信息來源:Freebuf
近年來��,中國視頻會議產(chǎn)業(yè)隨著國家相關(guān)政策的引導及互聯(lián)網(wǎng)經(jīng)濟的發(fā)展日驅(qū)成熟��,產(chǎn)業(yè)鏈向著更加多元化����、精細化方向發(fā)展��,視頻會議產(chǎn)業(yè)生態(tài)日漸完善���。在傳統(tǒng)的硬件視頻主導先行的發(fā)展大背景下,隨著企業(yè)端為適應云化環(huán)境而設(shè)置的相關(guān)部署及軟硬件配套升級���,「云視頻」成為該行業(yè)領(lǐng)域未來的發(fā)展的必然趨勢。
隨著視頻會議行業(yè)的不斷蓬勃發(fā)展����,「云視頻」技術(shù)的應用場景不斷延伸至教育����、醫(yī)療�����、黨建����、金融��、稅務等多新興領(lǐng)域�����,諸如」雙師課堂���、智能醫(yī)療、遠程會診���、基層減負���、智慧黨建」等具體細分領(lǐng)域發(fā)展迅猛。一方面�����,云視頻技術(shù)的不斷更迭和發(fā)展支撐著多維度細分場景的逐步實現(xiàn)�����,另一方面���,產(chǎn)業(yè)的發(fā)展和細分行業(yè)參與者的不斷參與也促使云頻各細分領(lǐng)域技術(shù)的發(fā)展日趨成熟。
相較于傳統(tǒng)視頻會議系統(tǒng)�����,云視頻誕生于「互聯(lián)網(wǎng)+」時代,具備更加優(yōu)秀的技術(shù)基因����,具有成本較低、架構(gòu)靈活��、處理高效等方面的巨大比較優(yōu)勢���,也因此可將技術(shù)縱深至更加垂直��、細分的應用場景中。不可否認的是�����,云視頻技術(shù)的便利性及高迭代等特點也對于視頻會議行業(yè)在「數(shù)據(jù)安全性保護」和「個人數(shù)據(jù)隱私性保護」等方面提出了更高的要求�,針對諸如網(wǎng)絡攻擊�����、惡意竊取�����、信息攔截��、信息監(jiān)聽等關(guān)鍵風險點的前置防范及安全預警能力要求較高����。
近日��,Seraph 網(wǎng)絡安全實驗室發(fā)布「2020 中國視頻會議行業(yè)網(wǎng)絡風險報告」(以下簡稱「報告」)�。報告通過對國內(nèi)視頻會議行業(yè)的調(diào)研,分析當前視頻會議行業(yè)的整體安全狀況��、應用弱點�、主機漏洞�。通過翔實的數(shù)據(jù),展示行業(yè)面臨的潛在系統(tǒng)性風險�����,并提出相應的處置建議�����。
報告發(fā)現(xiàn)
視頻會議的使用場景更加廣泛���,視頻會議行業(yè)面臨的風險壓力倍增����,其中大型視頻會議廠商面臨的互聯(lián)網(wǎng)風險更為嚴重�����。
從安全漏洞統(tǒng)計來看,小型視頻會議廠商受網(wǎng)絡安全風險威脅相對較小�。
60% 的視頻會議廠商使用了公有云服務�����,主要以阿里云和騰訊云為主��。云服務在視頻會議行業(yè)整體互聯(lián)網(wǎng)服務中占比較高����。
采樣視頻會議廠商中共發(fā)現(xiàn),所有主機資產(chǎn)存在 1181 個 CVE 高危安全漏洞�,其中數(shù)量最多的是「SSL 采用中等強度加密(SWEET32 攻擊)」���。
采樣視頻會議廠商中共發(fā)現(xiàn)�����,所有 Web 資產(chǎn)存在 385 個高危安全漏洞,其中數(shù)量最多的是「XSS 跨站腳本攻擊」。
CVE 漏洞分布 數(shù)據(jù)標簽分別為:編號��,數(shù)量�����,占比
視頻會議行業(yè)安全數(shù)據(jù)概況
