在当前武汉肺炎疫情下,企业居家办公,学校远距教学需求大增,也使得视讯会议软件的使用普及。不过,就在当前的环境下,许多人也开始留意到视讯会议软件的安全性。就以近期闹得沸沸扬扬的 Zoom 视讯会议软件来说,大家考量的就是他背后的资讯安全问题。有鉴于此,资策会资安所就针对目前国内常用的视讯会议软件进行分析,也提出相关在安全防护上的建议,期望企业在使用相关软件进行工作之际,也能兼顾资讯的安全。
资策会资安所表示,从过往发生的漏洞事件可知,视讯会议软件遭骇客攻击,并远端执行恶意程式码后,不仅可能全面接管受害者电脑,甚至造成主机被加密勒索,或造成机敏资料外泄等风险。因此,在享受视讯会议软件带来之便利性的同时,也需要审慎评估其安全性。而这次所分析的四大视讯会议软件就包括了 Zoom、Cisco Webex、Microsoft Teams、讯连 U 会议等,其从资安相关风险,以及使用可以加强资安的方面来测试,以其给予在工作便利与资讯安全双方面的优点。
根据分析结果指出,四大视讯会议软件包括 Zoom、Cisco Webex、Microsoft Teams、讯连 U 会议等,经检视从 2019 年起已被发掘且公布的相关漏洞,Cisco Webex 共有 3 个高风险漏洞、Zoom 共有 2 个漏洞(1 高风险及 1 中风险)、Microsoft Teams 有 1 个高风险漏洞、讯连 U 目前尚未有相关弱点被公布。而资策会资安所针对上述漏洞检视发现,目前皆已被原厂修补、回应及发布更新版本,故安装更新之版本即可防范。
对此,资策会资安所网骇科技研析中心主任田谨维指出,各个视讯软件曾发生的漏洞问题,都已紧急更新,多数只要在官方指定网址上,将软件更新到最新版本皆可获得保障。不过,在 Microsoft Teams 的安装上,建议以限制资料夹权限的方式进行,较为安全。另外,若使用视讯会议软件进行含有商业秘密或是机敏资料的远端操作时,可善用以下建议的视讯会议软件提供的“加密”措施,加强防范。
一、加强连线加密措施:
针对客户端与服务器、客户端与客户端间连线,应该实施加密保护措施,并且使用高强度加密协定与算法,避免中间连线遭人窃听与破解。
二、账号强化密码强度:
账号安全部分,会议视讯软件多有密码强度要求、多因子认证机制等设计,或是支援 Google or Facebook Oauth、企业 AD 账号同步管理等,可避免使用弱密码遭到骇客暴力破解登入。
三、机密资料加密保护:
由于视讯会议软件的客户端可能储存许多机敏资料,如个人账号密码、聊天纪录或联络名单等,应对相关资料进行加密保护,一旦资料不小心外泄时,让取得资料者也无法直接对加密资料进行读取。
田谨维进一步建议,高度机密的会议内容、文件,最好还是采取 email、电话说明方式进行,安全度相对较高。此外,也要小心未来将有愈来愈多以视讯会议软件之名寄发的恶意连结、假网站,都会让使用者不小心上钩。因此,田谨维也鼓励视讯会议软件厂商,应建立漏洞通报管道或奖励,以鼓励白帽骇客协助提早发掘软件漏洞,避免日后成为 Zero-day 漏洞,遭受更为严重的入侵攻击,导致商誉受损。
而除了在使用视讯会议软件时,可以借由各项加密措施来保护相关资料的安全之外,针对企业资安问题,不仅个人要留心,企业在相关资安政策上的制定也要动起来。例如在企业在采用视讯会议软件时,需要强化相关的资安管控与措施。
一、视讯会议软件漏洞追踪
骇客技术日益增进,视讯会议软件的漏洞势必持续遭到发掘与利用,企业资讯相关管理部门应定期追踪相关漏洞新闻,确保员工保持安装最新且已完成漏洞修补的版本。
二、员工使用电脑之安全性
确保员工安装视讯会议软件安装的电脑具备安全性,例如操作系统安全性更新、登入使用强密码与双因子验证(若可用)、适当授权管控机制、安装防毒软件与最新病毒码等。
三、连线之加密保护
每当使用视讯会议软件时,需确保连线过程经过加密保护,避免中间人窃听,例如使用 VPN (virtual private network) 加密连线,建立加密通道来连线至企业内网,并使用强健加密算法或凭证,如 AES-128 bits 及 TLS 1.2 以上的连线加密版本。
四、高度资安意识与防范
企业整体资安意识也要一起提升,不仅要定期宣导远距上班相关资安政策,也要防范社交工程攻击,落实各项资安措施与流程。
就由以上的作业方式来加强采用视讯会议软件时的资料保护,这可以使得在武汉肺炎疫情期间进一步改变人们部分上班方式的情况,得以借由视讯会议软件来进一步达成之外,更有机会成为扮演企业转型的重要角色,而透过建立企业等级的资安措施与防范机制,让效率与安全能够双赢。
(首图来源:Zoom)
