四大視訊軟體大比拚 遠距工作資安漏洞要當心

四大視訊軟體大比拚 遠距工作資安漏洞要當心
新冠肺炎(COVID-19)爆發以來,為減少人與人之間的接觸,遠距上班成為企業採取的主要措施之一,《財富》雜誌更將這次各大企業推動在家工作的情況,形容為「最大的遠距工作實驗」( largest remote work experiment ) 。

遠距工作讓企業普遍使用視訊會議軟體進行遠端會議、工作討論、團隊協作或檔案共享,但同時隱含的資安風險亦不容小覷,尤其當企業透過此類視訊軟體討論或傳輸與公司業務相關的機密資料,一不小心很可能成為駭客覬覦的目標。

四大視訊軟體,資安風險比一比從過往發生的漏洞事件可知,視訊會議軟體遭駭客攻擊並遠端執行惡意程式碼後,不僅可能全面接管受害者電腦,甚至造成主機被加密勒索,或造成機敏資料外洩等風險。因此,在享受視訊會議軟體帶來之便利性的同時,也需要審慎評估其安全性。

財團法人資訊工業策進會資安科技研究所(資策會資安所)特別針對四大視訊軟體Zoom、Cisco Webex、Microsoft Teams、訊連U會議,進行程式檢測,提醒使用者可能面臨的資安風險。經檢視從2019年起已被發掘且公佈的相關漏洞,Cisco Webex共有3個高風險漏洞、Zoom共有2個漏洞(1高風險及1中風險)、Microsoft Teams有1個高風險漏洞、訊連U目前尚未有相關弱點被公佈,資策會資安所針對上述漏洞檢視發現,目前皆已被原廠修補、回應及發佈更新版本,故安裝更新之版本即可防範。

資策會資安所網駭科技研析中心主任田謹維指出,各個視訊軟體曾發生的漏洞問題,都已緊急更新,多數只要在官方指定網址上,將軟體更新到最新版本皆可獲得保障;不過,在Microsoft Teams的安裝上,建議以限制資料夾權限的方式進行,較為安全。

三大加密做法,搶救機敏資料若使用視訊會議軟體進行含有商業秘密或是機敏資料的遠端操作時,可善用視訊軟體提供的「加密」措施,加強防範。一、加強連線加密措施:針對客戶端與伺服器、客戶端與客戶端間連線,應該實施加密保護措施,並且使用高強度加密協定與演算法,避免中間連線遭人竊聽與破解。

二、帳號強化密碼強度:帳號安全部分,會議視訊軟體多有密碼強度要求、多因子認證機制等設計,或是支援Google or Facebook Oauth、企業AD帳號同步管理等,可避免使用弱密碼遭到駭客暴力破解登入。

三、機敏資料加密保護:由於視訊會議軟體的客戶端可能儲存許多機敏資料,如個人帳號密碼、聊天紀錄或聯絡名單等,應對相關資料進行加密保護,一旦資料不小心外洩時,讓取得資料者也無法直接對加密資料進行讀取。

田謹維建議,高度機密的會議內容、文件,最好還是採取email、電話說明方式進行,安全度相對較高;此外,也要小心未來將有愈來愈多以視訊會議軟體之名寄發的惡意連結、假網站,都會讓使用者不小心上鉤。他也鼓勵視訊會議軟體廠商,應建立漏洞通報管道或獎勵,以鼓勵白帽駭客協助提早發掘軟體漏洞,避免日後成為Zero-day漏洞,遭受更為嚴重的入侵攻擊,導致商譽受損。

強化企業資安意識,4項作法協助把關資安問題,不僅個人要留心,企業也要動起來。企業端在採用視訊會議軟體時,需要強化相關的資安管控與措施,以下作法可供參考:一、視訊會議軟體漏洞追蹤駭客技術日益增進,視訊會議軟體的漏洞勢必持續遭到發掘與利用,企業資訊相關管理部門應定期追蹤相關漏洞新聞,確保員工保持安裝最新且已完成漏洞修補的版本。

最新生活新聞
人氣生活新聞
行動版 電腦版