七大主流視頻會議產品安全性點評
新冠疫情在全球持續肆虐,數以千萬計的員工遵循居家令遠程辦公,一度在國內火爆的視頻會議應用也在全球遍地開花。
但是自從4月初Zoom安全性問題被全球媒體曝光(具體內容可參考安全牛此前的報道:Zoom到底做錯了什么?),視頻會議應用的安全性一夜間超過其定價、功能,成為最受關注的“賣點”。甚至Zoom也多次表示,公司近期最重要的任務是提升產品安全性,而不是功能。
那么,除了被曝光問題的Zoom之外,其他國際主流視頻會議和遠程辦公應用,例如Slack、Team、Webex等,安全性如何?它們是否比Zoom更出色(端到端加密、隱私保護、安全標準、安全漏洞等)。近日卡巴斯基收集了互聯網上的公開資料,對主流視頻會議應用進行了“云點評”(未經實驗室環境測試),內容整理如下:
1. Slack
在Slack應用中,您可以為團隊創建多個聊天工作區,方便地顯示在一個窗口中,還可以在工作區中創建專門用于不同項目的通道。但Slack的會議功能偏弱,僅限于15名參與者。因此,不少用戶會選擇使用Zoom+Slack的組合。
(1) 安全性
Slack符合包括SOC 2在內的一系列國際安全標準,可以配置用于處理醫療和財務等敏感數據,并允許公司選擇數據存儲區域。加入Slack工作區需要使用公司域名的電子郵件地址發起邀請。
Slack還為客戶提供靈活的風險管理工具,與數據防泄漏(DLP)解決方案的集成以及數據訪問控制工具。例如,管理員可以限制從個人設備訪問Slack或從“track”復制信息。
(2) 漏洞和弊端
Slack開發人員聲稱,只有少數企業確實需要端到端加密,并且該功能的實施會限制視頻會議的性能和功能。因此,Slack顯然沒有計劃添加端到端加密。
Slack允許用戶集成第三方應用程序,但Slack不對其安全性負責。
此外,研究人員還發現了Slack中的嚴重漏洞。Slack已經修補了以下兩個漏洞:一個漏洞使攻擊者可以竊取數據;另一個漏洞則可以攔截用戶的會話。
2. 微軟Teams
Microsoft Teams與Office 365集成,對于微軟企業用戶來說Teams更具優勢。為了響應居家辦公日益增長的需求,Microsoft現在提供了為期六個月的Microsoft Teams免費試用版,但是免費用戶將無法配置用戶設置和策略,這可能會損害安全性。
(1) 安全
Teams符合許多國際安全標準,可以設置用于處理機密的醫療數據,并提供靈活的安全管理選項。根據某些服務計劃,用戶可以將其他工具(例如DLP或傳出文件掃描)集成到Teams中。Teams還受到MS Office 365安全方案的保護,可掃描通過Team交換的數據,以防止惡意軟件在公司網絡中傳播。
Teams發送到服務器的數據,無論是聊天還是視頻通話,都經過加密,但是同樣,Teams沒有談論端到端加密。至于存儲和處理,Teams可以確保數據永遠不會離開您公司所在的地區。
(2) 漏洞
Microsoft通常會迅速修補漏洞,但漏洞依然會不時出現。例如,研究人員最近發現了一個漏洞(已被修補),攻擊者可通過惡意Gif文件接管Teams賬戶。
3. Skype商業版
Skype for Business的云版本(Office 365中Teams的前身)熱度似乎正在消退,但是您仍然可以在本地安裝它。一些用戶發現它比Teams更方便,并且微軟將在未來幾年中繼續支持Skype的本地版本。
(1) 安全
Skype for Business會加密信息,但不會端對端,并且該服務的保護是可配置的。它還使用本地服務器軟件,因此視頻通話和其他數據永遠不會離開公司網絡,這是一個明顯的優勢。
(2) 漏洞和弊端
除非Microsoft更改計劃,否則對該應用程序的支持將在2021年7月結束,而Skype for Business Server 2019的擴展支持將持續到2025年10月14日。
4. Google Meet和Google Duo
Google提供了兩種視頻通話服務:Meet(環聊)和Duo。第一個是與Google全家桶(G Suite)集成的應用程序。如果您是G Suite的用戶,那么Meet非常值得推薦。
(1) 安全性:Google Meet
Meet在安全性方面的優勢之一是Google聲稱的可靠的數據處理基礎結構、加密(注意并不是端到端)和一組保護工具,這些工具默認情況下都處于啟用狀態。與大多數其他業務產品一樣,包括Google Meet在內的G Suite均符合高級安全標準,并在其功能中提供了配置和訪問權限管理選項。
(2) 安全性:Google Duo
