4月9日,針對近期遠程會議軟件Zoom出現的一系列安全漏洞問題,Zoom首席執行官袁徵在YouTube直播中致歉,並介紹了Zoom從內外部尋找解決方案的措施,承諾將解決這些問題。
“在確保所有用戶使用場景的安全上,我們還有很多工作要做。但可以保證的是,我們會認真進行調查,如果發現確實有問題,公司會進行修復。”袁徵表示,Zoom將在未來90天專注於解決安全隱私方面的問題,正在推出一項更新計劃,將有關隱私安全功能集成,以便用戶輕鬆使用。
不過,在網絡安全專家眼裡,事情並非大眾想象中那麼簡單。“Zoom事件並非偶然,只不過在這個節點暴露了遠程辦公安全的整體問題。遠程辦公軟件需提供加密,而這當中最安全的方式是端到端加密,端到端加密在很多聊天軟件中被應用。”安恆信息網絡安全專家表示,隨著Zoom事件的升級,大眾對遠程辦公軟件用戶隱私、數據安全等問題擔憂更盛。“於企業而言,遠程辦公期間,數據‘上雲’後,也面臨著數據本身的安全性、用戶與平臺之間的信任、數據的自主可控性等安全需求。”
目前國內疫情形勢趨勢穩定,保障企業遠程辦公的網絡安全,是當下戰“疫”的重中之重。據瞭解,對於此次Zoom事件,以安恆信息為代表的眾多網絡安全企業紛紛推出安全解決方案,積極應對這場遠程辦公安全危機。
端對端加密保護數據本身的安全性
有媒體稱,過去4個月裡,Zoom日活躍用戶已經超過2億人,與去年年底相比翻了20倍。但人紅是非多,很快Zoom的安全問題緊隨而來。有安全研究人員發現,Zoom視頻會議應用程序受到漏洞的影響,這些漏洞可被利用來監視用戶,甚至是洩露姓名、頭像和郵箱地址給陌生人。也就是說,Zoom可能導致會議中的商業機密外洩。如果黑客利用漏洞後,還可能侵入企業內網。
儘管Zoom聲稱支持端到端加密(E2E),但卻被質疑並未在全部視頻會議中開啟這種加密防護。事實上,Zoom的確使用了TLS加密,它被廣泛用於HTTPS超文本傳輸,安恆信息網絡安全專家指出,“Zoom服務器到用戶個人之間的傳輸處於加密狀態,但端到端的意義在於,任何公司都無法訪問或者查看任何用戶的內容,這些設備在企業的安全防護中是不可見的。”遠程辦公期間可能不得不允許遠程用戶訪問原來僅允許內部用戶訪問的應用,這將大大增加網絡攻擊面,增加網絡攻擊威脅。
針對有效解決Zoom等平臺面臨的困境,利用端到端加密保護企業數據本身的安全性,安恆信息網絡安全專家建議,“可以用一種名為公共密鑰的加密技術,該技術系統中,有一個程序會讓用戶電腦通過運算生成一對密鑰。其中一把是私人密鑰,用來解碼設備收到的信息,並保存在設備中,絕不外洩。另一把即公共密鑰,它會將收到的信息進行加密,確保僅相應的私人密鑰才能解碼這些信息。用戶能共享這把密鑰給那些想要發送加密信息過來的人。”該系統就像一個鎖箱,公共密鑰持有者就像UPS送貨員,只有他們能向其中添加東西,並鎖好保存起來,而只有私人密鑰持有者才能打開它。
“第三方加密”構建平臺與用戶之間的信任
在記者採訪的過程中,安恆信息網絡安全專家強調了“第三方加密”的重要策略。其中,由弗蘭科自主研發第三方信息加密產品——安恆密盾,通過採用先進加密技術打造安全獨立的第三方加密解決方案,解決用戶對於平臺數據安全和信任問題。
安恆密盾基於釘釘入口,通過與釘釘加密相結合構建“雙保險”,保障企業的數據只屬於企業,真正實現公有云上的“局域網”安全。第一道保險是釘釘加密,通過AES256算法加密和SSL/TLS加密,採用密碼界世界領先的橢圓曲線算法,達到銀行級別加密水平。依託全鏈路安全技術,釘釘實現用戶數據從創建到銷燬,全生命週期加密。
值得注意的是,第二道保險“安恆密盾”採用國密標準算法,將獨立的加解密能力集成到釘釘中,配合獨立的密鑰管理服務器,對遠程辦公時即時通訊端的信息(文字、圖片、語音、視頻等)進行全面加密,確保信息的安全性。同時,可以對離職人員進行有效管理,離職人員無法查看查詢企業歷史消息;另外企業可自主更新密鑰,實現數據由用戶自己掌控,任何第三方(包括釘釘)都無法查看,確保數據安全。
據悉,安恆密盾已為百萬用戶提供了雙重加密信息安全保護,疫情期間,由於在線辦公需求劇增,安恆密盾試用量增長5.5倍,用戶量比去年同期增長了10倍,覆蓋政府、醫療、能源、科技、地產等多個行業。在遠程辦公的複雜網絡環境下,安恆信息為企業提供更加敏捷的響應和更快速的防禦方法,產品及服務涉及雲安全、互聯網應用安全、大數據安全、智慧城市安全和工控安全等領域,為各類企業和機構提供專業的網絡信息安全服務。
