近年來�����,中國視頻會議產業(yè)隨著國家相關政策的引導及互聯(lián)網經濟的發(fā)展日驅成熟���,產業(yè)鏈向著更加多元化�����、精細化方向發(fā)展�,視頻會議產業(yè)生態(tài)日漸完善。在傳統(tǒng)的硬件視頻主導先行的發(fā)展大背景下�,隨著企業(yè)端為適應云化環(huán)境而設置的相關部署及軟硬件配套升級,“云視頻”成為該行業(yè)領域未來的發(fā)展的必然趨勢����。
隨著視頻會議行業(yè)的不斷蓬勃發(fā)展,“云視頻”技術的應用場景不斷延伸至教育����、醫(yī)療、黨建�����、金融��、稅務等多新興領域����,諸如”雙師課堂�、智能醫(yī)療����、遠程會診、基層減負�、智慧黨建”等具體細分領域發(fā)展迅猛。一方面��,云視頻技術的不斷更迭和發(fā)展支撐著多維度細分場景的逐步實現(xiàn)��,另一方面���,產業(yè)的發(fā)展和細分行業(yè)參與者的不斷參與也促使云頻各細分領域技術的發(fā)展日趨成熟。
相較于傳統(tǒng)視頻會議系統(tǒng)���,云視頻誕生于“互聯(lián)網+”時代��,具備更加優(yōu)秀的技術基因�����,具有成本較低���、架構靈活���、處理高效等方面的巨大比較優(yōu)勢,也因此可將技術縱深至更加垂直�、細分的應用場景中。不可否認的是�,云視頻技術的便利性及高迭代等特點也對于視頻會議行業(yè)在“數(shù)據(jù)安全性保護”和“個人數(shù)據(jù)隱私性保護”等方面提出了更高的要求,針對諸如網絡攻擊���、惡意竊取�、信息攔截�、信息監(jiān)聽等關鍵風險點的前置防范及安全預警能力要求較高。
近日���,Seraph網絡安全實驗室發(fā)布“2020中國視頻會議行業(yè)網絡風險報告”(以下簡稱“報告”)��。報告通過對國內視頻會議行業(yè)的調研�����,分析當前視頻會議行業(yè)的整體安全狀況����、應用弱點���、主機漏洞�。通過詳實的數(shù)據(jù),展示行業(yè)面臨的潛在系統(tǒng)性風險�,并提出相應的處置建議。
報告發(fā)現(xiàn)
視頻會議的使用場景更加廣泛�����,視頻會議行業(yè)面臨的風險壓力倍增���,其中大型視頻會議廠商面臨的互聯(lián)網風險更為嚴重���。從安全漏洞統(tǒng)計來看�,小型視頻會議廠商受網絡安全風險威脅相對較小。60% 的視頻會議廠商使用了公有云服務���,主要以阿里云和騰訊云為主���。云服務在視頻會議行業(yè)整體互聯(lián)網服務中占比較高。采樣視頻會議廠商中共發(fā)現(xiàn)����,所有主機資產存在1181個 CVE 高危安全漏洞�����, 其中數(shù)量最多的是“SSL采用中等強度加密(SWEET32攻擊)”�����。采樣視頻會議廠商中共發(fā)現(xiàn)�����,所有Web資產存在385個高危安全漏洞�, 其中數(shù)量最多的是“XSS跨站腳本攻擊”�����。CVE漏洞分布
數(shù)據(jù)標簽分別為:編號��,數(shù)量���,占比
視頻會議行業(yè)安全數(shù)據(jù)概況
Seraph安全實驗室對58家視頻會議行業(yè)廠商的互聯(lián)網資產和面臨的網絡風險進行了重點分析����,共采集視頻會議行業(yè)共計2928個互聯(lián)網資產,其中域名404個���,IP地址428個�����,端口2096個����;網絡風險共計7762個��,其中包括Web高危漏洞385個����,Web中危漏洞2932個,Web低危漏洞1825個�����,主機緊急漏洞116個�����,主機高危漏洞296個�,主機中危漏洞2208個����。
