新冠肺炎(COVID-19)爆發以來,為減少人與人之間的接觸,遠距上班成為企業採取的主要措施之一,《財富》雜誌更將這次各大企業推動在家工作的情況,形容為「最大的遠距工作實驗」( largest remote work experiment ) 。
遠距工作讓企業普遍使用視訊會議軟體進行遠端會議、工作討論、團隊協作或檔案共享,但同時隱含的資安風險亦不容小覷,尤其當企業透過此類視訊軟體討論或傳輸與公司業務相關的機密資料,一不小心很可能成為駭客覬覦的目標。
四大視訊軟體,資安風險比一比 從過往發生的漏洞事件可知,視訊會議軟體遭駭客攻擊並遠端執行惡意程式碼後,不僅可能全面接管受害者電腦,甚至造成主機被加密勒索,或造成機敏資料外洩等風險。因此,在享受視訊會議軟體帶來之便利性的同時,也需要審慎評估其安全性。
財團法人資訊工業策進會資安科技研究所(資策會資安所)特別針對四大視訊軟體Zoom、CiscoWebex、Microsoft Teams、訊連U會議,進行資安檢視,提醒使用者可能面臨的資安風險。經檢視從2019年起已被發掘且公佈的相關漏洞,以當時被發現時的漏洞等級來看,CiscoWebex共有3個高風險漏洞、Zoom共有2個漏洞(1高風險及1中風險)、Microsoft Teams有1個高風險漏洞、訊連U目前尚未有相關弱點被公佈。
資策會資安所檢視後發現,ZOOM、CiscoWebex與Microsoft Teams上述的CVE漏洞目前皆已被原廠修補、回應及發佈更新版本,故安裝更新之版本即可防範,呼籲大眾盡快更新。
視訊軟體CVE安全漏洞皆已修補 思科來信(04.10)表示,Webex平台潛在風險管理擁有專責團隊把關,並接受各方的軟體弱點通報,且由思科產品安全應變團隊(
Product Security Incident Response Team)主動發佈相關風險及修補檔於所有平台。更進一步的Webex安全說明請參閱:
思科視訊協作平台安全白皮書。
微軟也特別來信(04.06)解釋,在2019年若攻擊者欲利用
此漏洞進行攻擊,攻擊者必須(1)已擁有使用者裝置的特許訪問權,並且(2)誘使使用者執行不推薦的操作。這類型的漏洞稱為「應用程式目錄DLL植入」,Microsoft將其視為低風險問題,且會在後續更新中進行修復(與安全補丁程式相比)。
不過,微軟也表示,該漏洞已於2019年在Microsoft Teams版本1.3.00.362中被修復,所以使用者皆無法再下載具有該漏洞的Microsoft Teams安裝程式,而當前版本是1.3.00.4461。另外04/07補充說明,Microsoft Teams是以雲端為基礎的平台,會自動更新,使用者無須做任何動作,即可享有最新版本的應用服務。
資策會資安所網駭科技研析中心主任田謹維指出,Cisco Webex與Microsoft Teams等視訊軟體曾經發生的CVE漏洞問題,都已緊急更新,只要在官方指定網址上,將軟體更新到最新版本皆可獲得保障。
3大加密做法,搶救機敏資料 若使用視訊會議軟體進行含有商業秘密或是機敏資料的遠端操作時,可善用視訊軟體提供的「加密」措施,加強防範。
一、加強連線加密措施:
針對客戶端與伺服器、客戶端與客戶端間連線,應該實施加密保護措施,並且使用高強度加密協定與演算法,避免中間連線遭人竊聽與破解。
二、帳號強化密碼強度:
帳號安全部分,會議視訊軟體多有密碼強度要求、多因子認證機制等設計,或是支援Google or Facebook Oauth、企業AD帳號同步管理等,可避免使用弱密碼遭到駭客暴力破解登入。
三、機敏資料加密保護:
由於視訊會議軟體的客戶端可能儲存許多機敏資料,如個人帳號密碼、聊天紀錄或聯絡名單等,應對相關資料進行加密保護,一旦資料不小心外洩時,讓取得資料者也無法直接對加密資料進行讀取。
田謹維建議,高度機密的會議內容、文件,最好還是採取email、電話說明方式進行,安全度相對較高;此外,也要小心未來將有愈來愈多以視訊會議軟體之名寄發的惡意連結、假網站,都會讓使用者不小心上鉤。他也鼓勵視訊會議軟體廠商,應建立漏洞通報管道或獎勵,以鼓勵白帽駭客協助提早發掘軟體漏洞,避免日後成為Zero-day漏洞,遭受更為嚴重的入侵攻擊,導致商譽受損。
強化企業資安意識,4項作法協助把關 資安問題,不僅個人要留心,企業也要動起來。企業端在採用視訊會議軟體時,需要強化相關的資安管控與措施,以下作法可供參考:
一、視訊會議軟體漏洞追蹤
駭客技術日益增進,視訊會議軟體的漏洞勢必持續遭到發掘與利用,企業資訊相關管理部門應定期追蹤相關漏洞新聞,確保員工保持安裝最新且已完成漏洞修補的版本。
二、員工使用電腦之安全性
確保員工安裝視訊會議軟體安裝的電腦具備安全性,例如作業系統安全性更新、登入使用強密碼與雙因子驗證(若可用)、適當授權管控機制、安裝防毒軟體與最新病毒碼等。
三、連線之加密保護
每當使用視訊會議軟體時,需確保連線過程經過加密保護,避免中間人竊聽,例如使用VPN(virtual private network)加密連線,建立加密通道來連線至企業內網,並使用強健加密演算法或憑證,如AES-128 bits及TLS 1.2以上的連線加密版本。
四、高度資安意識與防範
企業整體資安意識也要一起提升,不僅要定期宣導遠距上班相關資安政策,也要防範社交工程攻擊,落實各項資安措施與流程。
新冠肺炎疫情可能改變人們部分上班方式,未來遠距上班、視訊會議軟體有機會成為扮演企業轉型的重要角色,在著重上班效率之外,更應思量視訊會議軟體可能存在的資安風險,建立企業等級的資安措施與防範機制,讓效率與安全能夠雙贏。
表1:常用視訊會議軟體曾經發生之資安風險與風險建議
【新聞聯絡人】
資策會資安所 吳凱莉組長 Tel: (02) 6607-8996 kellywu@iii.org.tw
資策會企推處 顏瑄組長 Tel: (02) 6631-8635 joyyen@iii.org.tw
沈盈吟 Tel: (02) 6631-8643 yingshen@iii.org.tw