行業(yè)動態(tài)

「2020 中國視頻會議行業(yè)網(wǎng)絡風險報告」發(fā)布

來源:聚銘網(wǎng)絡    發(fā)布時間:2020-05-25    瀏覽次數(shù):
 

信息來源:Freebuf


近年來,中國視頻會議產(chǎn)業(yè)隨著國家相關政策的引導及互聯(lián)網(wǎng)經(jīng)濟的發(fā)展日驅成熟,產(chǎn)業(yè)鏈向著更加多元化、精細化方向發(fā)展,視頻會議產(chǎn)業(yè)生態(tài)日漸完善。在傳統(tǒng)的硬件視頻主導先行的發(fā)展大背景下,隨著企業(yè)端為適應云化環(huán)境而設置的相關部署及軟硬件配套升級,「云視頻」成為該行業(yè)領域未來的發(fā)展的必然趨勢。

隨著視頻會議行業(yè)的不斷蓬勃發(fā)展,「云視頻」技術的應用場景不斷延伸至教育、醫(yī)療、黨建、金融、稅務等多新興領域,諸如」雙師課堂、智能醫(yī)療、遠程會診、基層減負、智慧黨建」等具體細分領域發(fā)展迅猛。一方面,云視頻技術的不斷更迭和發(fā)展支撐著多維度細分場景的逐步實現(xiàn),另一方面,產(chǎn)業(yè)的發(fā)展和細分行業(yè)參與者的不斷參與也促使云頻各細分領域技術的發(fā)展日趨成熟。

相較于傳統(tǒng)視頻會議系統(tǒng),云視頻誕生于「互聯(lián)網(wǎng)+」時代,具備更加優(yōu)秀的技術基因,具有成本較低、架構靈活、處理高效等方面的巨大比較優(yōu)勢,也因此可將技術縱深至更加垂直、細分的應用場景中。不可否認的是,云視頻技術的便利性及高迭代等特點也對于視頻會議行業(yè)在「數(shù)據(jù)安全性保護」和「個人數(shù)據(jù)隱私性保護」等方面提出了更高的要求,針對諸如網(wǎng)絡攻擊、惡意竊取、信息攔截、信息監(jiān)聽等關鍵風險點的前置防范及安全預警能力要求較高。

近日,Seraph 網(wǎng)絡安全實驗室發(fā)布「2020 中國視頻會議行業(yè)網(wǎng)絡風險報告」(以下簡稱「報告」)。報告通過對國內(nèi)視頻會議行業(yè)的調(diào)研,分析當前視頻會議行業(yè)的整體安全狀況、應用弱點、主機漏洞。通過翔實的數(shù)據(jù),展示行業(yè)面臨的潛在系統(tǒng)性風險,并提出相應的處置建議。

報告發(fā)現(xiàn)

視頻會議的使用場景更加廣泛,視頻會議行業(yè)面臨的風險壓力倍增,其中大型視頻會議廠商面臨的互聯(lián)網(wǎng)風險更為嚴重。

從安全漏洞統(tǒng)計來看,小型視頻會議廠商受網(wǎng)絡安全風險威脅相對較小。

60% 的視頻會議廠商使用了公有云服務,主要以阿里云和騰訊云為主。云服務在視頻會議行業(yè)整體互聯(lián)網(wǎng)服務中占比較高。

采樣視頻會議廠商中共發(fā)現(xiàn),所有主機資產(chǎn)存在 1181 個 CVE 高危安全漏洞,其中數(shù)量最多的是「SSL 采用中等強度加密(SWEET32 攻擊)」。

