Facebook加入
LINE加入
2021/12/25
背景圖片來源:by Pete Linforth on Pixabay
視訊會議軟體 Zoom 有幾個資安風險值得注意。
首先是該平台被發現多個新的程式軟體漏洞:其中一個可以讓駭客竊取 Windows 密碼,另外兩個可能讓駭客從遠端在受害的 Mac 電腦上安裝惡意程式並監聽會議進行。
不過,絕大多數的新聞報導和大眾輿論都聚焦在所謂的「Zoom 炸彈客(Zoom-bombing)」上。
「Zoom 炸彈客(Zoom-bombing)」,也就是一些不請自來的使用者破壞教學或會議的進行。這通常發生在會議識別碼(Meeting ID)經由社群媒體分享的半開放大型活動。如果會議沒有設定密碼,而且與會人員沒有過濾機制,就可能會出現 Zoom 炸彈客,輕則開玩笑、惡作劇,重則發送激烈言論、播放色情內容或者利用其他方式來亂入擾亂。
「Zoom 炸彈客(Zoom-bombing)」的威脅,不只來自惡意的外部人,也會來自有心的內部人。在學校教育方面,內部人有可能包括職員、老師等,甚至是學生;在工作開會場合,內部人有可能包括與會人士在內等。
這就衍伸了一個重要資安概念和議題:「零信任(Zero Trust)」。
「零信任」的概念,與傳統的安全防護模式相比,從本質上已經不再預設任何的信任,從而指出邊界防護策略的局限性,而在實際作法上,所有安全管制作法針對的目標預設就是「全部」的使用者、載具裝置、應用程式、資訊來源和網路流量。簡單來說,我們必須從原本習慣的「信任並驗證(trust but verify)」的認知調整為「驗證且持保留態度(verify and never trust)」。
我們經常習慣性忽略掉內部防護的部分,誤以為比較安全而有所鬆懈,因此最好一視同仁,對於保護網路外部與內部的作法都必須同樣嚴密、毋枉毋縱!
另一個部分則是權限控管的方式也要跟著調整,改以最低權限及嚴格管制的方式,不給予過高的存取授權許可,每個使用者和處理程序只能在有限範圍內執行,如此就算遭到惡意程式濫用,所造成的影響範圍也會跟著限縮。
不輕易信任,必須充分驗證,確認安全無虞,建立信任基礎。
資訊來源:
▓All Your Zoom Classes are Belong to Us / The K-12 Cybersecurity Resource Center
▓【肺炎抗疫】使用 Zoom 開視訊會議前,必須確認的資安基本要點/趨勢科技
▓Using Zoom? Here's how to keep your business and employees safe / TREND MICRO
熱門推薦
留言回覆
