信息來源：Freebuf

近年來，中國(guó)視頻會(huì)議產(chǎn)業(yè)隨著國(guó)家相關(guān)政策的引導(dǎo)及互聯(lián)網(wǎng)經(jīng)濟(jì)的發(fā)展日驅(qū)成熟，產(chǎn)業(yè)鏈向著更加多元化、精細(xì)化方向發(fā)展，視頻會(huì)議產(chǎn)業(yè)生態(tài)日漸完善。在傳統(tǒng)的硬件視頻主導(dǎo)先行的發(fā)展大背景下，隨著企業(yè)端為適應(yīng)云化環(huán)境而設(shè)置的相關(guān)部署及軟硬件配套升級(jí)，「云視頻」成為該行業(yè)領(lǐng)域未來的發(fā)展的必然趨勢(shì)。

隨著視頻會(huì)議行業(yè)的不斷蓬勃發(fā)展，「云視頻」技術(shù)的應(yīng)用場(chǎng)景不斷延伸至教育、醫(yī)療、黨建、金融、稅務(wù)等多新興領(lǐng)域，諸如」雙師課堂、智能醫(yī)療、遠(yuǎn)程會(huì)診、基層減負(fù)、智慧黨建」等具體細(xì)分領(lǐng)域發(fā)展迅猛。一方面，云視頻技術(shù)的不斷更迭和發(fā)展支撐著多維度細(xì)分場(chǎng)景的逐步實(shí)現(xiàn)，另一方面，產(chǎn)業(yè)的發(fā)展和細(xì)分行業(yè)參與者的不斷參與也促使云頻各細(xì)分領(lǐng)域技術(shù)的發(fā)展日趨成熟。

相較于傳統(tǒng)視頻會(huì)議系統(tǒng)，云視頻誕生于「互聯(lián)網(wǎng)+」時(shí)代，具備更加優(yōu)秀的技術(shù)基因，具有成本較低、架構(gòu)靈活、處理高效等方面的巨大比較優(yōu)勢(shì)，也因此可將技術(shù)縱深至更加垂直、細(xì)分的應(yīng)用場(chǎng)景中。不可否認(rèn)的是，云視頻技術(shù)的便利性及高迭代等特點(diǎn)也對(duì)于視頻會(huì)議行業(yè)在「數(shù)據(jù)安全性保護(hù)」和「?jìng)€(gè)人數(shù)據(jù)隱私性保護(hù)」等方面提出了更高的要求，針對(duì)諸如網(wǎng)絡(luò)攻擊、惡意竊取、信息攔截、信息監(jiān)聽等關(guān)鍵風(fēng)險(xiǎn)點(diǎn)的前置防范及安全預(yù)警能力要求較高。

近日，Seraph 網(wǎng)絡(luò)安全實(shí)驗(yàn)室發(fā)布「2020 中國(guó)視頻會(huì)議行業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)報(bào)告」（以下簡(jiǎn)稱「報(bào)告」）。報(bào)告通過對(duì)國(guó)內(nèi)視頻會(huì)議行業(yè)的調(diào)研，分析當(dāng)前視頻會(huì)議行業(yè)的整體安全狀況、應(yīng)用弱點(diǎn)、主機(jī)漏洞。通過翔實(shí)的數(shù)據(jù)，展示行業(yè)面臨的潛在系統(tǒng)性風(fēng)險(xiǎn)，并提出相應(yīng)的處置建議。

報(bào)告發(fā)現(xiàn)

視頻會(huì)議的使用場(chǎng)景更加廣泛，視頻會(huì)議行業(yè)面臨的風(fēng)險(xiǎn)壓力倍增，其中大型視頻會(huì)議廠商面臨的互聯(lián)網(wǎng)風(fēng)險(xiǎn)更為嚴(yán)重。

從安全漏洞統(tǒng)計(jì)來看，小型視頻會(huì)議廠商受網(wǎng)絡(luò)安全風(fēng)險(xiǎn)威脅相對(duì)較小。

60% 的視頻會(huì)議廠商使用了公有云服務(wù)，主要以阿里云和騰訊云為主。云服務(wù)在視頻會(huì)議行業(yè)整體互聯(lián)網(wǎng)服務(wù)中占比較高。

采樣視頻會(huì)議廠商中共發(fā)現(xiàn)，所有主機(jī)資產(chǎn)存在 1181 個(gè) CVE 高危安全漏洞，其中數(shù)量最多的是「SSL 采用中等強(qiáng)度加密（SWEET32 攻擊）」。

采樣視頻會(huì)議廠商中共發(fā)現(xiàn)，所有 Web 資產(chǎn)存在 385 個(gè)高危安全漏洞，其中數(shù)量最多的是「XSS 跨站腳本攻擊」。

