信息來(lái)源:Freebuf
近年來(lái),中國(guó)視頻會(huì)議產(chǎn)業(yè)隨著國(guó)家相關(guān)政策的引導(dǎo)及互聯(lián)網(wǎng)經(jīng)濟(jì)的發(fā)展日驅(qū)成熟,產(chǎn)業(yè)鏈向著更加多元化�、精細(xì)化方向發(fā)展,視頻會(huì)議產(chǎn)業(yè)生態(tài)日漸完善。在傳統(tǒng)的硬件視頻主導(dǎo)先行的發(fā)展大背景下,隨著企業(yè)端為適應(yīng)云化環(huán)境而設(shè)置的相關(guān)部署及軟硬件配套升級(jí),「云視頻」成為該行業(yè)領(lǐng)域未來(lái)的發(fā)展的必然趨勢(shì)�。
隨著視頻會(huì)議行業(yè)的不斷蓬勃發(fā)展����,「云視頻」技術(shù)的應(yīng)用場(chǎng)景不斷延伸至教育、醫(yī)療���、黨建��、金融�、稅務(wù)等多新興領(lǐng)域����,諸如」雙師課堂、智能醫(yī)療�、遠(yuǎn)程會(huì)診����、基層減負(fù)�、智慧黨建」等具體細(xì)分領(lǐng)域發(fā)展迅猛���。一方面��,云視頻技術(shù)的不斷更迭和發(fā)展支撐著多維度細(xì)分場(chǎng)景的逐步實(shí)現(xiàn)�����,另一方面���,產(chǎn)業(yè)的發(fā)展和細(xì)分行業(yè)參與者的不斷參與也促使云頻各細(xì)分領(lǐng)域技術(shù)的發(fā)展日趨成熟。
相較于傳統(tǒng)視頻會(huì)議系統(tǒng)�,云視頻誕生于「互聯(lián)網(wǎng)+」時(shí)代,具備更加優(yōu)秀的技術(shù)基因�,具有成本較低、架構(gòu)靈活����、處理高效等方面的巨大比較優(yōu)勢(shì),也因此可將技術(shù)縱深至更加垂直�、細(xì)分的應(yīng)用場(chǎng)景中。不可否認(rèn)的是,云視頻技術(shù)的便利性及高迭代等特點(diǎn)也對(duì)于視頻會(huì)議行業(yè)在「數(shù)據(jù)安全性保護(hù)」和「?jìng)€(gè)人數(shù)據(jù)隱私性保護(hù)」等方面提出了更高的要求��,針對(duì)諸如網(wǎng)絡(luò)攻擊���、惡意竊取�����、信息攔截��、信息監(jiān)聽(tīng)等關(guān)鍵風(fēng)險(xiǎn)點(diǎn)的前置防范及安全預(yù)警能力要求較高�。
近日�,Seraph 網(wǎng)絡(luò)安全實(shí)驗(yàn)室發(fā)布「2020 中國(guó)視頻會(huì)議行業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)報(bào)告」(以下簡(jiǎn)稱(chēng)「報(bào)告」)。報(bào)告通過(guò)對(duì)國(guó)內(nèi)視頻會(huì)議行業(yè)的調(diào)研����,分析當(dāng)前視頻會(huì)議行業(yè)的整體安全狀況、應(yīng)用弱點(diǎn)�、主機(jī)漏洞。通過(guò)翔實(shí)的數(shù)據(jù)��,展示行業(yè)面臨的潛在系統(tǒng)性風(fēng)險(xiǎn)��,并提出相應(yīng)的處置建議�。
報(bào)告發(fā)現(xiàn)
視頻會(huì)議的使用場(chǎng)景更加廣泛�,視頻會(huì)議行業(yè)面臨的風(fēng)險(xiǎn)壓力倍增�����,其中大型視頻會(huì)議廠(chǎng)商面臨的互聯(lián)網(wǎng)風(fēng)險(xiǎn)更為嚴(yán)重�����。
從安全漏洞統(tǒng)計(jì)來(lái)看�,小型視頻會(huì)議廠(chǎng)商受網(wǎng)絡(luò)安全風(fēng)險(xiǎn)威脅相對(duì)較小�����。
60% 的視頻會(huì)議廠(chǎng)商使用了公有云服務(wù)�����,主要以阿里云和騰訊云為主�。云服務(wù)在視頻會(huì)議行業(yè)整體互聯(lián)網(wǎng)服務(wù)中占比較高。
采樣視頻會(huì)議廠(chǎng)商中共發(fā)現(xiàn)�,所有主機(jī)資產(chǎn)存在 1181 個(gè) CVE 高危安全漏洞,其中數(shù)量最多的是「SSL 采用中等強(qiáng)度加密(SWEET32 攻擊)」�。
采樣視頻會(huì)議廠(chǎng)商中共發(fā)現(xiàn),所有 Web 資產(chǎn)存在 385 個(gè)高危安全漏洞���,其中數(shù)量最多的是「XSS 跨站腳本攻擊」�。
CVE 漏洞分布 數(shù)據(jù)標(biāo)簽分別為:編號(hào),數(shù)量����,占比
視頻會(huì)議行業(yè)安全數(shù)據(jù)概況
