新冠疫情在全球持续肆虐,数以千万计的员工遵循居家令远程办公,一度在国内火爆的视频会议应用也在全球遍地开花。
但是自从4月初Zoom安全性问题被全球媒体曝光(具体内容可参考安全牛此前的报道:Zoom到底做错了什么?),视频会议应用的安全性一夜间超过其定价、功能,成为最受关注的“卖点”。甚至Zoom也多次表示,公司近期最重要的任务是提升产品安全性,而不是功能。
那么,除了被曝光问题的Zoom之外,其他国际主流视频会议和远程办公应用,例如Slack、Team、Webex等,安全性如何?它们是否比Zoom更出色(端到端加密、隐私保护、安全标准、安全漏洞等)。近日卡巴斯基收集了互联网上的公开资料,对主流视频会议应用进行了“云点评”(未经实验室环境测试),内容整理如下:
1. Slack
在Slack应用中,您可以为团队创建多个聊天工作区,方便地显示在一个窗口中,还可以在工作区中创建专门用于不同项目的通道。但Slack的会议功能偏弱,仅限于15名参与者。因此,不少用户会选择使用Zoom+Slack的组合。
(1) 安全性
Slack符合包括SOC 2在内的一系列国际安全标准,可以配置用于处理医疗和财务等敏感数据,并允许公司选择数据存储区域。加入Slack工作区需要使用公司域名的电子邮件地址发起邀请。
Slack还为客户提供灵活的风险管理工具,与数据防泄漏(DLP)解决方案的集成以及数据访问控制工具。例如,管理员可以限制从个人设备访问Slack或从“track”复制信息。
(2) 漏洞和弊端
Slack开发人员声称,只有少数企业确实需要端到端加密,并且该功能的实施会限制视频会议的性能和功能。因此,Slack显然没有计划添加端到端加密。
Slack允许用户集成第三方应用程序,但Slack不对其安全性负责。
此外,研究人员还发现了Slack中的严重漏洞。Slack已经修补了以下两个漏洞:一个漏洞使攻击者可以窃取数据;另一个漏洞则可以拦截用户的会话。
2. 微软Teams
Microsoft Teams与Office 365集成,对于微软企业用户来说Teams更具优势。为了响应居家办公日益增长的需求,Microsoft现在提供了为期六个月的Microsoft Teams免费试用版,但是免费用户将无法配置用户设置和策略,这可能会损害安全性。
(1) 安全
Teams符合许多国际安全标准,可以设置用于处理机密的医疗数据,并提供灵活的安全管理选项。根据某些服务计划,用户可以将其他工具(例如DLP或传出文件扫描)集成到Teams中。Teams还受到MS Office 365安全方案的保护,可扫描通过Team交换的数据,以防止恶意软件在公司网络中传播。
Teams发送到服务器的数据,无论是聊天还是视频通话,都经过加密,但是同样,Teams没有谈论端到端加密。至于存储和处理,Teams可以确保数据永远不会离开您公司所在的地区。
(2) 漏洞
Microsoft通常会迅速修补漏洞,但漏洞依然会不时出现。例如,研究人员最近发现了一个漏洞(已被修补),攻击者可通过恶意Gif文件接管Teams账户。
3. Skype商业版
Skype for Business的云版本(Office 365中Teams的前身)热度似乎正在消退,但是您仍然可以在本地安装它。一些用户发现它比Teams更方便,并且微软将在未来几年中继续支持Skype的本地版本。
(1) 安全
Skype for Business会加密信息,但不会端对端,并且该服务的保护是可配置的。它还使用本地服务器软件,因此视频通话和其他数据永远不会离开公司网络,这是一个明显的优势。
(2) 漏洞和弊端
除非Microsoft更改计划,否则对该应用程序的支持将在2021年7月结束,而Skype for Business Server 2019的扩展支持将持续到2025年10月14日。
4. Google Meet和Google Duo
Google提供了两种视频通话服务:Meet(环聊)和Duo。第一个是与Google全家桶(G Suite)集成的应用程序。如果您是G Suite的用户,那么Meet非常值得推荐。
(1) 安全性:Google Meet
Meet在安全性方面的优势之一是Google声称的可靠的数据处理基础结构、加密(注意并不是端到端)和一组保护工具,这些工具默认情况下都处于启用状态。与大多数其他业务产品一样,包括Google Meet在内的G Suite均符合高级安全标准,并在其功能中提供了配置和访问权限管理选项。
(2) 安全性:Google Duo
移动应用程序Duo提供端到端加密来保护数据。但需要注意的是,Duo是为私人用户而非企业而设计的应用程序。其会议最多只能容纳12位参与者。
