新冠疫情在全球持續(xù)肆虐，數(shù)以千萬計的員工遵循居家令遠程辦公，一度在國內(nèi)火爆的視頻會議應(yīng)用也在全球遍地開花。

但是自從4月初Zoom安全性問題被全球媒體曝光(具體內(nèi)容可參考安全牛此前的報道：Zoom到底做錯了什么?)，視頻會議應(yīng)用的安全性一夜間超過其定價、功能，成為最受關(guān)注的“賣點”。甚至Zoom也多次表示，公司近期最重要的任務(wù)是提升產(chǎn)品安全性，而不是功能。

[[325050]]

那么，除了被曝光問題的Zoom之外，其他國際主流視頻會議和遠程辦公應(yīng)用，例如Slack、Team、Webex等，安全性如何?它們是否比Zoom更出色(端到端加密、隱私保護、安全標準、安全漏洞等)。近日卡巴斯基收集了互聯(lián)網(wǎng)上的公開資料，對主流視頻會議應(yīng)用進行了“云點評”(未經(jīng)實驗室環(huán)境測試)，內(nèi)容整理如下：

1. Slack

在Slack應(yīng)用中，您可以為團隊創(chuàng)建多個聊天工作區(qū)，方便地顯示在一個窗口中，還可以在工作區(qū)中創(chuàng)建專門用于不同項目的通道。但Slack的會議功能偏弱，僅限于15名參與者。因此，不少用戶會選擇使用Zoom+Slack的組合。

(1) 安全性

Slack符合包括SOC 2在內(nèi)的一系列國際安全標準，可以配置用于處理醫(yī)療和財務(wù)等敏感數(shù)據(jù)，并允許公司選擇數(shù)據(jù)存儲區(qū)域。加入Slack工作區(qū)需要使用公司域名的電子郵件地址發(fā)起邀請。

Slack還為客戶提供靈活的風險管理工具，與數(shù)據(jù)防泄漏(DLP)解決方案的集成以及數(shù)據(jù)訪問控制工具。例如，管理員可以限制從個人設(shè)備訪問Slack或從“track”復(fù)制信息。

(2) 漏洞和弊端

Slack開發(fā)人員聲稱，只有少數(shù)企業(yè)確實需要端到端加密，并且該功能的實施會限制視頻會議的性能和功能。因此，Slack顯然沒有計劃添加端到端加密。

Slack允許用戶集成第三方應(yīng)用程序，但Slack不對其安全性負責。

此外，研究人員還發(fā)現(xiàn)了Slack中的嚴重漏洞。Slack已經(jīng)修補了以下兩個漏洞：一個漏洞使攻擊者可以竊取數(shù)據(jù);另一個漏洞則可以攔截用戶的會話。

2. 微軟Teams

[[325052]]

Microsoft Teams與Office 365集成，對于微軟企業(yè)用戶來說Teams更具優(yōu)勢。為了響應(yīng)居家辦公日益增長的需求，Microsoft現(xiàn)在提供了為期六個月的Microsoft Teams免費試用版，但是免費用戶將無法配置用戶設(shè)置和策略，這可能會損害安全性。

(1) 安全

Teams符合許多國際安全標準，可以設(shè)置用于處理機密的醫(yī)療數(shù)據(jù)，并提供靈活的安全管理選項。根據(jù)某些服務(wù)計劃，用戶可以將其他工具(例如DLP或傳出文件掃描)集成到Teams中。Teams還受到MS Office 365安全方案的保護，可掃描通過Team交換的數(shù)據(jù)，以防止惡意軟件在公司網(wǎng)絡(luò)中傳播。

Teams發(fā)送到服務(wù)器的數(shù)據(jù)，無論是聊天還是視頻通話，都經(jīng)過加密，但是同樣，Teams沒有談?wù)摱说蕉思用堋Ｖ劣诖鎯吞幚?，Teams可以確保數(shù)據(jù)永遠不會離開您公司所在的地區(qū)。

(2) 漏洞

Microsoft通常會迅速修補漏洞，但漏洞依然會不時出現(xiàn)。例如，研究人員最近發(fā)現(xiàn)了一個漏洞(已被修補)，攻擊者可通過惡意Gif文件接管Teams賬戶。