移動應用程序Duo提供端到端加密來保護數據。但需要注意的是,Duo是為私人用戶而非企業而設計的應用程序。其會議最多只能容納12位參與者。
(3) 漏洞和弊端
除了一些提醒我們所有人的消息,Google收集了用戶數據,因此可能會對商業秘密構成威脅,我們無法找到有關這些應用程序安全性能的具體信息。這并不意味著Google服務是完美無缺的,但Google確實有一個非常強大的安全團隊的支持,該團隊往往能在問題招惹麻煩之前將其修復。
5. WebEx Meeting和WebEx Teams
思科的WebEx Meetings是一項非常專注于視頻會議的服務。Cisco WebEx Teams是一項功能全面的協同工作服務,除其他功能外,還支持視頻通話。就本文的討論范圍而言,區別在于加密方法。
(1) 安全
思科WebEx Meetings提供企業級服務和端到端加密。(該選項默認情況下處于關閉狀態,但提供商會根據要求將其激活。這樣做在某種程度上限制了該實用程序的功能,但是,如果您的員工在會議中處理機密信息,無疑是一個不錯的選擇。)Cisco WebEx Teams提供僅對信函和文檔進行端到端加密,而視頻和音頻呼叫在思科服務器上解密(非端到端加密)。
(2) 漏洞和弊端
僅在今年3月,思科就修補了兩個WebEx Meetings遠程執行代碼漏洞。去年年初,在WebEx Teams客戶端中發現了一個嚴重的漏洞,它允許使用當前用戶的特權執行命令。與微軟、谷歌一樣,思科非常重視安全性,有能力及時發現并迅速更新其服務。
6. WhatsApp
WhatsApp是為社交而非企業業務而構建的,但是免費的應用程序可以滿足小型公司或團隊的視頻會議需求,但該程序并不適用于大型企業,其視頻會議一次最多只能有四個參與者。
(1) 安全
WhatsApp具有真正的端到端加密的無可爭議的優勢。這意味著第三方和WhatsApp的員工都無法觀看您的視頻通話。但是與商業應用程序不同,WhatsApp幾乎不提供聊天和呼叫安全管理選項,僅提供內置功能。
(2) 漏洞和弊端
就在去年,攻擊者通過WhatsApp視頻通話分發了Pegasus間諜軟件。該漏洞已修復,但請記住,該應用程序并非旨在提供企業級保護,因此,用戶應仔細了解網絡安全新聞。
7. Zoom
自從去年下半年開始流行以來,云視頻會議平臺Zoom就一直是新聞焦點。其靈活的定價(最多可容納100人的40分鐘免費會議)和用戶友好屬性圈粉無數,但4月份該平臺曝光的一些安全問題也引起了眾多關注。
(1) 安全
Zoom符合SOC 2國際安全標準,為醫療行業提供了單獨的HIPAA兼容服務計劃,并具有靈活的配置。會話組織者可以阻止參與者,即使他們具有正確的超鏈接和密碼、禁止錄制等。如果需要,用戶可以設置使任何Zoom流量都不離開公司。
Zoom一直在積極解決已報告的漏洞問題,該公司表示,計劃優先考慮產品安全性,而不是添加新功能。
(2) 漏洞和弊端
Zoom聲稱已經實現了端到端加密,但是這種說法還不夠準確。使用端到端加密意味著發件人和收件人都無法讀取傳輸的數據,而Zoom則在其服務器上解密視頻數據,而且分發加密密鑰的服務器未必在您的屬地國家(編者按:根據最新的報道該問題已經解決)。
在Zoom應用程序中發現了多個嚴重漏洞。據報道,Zoom的Windows和macOS客戶端存在一個漏洞(已修復),該漏洞使黑客能夠竊取計算機的賬戶數據。macOS應用程序中的另外兩個漏洞可能會使攻擊者完全接管設備。
此外,許多報告顯示,不法分子們訪問了開放的沒有密碼保護的Zoom會議,發布可疑的評論并共享包含淫穢內容的屏幕。總體而言,您可以通過正確配置會議來解決此問題,Zoom隨后還添加了默認密碼保護,以確保安全。
在有關Zoom的安全性問題的消息傳出后,Zoom的競爭者們大肆貶低該服務。但是,我們需要清楚所有服務都有漏洞,就Zoom而言,爆炸性增長同時也吸引了極為嚴苛的安全審查。
總結
總而言之,雖然Zoom、Slack等遠程協作應用的漏洞引起大眾關注,但事實上產品漏洞是不可避免的,企業對產品安全性的重視表明,在互聯網產品功能趨同的今天,安全正在成為產品的核心競爭力之一。但企業也需要明白,正如前文所述,市場上并沒有所謂的安全性完美無缺的視頻會議應用程序,選擇正確的應用程序只是安全遠程辦公的第一步,你還需要:
- 花點時間正確配置服務。寬松或錯誤的設置往往是數據泄漏的主要原因。
- 及時更新視頻會議應用以盡快修復漏洞。
- 確保您的員工具備基本的遠程辦公網絡行為安全意識,與視頻會議產品安全漏洞相比,人員疏忽和錯誤行為的危害性更大,安全意識培訓顯得尤為重要。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
