返回

从zoom到Easyjet,那些最生动的企业安全建设培训课

2020-06-11 13:37用户投稿

作为境外在线会议的主流产品代表,Zoom此前因为其自身的安全漏洞变得更火了。

虽然Zoom官方承诺将逐步解决漏洞,Zoom的用户数量似乎也没有明显减少。但市场竞争格局已经发生改变,Zoom的老对手、微软Teams正在迎头赶上,隐隐有要在海外市场将Zoom取而代之的势头。

这对于所有正在进行数字化、互联网化的企业来说,都是一堂最生动的企业安全建设课程。

Zoom曝安全漏洞Teams跃进

5 月底,微软Microsoft365 副总裁Jeff Teper接受了外媒采访,期间透露了一个关键的数据:截止 4 月 29 日,Teams日活用户仅用 6 个星期就增长了70%。

数据中的时间点非常有趣,因为倒推 6 个星期,恰好就是Zoom开始频发爆出安全问题之时。

4 月初, 美国最大的学区纽约市教育局下令教师不要使用Zoom。其中很多用户直接就转向了微软的Teams。

与之对应的是Zoom的道歉和“被迫”鸣鼓收兵,其CEO袁征在 4 月 1 号公开道歉,承诺在未来 90 天内暂停所有新功能开发,动用全部工程师资源解决现有问题,修复过程保持透明,并且出台有关用户数据的透明度报告。

在Zoom按下停止键的同时,微软却开足了马力,除了更新Teams的功能之外,还开始不遗余力地宣传自己的Office生态。

虽然现在给Zoom的未来下判断还是太早,但Zoom的自身安全建设缺失,很可能会成为境外在线会议行业竞争的“转折点”。

忽视安全,就是手握定时炸弹

事实上,在安全问题暴露之前,Zoom的发展态势一直不错,面对微软、Google在内的主要竞争对手,Zoom依旧保持着自己行业领导者的地位。

这些优势上要归功于Zoom自身更优秀的产品特性:视频和音频效果全面超越对手、接入同个会议的人数支持更多、同个会议中展示的视频窗口更多、自带会议视频录屏等等。尤其是在免费版本中的体验明显好于对手。

zoom Easyjet

图:安全专家晒出 Zoom 会议 ID 自动搜索工具

随后爆出的安全漏洞,却让用户和整个安全行业都惊呆了。

Zoom的许多默认设置,无形中为入侵者大开方便之门:会议ID可以直接猜测得到、会议默认不需要密码且任何人都可以加入;官方介绍的数据端到端加密,直接被发现是谎言;Zoom的漏洞甚至还会直接将操作系统的登录凭据泄露,成为黑客入侵参会者电脑的终极工具。

密码学专家、哈佛大学肯尼迪政府学院讲师布鲁斯·施奈尔做了个精辟的总结:“Zoom产品本身的安全设计过于草率。”

这样的的安全建设水平和Zoom自身成立 9 年,市值超 300 亿美元的基础定位相比,显然是脱节且有问题的。

就连Zoom CEO袁征自己也在媒体采访中表示:“这样的教训真的是太痛苦了。”

2020 年上半年未完,企业安全事故不断

2020 如今已经被很多人称为“多事之秋”,在还没过完的 2020 上半年,已经发生了多起企业信息安全事故。

2 月末,丹麦跨国公司ISS集团内部网络被恶意软件攻击,集团被迫关闭全球范围内的企业系统,超过 43000 名员工无法访问内部系统,导致企业内部运营严重受阻。

3 月,美国一家为波音、洛克希德马丁、特斯拉、SpaceX制造零部件的公司Visser Precision被黑客组织入侵,并窃取了大量资料。Visser Precision最终没有支付酬金,黑客将窃取的数据公之于众。

5 月,欧洲最大的私家医院运营商,也是透析产品和服务的主要提供商,费森尤斯(Fresenius)被Snake勒索病毒攻击,据称整个公司大楼内的Windows系统都被锁死。

5 月底,英国廉价航空公司EasyJet遭遇了一次重大的数据泄露事件,约 900 万客户个人信息被窃取,其中包括 2200 名客户的信用卡详细信息也被获取。就在去年,英国监管机构ICO就曾因为泄露乘客数据,对英国航空公司(British Airways)处以创纪录的1. 83 亿英镑(约合2. 3 亿美元)的罚款。

尽早吸取经验教训

今年 4 月,腾讯副总裁、腾讯安全负责人丁珂,在接受媒体采访时公开表示:“企业要在数字化时代深化发展,就必须全方位升维安全能力。”

zoom Easyjet

更具象地来理解,安全不只是企业发展的“底线”,更将成为制约企业发展的"天花板",企业不仅需要主动守护自身的额数字资产,更要为自身业务的快速开展保驾护航,抓住每一次弯道超车的机会。

腾讯安全在《 2020 产业安全报告》就给出了几点安全建设战略层面的建议:

1、构建全方位的安全技术体系,与广泛的安全服务供应商建立更紧密的生态合作关系;

2、进行组织结构变革,从长期战略的角度对安全部门在公司内部的决策权分配进行及时调整;

3、推动管理模式变革,在业务部门与安全部门之间建立沟通机制,在整个企业中建立和嵌入风险文化。

通过加大自身安全建设力度,另外一方面在战略层面升级安全建设,企业才能最大程度避免Zoom这样的前车之鉴发生在自己身上。

相关文章 大家在看
zoom
156篇文章
查看