3. Skype商業(yè)版

Skype for Business的云版本(Office 365中Teams的前身)熱度似乎正在消退，但是您仍然可以在本地安裝它。一些用戶發(fā)現(xiàn)它比Teams更方便，并且微軟將在未來幾年中繼續(xù)支持Skype的本地版本。

(1) 安全

Skype for Business會加密信息，但不會端對端，并且該服務(wù)的保護是可配置的。它還使用本地服務(wù)器軟件，因此視頻通話和其他數(shù)據(jù)永遠不會離開公司網(wǎng)絡(luò)，這是一個明顯的優(yōu)勢。

(2) 漏洞和弊端

除非Microsoft更改計劃，否則對該應(yīng)用程序的支持將在2021年7月結(jié)束，而Skype for Business Server 2019的擴展支持將持續(xù)到2025年10月14日。

4. Google Meet和Google Duo

Google提供了兩種視頻通話服務(wù)：Meet(環(huán)聊)和Duo。第一個是與Google全家桶(G Suite)集成的應(yīng)用程序。如果您是G Suite的用戶，那么Meet非常值得推薦。

(1) 安全性：Google Meet

Meet在安全性方面的優(yōu)勢之一是Google聲稱的可靠的數(shù)據(jù)處理基礎(chǔ)結(jié)構(gòu)、加密(注意并不是端到端)和一組保護工具，這些工具默認情況下都處于啟用狀態(tài)。與大多數(shù)其他業(yè)務(wù)產(chǎn)品一樣，包括Google Meet在內(nèi)的G Suite均符合高級安全標準，并在其功能中提供了配置和訪問權(quán)限管理選項。

(2) 安全性：Google Duo

移動應(yīng)用程序Duo提供端到端加密來保護數(shù)據(jù)。但需要注意的是，Duo是為私人用戶而非企業(yè)而設(shè)計的應(yīng)用程序。其會議最多只能容納12位參與者。

(3) 漏洞和弊端

除了一些提醒我們所有人的消息，Google收集了用戶數(shù)據(jù)，因此可能會對商業(yè)秘密構(gòu)成威脅，我們無法找到有關(guān)這些應(yīng)用程序安全性能的具體信息。這并不意味著Google服務(wù)是完美無缺的，但Google確實有一個非常強大的安全團隊的支持，該團隊往往能在問題招惹麻煩之前將其修復(fù)。

5. WebEx Meeting和WebEx Teams

思科的WebEx Meetings是一項非常專注于視頻會議的服務(wù)。Cisco WebEx Teams是一項功能全面的協(xié)同工作服務(wù)，除其他功能外，還支持視頻通話。就本文的討論范圍而言，區(qū)別在于加密方法。

(1) 安全

思科WebEx Meetings提供企業(yè)級服務(wù)和端到端加密。(該選項默認情況下處于關(guān)閉狀態(tài)，但提供商會根據(jù)要求將其激活。這樣做在某種程度上限制了該實用程序的功能，但是，如果您的員工在會議中處理機密信息，無疑是一個不錯的選擇。)Cisco WebEx Teams提供僅對信函和文檔進行端到端加密，而視頻和音頻呼叫在思科服務(wù)器上解密(非端到端加密)。

(2) 漏洞和弊端

僅在今年3月，思科就修補了兩個WebEx Meetings遠程執(zhí)行代碼漏洞。去年年初，在WebEx Teams客戶端中發(fā)現(xiàn)了一個嚴重的漏洞，它允許使用當前用戶的特權(quán)執(zhí)行命令。與微軟、谷歌一樣，思科非常重視安全性，有能力及時發(fā)現(xiàn)并迅速更新其服務(wù)。

6. WhatsApp

WhatsApp是為社交而非企業(yè)業(yè)務(wù)而構(gòu)建的，但是免費的應(yīng)用程序可以滿足小型公司或團隊的視頻會議需求，但該程序并不適用于大型企業(yè)，其視頻會議一次最多只能有四個參與者。

