新冠肺炎(COVID-19)爆發以來,為減少人與人之間的接觸,遠距上班成為企業採取的主要措施之一,《財富》雜誌更將這次各大企業推動在家工作的情況,形容為「最大的遠距工作實驗」( largest remote work experiment ) 。
遠距工作讓企業普遍使用視訊會議軟體進行遠端會議、工作討論、團隊協作或檔案共享,但同時隱含的資安風險亦不容小覷,尤其當企業透過此類視訊軟體討論或傳輸與公司業務相關的機密資料,一不小心很可能成為駭客覬覦的目標。
四大視訊軟體,資安風險比一比
從過往發生的漏洞事件可知,視訊會議軟體遭駭客攻擊並遠端執行惡意程式碼後,不僅可能全面接管受害者電腦,甚至造成主機被加密勒索,或造成機敏資料外洩等風險。因此,在享受視訊會議軟體帶來之便利性的同時,也需要審慎評估其安全性。
從過往發生的漏洞事件可知,視訊會議軟體遭駭客攻擊並遠端執行惡意程式碼後,不僅可能全面接管受害者電腦,甚至造成主機被加密勒索,或造成機敏資料外洩等風險。因此,在享受視訊會議軟體帶來之便利性的同時,也需要審慎評估其安全性。
財團法人資訊工業策進會資安科技研究所(資策會資安所)特別針對四大視訊軟體Zoom、Cisco Webex、Microsoft Teams、訊連U會議,進行程式檢測,提醒使用者可能面臨的資安風險。經檢視從2019年起已被發掘且公佈的相關漏洞,Cisco Webex共有3個高風險漏洞、Zoom共有2個漏洞(1高風險及1中風險)、Microsoft Teams有1個高風險漏洞、訊連U目前尚未有相關弱點被公佈,資策會資安所針對上述漏洞檢視發現,目前皆已被原廠修補、回應及發佈更新版本,故安裝更新之版本即可防範。
資策會資安所網駭科技研析中心主任田謹維指出,各個視訊軟體曾發生的漏洞問題,都已緊急更新,多數只要在官方指定網址上,將軟體更新到最新版本皆可獲得保障;不過,在Microsoft Teams的安裝上,建議以限制資料夾權限的方式進行,較為安全。
三大加密做法,搶救機敏資料
若使用視訊會議軟體進行含有商業秘密或是機敏資料的遠端操作時,可善用視訊軟體提供的「加密」措施,加強防範。
若使用視訊會議軟體進行含有商業秘密或是機敏資料的遠端操作時,可善用視訊軟體提供的「加密」措施,加強防範。
一、 加強連線加密措施:
針對客戶端與伺服器、客戶端與客戶端間連線,應該實施加密保護措施,並且使用高強度加密協定與演算法,避免中間連線遭人竊聽與破解。
二、帳號強化密碼強度:
帳號安全部分,會議視訊軟體多有密碼強度要求、多因子認證機制等設計,或是支援Google or Facebook Oauth、企業AD帳號同步管理等,可避免使用弱密碼遭到駭客暴力破解登入。
帳號安全部分,會議視訊軟體多有密碼強度要求、多因子認證機制等設計,或是支援Google or Facebook Oauth、企業AD帳號同步管理等,可避免使用弱密碼遭到駭客暴力破解登入。
三、機敏資料加密保護:
由於視訊會議軟體的客戶端可能儲存許多機敏資料,如個人帳號密碼、聊天紀錄或聯絡名單等,應對相關資料進行加密保護,一旦資料不小心外洩時,讓取得資料者也無法直接對加密資料進行讀取。
由於視訊會議軟體的客戶端可能儲存許多機敏資料,如個人帳號密碼、聊天紀錄或聯絡名單等,應對相關資料進行加密保護,一旦資料不小心外洩時,讓取得資料者也無法直接對加密資料進行讀取。
田謹維建議,高度機密的會議內容、文件,最好還是採取email、電話說明方式進行,安全度相對較高;此外,也要小心未來將有愈來愈多以視訊會議軟體之名寄發的惡意連結、假網站,都會讓使用者不小心上鉤。他也鼓勵視訊會議軟體廠商,應建立漏洞通報管道或獎勵,以鼓勵白帽駭客協助提早發掘軟體漏洞,避免日後成為Zero-day漏洞,遭受更為嚴重的入侵攻擊,導致商譽受損。
強化企業資安意識,4項作法協助把關
資安問題,不僅個人要留心,企業也要動起來。企業端在採用視訊會議軟體時,需要強化相關的資安管控與措施,以下作法可供參考:
