Zoom连爆漏洞

4月1日，据外媒报道，研究人员发现了视频会议Zoom应用存在的漏洞，Windows版Zoom客户端容易受到NUC路径注入攻击的安全漏洞，该漏洞可能使远程攻击者窃取Windows系统用户的登录凭据，这可能导致用户使用该应用时面临隐私泄露的风险。

与此同时，美国联邦调查局（FBI）、美国航天局（NASA）和太空探索技术公司SpaceX近日也都宣布，禁止员工继续使用Zoom。

此前，Zoom还修补了其软件中的另一个隐私漏洞，该漏洞可能让未被邀请的人参加私人会议，并远程窃听整个会话，共享私人音频、视频和文档。

3月26日有报道称，在iOS系统下载或打开Zoom App 时，App内嵌的Facebook SDK软件开发工具包会向Facebook传送用户的手机型号、时区、城市、运营商，以及广告唯一标识符等信息。

2019年7月，Mac版本的Zoom客户端中存在漏洞，一旦点击特定的恶意网站，就可在未经你许可的情况下启用你的摄像头。

针对漏洞事件，Zoom CEO袁征表示，将在未来90天内着手解决隐私安全方面的问题，并将暂停其它业务工作。Zoom还将发起“漏洞赏金”计划，为发现安全漏洞的人提供报酬，并与第三方一起解决问题。

袁征于2011年创立了Zoom，2019年4月18日，Zoom登陆纳斯达克，每股36美元。今年3月23日，Zoom股价创下164.90美元的52周新高。Zoom最新财报显示，第四财季，其获得10万美元以上款项的客户有641个，同比增长86%。员工在10名以上的Zoom客户数量为81900个，同比增长61%。另有数据显示，Zoom的用户数量已经从去年12月份的每天约1000万人增加到今年3月份的2亿人。受安全及隐私方面问题影响，Zoom股价从跌至了目前的191.93美元。

针对视频会议软件，用户可采取的安全防御措施

疫情以来，视频会议软件的需求激增，新钛云服专家建议，在使用视频会议软件的时候，用户需要注意保护自己的隐私。

下面有几条建议：

1. 因为经常要桌面共享，在桌面上不要放置敏感文件，会议时建议关闭不必要的社交和其他软件，避免桌面共享时，敏感信息泄漏。
2. 不要使用社交工具帐号登录视频会议软件，应另外注册视频会议软件帐号，并且密码保证足够的复杂。
3. 创建视频会议时设置密码，不随意公开分享视频会议链接。
4. 会议主持人应限制随意共享桌面功能，默认会议开启全员静音，全员关闭摄像头。
5. 组织内部会议，所有人应实名，公开的会议，尽量匿名。
6. 更新视频会议客户端到最新。
7. 不要随意加入来路不明的会议。

云应用要注意安全合规

Zoom是一个SaaS的云应用，本次事件Zoom损失巨大。4月1日，据外媒CNET报道，万豪国际大约有520万名客人的姓名、通讯地址、会员帐号和其他个人信息遭遇泄露。这些事件提醒企业应该注重安全合规。

我国于2017年6月正式实施《中华人民共和国网络安全法》。在数据安全也有诸多规定。明确规定了网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。

欧盟于2018年5月正式实施了《通用数据保护条例》 (General Data Protection Regulation,简称GDPR)，GDPR是一项保护欧盟公民个人隐私和数据的法律，其适用范围不仅包括欧盟成员国境内企业的个人数据、也包括欧盟境外企业处理欧盟公民的个人数据。

云应用在运营过程中，安全合规是红线，忽略安全，将面临严重的经济损失，甚至面临安全风险。

新钛云服：以安全成熟度模型为基础，构建可度量的安全评估体系

针对云安全，新钛云服首席架构师胥峰之前有文章《以安全成熟度模型为基础，构建可度量的安全评估体系》专门论述，再次和大家分享下：

《2017网络安全度量年度报告》指出，在网络安全技术上投资的公司中有约30%没有办法测量安全投资的价值或者效果。而Guardian公司的安全成熟度模型成为了解决该问题的核心工具之一。

通过应用安全成熟度模型，公司可以对其安全投资的效果做出科学合理的评估。安全成熟度模型如图所示。

安全成熟度模型

1、补丁管理和防病毒。

2、防火墙和网络分段。

a)防火墙是抵御入侵的第一道防线，通过在网络上的多个关键节点部署多级防火墙，能够有效的阻断网络攻击。通常使用的开源防火墙包括Linux Iptables和FreeBSD IPFW等。商业防火墙则包括华为、Cisco、Juniper等知名厂商的一系列不同等级和规格的产品。

b)网络分段是网络分级隔离的关键措施。为不同防护等级和业务属性的应用规划不同的网络地址段，能够提高网络隔离的有效性，从而减少应用间的互相影响。

3、身份和访问管理。身份和访问管理混乱加剧了安全风险。

4、资产和配置管理。遗忘的资产往往成为黑客的目标，也不容易识别出入侵行为。

5、信息分类和保护。信息分类在收集、处理和应用过程中非常重要。不同保密级别要求的信息应以不同的加密（散列）方式存储，并以相对应的鉴权机制予以访问控制。

6、监控、告警和事件响应。缺少有效的监控、告警和事件响应机制是导致入侵危害持续放大的罪魁祸首。例如，在2018年某大型知名国际酒店集团发生的信息泄露事件中，经调查发现，“自2014年起，即存在第三方对喜达屋网络未经授权的访问。最近发现未经授权的第三方已复制并加密了某些信息，并采取措施试图将该等信息移出。”开源入侵检测系统包括OSSEC、Snort等。商业入侵检测系统包括青藤云等。

7、风险管理和治理。定期风险分析和安全培训是降低安全风险的必要步骤。要让安全意识深入人心，避免一些初级问题导致整个安全体系失效。