丨題圖:Pixabay
作為境外線上會議的主流產品代表,Zoom此前因為其自身的安全漏洞變得更火了。
雖然Zoom官方承諾將逐步解決漏洞,Zoom的使用者數量似乎也沒有明顯減少。但市場競爭格局已經發生改變,Zoom的老對手、微軟Teams正在迎頭趕上,隱隱有要在海外市場將Zoom取而代之的勢頭。
這對於所有正在進行數字化、網際網路化的企業來說,都是一堂最生動的企業安全建設課程。
Zoom曝安全漏洞,Teams躍進
5月底,微軟Microsoft 365副總裁Jeff Teper接受了外媒採訪,期間透露了一個關鍵的資料:截止4月29日,Teams日活使用者僅用6個星期就增長了70%。
資料中的時間點非常有趣,因為倒推6個星期,恰好就是Zoom開始頻發爆出安全問題之時。
4月初, 美國最大的學區紐約市教育局下令教師不要使用Zoom。其中很多使用者直接就轉向了微軟的Teams。
與之對應的是Zoom的道歉和“被迫”鳴鼓收兵,其CEO袁徵在4月1號公開道歉,承諾在未來90天內暫停所有新功能開發,動用全部工程師資源解決現有問題,修復過程保持透明,並且出臺有關使用者資料的透明度報告。
在Zoom按下停止鍵的同時,微軟卻開足了馬力,除了更新Teams的功能之外,還開始不遺餘力地宣傳自己的Office生態。
雖然現在給Zoom的未來下判斷還是太早,但Zoom的自身安全建設缺失,很可能會成為境外線上會議行業競爭的“轉折點”。
忽視安全,就是手握定時炸彈
事實上,在安全問題暴露之前,Zoom的發展態勢一直不錯,面對微軟、Google在內的主要競爭對手,Zoom依舊保持著自己行業領導者的地位。
這些優勢上要歸功於Zoom自身更優秀的產品特性:影片和音訊效果全面超越對手、接入同個會議的人數支援更多、同個會議中展示的影片視窗更多、自帶會議影片錄屏等等。尤其是在免費版本中的體驗明顯好於對手。
安全專家曬出 Zoom 會議 ID 自動搜尋工具 圖自:Twitter
隨後爆出的安全漏洞,卻讓使用者和整個安全行業都驚呆了。
Zoom的許多預設設定,無形中為入侵者大開方便之門:會議ID可以直接猜測得到、會議預設不需要密碼且任何人都可以加入;官方介紹的資料端到端加密,直接被發現是謊言;Zoom的漏洞甚至還會直接將作業系統的登入憑據洩露,成為駭客入侵參會者電腦的終極工具。
密碼學專家、哈佛大學肯尼迪政府學院講師布魯斯·施奈爾做了個精闢的總結:“Zoom產品本身的安全設計過於草率。”
這樣的的安全建設水平和Zoom自身成立9年,市值超300億美元的基礎定位相比,顯然是脫節且有問題的。
就連Zoom CEO袁徵自己也在媒體採訪中表示:“這樣的教訓真的是太痛苦了。”
2020年上半年未完,企業安全事故不斷
2020如今已經被很多人稱為“多事之秋”,在還沒過完的2020上半年,已經發生了多起企業資訊保安事故
2月末,丹麥跨國公司ISS集團內部網路被惡意軟體攻擊,集團被迫關閉全球範圍內的企業系統,超過43000名員工無法訪問內部系統,導致企業內部運營嚴重受阻。
3月,美國一家為波音、洛克希德馬丁、特斯拉、SpaceX製造零部件的公司Visser Precision被駭客組織入侵,並竊取了大量資料。Visser Precision最終沒有支付酬金,駭客將竊取的資料公之於眾。
5月,歐洲最大的私家醫院運營商,也是透析產品和服務的主要提供商,費森尤斯(Fresenius)被Snake勒索病毒攻擊,據稱整個公司大樓內的Windows系統都被鎖死。
5月底,英國廉價航空公司EasyJet遭遇了一次重大的資料洩露事件,約900萬客戶個人資訊被竊取,其中包括2200名客戶的信用卡詳細資訊也被獲取。就在去年,英國監管機構ICO就曾因為洩露乘客資料,對英國航空公司(British Airways)處以創紀錄的1.83億英鎊(約合2.3億美元)的罰款。
儘早吸取經驗教訓
今年4月,騰訊副總裁、騰訊安全負責人丁珂,在接受媒體採訪時公開表示:“企業要在數字化時代深化發展,就必須全方位升維安全能力。”
更具象地來理解,安全不只是企業發展的“底線”,更將成為制約企業發展的"天花板",企業不僅需要主動守護自身的額數字資產,更要為自身業務的快速開展保駕護航,抓住每一次彎道超車的機會。
騰訊安全在《2020產業安全報告》就給出了幾點安全建設戰略層面的建議:
構建全方位的安全技術體系,與廣泛的安全服務供應商建立更緊密的生態合作關係;
進行組織結構變革,從長期戰略的角度對安全部門在公司內部的決策權分配進行及時調整;
推動管理模式變革,在業務部門與安全部門之間建立溝通機制,在整個企業中建立和嵌入風險文化。
透過加大自身安全建設力度,另外一方面在戰略層面升級安全建設,企業才能最大程度避免Zoom這樣的前車之鑑發生在自己身上。