Zoom连爆漏洞,云应用安全合规是红线!

Zoom连爆漏洞

Zoom连爆漏洞,云应用安全合规是红线!

4月1日,据外媒报道,研究人员发现了视频会议Zoom应用存在的漏洞,Windows版Zoom客户端容易受到NUC路径注入攻击的安全漏洞,该漏洞可能使远程攻击者窃取Windows系统用户的登录凭据,这可能导致用户使用该应用时面临隐私泄露的风险。

与此同时,美国联邦调查局(FBI)、美国航天局(NASA)和太空探索技术公司SpaceX近日也都宣布,禁止员工继续使用Zoom。

此前,Zoom还修补了其软件中的另一个隐私漏洞,该漏洞可能让未被邀请的人参加私人会议,并远程窃听整个会话,共享私人音频、视频和文档。

3月26日有报道称,在iOS系统下载或打开Zoom App 时,App内嵌的Facebook SDK软件开发工具包会向Facebook传送用户的手机型号、时区、城市、运营商,以及广告唯一标识符等信息。

2019年7月,Mac版本的Zoom客户端中存在漏洞,一旦点击特定的恶意网站,就可在未经你许可的情况下启用你的摄像头。

针对漏洞事件,Zoom CEO袁征表示,将在未来90天内着手解决隐私安全方面的问题,并将暂停其它业务工作。Zoom还将发起“漏洞赏金”计划,为发现安全漏洞的人提供报酬,并与第三方一起解决问题。

袁征于2011年创立了Zoom,2019年4月18日,Zoom登陆纳斯达克,每股36美元。今年3月23日,Zoom股价创下164.90美元的52周新高。Zoom最新财报显示,第四财季,其获得10万美元以上款项的客户有641个,同比增长86%。员工在10名以上的Zoom客户数量为81900个,同比增长61%。另有数据显示,Zoom的用户数量已经从去年12月份的每天约1000万人增加到今年3月份的2亿人。受安全及隐私方面问题影响,Zoom股价从跌至了目前的191.93美元。

针对视频会议软件,用户可采取的安全防御措施

疫情以来,视频会议软件的需求激增,新钛云服专家建议,在使用视频会议软件的时候,用户需要注意保护自己的隐私。

下面有几条建议:

  1. 因为经常要桌面共享,在桌面上不要放置敏感文件,会议时建议关闭不必要的社交和其他软件,避免桌面共享时,敏感信息泄漏。
  2. 不要使用社交工具帐号登录视频会议软件,应另外注册视频会议软件帐号,并且密码保证足够的复杂。
  3. 创建视频会议时设置密码,不随意公开分享视频会议链接。
  4. 会议主持人应限制随意共享桌面功能,默认会议开启全员静音,全员关闭摄像头。
  5. 组织内部会议,所有人应实名,公开的会议,尽量匿名。
  6. 更新视频会议客户端到最新。
  7. 不要随意加入来路不明的会议。

云应用要注意安全合规

Zoom是一个SaaS的云应用,本次事件Zoom损失巨大。4月1日,据外媒CNET报道,万豪国际大约有520万名客人的姓名、通讯地址、会员帐号和其他个人信息遭遇泄露。这些事件提醒企业应该注重安全合规。

我国于2017年6月正式实施《中华人民共和国网络安全法》。在数据安全也有诸多规定。明确规定了网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。

欧盟于2018年5月正式实施了《通用数据保护条例》 (General Data Protection Regulation,简称GDPR),GDPR是一项保护欧盟公民个人隐私和数据的法律,其适用范围不仅包括欧盟成员国境内企业的个人数据、也包括欧盟境外企业处理欧盟公民的个人数据。

云应用在运营过程中,安全合规是红线,忽略安全,将面临严重的经济损失,甚至面临安全风险。

新钛云服:以安全成熟度模型为基础,构建可度量的安全评估体系

针对云安全,新钛云服首席架构师胥峰之前有文章《以安全成熟度模型为基础,构建可度量的安全评估体系》专门论述,再次和大家分享下:

《2017网络安全度量年度报告》指出,在网络安全技术上投资的公司中有约30%没有办法测量安全投资的价值或者效果。而Guardian公司的安全成熟度模型成为了解决该问题的核心工具之一。

通过应用安全成熟度模型,公司可以对其安全投资的效果做出科学合理的评估。安全成熟度模型如图所示。

Zoom连爆漏洞,云应用安全合规是红线!

安全成熟度模型

1、补丁管理和防病毒。

a)不完善的产品存在漏洞,这些漏洞往往被黑客利用;通过有效的补丁管理可以科学快速的弥补系统和软件缺陷。
b)主流的商业防病毒软件以云和大数据为基础,具有较好的病毒库实时更新能力,能为客户资产安全提供第一时间的防护。

2、防火墙和网络分段。

a)防火墙是抵御入侵的第一道防线,通过在网络上的多个关键节点部署多级防火墙,能够有效的阻断网络攻击。通常使用的开源防火墙包括Linux Iptables和FreeBSD IPFW等。商业防火墙则包括华为、Cisco、Juniper等知名厂商的一系列不同等级和规格的产品。

b)网络分段是网络分级隔离的关键措施。为不同防护等级和业务属性的应用规划不同的网络地址段,能够提高网络隔离的有效性,从而减少应用间的互相影响。

3、身份和访问管理。身份和访问管理混乱加剧了安全风险。

4、资产和配置管理。遗忘的资产往往成为黑客的目标,也不容易识别出入侵行为。

5、信息分类和保护。信息分类在收集、处理和应用过程中非常重要。不同保密级别要求的信息应以不同的加密(散列)方式存储,并以相对应的鉴权机制予以访问控制。

6、监控、告警和事件响应。缺少有效的监控、告警和事件响应机制是导致入侵危害持续放大的罪魁祸首。例如,在2018年某大型知名国际酒店集团发生的信息泄露事件中,经调查发现,“自2014年起,即存在第三方对喜达屋网络未经授权的访问。最近发现未经授权的第三方已复制并加密了某些信息,并采取措施试图将该等信息移出。”开源入侵检测系统包括OSSEC、Snort等。商业入侵检测系统包括青藤云等。

7、风险管理和治理。定期风险分析和安全培训是降低安全风险的必要步骤。要让安全意识深入人心,避免一些初级问题导致整个安全体系失效。