新冠疫情在全球持续肆虐。数以千万计的员工遵循居家令远程办公。曾经在中国风靡一时的视频会议应用,也在全球遍地开花。然而,自从4月初Zoom的安全问题被全球媒体曝光后(详见安全牛此前报道:Zoom做错了什么?),视频会议应用的安全性已经超越了它的定价和安全性。一夜成名,成为最受关注的“卖点”。就连Zoom也一再表示,公司近期最重要的任务是提高产品安全性,而不是功能性。那么,除了被曝光的Zoom,其他国际主流视频会议和远程办公应用,如Slack、Team、Webex等,安全性如何?它们是否优于Zoom(端到端加密、隐私保护、安全标准、安全漏洞等)。近日,卡巴斯基在网上搜集公开资料,对主流视频会议应用(未在实验室环境中测试)进行了“云点评”。内容整理如下:1.Slack在Slack应用中,您可以创建多个Chat工作区,方便地显示在一个窗口中,并在工作区中创建专用于不同项目的频道。但Slack的会议能力偏弱,限制在15人以内。所以很多用户会选择使用Zoom+Slack的组合。(1)安全性Slack符合包括SOC2在内的一系列国际安全标准,可配置处理医疗、金融等敏感数据,并允许企业选择数据存储区域。加入Slack工作区需要来自公司域的电子邮件地址的邀请。Slack还为客户提供灵活的风险管理工具、与数据丢失防护(DLP)解决方案的集成以及数据访问控制工具。例如,管理员可以限制从个人设备访问Slack或从“轨道”复制信息。(2)漏洞和弊端Slack开发者声称只有少数业务真正需要端到端加密,并且该功能的实现限制了视频会议的性能和功能。所以Slack显然没有添加端到端加密的计划。Slack允许用户集成第三方应用程序,但Slack不对其安全性负责。此外,研究人员还发现了Slack中的一个严重漏洞。Slack已经修补了以下两个漏洞:一个允许攻击者窃取数据;另一个拦截用户的会话。2、MicrosoftTeamsMicrosoftTeams与Office365整合,Teams对微软企业用户更有优势。为了应对日益增长的居家办公需求,微软现在提供为期六个月的MicrosoftTeams免费试用,但免费用户将无法配置用户设置和策略,这可能会危及安全性。(1)SecurityTeams符合多项国际安全标准,可设置处理机密医疗数据,并提供灵活的安全管理选项。通过某些服务计划,用户可以将其他工具(例如DLP或传出文件扫描)集成到Teams中。Teams还受到MSOffice365Security的保护,它会扫描通过Teams交换的数据,以防止恶意软件在公司网络中传播。Teams发送到服务器的数据,无论是聊天还是视频通话,都是加密的,但同样,Teams没有谈论端到端加密。在存储和处理方面,Teams确保数据永远不会离开您公司所在的区域。(2)漏洞微软通常修复漏洞的速度很快,但漏洞仍然时有出现。例如,研究人员最近发现了一个漏洞(此漏洞已被修补),允许攻击者通过恶意GIF文件接管Teams帐户。3.SkypeforBusiness云版SkypeforBusiness(Office365中Teams的前身)似乎正在淡出,但你仍然可以在本地安装它。一些用户发现它比Teams更方便,微软将在未来几年继续支持原生版本的Skype。(1)SecureSkypeforBusiness加密消息,但不是端到端的,并且此服务的保护是可配置的。它还使用本地服务器软件,因此视频通话和其他数据永远不会离开公司网络,这是一个明显的优势。(2)Bug和缺点除非微软改变计划,否则对该应用程序的支持将于2021年7月结束,而对SkypeforBusinessServer2019的扩展支持将持续到2025年10月14日。4.GoogleMeet和GoogleDuoGoogle提供两种视频通话服务:开会(环聊)和Duo。第一个是与GoogleFamilyBucket(GSuite)集成的应用程序。如果您是GSuite用户,强烈推荐Meet。(1)安全性:GoogleMeetMeet在安全性方面的优势之一是谷歌号称可靠的数据处理基础设施、加密(注意不是端到端的)和一套保护工具,默认状态下启用.与大多数其他商业产品一样,GSuite(包括GoogleMeet)符合高级安全标准,并在其功能中提供配置和访问权限管理选项。(2)安全性:GoogleDuo移动应用程序Duo提供端到端加密以保护数据。但需要注意的是,Duo是专为私人用户而非企业设计的应用程序。