4月9日,针对近期远程会议软件Zoom出现的一系列安全漏洞问题,Zoom首席执行官袁征在YouTube直播中致歉,并介绍了Zoom从内外部寻找解决方案的措施,承诺将解決这些问题。
“在确保所有用户使用场景的安全上,我们还有很多工作要做。但可以保证的是,我们会认真进行调查,如果发现确实有问题,公司会进行修复。”袁征表示,Zoom将在未来90天专注于解决安全隐私方面的问题,正在推出一项更新计划,将有关隐私安全功能集成,以便用户轻松使用。
不过,在网络安全专家眼里,事情并非大众想象中那么简单。“Zoom事件并非偶然,只不过在这个节点暴露了远程办公安全的整体问题。远程办公软件需提供加密,而这当中最安全的方式是端到端加密,端到端加密在很多聊天软件中被应用。”安恒信息网络安全专家表示,随着Zoom事件的升级,大众对远程办公软件用户隐私、数据安全等问题担忧更盛。“于企业而言,远程办公期间,数据‘上云’后,也面临着数据本身的安全性、用户与平台之间的信任、数据的自主可控性等安全需求。”
目前国内疫情形势趋势稳定,保障企业远程办公的网络安全,是当下战“疫”的重中之重。据了解,对于此次Zoom事件,以安恒信息为代表的众多网络安全企业纷纷推出安全解决方案,积极应对这场远程办公安全危机。
端对端加密保护数据本身的安全性
有媒体称,过去4个月里,Zoom日活跃用户已经超过2亿人,与去年年底相比翻了20倍。但人红是非多,很快Zoom的安全问题紧随而来。有安全研究人员发现,Zoom视频会议应用程序受到漏洞的影响,这些漏洞可被利用来监视用户,甚至是泄露姓名、头像和邮箱地址给陌生人。也就是说,Zoom可能导致会议中的商业机密外泄。如果黑客利用漏洞后,还可能侵入企业内网。
尽管Zoom声称支持端到端加密(E2E),但却被质疑并未在全部视频会议中开启这种加密防护。事实上,Zoom的确使用了TLS加密,它被广泛用于HTTPS超文本传输,安恒信息网络安全专家指出,“Zoom服务器到用户个人之间的传输处于加密状态,但端到端的意义在于,任何公司都无法访问或者查看任何用户的内容,这些设备在企业的安全防护中是不可见的。”远程办公期间可能不得不允许远程用户访问原来仅允许内部用户访问的应用,这将大大增加网络攻击面,增加网络攻击威胁。
针对有效解决Zoom等平台面临的困境,利用端到端加密保护企业数据本身的安全性,安恒信息网络安全专家建议,“可以用一种名为公共密钥的加密技术,该技术系统中,有一个程序会让用户电脑通过运算生成一对密钥。其中一把是私人密钥,用来解码设备收到的信息,并保存在设备中,绝不外泄。另一把即公共密钥,它会将收到的信息进行加密,确保仅相应的私人密钥才能解码这些信息。用户能共享这把密钥给那些想要发送加密信息过来的人。”该系统就像一个锁箱,公共密钥持有者就像UPS送货员,只有他们能向其中添加东西,并锁好保存起来,而只有私人密钥持有者才能打开它。
“第三方加密”构建平台与用户之间的信任
在记者采访的过程中,安恒信息网络安全专家强调了“第三方加密”的重要策略。其中,由弗兰科自主研发第三方信息加密产品——安恒密盾,通过采用先进加密技术打造安全独立的第三方加密解决方案,解决用户对于平台数据安全和信任问题。
安恒密盾基于钉钉入口,通过与钉钉加密相结合构建“双保险”,保障企业的数据只属于企业,真正实现公有云上的“局域网”安全。第一道保险是钉钉加密,通过AES256算法加密和SSL/TLS加密,采用密码界世界领先的椭圆曲线算法,达到银行级别加密水平。依托全链路安全技术,钉钉实现用户数据从创建到销毁,全生命周期加密。
值得注意的是,第二道保险“安恒密盾”采用国密标准算法,将独立的加解密能力集成到钉钉中,配合独立的密钥管理服务器,对远程办公时即时通讯端的信息(文字、图片、语音、视频等)进行全面加密,确保信息的安全性。同时,可以对离职人员进行有效管理,离职人员无法查看查询企业历史消息;另外企业可自主更新密钥,实现数据由用户自己掌控,任何第三方(包括钉钉)都无法查看,确保数据安全。
据悉,安恒密盾已为百万用户提供了双重加密信息安全保护,疫情期间,由于在线办公需求剧增,安恒密盾试用量增长5.5倍,用户量比去年同期增长了10倍,覆盖政府、医疗、能源、科技、地产等多个行业。在远程办公的复杂网络环境下,安恒信息为企业提供更加敏捷的响应和更快速的防御方法,产品及服务涉及云安全、互联网应用安全、大数据安全、智慧城市安全和工控安全等领域,为各类企业和机构提供专业的网络信息安全服务。