CVE 漏洞分布 數(shù)據(jù)標(biāo)簽分別為：編號(hào)，數(shù)量，占比

視頻會(huì)議行業(yè)安全數(shù)據(jù)概況

Seraph 安全實(shí)驗(yàn)室對(duì) 58 家視頻會(huì)議行業(yè)廠商的互聯(lián)網(wǎng)資產(chǎn)和面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行了重點(diǎn)分析，共采集視頻會(huì)議行業(yè)共計(jì) 2928 個(gè)互聯(lián)網(wǎng)資產(chǎn)，其中域名 404 個(gè)，IP 地址 428 個(gè)，端口 2096 個(gè)；網(wǎng)絡(luò)風(fēng)險(xiǎn)共計(jì) 7762 個(gè)，其中包括 Web 高危漏洞 385 個(gè)，Web 中危漏洞 2932 個(gè)，Web 低危漏洞 1825 個(gè)，主機(jī)緊急漏洞 116 個(gè)，主機(jī)高危漏洞 296 個(gè)，主機(jī)中危漏洞 2208 個(gè)。

2020 年視頻會(huì)議行業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)概況

根據(jù)上表可知：①視頻會(huì)議行業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)狀況不容樂觀；②Web 應(yīng)用高危漏洞和主機(jī)高危漏洞兩者危害較大而且數(shù)量存在漏洞數(shù)量很多；③Web 中危漏洞和主機(jī)中危漏洞的數(shù)量最高，雖然風(fēng)險(xiǎn)會(huì)比高危漏洞小但是可能會(huì)對(duì)生產(chǎn)環(huán)境造成巨大影響。網(wǎng)絡(luò)風(fēng)險(xiǎn)依舊嚴(yán)峻，要自始至終堅(jiān)持安全防范意識(shí)，逐步采取全面、可行的安全防護(hù)措施，把安全風(fēng)險(xiǎn)降低到最小程度。

視頻會(huì)議行業(yè)互聯(lián)網(wǎng)資產(chǎn)分析

2020 年視頻會(huì)議行業(yè)云服務(wù)廠商統(tǒng)計(jì)

視頻會(huì)議行業(yè)有 60% 的資產(chǎn)進(jìn)行了云遷移部署在云服務(wù)商上面，其中有 529 個(gè)互聯(lián)網(wǎng)資產(chǎn)部署在阿里云上，是視頻會(huì)議行業(yè)中所使用云服務(wù)廠商最多的，這與其全國(guó)性的業(yè)務(wù)范圍和云服務(wù)商能力有一定關(guān)系，國(guó)外云服務(wù)商 beget 擁有 2 個(gè)視頻會(huì)議行業(yè)互聯(lián)網(wǎng)資產(chǎn)。視頻會(huì)議行業(yè)使用阿里云服務(wù)商云遷移比例最高為 72%。

Web應(yīng)用安全漏洞詳細(xì)說明

2020 年視頻會(huì)議行業(yè) Web 應(yīng)用高危漏洞統(tǒng)計(jì)

2020 年，視頻會(huì)議行業(yè)評(píng)估的廠商中，對(duì)視頻行業(yè)廠商 404 個(gè)域名資產(chǎn)進(jìn)行安全漏洞檢測(cè)，共發(fā)現(xiàn)中危漏洞 CSRF1316 個(gè)、信息泄露 1071 個(gè)、程序版本漏洞 252 個(gè)、拒絕服務(wù) 84 個(gè)、容器漏洞 51 個(gè)、TLS 漏洞 48 個(gè)、配置不當(dāng) 41 個(gè)、注入 26 個(gè)、SSL 漏洞 20 個(gè)、XSS 跨站腳本 17 個(gè)、URL 跳轉(zhuǎn)漏洞 2 個(gè)、代碼執(zhí)行 2 個(gè)、未授權(quán)訪問 2 個(gè)，總共 2932 個(gè)。

報(bào)告建議

1. 視頻會(huì)議行業(yè)已經(jīng)具有國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的屬性，并將在未來一段時(shí)間內(nèi)發(fā)揮更加重要的作用，且具有非常高的成長(zhǎng)性，需要得到額外的關(guān)注和保護(hù)。

2. 視頻會(huì)議行業(yè)的爆發(fā)迅猛，在強(qiáng)調(diào)功能和易用性的同時(shí)，安全和個(gè)人信息及隱私的保護(hù)也需要額外得到關(guān)注。

3. 熱點(diǎn)行業(yè)向來會(huì)招致攻擊者的青睞，近期不斷爆出的視頻會(huì)議行業(yè)內(nèi)安全事件，說明攻擊者已經(jīng)開始有所側(cè)重，因此行業(yè)安全聯(lián)盟和信息共享機(jī)制需要盡快建立和完善，以應(yīng)對(duì)抗攻擊者帶來的潛在風(fēng)險(xiǎn)。

4. 視頻會(huì)議服務(wù)提供商、國(guó)家監(jiān)管機(jī)構(gòu)和安全服務(wù)供應(yīng)商，三者通力配合才能保證視頻會(huì)議行業(yè)的快速、安全、健康的發(fā)展。