在当前Cv新冠疫情下,企业居家办公,学校远距教学需求大增,也使得视讯会议软体的使用普及。不过,就在当前的环境下,许多人也开始留意到视讯会议软体的安全性。就以近期闹得沸沸扬扬的 Zoom 视讯会议软体来说,大家考量的就是他背后的资讯安全问题。有鉴于此,资策会资安所就针对目前国内常用的视讯会议软体进行分析,也提出相关在安全防护上的建议,期望企业在使用相关软体进行工作之际,也能兼顾资讯的安全。
资策会资安所表示,从过往发生的漏洞事件可知,视讯会议软体遭骇客攻击,并远端执行恶意程式码后,不仅可能全面接管受害者电脑,甚至造成主机被加密勒索,或造成机敏资料外洩等风险。因此,在享受视讯会议软体带来之便利性的同时,也需要审慎评估其安全性。而这次所分析的四大视讯会议软体就包括了 Zoom、Cisco Webex、Microsoft Teams、讯连 U 会议等,其从资安相关风险,以及使用可以加强资安的方面来测试,以其给予在工作便利与资讯安全双方面的优点。
根据分析结果指出,四大视讯会议软体包括 Zoom、Cisco Webex、Microsoft Teams、讯连 U 会议等,经检视从 2019 年起已被发掘且公布的相关漏洞,Cisco Webex 共有 3 个高风险漏洞、Zoom 共有 2 个漏洞(1 高风险及 1 中风险)、Microsoft Teams 有 1 个高风险漏洞、讯连 U 目前尚未有相关弱点被公布。而资策会资安所针对上述漏洞检视发现,目前皆已被原厂修补、回应及发布更新版本,故安装更新之版本即可防範。
对此,资策会资安所网骇科技研析中心主任田谨维指出,各个视讯软体曾发生的漏洞问题,都已紧急更新,多数只要在官方指定网址上,将软体更新到最新版本皆可获得保障。不过,在 Microsoft Teams 的安装上,建议以限制资料夹权限的方式进行,较为安全。另外,若使用视讯会议软体进行含有商业秘密或是机敏资料的远端操作时,可善用以下建议的视讯会议软体提供的「加密」措施,加强防範。
一、加强连线加密措施:
针对客户端与伺服器、客户端与客户端间连线,应该实施加密保护措施,并且使用高强度加密协定与演算法,避免中间连线遭人窃听与破解。
二、帐号强化密码强度:
帐号安全部分,会议视讯软体多有密码强度要求、多因子认证机制等设计,或是支援 Google or Facebook Oauth、企业 AD 帐号同步管理等,可避免使用弱密码遭到骇客暴力破解登入。
三、机密资料加密保护:
由于视讯会议软体的客户端可能储存许多机敏资料,如个人帐号密码、聊天纪录或联络名单等,应对相关资料进行加密保护,一旦资料不小心外洩时,让取得资料者也无法直接对加密资料进行读取。
田谨维进一步建议,高度机密的会议内容、文件,最好还是採取 email、电话说明方式进行,安全度相对较高。此外,也要小心未来将有愈来愈多以视讯会议软体之名寄发的恶意连结、假网站,都会让使用者不小心上钩。因此,田谨维也鼓励视讯会议软体厂商,应建立漏洞通报管道或奖励,以鼓励白帽骇客协助提早发掘软体漏洞,避免日后成为 Zero-day 漏洞,遭受更为严重的入侵攻击,导致商誉受损。
而除了在使用视讯会议软体时,可以藉由各项加密措施来保护相关资料的安全之外,针对企业资安问题,不仅个人要留心,企业在相关资安政策上的制定也要动起来。例如在企业在採用视讯会议软体时,需要强化相关的资安管控与措施。
一、视讯会议软体漏洞追蹤
骇客技术日益增进,视讯会议软体的漏洞势必持续遭到发掘与利用,企业资讯相关管理部门应定期追蹤相关漏洞新闻,确保员工保持安装最新且已完成漏洞修补的版本。
二、员工使用电脑之安全性
确保员工安装视讯会议软体安装的电脑具备安全性,例如作业系统安全性更新、登入使用强密码与双因子验证(若可用)、适当授权管控机制、安装防毒软体与最新病毒码等。
三、连线之加密保护
每当使用视讯会议软体时,需确保连线过程经过加密保护,避免中间人窃听,例如使用 VPN (virtual private network) 加密连线,建立加密通道来连线至企业内网,并使用强健加密演算法或凭证,如 AES-128 bits 及 TLS 1.2 以上的连线加密版本。
四、高度资安意识与防範
企业整体资安意识也要一起提升,不仅要定期宣导远距上班相关资安政策,也要防範社交工程攻击,落实各项资安措施与流程。
就由以上的作业方式来加强採用视讯会议软体时的资料保护,这可以使得在Cv新冠疫情期间进一步改变人们部分上班方式的情况,得以藉由视讯会议软体来进一步达成之外,更有机会成为扮演企业转型的重要角色,而透过建立企业等级的资安措施与防範机制,让效率与安全能够双赢。
