重磅發佈 | 一文看清視頻會議風險!“2020 中國視頻會議行業網絡風險報告”發佈點擊上方“中國信息安全” 可訂閱北京雲科安信科技 .Seraph 安全實驗室近年來,中國視頻會議產業隨着國家相關政策的引導及互聯網經濟的發展日驅成熟,產業鏈向着更加多元化、精細化方向發展,視頻會議產業生態日漸完善。在傳統的硬件視頻主導先行的發展大背景下,隨着企業端爲適應雲化環境而設置的相關部署及軟硬件配套升級,“雲視頻”成爲該行業領域未來的發展的必然趨勢。隨着視頻會議行業的不斷蓬勃發展,“雲視頻”技術的應用場景不斷延伸至教育、醫療、黨建、金融、稅務等多新興領域,諸如”雙師課堂、智能醫療、遠程會診、基層減負、智慧黨建”等具體細分領域發展迅猛。一方面,雲視頻技術的不斷更迭和發展支撐着多維度細分場景的逐步實現,另一方面,產業的發展和細分行業參與者的不斷參與也促使雲頻各細分領域技術的發展日趨成熟。相較於傳統視頻會議系統,雲視頻誕生於“互聯網+”時代,具備更加優秀的技術基因,具有成本較低、架構靈活、處理高效等方面的巨大比較優勢,也因此可將技術縱深至更加垂直、細分的應用場景中。不可否認的是,雲視頻技術的便利性及高迭代等特點也對於視頻會議行業在“數據安全性保護”和“個人數據隱私性保護”等方面提出了更高的要求,針對諸如網絡攻擊、惡意竊取、信息攔截、信息監聽等關鍵風險點的前置防範及安全預警能力要求較高。近日,Seraph 網絡安全實驗室發佈“2020 中國視頻會議行業網絡風險報告”(以下簡稱“報告”)。報告通過對國內視頻會議行業的調研,分析當前視頻會議行業的整體安全狀況、應用弱點、主機漏洞。通過翔實的數據,展示行業面臨的潛在系統性風險,並提出相應的處置建議。

報告發現

  • 視頻會議的使用場景更加廣泛,視頻會議行業面臨的風險壓力倍增,其中大型視頻會議廠商面臨的互聯網風險更爲嚴重。
  • 從安全漏洞統計來看,小型視頻會議廠商受網絡安全風險威脅相對較小。
  • 60% 的視頻會議廠商使用了公有云服務,主要以阿里雲和騰訊云爲主。雲服務在視頻會議行業整體互聯網服務中佔比較高。
  • 採樣視頻會議廠商中共發現,所有主機資產存在 1181 個 CVE 高危安全漏洞, 其中數量最多的是“SSL 採用中等強度加密(SWEET32 攻擊)”。
  • 採樣視頻會議廠商中共發現,所有 Web 資產存在 385 個高危安全漏洞, 其中數量最多的是“XSS 跨站腳本攻擊”。

CVE 漏洞分佈

重磅發佈 | 一文看清視頻會議風險!“2020 中國視頻會議行業網絡風險報告”發佈

數據標籤分別爲:編號,數量,佔比

視頻會議行業安全數據概況

Seraph 安全實驗室對 58 家視頻會議行業廠商的互聯網資產和麪臨的網絡風險進行了重點分析,共採集視頻會議行業共計 2928 個互聯網資產,其中域名 404 個,IP 地址 428 個,端口 2096 個;網絡風險共計 7762 個,其中包括 Web 高危漏洞 385 個,Web 中危漏洞 2932 個,Web 低危漏洞 1825 個,主機緊急漏洞 116 個,主機高危漏洞 296 個,主機中危漏洞 2208 個。2020 年視頻會議行業網絡安全風險概況

