視訊會議軟體能夠帶來許多好處,但如何在使用這些工具時確保員工及工作資料安全也給企業帶來了挑戰。
原文作者:Trend Labs 趨勢科技全球技術支援與研發中心
原文標題:《肺炎抗疫》在家工作,專家建議這樣開視訊會議才安全
原文出處:資安趨勢部落格
趨勢科技在2020資安預測裡指出現代的工作模式已經不再只有傳統的辦公環境。而也確實如此,持續進行中的新冠病毒(COVID-19)疫情爆發已經導致許多人的工作方式發生轉變。隨著公司為員工做出在家工作(work-from-home,WFH)的安排,許多企業都已經在使用視訊會議工具(如Zoom、Microsoft Skype和Cisco Webex)。
儘管這些應用程式帶來了許多好處,尤其是幾乎做到了從直接會面到數位溝通的無縫過渡,卻也為企業帶來了挑戰,就是必須在使用這些軟體的同時確保員工及工作資料的安全。
視訊會議軟體相關的威脅
關於視訊會議軟體,企業究竟需要注意什麼?
其一就是漏洞問題。駭客不會吝於使用手上所有可用的工具,同時也會不斷地尋找可用來進行惡意攻擊的軟體缺陷或漏洞。像在2020年初的一個Webex漏洞,能夠讓沒有經過身份認證的使用者只用會議ID和行動Webex應用程式就能夠加入私人會議。
最近出現的另一個問題是惡意使用者只要取得會議ID就可以讓沒有密碼保護的視訊會議崩潰。儘管這看似只是個小麻煩,但如果會議牽涉到高度敏感和機密資訊時,就可能會變成一個大問題。此外,駭客還可以利用這些軟體的聊天功能來散播惡意連結或上傳檔案。
針對這些日漸流行的數位溝通軟體的社交工程攻擊也在增加。像是在2020年截至3月底前,就已經有超過1,700個新註冊的Zoom相關網域,其中有很大數量是發生在下半月。
幸運的是,我們會在下一章節介紹企業可以遵循的作法。還會概述企業可以實施的一些最佳實作來加強在家工作設置的安全性。
不過在詳細說明之前,最好先重新檢視自己所用的軟體是否仍然滿足需求。企業傾向于使用熟悉的事物 – 只要還可以用就偏好維持現狀。但企業可能以為用於辦公室環境的系統設置在過渡到在家工作環境時會繼續有效。這並不一定總是對的,尤其是在考慮企業的資安要求時。舉個例子,員工在家工作時需要對音訊和視訊加密有更高的要求 – 所以在選擇保留或變更現有視訊會議軟體時需要考慮此一因素。
保護視訊會議環境的七個建議
- 始終為會議加上密碼保護。如「Zoom轟炸(Zoom-bombing)」這樣讓外來者造成會議崩潰的原因有兩個:第一,外部使用者在有意或無意間取得了會議ID。第二,會議沒有設定密碼。雖然企業可能無法控制第一個原因,但必須為所有的視訊會議加上密碼。
- 不要在公開平台上分享會議資訊。惡作劇者(或更糟)只要擁有會議識別資訊就可以連上沒有防護的視訊會議。儘管透過社群媒體等公開平台分享會議資訊看似很方便,但使用者應該要避免這樣做,因為這可能會導致會議中斷和其他惡意活動。請注意,像Zoom這類應用程式會為使用者提供個人會議ID,這實際上(顧名思義地)就是使用者的個人會議空間。
- 善用主持人(host)功能。視訊會議軟體通常會提供主持人功能,讓會議舉辦者可以主持會議,如管理或刪除與會者,或是完全鎖住會議室。會議開始之後,後者可以有效地防止被惡意中斷。主持人還可以採取的另一個謹慎措施是停用與會者的自動螢幕分享,防止惡意破壞者分享令人反感的素材。
- 利用等候室或大廳功能。大多數的視訊會議軟體都具備等候室或大廳功能,讓與會者等待加入會議。這些等候室可以讓會議主持人控制在特定時間內有哪些人可以參加特定會議。此功能還可以讓主持人檢查誰在試著加入會議。
- 通知使用者會議是否正被錄製。儘管這乍看之下似乎與資安無關,但主持人仍應告知與會者是否會錄製會議,確保在涉及隱私問題時讓每個人都在狀況內。
- 停用檔案傳輸功能。嘗試利用視訊會議軟體的駭客有時會用會議室或聊天室功能上傳檔案,讓與會者不小心的下載。為了將此機會降至最低,會議主持人應停用檔案傳輸功能,改用其他方法(如電子郵件)來發送檔案。
- 保持更新到最新版本。修補程式有其存在意義 – 不是為了加入新功能就是要修復錯誤和漏洞,尤其是那些可被利用來攻擊的軟體漏洞。使用者應該要保持軟體更新在最新版本來解決漏洞問題。
當前的情況讓視訊會議成為遠端工作必不可少的一部分 – 而且很可能會在回復正常狀態後延續下去。隨著這類應用程式變得越來越普及也更加融合入業務環境,資安也成為了更加重要的問題。儘管這些最佳實作不能確保視訊會議萬無一失,但可以幫助企業或個人使用者獲得更好、更安全的使用體驗。
※ 原文出處:Using Zoom?Here’s how to keep your business and employees safe
|加入【Trend Micro趨勢科技】,2023最新職缺看這裡
- 【2021 Young趨勢人暑期實習】資安威脅研究
- Software Security Architect (RDSec)
- Security Engineer
- Security Researcher(Red Team)
- Technical Consultant (TW BU)
- Sr. Ethical Hacker (RDSec)
- Sr. DevSecOps Engineer (InfoSec)
|關於【資訊安全】,職場力還要提醒您這些事
- 後肺炎疫情時代改變工作型態,遠端作業的8種資安威脅
- 沒有人是資安局外人!簡單好記卻又難破解的密碼,該如何設定?|職場工作術
- 10 個自我保護、避免駭侵攻擊的方法(上篇)
- 10 個自我保護、避免駭侵攻擊的方法(下篇)