随着COVID-19在全球范围内将组织转移到远程工作,视频会议和团队协作工具(例如Zoom,Skype,Microsoft Teams和WebEx)的使用不可避免地增加了。
威胁参与者正在利用这些远程工作协作和通信工具中的公共漏洞来传播恶意软件,并获得对受限私人会议的访问权限。联邦调查局(FBI)注意到,“zoom bombing”活动大幅度增加,威胁行动者以不适当的语言和图像破坏了会议,迫使会议提前结束。
当使用任何远程工作工具和软件(尤其是视频会议平台)时,组织必须牢记安全性。
zoom
zoom是一个非常受欢迎的视频会议平台,几乎所有行业的企业都在使用它,包括教育,运输和政府机构。但是,对其平台的隐私功能和漏洞存在许多安全性问题。
网络安全建议:
- 启用所需的H.323和SIP加密。Zoom在其控制面板中配备了一个设置,该设置要求所有端点在启用后都必须使用加密。
- 将默认隐私设置更改为“仅限主持人”,以便您控制会议,
- 不要在社交媒体上分享您的Zoom会议信息,
- 使用所有Zoom会议上的密码选项来保护任何公司信息或敏感信息
- 最重要的是,请务必立即安装更新
鉴于使用量的增加,对zoom的攻击也迅速增长,其目的是执行会议劫持攻击,并被用作恶意软件的感染媒介。此外,2020年3月,域名“ Zoom”的注册也大大增加,攻击者将其用作诱骗网络钓鱼电子邮件的诱饵。
这些广告系列中使用的恶意附件遵循“ zoom-us-zoom _ ###########。exe”的命名方案。附件将启动安装程序,该安装程序将尝试安装潜在不需要的应用程序和/或恶意负载。
尽管Zoom在一月份发布了一个漏洞补丁程序,该漏洞使攻击者可以查找和加入不受保护的会议,但翼火蛇建议以下其他最佳做法,作为依赖于Zoom的组织的安全措施:
- 启用所需的H.323和SIP加密。Zoom在其控制面板中配备了一个设置,该设置要求所有端点在启用后都必须使用加密。
- 如果未启用此设置,则Zoom的默认设置“首选”加密,但不需要音频。
- 请检查以确保它是一个合法的Zoom网站,是否有许多冒充者/假冒者,
- 将鼠标悬停在链接上,确保您接受的是真实的Zoom邀请,而不是单击网络钓鱼电子邮件,
- 将默认隐私设置更改为“仅限主持人”,以便您控制会议,
- 不要在社交媒体上分享您的Zoom信息,
- 使用所有Zoom会议上的密码选项来保护任何公司信息或敏感信息
- 如果可能,请考虑使用一个利用公司帐户并使用多因素身份验证(MFA)的平台,该平台总体上采用更安全的设计,并由公司Active Directory控制。
skype
Skype已为其所有Skype到Skype的语音,视频,文件传输和即时消息启用了端到端加密。
但是,应注意,从Skype到电话线(移动电话或固定电话)的呼叫将不会被加密。Skype提供了有关其加密方法的详细信息。
Skype的一个安全问题是,它为没有身份证明的用户提供了不受控制的注册系统。用户可以选择昵称,而不必向其他用户透露自己的身份,这意味着显示的呼叫者姓名不能保证真实性。
因此,翼火蛇建议采用以下最佳做法,这些最佳做法与Microsoft Skype的建议一致:
- 由于Skype不需要身份证明,因此使用Skype的会议主持人必须负责验证所有参加Skype通话的人员的身份
- 禁用随Skype for Business Server安装的设备上不需要的Windows Server OS服务
- 加密存储数据的操作系统和磁盘驱动器
- 禁用服务器的所有外部直接内存访问端口,因为基于DMA的攻击有可能暴露非常敏感的信息
Cisco WebEx
WebEx平台可在不损害必备功能(例如安全搜索存储和共享内容)的前提下保护用户信息。与Skype相似,WebEx还提供端到端加密,以将消息,文档和白板内容从一台设备加密到另一台设备。
但是,如果启用端到端加密,则将丢失某些功能,例如基于网络的录制,主机先加入和Cisco WebEx视频平台。
如果您的组织使用WebEx,翼火蛇建议以下内容:
- 将WebEx与现有的Data Loss Prevention应用程序集成,以确保敏感信息的安全。
- 为所有会议设置安全密码
- 限制所有外部与会者的会议访问和音频控制
- 不要与任何与会者共享主持人的音频PIN