Seraph 安全實驗室對 58 家視頻會議行業(yè)廠商的互聯(lián)網(wǎng)資產(chǎn)和面臨的網(wǎng)絡風險進行了重點分析�,共采集視頻會議行業(yè)共計 2928 個互聯(lián)網(wǎng)資產(chǎn)����,其中域名 404 個,IP 地址 428 個�,端口 2096 個�����;網(wǎng)絡風險共計 7762 個��,其中包括 Web 高危漏洞 385 個�,Web 中危漏洞 2932 個����,Web 低危漏洞 1825 個�,主機緊急漏洞 116 個���,主機高危漏洞 296 個�,主機中危漏洞 2208 個。
2020 年視頻會議行業(yè)網(wǎng)絡安全風險概況
根據(jù)上表可知:①視頻會議行業(yè)網(wǎng)絡安全風險狀況不容樂觀����;②Web 應用高危漏洞和主機高危漏洞兩者危害較大而且數(shù)量存在漏洞數(shù)量很多�����;③Web 中危漏洞和主機中危漏洞的數(shù)量最高�,雖然風險會比高危漏洞小但是可能會對生產(chǎn)環(huán)境造成巨大影響。網(wǎng)絡風險依舊嚴峻�����,要自始至終堅持安全防范意識�����,逐步采取全面�、可行的安全防護措施,把安全風險降低到最小程度��。
視頻會議行業(yè)互聯(lián)網(wǎng)資產(chǎn)分析
2020 年視頻會議行業(yè)云服務廠商統(tǒng)計
視頻會議行業(yè)有 60% 的資產(chǎn)進行了云遷移部署在云服務商上面��,其中有 529 個互聯(lián)網(wǎng)資產(chǎn)部署在阿里云上���,是視頻會議行業(yè)中所使用云服務廠商最多的,這與其全國性的業(yè)務范圍和云服務商能力有一定關(guān)系��,國外云服務商 beget 擁有 2 個視頻會議行業(yè)互聯(lián)網(wǎng)資產(chǎn)�。視頻會議行業(yè)使用阿里云服務商云遷移比例最高為 72%��。
Web應用安全漏洞詳細說明
2020 年視頻會議行業(yè) Web 應用高危漏洞統(tǒng)計
2020 年��,視頻會議行業(yè)評估的廠商中���,對視頻行業(yè)廠商 404 個域名資產(chǎn)進行安全漏洞檢測,共發(fā)現(xiàn)中危漏洞 CSRF1316 個�、信息泄露 1071 個、程序版本漏洞 252 個�����、拒絕服務 84 個��、容器漏洞 51 個�����、TLS 漏洞 48 個�����、配置不當 41 個���、注入 26 個、SSL 漏洞 20 個���、XSS 跨站腳本 17 個、URL 跳轉(zhuǎn)漏洞 2 個�、代碼執(zhí)行 2 個、未授權(quán)訪問 2 個����,總共 2932 個。
報告建議
1. 視頻會議行業(yè)已經(jīng)具有國家關(guān)鍵信息基礎(chǔ)設(shè)施的屬性��,并將在未來一段時間內(nèi)發(fā)揮更加重要的作用����,且具有非常高的成長性,需要得到額外的關(guān)注和保護��。
2. 視頻會議行業(yè)的爆發(fā)迅猛���,在強調(diào)功能和易用性的同時,安全和個人信息及隱私的保護也需要額外得到關(guān)注�����。
3. 熱點行業(yè)向來會招致攻擊者的青睞��,近期不斷爆出的視頻會議行業(yè)內(nèi)安全事件��,說明攻擊者已經(jīng)開始有所側(cè)重����,因此行業(yè)安全聯(lián)盟和信息共享機制需要盡快建立和完善�,以應對抗攻擊者帶來的潛在風險����。
4. 視頻會議服務提供商����、國家監(jiān)管機構(gòu)和安全服務供應商�,三者通力配合才能保證視頻會議行業(yè)的快速、安全��、健康的發(fā)展���。
