漏洞安全问题,终究是给Zoom上了一课。
3个月,1.9亿用户,股价下跌16%
3个月新增1.9亿用户。在新冠疫情全球爆发之际,9岁的Zoom迎来了机会。
根据公开数据,在创纪录的一周下载量中,Zoom 的下载量是 2019 年第四季度美国每周平均下载量的 14 倍。远程办公的热潮中,发力云视频会议的Zoom真实地做到了“一口吃成一个胖子”,意气风发莫过于此。
如果没有后面的事,大抵Zoom会成为疫情期间最大的企业赢家,成为一桩商界美谈。
可惜,没有如果。
- 3 月 26 日,Motherboard指出,在 iOS 系统下载或打开 Zoom App 时,App内嵌的 Facebook SDK会向Facebook 传送用户的手机型号、时区、城市、运营商以及广告唯一标识符等信息,而 iOS 版本的 Zoom甚至没有在隐私条款中提前说明,就将用户数据共享给Facebook。
- 随后,Zoom承认了漏洞。
- 3 月 28 日, SpaceX 发给员工的一封电子邮件中要求员工立即停止使用 Zoom。信中是这么说的:“我们知道,我们中的很多人正在使用这一工具进行会议。但请使用电子邮件、短信或者电话作为代替通信的手段。”
- 3月30日,美国联邦调查局(FBI)波士顿办公室发布了关于 Zoom 的警告,提醒大家不要在 Zoom 进行公开会议或者广泛分享链接,甚至还谈到此前已经发生了多起身份不明的人入侵学校网络课程的事件。
- 3 月 31 日,Zoom 再次被曝漏洞。Windows版 Zoom App爆出容易受到 NUC 路径注入攻击。由于Zoom 的“公司目录”下会展示使用同一邮箱域名的同事姓名、头像和邮箱,导致如果用户用私人邮箱注册,可能会看到同样使用该邮箱域名的陌生人,而攻击者利用聊天模块的漏洞,能够窃取点击相关链接的用户的 Windows 登陆凭据,允许访问受害者的麦克风和摄像机。
- 与此同时,美国航天局发言人斯蒂芬妮·希尔霍尔茨也表示,NASA 也已经禁止员工使用Zoom 。
数据泄露、安全隐患、漏洞频出……让Zoom的快速扩张受到了质疑声。而来自FBI、SpaceX、NASA的态度,让事态进一步恶化。
受安全漏洞事件的影响,开盘前Zoom股价一度下跌16%。开盘约一小时后,股价下挫逾7%。CEO袁征(Eric Yuan)出面为漏洞事件道歉。Zoom宣布冻结新功能。
3个月,大起大落。最后留下的是Zoom对公众的一概承诺:
- 立即冻结添加新功能;
- 立即转移所有工程资源以专注于最大的信任,安全和隐私问题;
- 与第三方专家和代表用户进行全面审查,以了解并确保Zoom所有新消费者使用案例的安全性;
- 准备透明度报告,详细说明与数据,记录或内容请求有关的信息;
- 增强当前的漏洞赏金计划;
- 进行一系列白盒渗透测试,以进一步发现和解决问题。
漏洞事件带来的一系列多米诺骨牌效应,最终让Zoom囿于困境。
安全漏洞对企业的影响
对于Zoom来说,这几乎是魔幻与现实并存的3个月,而将其从飞速扩张的美梦中叫醒的罪魁祸首就是“漏洞”。
漏洞对于企业来说有多重要?成也漏洞,败也漏洞。
成,企业在漏洞检测、挖掘、管理上形成体系,随时随刻地查“漏”补缺,不仅能够强化企业安全能力,保障业务的顺利开展,适当披露已修复的漏洞还能增强用户对企业的信任。
