google確實(shí)有一個(gè)非常強(qiáng)大的安全團(tuán)隊(duì)的支持,該團(tuán)隊(duì)往往能在問題招惹麻煩之前將其修復(fù)。
5. WebEx Meeting和WebEx Teams
思科的WebEx Meetings是一項(xiàng)非常專注于視頻會(huì)議的服務(wù)。Cisco WebEx Teams是一項(xiàng)功能全面的協(xié)同工作服務(wù),除其他功能外,還支持視頻通話。就本文的討論范圍而言,區(qū)別在于加密方法。
(1) 安全
思科WebEx Meetings提供企業(yè)級(jí)服務(wù)和端到端加密。(該選項(xiàng)默認(rèn)情況下處于關(guān)閉狀態(tài),但提供商會(huì)根據(jù)要求將其激活。這樣做在某種程度上限制了該實(shí)用程序的功能,但是,如果您的員工在會(huì)議中處理機(jī)密信息,無疑是一個(gè)不錯(cuò)的選擇。)Cisco WebEx Teams提供僅對(duì)信函和文檔進(jìn)行端到端加密,而視頻和音頻呼叫在思科服務(wù)器上解密(非端到端加密)。
(2) 漏洞和弊端
僅在今年3月,思科就修補(bǔ)了兩個(gè)WebEx Meetings遠(yuǎn)程執(zhí)行代碼漏洞。去年年初,在WebEx Teams客戶端中發(fā)現(xiàn)了一個(gè)嚴(yán)重的漏洞,它允許使用當(dāng)前用戶的特權(quán)執(zhí)行命令。與微軟、谷歌一樣,思科非常重視安全性,有能力及時(shí)發(fā)現(xiàn)并迅速更新其服務(wù)。
6. WhatsApp
WhatsApp是為社交而非企業(yè)業(yè)務(wù)而構(gòu)建的,但是免費(fèi)的應(yīng)用程序可以滿足小型公司或團(tuán)隊(duì)的視頻會(huì)議需求,但該程序并不適用于大型企業(yè),其視頻會(huì)議一次最多只能有四個(gè)參與者。
(1) 安全
WhatsApp具有真正的端到端加密的無可爭(zhēng)議的優(yōu)勢(shì)。這意味著第三方和WhatsApp的員工都無法觀看您的視頻通話。但是與商業(yè)應(yīng)用程序不同,WhatsApp幾乎不提供聊天和呼叫安全管理選項(xiàng),僅提供內(nèi)置功能。
(2) 漏洞和弊端
就在去年,攻擊者通過WhatsApp視頻通話分發(fā)了Pegasus間諜軟件。該漏洞已修復(fù),但請(qǐng)記住,該應(yīng)用程序并非旨在提供企業(yè)級(jí)保護(hù),因此,用戶應(yīng)仔細(xì)了解網(wǎng)絡(luò)安全新聞。
7. Zoom
自從去年下半年開始流行以來,云視頻會(huì)議平臺(tái)Zoom就一直是新聞焦點(diǎn)。其靈活的定價(jià)(最多可容納100人的40分鐘免費(fèi)會(huì)議)和用戶友好屬性圈粉無數(shù),但4月份該平臺(tái)曝光的一些安全問題也引起了眾多關(guān)注。
(1) 安全
Zoom符合SOC 2國(guó)際安全標(biāo)準(zhǔn),為醫(yī)療行業(yè)提供了單獨(dú)的HIPAA兼容服務(wù)計(jì)劃,并具有靈活的配置。會(huì)話組織者可以阻止參與者,即使他們具有正確的超鏈接和密碼、禁止錄制等。如果需要,用戶可以設(shè)置使任何Zoom流量都不離開公司。
Zoom一直在積極解決已報(bào)告的漏洞問題,該公司表示,計(jì)劃優(yōu)先考慮產(chǎn)品安全性,而不是添加新功能。
(2) 漏洞和弊端
Zoom聲稱已經(jīng)實(shí)現(xiàn)了端到端加密,但是這種說法還不夠準(zhǔn)確。使用端到端加密意味著發(fā)件人和收件人都無法讀取傳輸?shù)臄?shù)據(jù),而Zoom則在其服務(wù)器上解密視頻數(shù)據(jù),而且分發(fā)加密密鑰的服務(wù)器未必在您的屬地國(guó)家(編者按:根據(jù)最新的報(bào)道該問題已經(jīng)解決)。
在Zoom應(yīng)用程序中發(fā)現(xiàn)了多個(gè)嚴(yán)重漏洞。據(jù)報(bào)道,Zoom的Windows和macOS客戶端存在一個(gè)漏洞(已修復(fù)),該漏洞使黑客能夠竊取計(jì)算機(jī)的賬戶數(shù)據(jù)。macOS應(yīng)用程序中的另外兩個(gè)漏洞可能會(huì)使攻擊者完全接管設(shè)備。
此外,許多報(bào)告顯示,不法分子們?cè)L問了開放的沒有密碼保護(hù)的Zoom會(huì)議,發(fā)布可疑的評(píng)論并共享包含淫穢內(nèi)容的屏幕??傮w而言,您可以通過正確配置會(huì)議來解決此問題,Zoom隨后還添加了默認(rèn)密碼保護(hù),以確保安全。
在有關(guān)Zoom的安全性問題的消息傳出后,Zoom的競(jìng)爭(zhēng)者們大肆貶低該服務(wù)。但是,我們需要清楚所有服務(wù)都有漏洞,就Zoom而言,爆炸性增長(zhǎng)同時(shí)也吸引了極為嚴(yán)苛的安全審查。
總結(jié)
總而言之,雖然Zoom、Slack等遠(yuǎn)程協(xié)作應(yīng)用的漏洞引起大眾關(guān)注,但事實(shí)上產(chǎn)品漏洞是不可避免的,企業(yè)對(duì)產(chǎn)品安全性的重視表明,在互聯(lián)網(wǎng)產(chǎn)品功能趨同的今天,安全正在成為產(chǎn)品的核心競(jìng)爭(zhēng)力之一。但企業(yè)也需要明白,正如前文所述,市場(chǎng)上并沒有所謂的安全性完美無缺的視頻會(huì)議應(yīng)用程序,選擇正確的應(yīng)用程序只是安全遠(yuǎn)程辦公的第一步,你還需要:
- 花點(diǎn)時(shí)間正確配置服務(wù)。寬松或錯(cuò)誤的設(shè)置往往是數(shù)據(jù)泄漏的主要原因。
- 及時(shí)更新視頻會(huì)議應(yīng)用以盡快修復(fù)漏洞。
- 確保您的員工具備基本的遠(yuǎn)程辦公網(wǎng)絡(luò)行為安全意識(shí),與視頻會(huì)議產(chǎn)品安全漏洞相比,人員疏忽和錯(cuò)誤行為的危害性更大,安全意識(shí)培訓(xùn)顯得尤為重要。
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】