在當前武漢肺炎疫情下,企業居家辦公,學校遠距教學需求大增,也使得視訊會議軟體的使用普及。不過,就在當前的環境下,許多人也開始留意到視訊會議軟體的安全性。就以近期鬧得沸沸揚揚的 Zoom 視訊會議軟體來說,大家考量的就是他背後的資訊安全問題。有鑑於此,資策會資安所就針對目前國內常用的視訊會議軟體進行分析,也提出相關在安全防護上的建議,期望企業在使用相關軟體進行工作之際,也能兼顧資訊的安全。

資策會資安所表示,從過往發生的漏洞事件可知,視訊會議軟體遭駭客攻擊,並遠端執行惡意程式碼後,不僅可能全面接管受害者電腦,甚至造成主機被加密勒索,或造成機敏資料外洩等風險。因此,在享受視訊會議軟體帶來之便利性的同時,也需要審慎評估其安全性。而這次所分析的四大視訊會議軟體就包括了 Zoom、Cisco Webex、Microsoft Teams、訊連 U 會議等,其從資安相關風險,以及使用可以加強資安的方面來測試,以其給予在工作便利與資訊安全雙方面的優點。

根據分析結果指出,四大視訊會議軟體包括 Zoom、Cisco Webex、Microsoft Teams、訊連 U 會議等,經檢視從 2019 年起已被發掘且公布的相關漏洞,Cisco Webex 共有 3 個高風險漏洞、Zoom 共有 2 個漏洞(1 高風險及 1 中風險)、Microsoft Teams 有 1 個高風險漏洞、訊連 U 目前尚未有相關弱點被公布。而資策會資安所針對上述漏洞檢視發現,目前皆已被原廠修補、回應及發布更新版本,故安裝更新之版本即可防範。

對此,資策會資安所網駭科技研析中心主任田謹維指出,各個視訊軟體曾發生的漏洞問題,都已緊急更新,多數只要在官方指定網址上,將軟體更新到最新版本皆可獲得保障。不過,在 Microsoft Teams 的安裝上,建議以限制資料夾權限的方式進行,較為安全。另外,若使用視訊會議軟體進行含有商業秘密或是機敏資料的遠端操作時,可善用以下建議的視訊會議軟體提供的「加密」措施,加強防範。

一、加強連線加密措施:

針對客戶端與伺服器、客戶端與客戶端間連線,應該實施加密保護措施,並且使用高強度加密協定與演算法,避免中間連線遭人竊聽與破解。

二、帳號強化密碼強度:

帳號安全部分,會議視訊軟體多有密碼強度要求、多因子認證機制等設計,或是支援 Google or Facebook Oauth、企業 AD 帳號同步管理等,可避免使用弱密碼遭到駭客暴力破解登入。

三、機密資料加密保護:

由於視訊會議軟體的客戶端可能儲存許多機敏資料,如個人帳號密碼、聊天紀錄或聯絡名單等,應對相關資料進行加密保護,一旦資料不小心外洩時,讓取得資料者也無法直接對加密資料進行讀取。

田謹維進一步建議,高度機密的會議內容、文件,最好還是採取 email、電話說明方式進行,安全度相對較高。此外,也要小心未來將有愈來愈多以視訊會議軟體之名寄發的惡意連結、假網站,都會讓使用者不小心上鉤。因此,田謹維也鼓勵視訊會議軟體廠商,應建立漏洞通報管道或獎勵,以鼓勵白帽駭客協助提早發掘軟體漏洞,避免日後成為 Zero-day 漏洞,遭受更為嚴重的入侵攻擊,導致商譽受損。

而除了在使用視訊會議軟體時,可以藉由各項加密措施來保護相關資料的安全之外,針對企業資安問題,不僅個人要留心,企業在相關資安政策上的制定也要動起來。例如在企業在採用視訊會議軟體時,需要強化相關的資安管控與措施。

一、視訊會議軟體漏洞追蹤

駭客技術日益增進,視訊會議軟體的漏洞勢必持續遭到發掘與利用,企業資訊相關管理部門應定期追蹤相關漏洞新聞,確保員工保持安裝最新且已完成漏洞修補的版本。

二、員工使用電腦之安全性

確保員工安裝視訊會議軟體安裝的電腦具備安全性,例如作業系統安全性更新、登入使用強密碼與雙因子驗證(若可用)、適當授權管控機制、安裝防毒軟體與最新病毒碼等。

三、連線之加密保護

每當使用視訊會議軟體時,需確保連線過程經過加密保護,避免中間人竊聽,例如使用 VPN (virtual private network) 加密連線,建立加密通道來連線至企業內網,並使用強健加密演算法或憑證,如 AES-128 bits 及 TLS 1.2 以上的連線加密版本。

四、高度資安意識與防範

企業整體資安意識也要一起提升,不僅要定期宣導遠距上班相關資安政策,也要防範社交工程攻擊,落實各項資安措施與流程。

就由以上的作業方式來加強採用視訊會議軟體時的資料保護,這可以使得在武漢肺炎疫情期間進一步改變人們部分上班方式的情況,得以藉由視訊會議軟體來進一步達成之外,更有機會成為扮演企業轉型的重要角色,而透過建立企業等級的資安措施與防範機制,讓效率與安全能夠雙贏。

(首圖來源:Zoom)

Comment 0

    最多留言