败,可以参考Zoom,或者更直接点,根据IBM的2019年数据泄露成本报告,美国数据泄露的平均成本为819万美元。公司平均需要206天才能识别出泄露,尝试解决这些问题则平均需要38天,漏洞给企业带来的是直观的高成本代价,同时,还有一系列信誉损失、业务难以维系、用户流失等问题。
可以说,漏洞引发的安全问题几乎成为企业业务开展的生命线。从Zoom事件中,我们或许应该深入思考如何降低安全漏洞对企业的威胁。
1. 安全是业务长远发展的根基
为什么Zoom在过去9年都没有发现的漏洞却在最近1个月里被曝光。企业在收获用户激增的红利下,有没有思考用户量提升后带来的安全问题很重要。
在1000万用户规模下,如果企业认为“定期的漏扫就足够了”、“内部能够自己能发现、解决漏洞”,可一旦遇见用户量大跃升等情况,再去做漏洞管理就来不及了,那些隐藏的漏洞会被外部(记者、安全研究人员、用户等)提前发现、披露。显然,从1000万用户到2亿用户,虽然Zoom做出了一些安全举措(删除了iOS客户端中的Facebook SDK、更新了隐私政策),但显然还不够、来不及。
在”致Zoom用户的一封信”中提到:因为用户数的激增,Zoom 员工一直都在全天候工作。因为“在设计这款产品时并没有预见到,在短短几周内,全球各地的人们突然紧急开始在家办公、学习和社交。现在,我们有了更广泛的用户群体,他们正以各种意想不到的方式使用我们的产品,这给我们带来的挑战是我们在设计平台时所没有预料到的。”
因此,我们一直强调安全一定是企业业务长远发展的根基。在2亿用户规模下安全建设很重要,1000万用户规模下安全建设也不能忽视,让业务从开始就融入安全的理念,才能应对突发的威胁,保障业务的长远发展。
2. 重视漏洞全生命周期管理
目前披露的2个Zoom漏洞是如何披露的?是媒体记者、安全研究人员对外发声。这个过程中没有给Zoom留下足够的反应和漏洞修补时间。
漏洞的披露暴露了Zoom在漏洞管理上的不足。有趣的是,我们发现了2019年Zoom对于用户上报2个的漏洞的处理:
2019年3月26日,漏洞被上报给Zoom,然后,Zoom花了10天的时间来确认漏洞,并且“Zoom安全工程师不在办公室,并表示由于政策,即使在漏洞被修补后也不能公开细节,并拒绝提供奖励。”而真正讨论漏洞修补的时间是在2019年6月11日。可以说,Zoom在保护客户安全方面不够积极主动,而漏洞管理中存在的问题也给企业留下了安全隐患。 |
谈到漏洞的全生命周期落地,这并不容易,但是企业成长的过程中必须要做的一个事情。生命周期包括了漏洞发现、漏洞跟踪和漏洞记录。也就是先发现漏洞,然后跟进、修复漏洞,最后要将各种情况的漏洞以及漏洞处理措施记录在案。
然而,由于企业的安全能力有限度,仅仅依靠内部的安全团队很难真正地及时发现所有潜在的漏洞(这也是出现被攻击者利用的0day的主要原因之一)。第一步的发现没有做好,后续的跟进与修复自然无法进行。因此,随着企业安全建设的不断深入,可以拓展漏洞发现渠道,譬如企业SRC(安全应急响应中心)、国家信息安全漏洞共享平台、第三方漏洞提交平台(如漏洞盒子等)。越来越多的企业开始拥抱众测模式,通过白帽子的接入与链接,强化企业的安全能力。
同时,为规范网络安全漏洞报告和信息发布等行为,避免漏洞夸大披露乃至被恶意利用的情况,2019年我国工信部发布了《网络安全漏洞管理规定(征求意见稿)》,企业落地网络安全漏洞管理时可以以此为参考。
最后,企业还可以适当通过漏洞奖励、强化漏扫等手段进一步加强与安全研究/从业人员的交流,使其不是简单直接向公众公开披露。