重磅發佈 | 一文看清視頻會議風險!“2020 中國視頻會議行業網絡風險報告”發佈

根據上表可知:①視頻會議行業網絡安全風險狀況不容樂觀;②Web 應用高危漏洞和主機高危漏洞兩者危害較大而且數量存在漏洞數量很多;③Web 中危漏洞和主機中危漏洞的數量最高,雖然風險會比高危漏洞小但是可能會對生產環境造成巨大影響。網絡風險依舊嚴峻,要自始至終堅持安全防範意識,逐步採取全面、可行的安全防護措施,把安全風險降低到最小程度。

視頻會議行業互聯網資產分析

2020 年視頻會議行業雲服務廠商統計

重磅發佈 | 一文看清視頻會議風險!“2020 中國視頻會議行業網絡風險報告”發佈

視頻會議行業有 60% 的資產進行了雲遷移部署在雲服務商上面,其中有 529 個互聯網資產部署在阿里雲上,是視頻會議行業中所使用雲服務廠商最多的,這與其全國性的業務範圍和雲服務商能力有一定關係,國外雲服務商 beget 擁有 2 個視頻會議行業互聯網資產。視頻會議行業使用阿里雲服務商雲遷移比例最高爲 72%。

Web 應用安全漏洞詳細說明

2020 年視頻會議行業 Web 應用高危漏洞統計

重磅發佈 | 一文看清視頻會議風險!“2020 中國視頻會議行業網絡風險報告”發佈

2020 年,視頻會議行業評估的廠商中,對視頻行業廠商 404 個域名資產進行安全漏洞檢測,共發現中危漏洞 CSRF1316 個、信息泄露 1071 個、程序版本漏洞 252 個、拒絕服務 84 個、容器漏洞 51 個、TLS 漏洞 48 個、配置不當 41 個、注入 26 個、SSL 漏洞 20 個、XSS 跨站腳本 17 個、URL 跳轉漏洞 2 個、代碼執行 2 個、未授權訪問 2 個,總共 2932 個。

報告建議

1. 視頻會議行業已經具有國家關鍵信息基礎設施的屬性,並將在未來一段時間內發揮更加重要的作用,且具有非常高的成長性,需要得到額外的關注和保護。

2. 視頻會議行業的爆發迅猛,在強調功能和易用性的同時,安全和個人信息及隱私的保護也需要額外得到關注。

3. 熱點行業向來會招致攻擊者的青睞,近期不斷爆出的視頻會議行業內安全事件,說明攻擊者已經開始有所側重,因此行業安全聯盟和信息共享機制需要儘快建立和完善,以應對抗攻擊者帶來的潛在風險。

4. 視頻會議服務提供商、國家監管機構和安全服務供應商,三者通力配合才能保證視頻會議行業的快速、安全、健康的發展。

視頻會議服務作爲疫情條件下,有效緩解交流場景的支撐技術,已經具有重要基礎設置的屬性和特徵。因此會控系統及會議支撐資產的安全性,成爲必須面對的迫切問題。如何讓視頻會議服務更安全,需要整個生態系統的共同努力,報告希望在這個重要的時間節點,提醒大家關注行業安全。報告分爲官方該要版和技術研討版,本次發佈的是官方概要版,以統計、分析、趨勢、建議爲主,不包含詳細的技術細節內容。如需要詳細技術探討,請與 Seraph 實驗室取得聯繫。Seraph 安全實驗室,隸屬於北京雲科安信,主要提供安全能力輸出。

點擊下圖,下載報告全文:

重磅發佈 | 一文看清視頻會議風險!“2020 中國視頻會議行業網絡風險報告”發佈


重磅發佈 | 一文看清視頻會議風險!“2020 中國視頻會議行業網絡風險報告”發佈重磅發佈 | 一文看清視頻會議風險!“2020 中國視頻會議行業網絡風險報告”發佈重磅發佈 | 一文看清視頻會議風險!“2020 中國視頻會議行業網絡風險報告”發佈重磅發佈 | 一文看清視頻會議風險!“2020 中國視頻會議行業網絡風險報告”發佈

掃碼關注我們

更多信息安全資訊

請關注“中國信息安全”

來源鏈接:mp.weixin.qq.com