Seraph 安全實(shí)驗(yàn)室對(duì) 58 家視頻會(huì)議行業(yè)廠(chǎng)商的互聯(lián)網(wǎng)資產(chǎn)和面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行了重點(diǎn)分析,共采集視頻會(huì)議行業(yè)共計(jì) 2928 個(gè)互聯(lián)網(wǎng)資產(chǎn)���,其中域名 404 個(gè)���,IP 地址 428 個(gè),端口 2096 個(gè)���;網(wǎng)絡(luò)風(fēng)險(xiǎn)共計(jì) 7762 個(gè)����,其中包括 Web 高危漏洞 385 個(gè)�����,Web 中危漏洞 2932 個(gè)��,Web 低危漏洞 1825 個(gè)�����,主機(jī)緊急漏洞 116 個(gè),主機(jī)高危漏洞 296 個(gè)���,主機(jī)中危漏洞 2208 個(gè)�����。
2020 年視頻會(huì)議行業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)概況
根據(jù)上表可知:①視頻會(huì)議行業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)狀況不容樂(lè)觀;②Web 應(yīng)用高危漏洞和主機(jī)高危漏洞兩者危害較大而且數(shù)量存在漏洞數(shù)量很多�����;③Web 中危漏洞和主機(jī)中危漏洞的數(shù)量最高�,雖然風(fēng)險(xiǎn)會(huì)比高危漏洞小但是可能會(huì)對(duì)生產(chǎn)環(huán)境造成巨大影響。網(wǎng)絡(luò)風(fēng)險(xiǎn)依舊嚴(yán)峻����,要自始至終堅(jiān)持安全防范意識(shí),逐步采取全面�、可行的安全防護(hù)措施,把安全風(fēng)險(xiǎn)降低到最小程度����。
視頻會(huì)議行業(yè)互聯(lián)網(wǎng)資產(chǎn)分析
2020 年視頻會(huì)議行業(yè)云服務(wù)廠(chǎng)商統(tǒng)計(jì)
視頻會(huì)議行業(yè)有 60% 的資產(chǎn)進(jìn)行了云遷移部署在云服務(wù)商上面�����,其中有 529 個(gè)互聯(lián)網(wǎng)資產(chǎn)部署在阿里云上�,是視頻會(huì)議行業(yè)中所使用云服務(wù)廠(chǎng)商最多的����,這與其全國(guó)性的業(yè)務(wù)范圍和云服務(wù)商能力有一定關(guān)系,國(guó)外云服務(wù)商 beget 擁有 2 個(gè)視頻會(huì)議行業(yè)互聯(lián)網(wǎng)資產(chǎn)��。視頻會(huì)議行業(yè)使用阿里云服務(wù)商云遷移比例最高為 72%��。
Web應(yīng)用安全漏洞詳細(xì)說(shuō)明
2020 年視頻會(huì)議行業(yè) Web 應(yīng)用高危漏洞統(tǒng)計(jì)
2020 年��,視頻會(huì)議行業(yè)評(píng)估的廠(chǎng)商中����,對(duì)視頻行業(yè)廠(chǎng)商 404 個(gè)域名資產(chǎn)進(jìn)行安全漏洞檢測(cè),共發(fā)現(xiàn)中危漏洞 CSRF1316 個(gè)����、信息泄露 1071 個(gè)、程序版本漏洞 252 個(gè)�、拒絕服務(wù) 84 個(gè)、容器漏洞 51 個(gè)���、TLS 漏洞 48 個(gè)�����、配置不當(dāng) 41 個(gè)�、注入 26 個(gè)、SSL 漏洞 20 個(gè)��、XSS 跨站腳本 17 個(gè)�、URL 跳轉(zhuǎn)漏洞 2 個(gè)、代碼執(zhí)行 2 個(gè)�����、未授權(quán)訪(fǎng)問(wèn) 2 個(gè)�,總共 2932 個(gè)�����。
報(bào)告建議
1. 視頻會(huì)議行業(yè)已經(jīng)具有國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的屬性��,并將在未來(lái)一段時(shí)間內(nèi)發(fā)揮更加重要的作用����,且具有非常高的成長(zhǎng)性�,需要得到額外的關(guān)注和保護(hù)����。
2. 視頻會(huì)議行業(yè)的爆發(fā)迅猛,在強(qiáng)調(diào)功能和易用性的同時(shí)���,安全和個(gè)人信息及隱私的保護(hù)也需要額外得到關(guān)注��。
3. 熱點(diǎn)行業(yè)向來(lái)會(huì)招致攻擊者的青睞����,近期不斷爆出的視頻會(huì)議行業(yè)內(nèi)安全事件����,說(shuō)明攻擊者已經(jīng)開(kāi)始有所側(cè)重,因此行業(yè)安全聯(lián)盟和信息共享機(jī)制需要盡快建立和完善��,以應(yīng)對(duì)抗攻擊者帶來(lái)的潛在風(fēng)險(xiǎn)�。
4. 視頻會(huì)議服務(wù)提供商、國(guó)家監(jiān)管機(jī)構(gòu)和安全服務(wù)供應(yīng)商�����,三者通力配合才能保證視頻會(huì)議行業(yè)的快速、安全��、健康的發(fā)展�����。