采樣視頻會議廠商中共發(fā)現(xiàn),所有 Web 資產(chǎn)存在 385 個高危安全漏洞,其中數(shù)量最多的是「XSS 跨站腳本攻擊」。

image.png

CVE 漏洞分布 數(shù)據(jù)標簽分別為:編號,數(shù)量,占比

視頻會議行業(yè)安全數(shù)據(jù)概況

Seraph 安全實驗室對 58 家視頻會議行業(yè)廠商的互聯(lián)網(wǎng)資產(chǎn)和面臨的網(wǎng)絡風險進行了重點分析,共采集視頻會議行業(yè)共計 2928 個互聯(lián)網(wǎng)資產(chǎn),其中域名 404 個,IP 地址 428 個,端口 2096 個;網(wǎng)絡風險共計 7762 個,其中包括 Web 高危漏洞 385 個,Web 中危漏洞 2932 個,Web 低危漏洞 1825 個,主機緊急漏洞 116 個,主機高危漏洞 296 個,主機中危漏洞 2208 個。

image.png

2020 年視頻會議行業(yè)網(wǎng)絡安全風險概況

根據(jù)上表可知:①視頻會議行業(yè)網(wǎng)絡安全風險狀況不容樂觀;②Web 應用高危漏洞和主機高危漏洞兩者危害較大而且數(shù)量存在漏洞數(shù)量很多;③Web 中危漏洞和主機中危漏洞的數(shù)量最高,雖然風險會比高危漏洞小但是可能會對生產(chǎn)環(huán)境造成巨大影響。網(wǎng)絡風險依舊嚴峻,要自始至終堅持安全防范意識,逐步采取全面、可行的安全防護措施,把安全風險降低到最小程度。

視頻會議行業(yè)互聯(lián)網(wǎng)資產(chǎn)分析

image.png

2020 年視頻會議行業(yè)云服務廠商統(tǒng)計

視頻會議行業(yè)有 60% 的資產(chǎn)進行了云遷移部署在云服務商上面,其中有 529 個互聯(lián)網(wǎng)資產(chǎn)部署在阿里云上,是視頻會議行業(yè)中所使用云服務廠商最多的,這與其全國性的業(yè)務范圍和云服務商能力有一定關系,國外云服務商 beget 擁有 2 個視頻會議行業(yè)互聯(lián)網(wǎng)資產(chǎn)。視頻會議行業(yè)使用阿里云服務商云遷移比例最高為 72%。

Web應用安全漏洞詳細說明

image.png

2020 年視頻會議行業(yè) Web 應用高危漏洞統(tǒng)計

2020 年,視頻會議行業(yè)評估的廠商中,對視頻行業(yè)廠商 404 個域名資產(chǎn)進行安全漏洞檢測,共發(fā)現(xiàn)中危漏洞 CSRF1316 個、信息泄露 1071 個、程序版本漏洞 252 個、拒絕服務 84 個、容器漏洞 51 個、TLS 漏洞 48 個、配置不當 41 個、注入 26 個、SSL 漏洞 20 個、XSS 跨站腳本 17 個、URL 跳轉漏洞 2 個、代碼執(zhí)行 2 個、未授權訪問 2 個,總共 2932 個。

報告建議

1. 視頻會議行業(yè)已經(jīng)具有國家關鍵信息基礎設施的屬性,并將在未來一段時間內(nèi)發(fā)揮更加重要的作用,且具有非常高的成長性,需要得到額外的關注和保護。

2. 視頻會議行業(yè)的爆發(fā)迅猛,在強調(diào)功能和易用性的同時,安全和個人信息及隱私的保護也需要額外得到關注。

3. 熱點行業(yè)向來會招致攻擊者的青睞,近期不斷爆出的視頻會議行業(yè)內(nèi)安全事件,說明攻擊者已經(jīng)開始有所側重,因此行業(yè)安全聯(lián)盟和信息共享機制需要盡快建立和完善,以應對抗攻擊者帶來的潛在風險。

4. 視頻會議服務提供商、國家監(jiān)管機構和安全服務供應商,三者通力配合才能保證視頻會議行業(yè)的快速、安全、健康的發(fā)展。


 
 

上一篇:2020年05月21日 聚銘安全速遞

下一篇:Twitter因數(shù)據(jù)泄露或將受到歐盟制裁