您所在的位置:網站首頁 /學會動態 / 行業新聞

「2020 中國視頻會議行業網絡風險報告」發布

2020-05-25 15:09

       近年來,中國視頻會議產業隨著國家相關政策的引導及互聯網經濟的發展日驅成熟,產業鏈向著更加多元化、精細化方向發展,視頻會議產業生態日漸完善。在傳統的硬件視頻主導先行的發展大背景下,隨著企業端為適應云化環境而設置的相關部署及軟硬件配套升級,「云視頻」成為該行業領域未來的發展的必然趨勢。

       隨著視頻會議行業的不斷蓬勃發展,「云視頻」技術的應用場景不斷延伸至教育、醫療、黨建、金融、稅務等多新興領域,諸如」雙師課堂、智能醫療、遠程會診、基層減負、智慧黨建」等具體細分領域發展迅猛。一方面,云視頻技術的不斷更迭和發展支撐著多維度細分場景的逐步實現,另一方面,產業的發展和細分行業參與者的不斷參與也促使云頻各細分領域技術的發展日趨成熟。

       相較于傳統視頻會議系統,云視頻誕生于「互聯網+」時代,具備更加優秀的技術基因,具有成本較低、架構靈活、處理高效等方面的巨大比較優勢,也因此可將技術縱深至更加垂直、細分的應用場景中。不可否認的是,云視頻技術的便利性及高迭代等特點也對于視頻會議行業在「數據安全性保護」和「個人數據隱私性保護」等方面提出了更高的要求,針對諸如網絡攻擊、惡意竊取、信息攔截、信息監聽等關鍵風險點的前置防范及安全預警能力要求較高。

       近日,Seraph 網絡安全實驗室發布「2020 中國視頻會議行業網絡風險報告」(以下簡稱「報告」)。報告通過對國內視頻會議行業的調研,分析當前視頻會議行業的整體安全狀況、應用弱點、主機漏洞。通過翔實的數據,展示行業面臨的潛在系統性風險,并提出相應的處置建議。


報告發現

視頻會議的使用場景更加廣泛,視頻會議行業面臨的風險壓力倍增,其中大型視頻會議廠商面臨的互聯網風險更為嚴重。

從安全漏洞統計來看,小型視頻會議廠商受網絡安全風險威脅相對較小。

60% 的視頻會議廠商使用了公有云服務,主要以阿里云和騰訊云為主。云服務在視頻會議行業整體互聯網服務中占比較高。

采樣視頻會議廠商中共發現,所有主機資產存在 1181 個 CVE 高危安全漏洞,其中數量最多的是「SSL 采用中等強度加密(SWEET32 攻擊)」。

采樣視頻會議廠商中共發現,所有 Web 資產存在 385 個高危安全漏洞,其中數量最多的是「XSS 跨站腳本攻擊」。

image.png

CVE 漏洞分布 數據標簽分別為:編號,數量,占比

視頻會議行業安全數據概況

Seraph 安全實驗室對 58 家視頻會議行業廠商的互聯網資產和面臨的網絡風險進行了重點分析,共采集視頻會議行業共計 2928 個互聯網資產,其中域名 404 個,IP 地址 428 個,端口 2096 個;網絡風險共計 7762 個,其中包括 Web 高危漏洞 385 個,Web 中危漏洞 2932 個,Web 低危漏洞 1825 個,主機緊急漏洞 116 個,主機高危漏洞 296 個,主機中危漏洞 2208 個。

image.png

2020 年視頻會議行業網絡安全風險概況

根據上表可知:①視頻會議行業網絡安全風險狀況不容樂觀;②Web 應用高危漏洞和主機高危漏洞兩者危害較大而且數量存在漏洞數量很多;③Web 中危漏洞和主機中危漏洞的數量最高,雖然風險會比高危漏洞小但是可能會對生產環境造成巨大影響。網絡風險依舊嚴峻,要自始至終堅持安全防范意識,逐步采取全面、可行的安全防護措施,把安全風險降低到最小程度。

視頻會議行業互聯網資產分析

image.png

2020 年視頻會議行業云服務廠商統計

視頻會議行業有 60% 的資產進行了云遷移部署在云服務商上面,其中有 529 個互聯網資產部署在阿里云上,是視頻會議行業中所使用云服務廠商最多的,這與其全國性的業務范圍和云服務商能力有一定關系,國外云服務商 beget 擁有 2 個視頻會議行業互聯網資產。視頻會議行業使用阿里云服務商云遷移比例最高為 72%。

Web應用安全漏洞詳細說明

image.png

2020 年視頻會議行業 Web 應用高危漏洞統計

2020 年,視頻會議行業評估的廠商中,對視頻行業廠商 404 個域名資產進行安全漏洞檢測,共發現中危漏洞 CSRF1316 個、信息泄露 1071 個、程序版本漏洞 252 個、拒絕服務 84 個、容器漏洞 51 個、TLS 漏洞 48 個、配置不當 41 個、注入 26 個、SSL 漏洞 20 個、XSS 跨站腳本 17 個、URL 跳轉漏洞 2 個、代碼執行 2 個、未授權訪問 2 個,總共 2932 個。

報告建議

1. 視頻會議行業已經具有國家關鍵信息基礎設施的屬性,并將在未來一段時間內發揮更加重要的作用,且具有非常高的成長性,需要得到額外的關注和保護。

2. 視頻會議行業的爆發迅猛,在強調功能和易用性的同時,安全和個人信息及隱私的保護也需要額外得到關注。

3. 熱點行業向來會招致攻擊者的青睞,近期不斷爆出的視頻會議行業內安全事件,說明攻擊者已經開始有所側重,因此行業安全聯盟和信息共享機制需要盡快建立和完善,以應對抗攻擊者帶來的潛在風險。

4. 視頻會議服務提供商、國家監管機構和安全服務供應商,三者通力配合才能保證視頻會議行業的快速、安全、健康的發展。


來源:云科安信

3d福彩下载安装