您所在的位置:网站首页 /学会动态 / 行业新闻

「2020 中国视频会议行业网络风险报告」发布

2020-05-25 15:09

       近年来,中国视频会议产业随着国家相关政策的引导及互联网经济的发展日驱成熟,产业链向着更加多元化、精细化方向发展,视频会议产业生态日渐完善。在传统的硬件视频主导先行的发展大背景下,随着企业端为适应云化环境而设置的相关部署及软硬件配套升级,「云视频」成为该行业领域未来的发展的必然趋势。

       随着视频会议行业的不断蓬勃发展,「云视频」技术的应用场景不断延伸至教育、医疗、党建、金融、税务等多新兴领域,诸如」双师课堂、智能医疗、远程会诊、基层减负、智慧党建」等具体细分领域发展迅猛。一方面,云视频技术的不断更迭和发展支撑着多维度细分场景的逐步实现,另一方面,产业的发展和细分行业参与者的不断参与也促使云频各细分领域技术的发展日趋成熟。

       相较于传统视频会议系统,云视频诞生于「互联网+」时代,具备更加优秀的技术基因,具有成本较低、架构灵活、处理高效等方面的巨大比较优势,也因此可将技术纵深至更加垂直、细分的应用场景中。不可否认的是,云视频技术的便利性及高迭代等特点也对于视频会议行业在「数据安全性保护」和「个人数据隐私性保护」等方面提出了更高的要求,针对诸如网络攻击、恶意窃取、信息拦截、信息监听等关键风险点的前置防范及安全预警能力要求较高。

       近日,Seraph 网络安全实验室发布「2020 中国视频会议行业网络风险报告」(以下简称「报告」)。报告通过对国内视频会议行业的调研,分析当前视频会议行业的整体安全状况、应用弱点、主机漏洞。通过翔实的数据,展示行业面临的潜在系统性风险,并提出相应的处置建议。


报告发现

视频会议的使用场景更加广泛,视频会议行业面临的风险压力倍增,其中大型视频会议厂商面临的互联网风险更为严重。

从安全漏洞统计来看,小型视频会议厂商受网络安全风险威胁相对较小。

60% 的视频会议厂商使用了公有云服务,主要以阿里云和腾讯云为主。云服务在视频会议行业整体互联网服务中占比较高。

采样视频会议厂商中共发现,所有主机资产存在 1181 个 CVE 高危安全漏洞,其中数量最多的是「SSL 采用中等强度加密(SWEET32 攻击)」。

采样视频会议厂商中共发现,所有 Web 资产存在 385 个高危安全漏洞,其中数量最多的是「XSS 跨站脚本攻击」。

image.png

CVE 漏洞分布 数据标签分别为:编号,数量,占比

视频会议行业安全数据概况

Seraph 安全实验室对 58 家视频会议行业厂商的互联网资产和面临的网络风险进行了重点分析,共采集视频会议行业共计 2928 个互联网资产,其中域名 404 个,IP 地址 428 个,端口 2096 个;网络风险共计 7762 个,其中包括 Web 高危漏洞 385 个,Web 中危漏洞 2932 个,Web 低危漏洞 1825 个,主机紧急漏洞 116 个,主机高危漏洞 296 个,主机中危漏洞 2208 个。

image.png

2020 年视频会议行业网络安全风险概况

根据上表可知:①视频会议行业网络安全风险状况不容乐观;②Web 应用高危漏洞和主机高危漏洞两者危害较大而且数量存在漏洞数量很多;③Web 中危漏洞和主机中危漏洞的数量最高,虽然风险会比高危漏洞小但是可能会对生产环境造成巨大影响。网络风险依旧严峻,要自始至终坚持安全防范意识,逐步采取全面、可行的安全防护措施,把安全风险降低到最小程度。

视频会议行业互联网资产分析

image.png

2020 年视频会议行业云服务厂商统计

视频会议行业有 60% 的资产进行了云迁移部署在云服务商上面,其中有 529 个互联网资产部署在阿里云上,是视频会议行业中所使用云服务厂商最多的,这与其全国性的业务范围和云服务商能力有一定关系,国外云服务商 beget 拥有 2 个视频会议行业互联网资产。视频会议行业使用阿里云服务商云迁移比例最高为 72%。

Web应用安全漏洞详细说明

image.png

2020 年视频会议行业 Web 应用高危漏洞统计

2020 年,视频会议行业评估的厂商中,对视频行业厂商 404 个域名资产进行安全漏洞检测,共发现中危漏洞 CSRF1316 个、信息泄露 1071 个、程序版本漏洞 252 个、拒绝服务 84 个、容器漏洞 51 个、TLS 漏洞 48 个、配置不当 41 个、注入 26 个、SSL 漏洞 20 个、XSS 跨站脚本 17 个、URL 跳转漏洞 2 个、代码执行 2 个、未授权访问 2 个,总共 2932 个。

报告建议

1. 视频会议行业已经具有国家关键信息基础设施的属性,并将在未来一段时间内发挥更加重要的作用,且具有非常高的成长性,需要得到额外的关注和保护。

2. 视频会议行业的爆发迅猛,在强调功能和易用性的同时,安全和个人信息及隐私的保护也需要额外得到关注。

3. 热点行业向来会招致攻击者的青睐,近期不断爆出的视频会议行业内安全事件,说明攻击者已经开始有所侧重,因此行业安全联盟和信息共享机制需要尽快建立和完善,以应对抗攻击者带来的潜在风险。

4. 视频会议服务提供商、国家监管机构和安全服务供应商,三者通力配合才能保证视频会议行业的快速、安全、健康的发展。


来源:云科安信