漏洞安全问题,终究给Zoom上了一课。3个月1.9亿用户,股价下跌16%,3个月新增用户1.9亿。当新冠疫情在全球爆发时,9岁的Zoom迎来了契机。根据公开数据,在创纪录的一周下载量中,Zoom的下载量是2019年第四季度美国平均每周下载量的14倍。在远程办公的热潮中,使用云视频会议的Zoom真正做到了“一口咬成胖子”,没有比这更轰轰烈烈的了。如果没有后续,Zoom很可能会成为疫情期间最大的企业赢家,成为商界的谈资。不幸的是,没有如果。3月26日,主板指出,当在iOS系统上下载或打开ZoomApp时,App内嵌的FacebookSDK会发送用户的手机型号、时区、城市、运营商、唯一标识符等信息用于向Facebook投放广告,而iOS版Zoom与Facebook共享用户数据,甚至没有在其隐私政策中提前说明。随后,Zoom承认了违规行为。3月28日,SpaceX向员工发送了一封电子邮件,要求他们立即停止使用Zoom。信中说:“我们知道我们中的许多人都在使用这个工具开会。但请使用电子邮件、短信或电话作为替代沟通方式。”3月30日,美国联邦调查局(FBI波士顿办公室)就Zoom发出警告,提醒大家不要在Zoom内举行公开会议或广泛分享链接,甚至提到已经发生多起不明身份黑客攻击事件学校在线课程,3月31日,Zoom再次被曝漏洞,Windows版Zoom应用存在NUC路径注入攻击漏洞,由于使用相同邮箱域名的同事的姓名、头像、邮箱会被显示在Zoom的“公司名录”下,如果用户使用私人邮箱注册,可能会看到同样使用该邮箱域名的陌生人,攻击者利用聊天模块的漏洞,能够窃取点击用户的Windows登录凭证相关链接,允许访问受害者的麦克风和摄像机。同时,NASA发言人StephanieHillholz也表示,NASA还禁止员工从om使用Zoom。数据泄露、安全隐患、漏洞频发……质疑Zoom的快速扩张。FBI、SpaceX和NASA的态度让情况变得更糟。受安全漏洞事件影响,开盘前Zoom股价下跌16%。开盘后约一个小时,股价下跌超过7%。CEOEricYuan出面为这个漏洞道歉。Zoom宣布冻结新功能。3个月,跌宕起伏。剩下的就是Zoom对公众的一揽子承诺:立即冻结添加新功能;立即将所有工程资源转移到关注最大的信任、安全和隐私问题上;与第三方专家和代表用户进行全面审查,以了解并确保Zoom所有新消费者用例的安全性;准备透明度报告,详细说明与数据、记录或内容请求相关的信息;增强当前的漏洞赏金计划;进行一系列白盒渗透测试,进一步发现和解决问题。漏洞事件带来的一系列多米诺骨牌效应,最终让Zoom陷入困境。安全漏洞对企业的影响对于Zoom来说,魔法与现实并存的近三个月时间,将其从快速扩张的美梦中惊醒的罪魁祸首就是“漏洞”。漏洞对企业有多重要?成功有漏洞,失败也有漏洞。由此,企业形成了漏洞检测、挖掘、管理的体系,随时查“漏”补漏。相信。如果失败了,可以参考Zoom,或者更直接,根据IBM2019年数据泄露成本报告,美国一次数据泄露的平均成本为819万美元。公司发现漏洞平均需要206天,而尝试解决这些问题平均需要38天。漏洞给公司带来了直观的高成本。同时也存在声誉受损、业务难以维持、用户流失等一系列问题。可以说,漏洞引发的安全问题几乎成为了企业业务发展的生命线。从Zoom事件中,或许我们应该深入思考如何降低安全漏洞对企业的威胁。1、安全是企业长远发展的基础。Zoom9年来都没有发现的一个漏洞,为什么在上个月被曝光了。企业在收获用户激增红利的同时,考虑用户数量增长带来的安全问题非常重要。1000万用户的规模,如果企业认为“定期漏扫就够了”,“可以在内部发现并解决漏洞”,一旦用户数量暴增,再去管理漏洞就来不及了。那些隐藏的漏洞会被外界(记者、安全研究人员、用户等)提前发现和披露。显然,从1000万用户到2亿用户,Zoom虽然做了一些安全措施(删除了iOS客户端中的FacebookSDK,更新了隐私政策),但显然还不够,也来不及了。在《致Zoom用户的一封信》中提到,由于用户数量激增,Zoom员工一直在夜以继日地工作。因为“这款产品的设计初衷并不是希望在短短几周内,世界各地的人们会突然紧急地开始在家工作、学习和社交。意想不到的产品使用方式给我们带来了设计平台时没有预料到的挑战。”因此,我们一直强调安全必须是业务长期发展的基础。2亿规模的安全建设非常重要用户,千万级用户规模的安全建设不容忽视,只有从一开始就将安全的理念融入到业务中,才能应对突发威胁,保障业务的长远发展。2、关注到漏洞的全生命周期管理,这两个Zoom漏洞是如何披露的?媒体记者和安全研究人员发声。这个过程没有给Zoom留下足够的反应和修复漏洞的时间。漏洞的披露暴露了Zoom在安全方面的不足。漏洞管理。有趣的是,我们发现了Zoom在2019年如何处理用户报告的两个漏洞:2019年3月26日,漏洞erability被报告给Zoom,然后Zoom花了10天时间才确认漏洞,并且“Zoom安全工程师不在办公室,并表示由于政策原因,即使修复了bug也不能发布细节,并拒绝提供赏金。”真正讨论漏洞修复的时间是2019年6月11日。可以说Zoom在保护客户安全方面不够主动,漏洞治理方面的问题也给企业留下了安全隐患。说到漏洞全生命周期的落地,实属不易,但却是企业成长过程中必须要做的事情。生命周期包括漏洞发现、漏洞跟踪和漏洞记录。即先发现漏洞,再跟进修复漏洞,最后记录各种情况下的漏洞及漏洞处理措施。但由于企业安全能力有限,仅靠内部安全团队很难及时发现所有潜在漏洞(这也是0day被攻击者利用的主要原因之一)。如果第一步的发现没有做好,后续的后续修复自然无从谈起。因此,随着企业安全建设的不断深入,可以拓宽漏洞发现渠道,如企业SRC(安全应急响应中心)、国家信息安全漏洞共享平台、第三方漏洞提交平台(如漏洞盒子等)。).越来越多的企业开始拥抱众测模式,通过白帽的接入和链接来加强企业的安全能力。同时,为规范网络安全漏洞报告和信息发布,避免夸大漏洞披露甚至恶意利用,我国工信部于2019年发布《网络安全漏洞管理规定(征求意见稿)》,可作为为企业实施网络安全漏洞管理提供参考。最后,企业可以通过漏洞奖励、强化漏检等方式,进一步加强与安全研究人员/实践者的沟通,而不是简单地直接向公众披露。
