从zoom到Easyjet,那些最生动的企业安全建设培训课
虽然Zoom官方承诺将逐步解决漏洞,Zoom的用户数量似乎也没有明显减少。但市场竞争格局已经发生改变,Zoom的老对手、微软Teams正在迎头赶上,隐隐有要在海外市场将Zoom取而代之的势头。
这对于所有正在进行数字化、互联网化的企业来说,都是一堂最生动的企业安全建设课程。
Zoom曝安全漏洞,Teams跃进
5月底,微软Microsoft 365副总裁Jeff Teper接受了外媒采访,期间透露了一个关键的数据:截止4月29日,Teams日活用户仅用6个星期就增长了70%。
数据中的时间点非常有趣,因为倒推6个星期,恰好就是Zoom开始频发爆出安全问题之时。
4月初, 美国最大的学区纽约市教育局下令教师不要使用Zoom。其中很多用户直接就转向了微软的Teams。
与之对应的是Zoom的道歉和“被迫”鸣鼓收兵,其CEO袁征在4月1号公开道歉,承诺在未来90天内暂停所有新功能开发,动用全部工程师资源解决现有问题,修复过程保持透明,并且出台有关用户数据的透明度报告。
在Zoom按下停止键的同时,微软却开足了马力,除了更新Teams的功能之外,还开始不遗余力地宣传自己的Office生态。
虽然现在给Zoom的未来下判断还是太早,但Zoom的自身安全建设缺失,很可能会成为境外在线会议行业竞争的“转折点”。
忽视安全,就是手握定时炸弹
事实上,在安全问题暴露之前,Zoom的发展态势一直不错,面对微软、Google在内的主要竞争对手,Zoom依旧保持着自己行业领导者的地位。
这些优势上要归功于Zoom自身更优秀的产品特性:视频和音频效果全面超越对手、接入同个会议的人数支持更多、同个会议中展示的视频窗口更多、自带会议视频录屏等等。尤其是在免费版本中的体验明显好于对手。
图:安全专家晒出 Zoom 会议 ID 自动搜索工具
随后爆出的安全漏洞,却让用户和整个安全行业都惊呆了。
Zoom的许多默认设置,无形中为入侵者大开方便之门:会议ID可以直接猜测得到、会议默认不需要密码且任何人都可以加入;官方介绍的数据端到端加密,直接被发现是谎言;Zoom的漏洞甚至还会直接将操作系统的登录凭据泄露,成为黑客入侵参会者电脑的终极工具。
密码学专家、哈佛大学肯尼迪政府学院讲师布鲁斯·施奈尔做了个精辟的总结:“Zoom产品本身的安全设计过于草率。”
这样的的安全建设水平和Zoom自身成立9年,市值超300亿美元的基础定位相比,显然是脱节且有问题的。
就连Zoom CEO袁征自己也在媒体采访中表示:“这样的教训真的是太痛苦了。”
2020年上半年未完,企业安全事故不断
2020如今已经被很多人称为“多事之秋”,在还没过完的2020上半年,已经发生了多起企业信息安全事故。
2月末,丹麦跨国公司ISS集团内部网络被恶意软件攻击,集团被迫关闭全球范围内的企业系统,超过43000名员工无法访问内部系统,导致企业内部运营严重受阻。
3月,美国一家为波音、洛克希德马丁、特斯拉、SpaceX制造零部件的公司Visser Precision被黑客组织入侵,并窃取了大量资料。Visser Precision最终没有支付酬金,黑客将窃取的数据公之于众。
5月,欧洲最大的私家医院运营商,也是透析产品和服务的主要提供商,费森尤斯(Fresenius)被Snake勒索病毒攻击,据称整个公司大楼内的Windows系统都被锁死。
5月底,英国廉价航空公司EasyJet遭遇了一次重大的数据泄露事件,约900万客户个人信息被窃取,其中包括2200名客户的信用卡详细信息也被获取。就在去年,英国监管机构ICO就曾因为泄露乘客数据,对英国航空公司(British Airways)处以创纪录的1.83亿英镑(约合2.3亿美元)的罚款。
尽早吸取经验教训
今年4月,腾讯副总裁、腾讯安全负责人丁珂,在接受媒体采访时公开表示:“企业要在数字化时代深化发展,就必须全方位升维安全能力。”
更具象地来理解,安全不只是企业发展的“底线”,更将成为制约企业发展的"天花板",企业不仅需要主动守护自身的额数字资产,更要为自身业务的快速开展保驾护航,抓住每一次弯道超车的机会。
腾讯安全在《2020产业安全报告》就给出了几点安全建设战略层面的建议:
1、构建全方位的安全技术体系,与广泛的安全服务供应商建立更紧密的生态合作关系;
2、进行组织结构变革,从长期战略的角度对安全部门在公司内部的决策权分配进行及时调整;
3、推动管理模式变革,在业务部门与安全部门之间建立沟通机制,在整个企业中建立和嵌入风险文化。
通过加大自身安全建设力度,另外一方面在战略层面升级安全建设,企业才能最大程度避免Zoom这样的前车之鉴发生在自己身上。
版权声明:凡注明“来源:“长阳新闻网”的所有作品,版权归中华科普网所有。任何媒体转载、摘编、引用,须注明来源中华科普网和署著作者名,否则将追究相关法律责任。