- 如果使用个人会议室来主持会议,请在会议开始后立即自动锁定会议室,以防止与会者在大厅中等待自动加入会议。这为主持人提供了一种额外的方法来验证所有会议参与者均已获得适当的授权。
- 不要在会议邀请中包含会议密码,以提高安全性。您的客人可以将邀请转发给他们的同事或其他未授权方。实际上,请求被邀请者不要将邀请转发给任何其他方。
- 如果主持机密会议,请在授权每个与会者后立即锁定会议。应该注意的是,一旦您锁定会议,即使被邀请的参加者也将无法加入,除非您首先解锁会议,所以最好在所有参加者都出席后锁定会议。
- 如果您要在会议后提供对录音的访问权限,请通过设置密码来限制访问权限,并删除不再相关的所有录音。
思科系统已经发布了针对参加基于WebEx的会议的用户所安装的软件客户端的安全更新,以修复一个严重的漏洞,该漏洞可能允许远程攻击者破坏其计算机。
思科在一份通报说:“攻击者可以通过利用客户端的文件共享功能为与会人员提供恶意Flash(.swf)文件来利用此漏洞。” “利用此漏洞可能允许在目标用户的系统上执行任意代码。”
该缺陷影响在T31.23.2之前的Cisco WebEx Business Suite(WBS31)客户端构建,在T32.10之前的Cisco WebEx Business Suite(WBS32)客户端构建,在T32.10之前具有客户端构建的Cisco WebEx Meetings和Cisco WebEx Meetings Server构建在2.8 MR2之前。
Cisco WebEx Business Suite(WBS)和Cisco WebEx Meetings是托管的多媒体会议解决方案,而Cisco WebEx Meetings Server是一个独立的解决方案,客户可以在自己的私有云中运行。要参加会议,Windows,Linux或Mac用户必须安装这些解决方案提供的相应WebEx客户端。
公司可以通过以下方式检查提供给与会者的WebEx客户端的版本:登录Cisco WebEx会议站点上的帐户,转到“支持”>“下载”部分,然后在“关于会议中心”页面上查找。从客户端内部,用户可以通过转到帮助>关于Cisco WebEx Meeting Center来检查版本。
思科警告说:“未收到自动软件更新的客户可能正在运行已达到软件维护期的Cisco WebEx版本,并应联系客户支持。”
此漏洞特别危险,因为Cisco WebEx是业务环境中使用最广泛的Web会议软件之一。但是,某些用户可能已在某个时候安装了客户端以参加会议,但从未删除过该客户端。
这些用户可能仅在将来需要参加另一个基于WebEx的会议时才想卸载其现有版本并安装最新版本。思科在单独的支持页面上提供了适用于Windows和Mac的WebEx客户端卸载工具。
思科还在其统一计算系统(UCS)控制器中修补了一个严重漏洞,该漏洞可能允许经过身份验证的远程攻击者查看任何虚拟机的未授权信息。
Microsoft Teams
Microsoft Teams通过执行团队范围和组织范围内的两因素身份验证,通过Active Directory的单点登录以及传输和静态数据加密来提供一个安全,强大的平台。
此外,在聊天和会议期间共享的文件存储在SharePoint中,并由SharePoint加密支持,而备忘则存储在OneNote中,并由OneNote加密支持。OneNote数据存储在团队SharePoint网站中。最后,“ Wiki”选项卡还可用于记笔记,其内容也存储在Team SharePoint网站中。
如果您的组织使用Microsoft Teams,翼火蛇建议以下内容:
- 确保为Microsoft环境启用了多重身份验证(MFA)
- 通过大厅设置和/或设置结构化会议来控制谁参加会议,以便演示者/主持人可以完全控制与会者可以在会议中采取的行动
- 确保主持人充分了解参加者的角色和参加者类型以更好地控制特权并限制对特定会议的访问,尤其是在将会议邀请发送给外部参加者的情况下
Microsoft还提供了安全团队在为远程工作人员执行的前12个任务的清单。
无论大小,组织都需要对业务流程和控制采取安全第一的方法。仅在完全远程工作的情况下,这项工作才会扩大,并且应扩展到所有个人工具,技术和软件,包括公开可用的通信和协作工具。