(3) 漏洞和弊端
除了一些提醒我们所有人的消息,Google收集了用户数据,因此可能会对商业秘密构成威胁,我们无法找到有关这些应用程序安全性能的具体信息。这并不意味着Google服务是完美无缺的,但Google确实有一个非常强大的安全团队的支持,该团队往往能在问题招惹麻烦之前将其修复。
5. WebEx Meeting和WebEx Teams
思科的WebEx Meetings是一项非常专注于视频会议的服务。Cisco WebEx Teams是一项功能全面的协同工作服务,除其他功能外,还支持视频通话。就本文的讨论范围而言,区别在于加密方法。
(1) 安全
思科WebEx Meetings提供企业级服务和端到端加密。(该选项默认情况下处于关闭状态,但提供商会根据要求将其激活。这样做在某种程度上限制了该实用程序的功能,但是,如果您的员工在会议中处理机密信息,无疑是一个不错的选择。)Cisco WebEx Teams提供仅对信函和文档进行端到端加密,而视频和音频呼叫在思科服务器上解密(非端到端加密)。
(2) 漏洞和弊端
仅在今年3月,思科就修补了两个WebEx Meetings远程执行代码漏洞。去年年初,在WebEx Teams客户端中发现了一个严重的漏洞,它允许使用当前用户的特权执行命令。与微软、谷歌一样,思科非常重视安全性,有能力及时发现并迅速更新其服务。
6. WhatsApp
WhatsApp是为社交而非企业业务而构建的,但是免费的应用程序可以满足小型公司或团队的视频会议需求,但该程序并不适用于大型企业,其视频会议一次最多只能有四个参与者。
(1) 安全
WhatsApp具有真正的端到端加密的无可争议的优势。这意味着第三方和WhatsApp的员工都无法观看您的视频通话。但是与商业应用程序不同,WhatsApp几乎不提供聊天和呼叫安全管理选项,仅提供内置功能。
(2) 漏洞和弊端
就在去年,攻击者通过WhatsApp视频通话分发了Pegasus间谍软件。该漏洞已修复,但请记住,该应用程序并非旨在提供企业级保护,因此,用户应仔细了解网络安全新闻。
7. Zoom
自从去年下半年开始流行以来,云视频会议平台Zoom就一直是新闻焦点。其灵活的定价(最多可容纳100人的40分钟免费会议)和用户友好属性圈粉无数,但4月份该平台曝光的一些安全问题也引起了众多关注。
(1) 安全
Zoom符合SOC 2国际安全标准,为医疗行业提供了单独的HIPAA兼容服务计划,并具有灵活的配置。会话组织者可以阻止参与者,即使他们具有正确的超链接和密码、禁止录制等。如果需要,用户可以设置使任何Zoom流量都不离开公司。
Zoom一直在积极解决已报告的漏洞问题,该公司表示,计划优先考虑产品安全性,而不是添加新功能。
(2) 漏洞和弊端
Zoom声称已经实现了端到端加密,但是这种说法还不够准确。使用端到端加密意味着发件人和收件人都无法读取传输的数据,而Zoom则在其服务器上解密视频数据,而且分发加密密钥的服务器未必在您的属地国家(编者按:根据最新的报道该问题已经解决)。
在Zoom应用程序中发现了多个严重漏洞。据报道,Zoom的Windows和macOS客户端存在一个漏洞(已修复),该漏洞使黑客能够窃取计算机的账户数据。macOS应用程序中的另外两个漏洞可能会使攻击者完全接管设备。
此外,许多报告显示,不法分子们访问了开放的没有密码保护的Zoom会议,发布可疑的评论并共享包含淫秽内容的屏幕。总体而言,您可以通过正确配置会议来解决此问题,Zoom随后还添加了默认密码保护,以确保安全。
在有关Zoom的安全性问题的消息传出后,Zoom的竞争者们大肆贬低该服务。但是,我们需要清楚所有服务都有漏洞,就Zoom而言,爆炸性增长同时也吸引了极为严苛的安全审查。
总结
总而言之,虽然Zoom、Slack等远程协作应用的漏洞引起大众关注,但事实上产品漏洞是不可避免的,企业对产品安全性的重视表明,在互联网产品功能趋同的今天,安全正在成为产品的核心竞争力之一。但企业也需要明白,正如前文所述,市场上并没有所谓的安全性完美无缺的视频会议应用程序,选择正确的应用程序只是安全远程办公的第一步,你还需要:
- 花点时间正确配置服务。宽松或错误的设置往往是数据泄漏的主要原因。
- 及时更新视频会议应用以尽快修复漏洞。
- 确保您的员工具备基本的远程办公网络行为安全意识,与视频会议产品安全漏洞相比,人员疏忽和错误行为的危害性更大,安全意识培训显得尤为重要。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】