從zoom到Easyjet，那些最生動的企業(yè)安全建設(shè)培訓(xùn)課

作為境外在線會議的主流產(chǎn)品代表，Zoom此前因為其自身的安全漏洞變得更火了。

雖然Zoom官方承諾將逐步解決漏洞，Zoom的用戶數(shù)量似乎也沒有明顯減少。但市場競爭格局已經(jīng)發(fā)生改變，Zoom的老對手、微軟Teams正在迎頭趕上，隱隱有要在海外市場將Zoom取而代之的勢頭。

這對于所有正在進行數(shù)字化、互聯(lián)網(wǎng)化的企業(yè)來說，都是一堂最生動的企業(yè)安全建設(shè)課程。

Zoom曝安全漏洞，Teams躍進

5月底，微軟Microsoft 365副總裁Jeff Teper接受了外媒采訪，期間透露了一個關(guān)鍵的數(shù)據(jù)：截止4月29日，Teams日活用戶僅用6個星期就增長了70%。

數(shù)據(jù)中的時間點非常有趣，因為倒推6個星期，恰好就是Zoom開始頻發(fā)爆出安全問題之時。

4月初， 美國最大的學(xué)區(qū)紐約市教育局下令教師不要使用Zoom。其中很多用戶直接就轉(zhuǎn)向了微軟的Teams。

與之對應(yīng)的是Zoom的道歉和“被迫”鳴鼓收兵，其CEO袁征在4月1號公開道歉，承諾在未來90天內(nèi)暫停所有新功能開發(fā)，動用全部工程師資源解決現(xiàn)有問題，修復(fù)過程保持透明，并且出臺有關(guān)用戶數(shù)據(jù)的透明度報告。

在Zoom按下停止鍵的同時，微軟卻開足了馬力，除了更新Teams的功能之外，還開始不遺余力地宣傳自己的Office生態(tài)。

雖然現(xiàn)在給Zoom的未來下判斷還是太早，但Zoom的自身安全建設(shè)缺失，很可能會成為境外在線會議行業(yè)競爭的“轉(zhuǎn)折點”。

忽視安全，就是手握定時炸彈

事實上，在安全問題暴露之前，Zoom的發(fā)展態(tài)勢一直不錯，面對微軟、Google在內(nèi)的主要競爭對手，Zoom依舊保持著自己行業(yè)領(lǐng)導(dǎo)者的地位。

這些優(yōu)勢上要歸功于Zoom自身更優(yōu)秀的產(chǎn)品特性：視頻和音頻效果全面超越對手、接入同個會議的人數(shù)支持更多、同個會議中展示的視頻窗口更多、自帶會議視頻錄屏等等。尤其是在免費版本中的體驗明顯好于對手。

圖：安全專家曬出 Zoom 會議 ID 自動搜索工具

隨后爆出的安全漏洞，卻讓用戶和整個安全行業(yè)都驚呆了。

Zoom的許多默認設(shè)置，無形中為入侵者大開方便之門：會議ID可以直接猜測得到、會議默認不需要密碼且任何人都可以加入;官方介紹的數(shù)據(jù)端到端加密，直接被發(fā)現(xiàn)是謊言;Zoom的漏洞甚至還會直接將操作系統(tǒng)的登錄憑據(jù)泄露，成為黑客入侵參會者電腦的終極工具。

密碼學(xué)專家、哈佛大學(xué)肯尼迪政府學(xué)院講師布魯斯·施奈爾做了個精辟的總結(jié)：“Zoom產(chǎn)品本身的安全設(shè)計過于草率。”

這樣的的安全建設(shè)水平和Zoom自身成立9年，市值超300億美元的基礎(chǔ)定位相比，顯然是脫節(jié)且有問題的。

就連Zoom CEO袁征自己也在媒體采訪中表示：“這樣的教訓(xùn)真的是太痛苦了。”

2020年上半年未完，企業(yè)安全事故不斷

2020如今已經(jīng)被很多人稱為“多事之秋”，在還沒過完的2020上半年，已經(jīng)發(fā)生了多起企業(yè)信息安全事故。

2月末，丹麥跨國公司ISS集團內(nèi)部網(wǎng)絡(luò)被惡意軟件攻擊，集團被迫關(guān)閉全球范圍內(nèi)的企業(yè)系統(tǒng)，超過43000名員工無法訪問內(nèi)部系統(tǒng)，導(dǎo)致企業(yè)內(nèi)部運營嚴重受阻。

3月，美國一家為波音、洛克希德馬丁、特斯拉、SpaceX制造零部件的公司Visser Precision被黑客組織入侵，并竊取了大量資料。Visser Precision最終沒有支付酬金，黑客將竊取的數(shù)據(jù)公之于眾。

5月，歐洲最大的私家醫(yī)院運營商，也是透析產(chǎn)品和服務(wù)的主要提供商，費森尤斯(Fresenius)被Snake勒索病毒攻擊，據(jù)稱整個公司大樓內(nèi)的Windows系統(tǒng)都被鎖死。

5月底，英國廉價航空公司EasyJet遭遇了一次重大的數(shù)據(jù)泄露事件，約900萬客戶個人信息被竊取，其中包括2200名客戶的信用卡詳細信息也被獲取。就在去年，英國監(jiān)管機構(gòu)ICO就曾因為泄露乘客數(shù)據(jù)，對英國航空公司(British Airways)處以創(chuàng)紀錄的1.83億英鎊(約合2.3億美元)的罰款。

盡早吸取經(jīng)驗教訓(xùn)

今年4月，騰訊副總裁、騰訊安全負責(zé)人丁珂，在接受媒體采訪時公開表示：“企業(yè)要在數(shù)字化時代深化發(fā)展，就必須全方位升維安全能力。”

更具象地來理解，安全不只是企業(yè)發(fā)展的“底線”，更將成為制約企業(yè)發(fā)展的"天花板"，企業(yè)不僅需要主動守護自身的額數(shù)字資產(chǎn)，更要為自身業(yè)務(wù)的快速開展保駕護航，抓住每一次彎道超車的機會。

騰訊安全在《2020產(chǎn)業(yè)安全報告》就給出了幾點安全建設(shè)戰(zhàn)略層面的建議：

1、構(gòu)建全方位的安全技術(shù)體系，與廣泛的安全服務(wù)供應(yīng)商建立更緊密的生態(tài)合作關(guān)系;

2、進行組織結(jié)構(gòu)變革，從長期戰(zhàn)略的角度對安全部門在公司內(nèi)部的決策權(quán)分配進行及時調(diào)整;

3、推動管理模式變革，在業(yè)務(wù)部門與安全部門之間建立溝通機制，在整個企業(yè)中建立和嵌入風(fēng)險文化。

通過加大自身安全建設(shè)力度，另外一方面在戰(zhàn)略層面升級安全建設(shè)，企業(yè)才能最大程度避免Zoom這樣的前車之鑒發(fā)生在自己身上。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）