2020 年視頻會議行業(yè)網絡安全風險概況
根據(jù)上表可知:①視頻會議行業(yè)網絡安全風險狀況不容樂觀�����;②Web應用高危漏洞和主機高危漏洞兩者危害較大而且數(shù)量存在漏洞數(shù)量很多��;③Web中危漏洞和主機中危漏洞的數(shù)量最高�,雖然風險會比高危漏洞小但是可能會對生產環(huán)境造成巨大影響��。網絡風險依舊嚴峻����,要自始至終堅持安全防范意識,逐步采取全面��、可行的安全防護措施���,把安全風險降低到最小程度���。
視頻會議行業(yè)互聯(lián)網資產分析
2020年視頻會議行業(yè)云服務廠商統(tǒng)計
視頻會議行業(yè)有 60% 的資產進行了云遷移部署在云服務商上面,其中有529 個互聯(lián)網資產部署在阿里云上���,是視頻會議行業(yè)中所使用云服務廠商最多的��,這與其全國性的業(yè)務范圍和云服務商能力有一定關系���,國外云服務商beget擁有2 個視頻會議行業(yè)互聯(lián)網資產��。視頻會議行業(yè)使用阿里云服務商云遷移比例最高為 72%��。
Web應用安全漏洞詳細說明
2020年視頻會議行業(yè)Web應用高危漏洞統(tǒng)計
2020年��,視頻會議行業(yè)評估的廠商中�,對視頻行業(yè)廠商404個域名資產進行安全漏洞檢測����,共發(fā)現(xiàn)中危漏洞CSRF1316個、信息泄露1071個���、程序版本漏洞252個�、拒絕服務84個���、容器漏洞51個�����、TLS漏洞48個��、配置不當41個���、注入26個、SSL漏洞20個�����、XSS跨站腳本17個���、URL跳轉漏洞2個���、代碼執(zhí)行2個、未授權訪問2個��,總共2932個���。
報告建議
1. 視頻會議行業(yè)已經具有國家關鍵信息基礎設施的屬性����,并將在未來一段時間內發(fā)揮更加重要的作用�,且具有非常高的成長性�,需要得到額外的關注和保護�����。
2. 視頻會議行業(yè)的爆發(fā)迅猛�,在強調功能和易用性的同時,安全和個人信息及隱私的保護也需要額外得到關注�����。
3. 熱點行業(yè)向來會招致攻擊者的青睞����,近期不斷爆出的視頻會議行業(yè)內安全事件,說明攻擊者已經開始有所側重�,因此行業(yè)安全聯(lián)盟和信息共享機制需要盡快建立和完善,以應對抗攻擊者帶來的潛在風險�。
4. 視頻會議服務提供商、國家監(jiān)管機構和安全服務供應商�����,三者通力配合才能保證視頻會議行業(yè)的快速����、安全�����、健康的發(fā)展。
視頻會議服務作為疫情條件下�����,有效緩解交流場景的支撐技術��,已經具有重要基礎設置的屬性和特征��。因此會控系統(tǒng)及會議支撐資產的安全性����,成為必須面對的迫切問題。如何讓視頻會議服務更安全�����,需要整個生態(tài)系統(tǒng)的共同努力�,報告希望在這個重要的時間節(jié)點,提醒大家關注行業(yè)安全���。
轉自:中國信息安全
【版權及免責聲明】凡本網所屬版權作品�,轉載時須獲得授權并注明來源“中國產業(yè)經濟信息網”,違者本網將保留追究其相關法律責任的權力�。凡轉載文章及企業(yè)宣傳資訊,僅代表作者個人觀點����,不代表本網觀點和立場。版權事宜請聯(lián)系:010-65367254�。
延伸閱讀