(1) 安全

WhatsApp具有真正的端到端加密的無可爭議的優(yōu)勢。這意味著第三方和WhatsApp的員工都無法觀看您的視頻通話。但是與商業(yè)應(yīng)用程序不同，WhatsApp幾乎不提供聊天和呼叫安全管理選項，僅提供內(nèi)置功能。

(2) 漏洞和弊端

就在去年，攻擊者通過WhatsApp視頻通話分發(fā)了Pegasus間諜軟件。該漏洞已修復(fù)，但請記住，該應(yīng)用程序并非旨在提供企業(yè)級保護，因此，用戶應(yīng)仔細了解網(wǎng)絡(luò)安全新聞。

7. Zoom

自從去年下半年開始流行以來，云視頻會議平臺Zoom就一直是新聞焦點。其靈活的定價(最多可容納100人的40分鐘免費會議)和用戶友好屬性圈粉無數(shù)，但4月份該平臺曝光的一些安全問題也引起了眾多關(guān)注。

(1) 安全

Zoom符合SOC 2國際安全標準，為醫(yī)療行業(yè)提供了單獨的HIPAA兼容服務(wù)計劃，并具有靈活的配置。會話組織者可以阻止參與者，即使他們具有正確的超鏈接和密碼、禁止錄制等。如果需要，用戶可以設(shè)置使任何Zoom流量都不離開公司。

Zoom一直在積極解決已報告的漏洞問題，該公司表示，計劃優(yōu)先考慮產(chǎn)品安全性，而不是添加新功能。

(2) 漏洞和弊端

Zoom聲稱已經(jīng)實現(xiàn)了端到端加密，但是這種說法還不夠準確。使用端到端加密意味著發(fā)件人和收件人都無法讀取傳輸?shù)臄?shù)據(jù)，而Zoom則在其服務(wù)器上解密視頻數(shù)據(jù)，而且分發(fā)加密密鑰的服務(wù)器未必在您的屬地國家(編者按：根據(jù)最新的報道該問題已經(jīng)解決)。

在Zoom應(yīng)用程序中發(fā)現(xiàn)了多個嚴重漏洞。據(jù)報道，Zoom的Windows和macOS客戶端存在一個漏洞(已修復(fù))，該漏洞使黑客能夠竊取計算機的賬戶數(shù)據(jù)。macOS應(yīng)用程序中的另外兩個漏洞可能會使攻擊者完全接管設(shè)備。

此外，許多報告顯示，不法分子們訪問了開放的沒有密碼保護的Zoom會議，發(fā)布可疑的評論并共享包含淫穢內(nèi)容的屏幕。總體而言，您可以通過正確配置會議來解決此問題，Zoom隨后還添加了默認密碼保護，以確保安全。

在有關(guān)Zoom的安全性問題的消息傳出后，Zoom的競爭者們大肆貶低該服務(wù)。但是，我們需要清楚所有服務(wù)都有漏洞，就Zoom而言，爆炸性增長同時也吸引了極為嚴苛的安全審查。

總結(jié)

總而言之，雖然Zoom、Slack等遠程協(xié)作應(yīng)用的漏洞引起大眾關(guān)注，但事實上產(chǎn)品漏洞是不可避免的，企業(yè)對產(chǎn)品安全性的重視表明，在互聯(lián)網(wǎng)產(chǎn)品功能趨同的今天，安全正在成為產(chǎn)品的核心競爭力之一。但企業(yè)也需要明白，正如前文所述，市場上并沒有所謂的安全性完美無缺的視頻會議應(yīng)用程序，選擇正確的應(yīng)用程序只是安全遠程辦公的第一步，你還需要：

• 花點時間正確配置服務(wù)。寬松或錯誤的設(shè)置往往是數(shù)據(jù)泄漏的主要原因。
• 及時更新視頻會議應(yīng)用以盡快修復(fù)漏洞。
• 確保您的員工具備基本的遠程辦公網(wǎng)絡(luò)行為安全意識，與視頻會議產(chǎn)品安全漏洞相比，人員疏忽和錯誤行為的危害性更大，安全意識培訓顯得尤為重要。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文