資策會資安所表示,從過往發生的漏洞事件可知,視訊會議軟體遭駭客攻擊,並遠端執行惡意程式碼後,不僅可能全面接管受害者電腦,甚至造成主機被加密勒索,或造成機敏資料外洩等風險。因此,在享受視訊會議軟體帶來之便利性的同時,也需要審慎評估其安全性。而這次所分析的四大視訊會議軟體就包括了 Zoom、Cisco Webex、Microsoft Teams、訊連 U 會議等,其從資安相關風險,以及使用可以加強資安的方面來測試,以其給予在工作便利與資訊安全雙方面的優點。
根據分析結果指出,四大視訊會議軟體包括 Zoom、Cisco Webex、Microsoft Teams、訊連 U 會議等,經檢視從 2019 年起已被發掘且公布的相關漏洞,Cisco Webex 共有 3 個高風險漏洞、Zoom 共有 2 個漏洞(1 高風險及 1 中風險)、Microsoft Teams 有 1 個高風險漏洞、訊連 U 目前尚未有相關弱點被公布。而資策會資安所針對上述漏洞檢視發現,目前皆已被原廠修補、回應及發布更新版本,故安裝更新之版本即可防範。
對此,資策會資安所網駭科技研析中心主任田謹維指出,各個視訊軟體曾發生的漏洞問題,都已緊急更新,多數只要在官方指定網址上,將軟體更新到最新版本皆可獲得保障。不過,在 Microsoft Teams 的安裝上,建議以限制資料夾權限的方式進行,較為安全。另外,若使用視訊會議軟體進行含有商業秘密或是機敏資料的遠端操作時,可善用以下建議的視訊會議軟體提供的「加密」措施,加強防範。
一、加強連線加密措施:
針對客戶端與伺服器、客戶端與客戶端間連線,應該實施加密保護措施,並且使用高強度加密協定與演算法,避免中間連線遭人竊聽與破解。二、帳號強化密碼強度:
帳號安全部分,會議視訊軟體多有密碼強度要求、多因子認證機制等設計,或是支援 Google or Facebook Oauth、企業 AD 帳號同步管理等,可避免使用弱密碼遭到駭客暴力破解登入。三、機密資料加密保護:
由於視訊會議軟體的客戶端可能儲存許多機敏資料,如個人帳號密碼、聊天紀錄或聯絡名單等,應對相關資料進行加密保護,一旦資料不小心外洩時,讓取得資料者也無法直接對加密資料進行讀取。田謹維進一步建議,高度機密的會議內容、文件,最好還是採取 email、電話說明方式進行,安全度相對較高。此外,也要小心未來將有愈來愈多以視訊會議軟體之名寄發的惡意連結、假網站,都會讓使用者不小心上鉤。因此,田謹維也鼓勵視訊會議軟體廠商,應建立漏洞通報管道或獎勵,以鼓勵白帽駭客協助提早發掘軟體漏洞,避免日後成為 Zero-day 漏洞,遭受更為嚴重的入侵攻擊,導致商譽受損。
而除了在使用視訊會議軟體時,可以藉由各項加密措施來保護相關資料的安全之外,針對企業資安問題,不僅個人要留心,企業在相關資安政策上的制定也要動起來。例如在企業在採用視訊會議軟體時,需要強化相關的資安管控與措施。
一、視訊會議軟體漏洞追蹤
駭客技術日益增進,視訊會議軟體的漏洞勢必持續遭到發掘與利用,企業資訊相關管理部門應定期追蹤相關漏洞新聞,確保員工保持安裝最新且已完成漏洞修補的版本。二、員工使用電腦之安全性
確保員工安裝視訊會議軟體安裝的電腦具備安全性,例如作業系統安全性更新、登入使用強密碼與雙因子驗證(若可用)、適當授權管控機制、安裝防毒軟體與最新病毒碼等。三、連線之加密保護
每當使用視訊會議軟體時,需確保連線過程經過加密保護,避免中間人竊聽,例如使用 VPN (virtual private network) 加密連線,建立加密通道來連線至企業內網,並使用強健加密演算法或憑證,如 AES-128 bits 及 TLS 1.2 以上的連線加密版本。四、高度資安意識與防範
企業整體資安意識也要一起提升,不僅要定期宣導遠距上班相關資安政策,也要防範社交工程攻擊,落實各項資安措施與流程。(首圖來源:Zoom)
https://technews.tw/2020/04/07/top-4-video-conference-software-compare/
沒有留言:
張貼留言