一、視訊會議軟體漏洞追蹤
駭客技術日益增進,視訊會議軟體的漏洞勢必持續遭到發掘與利用,企業資訊相關管理部門應定期追蹤相關漏洞新聞,確保員工保持安裝最新且已完成漏洞修補的版本。
資安問題,不僅個人要留心,企業也要動起來。企業端在採用視訊會議軟體時,需要強化相關的資安管控與措施,以下作法可供參考:
一、視訊會議軟體漏洞追蹤
駭客技術日益增進,視訊會議軟體的漏洞勢必持續遭到發掘與利用,企業資訊相關管理部門應定期追蹤相關漏洞新聞,確保員工保持安裝最新且已完成漏洞修補的版本。
二、員工使用電腦之安全性
確保員工安裝視訊會議軟體安裝的電腦具備安全性,例如作業系統安全性更新、登入使用強密碼與雙因子驗證(若可用)、適當授權管控機制、安裝防毒軟體與最新病毒碼等。
確保員工安裝視訊會議軟體安裝的電腦具備安全性,例如作業系統安全性更新、登入使用強密碼與雙因子驗證(若可用)、適當授權管控機制、安裝防毒軟體與最新病毒碼等。
三、連線之加密保護
每當使用視訊會議軟體時,需確保連線過程經過加密保護,避免中間人竊聽,例如使用VPN(virtual private network)加密連線,建立加密通道來連線至企業內網,並使用強健加密演算法或憑證,如AES-128 bits及TLS 1.2以上的連線加密版本。
每當使用視訊會議軟體時,需確保連線過程經過加密保護,避免中間人竊聽,例如使用VPN(virtual private network)加密連線,建立加密通道來連線至企業內網,並使用強健加密演算法或憑證,如AES-128 bits及TLS 1.2以上的連線加密版本。
四、高度資安意識與防範
企業整體資安意識也要一起提升,不僅要定期宣導遠距上班相關資安政策,也要防範社交工程攻擊,落實各項資安措施與流程。
企業整體資安意識也要一起提升,不僅要定期宣導遠距上班相關資安政策,也要防範社交工程攻擊,落實各項資安措施與流程。
新冠肺炎疫情可能改變人們部分上班方式,未來遠距上班、視訊會議軟體有機會成為扮演企業轉型的重要角色,在著重上班效率之外,更應思量視訊會議軟體可能存在的資安風險,建立企業等級的資安措施與防範機制,讓效率與安全能夠雙贏。
表1:常用視訊會議軟體之資安風險
|
軟體名稱 |
漏洞編號 |
漏洞 等級 |
風險影響 |
|
Zoom |
CVE-2019-13567 |
高 |
Zoom MAC客戶端存在遠端執行惡意程式碼之弱點,允駭客遠端執行任意程式碼,可能造成主機被加密勒索、機敏資料外洩等風險。 |
|
Zoom |
CVE-2019-13450 |
中 |
Zoom MAC客戶端存在可未經授權撥打電話並且強制與受害者接受通話;或任意存取網路攝影機的弱點,主因是駭客發送惡意HTTP請求與Zoom web server(port 19421或19424)互動而產生弱點。 |
|
Cisco Webex |
CVE-2019-1939 |
高 |
Cisco Webex Windows客戶端存在遠端執行惡意程式碼之弱點,允駭客遠端執行任意程式碼,可能造成主機被加密勒索、機敏資料外洩等風險,主因為其軟體記錄模組未妥善存取控管。 |
|
Cisco Webex |
CVE-2019-1636 |
高 |
Cisco Webex Windows客戶端存在遠端執行惡意程式碼之弱點,允許駭客遠端執行任意程式碼,可能造成主機被加密勒索、機敏資料外洩等風險,主因是應用程式參照了不安全的搜尋路徑。 |
|
Cisco Webex |
CVE-2020-3142 |
高 |
Cisco Webex存在非授權參加會議之弱點,允許非授權遠端會議人員不需要輸入密碼,可強行參加需密碼認證之會議。 |
|
Microsoft Teams |
CVE-2019-5922 |
高 |
Microsoft Teams客戶端存在不安全搜尋參照之弱點,允許Microsoft Teams載入惡意驅動程式(DLL)檔案,執行任意惡意行為,可能造成主機被加密勒索,機敏資料外洩等風險。 |