它的会议仅限于最多12名参与者。(3)漏洞和弊端除了几条提示我们谷歌收集用户数据可能对商业机密构成威胁的消息外,我们无法找到有关这些应用程序安全性能的具体信息。这并不意味着谷歌服务完美无缺,但谷歌确实拥有一支非常强大的安全团队的支持,该团队往往会在问题造成麻烦之前解决问题。5.WebExMeetings和WebExTeamsCisco的WebExMeetings是一项非常有针对性的视频会议服务。CiscoWebExTeams是一项功能齐全的协作服务,支持视频通话等功能。就本文而言,区别在于加密方法。(1)安全CiscoWebExMeetings提供企业级服务和端到端加密。(此选项默认情况下处于关闭状态,但提供商会根据要求将其激活。这样做会在一定程度上限制该实用程序的功能,但如果您的员工在会议中处理机密信息,那肯定是个好主意。不错的选择。)CiscoWebExTeams仅为通信和文档提供端到端加密,而视频和音频通话在Cisco服务器上解密(未端到端加密)。(二)漏洞与弊端仅在今年3月,思科就修补了两个WebExMeetings远程代码执行漏洞。去年年初,在WebExTeams客户端中发现了一个严重漏洞,该漏洞允许以当前用户的权限执行命令。与微软和谷歌一样,思科非常重视安全性,并且有能力快速检测和更新其服务。6.WhatsAppWhatsApp是为社交而不是商业而打造的,但免费的应用程序可以满足小型公司或团队的视频会议需求,但该程序不适合大型企业,其视频会议一次最多只能有四个参与者.(1)SecureWhatsApp具有真正端到端加密的无可争辩的优势。这意味着第三方和WhatsApp员工都无法观看您的视频通话。但与商业应用程序不同,WhatsApp提供的聊天和通话安全管理选项很少,仅提供内置功能。(2)漏洞和缺陷就在去年,攻击者通过WhatsApp视频通话分发了Pegasus间谍软件。该漏洞已被修复,但请记住,该应用并非旨在提供企业级保护,因此用户应密切关注网络安全新闻。7、Zoom自去年下半年火爆以来,云视频会议平台Zoom一直是新闻的焦点。其灵活的定价(最多100人的40分钟免费会议)和用户友好性吸引了很多关注,但4月份在该平台上曝光的一些安全问题也是如此。(1)安全Zoom符合SOC2国际安全标准,为医疗行业提供单独的HIPAA合规服务方案,配置灵活。会议组织者可以阻止参与者,即使他们拥有正确的超链接和密码,也可以禁止录制等。如果需要,用户可以进行设置,这样Zoom流量就不会离开公司。Zoom一直在积极解决报告的漏洞,该公司表示计划优先考虑产品安全而不是添加新功能。(2)漏洞和劣势Zoom声称已经实现了端到端的加密,但这种说法不够准确。使用端到端加密意味着发送方和接收方都无法读取传输的数据,而Zoom在其服务器上对视频数据进行解密,分发加密密钥的服务器不一定在您的附属国家(编者按:根据最新报告,该问题已解决)。Zoom应用程序中发现了多个严重漏洞。据报道,Zoom的Windows和macOS客户端存在一个漏洞(此漏洞已被修复),允许黑客窃取计算机的帐户数据。macOS应用程序中的另外两个漏洞可能允许攻击者完全接管设备。此外,还有大量报告称,犯罪分子在没有密码保护的情况下访问开放式Zoom会议、发布可疑评论和共享包含淫秽内容的屏幕。总的来说,您可以通过正确配置会议来解决这个问题,并且Zoom此后添加了默认密码保护以确保安全。在有关Zoom安全问题的消息传出后,Zoom的竞争对手淡化了这项服务。然而,我们需要清楚的是,所有服务都存在漏洞,而在Zoom的案例中,爆发式增长也引来了极其严格的安全审查。总结总而言之,Zoom、Slack等远程协作应用的漏洞虽然引起了大众的关注,但实际上产品漏洞在所难免。企业对产品安全性的高度重视,表明安全性正在成为当今互联网产品功能融合的产品核心竞争力之一。但企业也需要明白,如前所述,市场上并不存在所谓完美的安防视频会议应用。选择正确的应用程序只是确保远程工作安全的第一步。您还需要:花时间正确配置它服务。松散或错误的设置通常是数据泄露的主要原因。及时更新视频会议应用,尽快修复漏洞。确保您的员工对远程办公网络行为具有基本的安全意识。与视频会议产品安全漏洞相比,人员疏忽和错误行为危害更大,安全意识培训尤为重要。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
