Рубрики:
- О бизнесе
- Сервисы для бизнеса
Системы видеосвязи: насколько они безопасны?
22.09.2020
В нынешних реалиях информационное поле вокруг систем видеоконференцсвязи перегрето. Каждый разработчик, как это обычно и бывает, рекламирует свой продукт, делая упор на «плюсы», и стыдливо умалчивая о «минусах». Совладелец и руководитель отдела ИБ компании «Акстел-Безопасность» Максим Прокопов рассмотрит одну из важнейших составляющих ВКС — обеспечение безопасности видеосвязи.
Стоит отметить, что обеспечение информационной безопасности при проведении корпоративных совещаний в системах видеоконференцсвязи (ВКС) сводится не столько к выбору системы, сколько к разработке сценариев использования и подбору правильных настроек. Какую бы систему компания не выбрала, при её некорректном использовании информация о совещаниях может оказаться в открытом доступе.
Как выбрать
В первую очередь необходимо рассмотреть лидирующие решения в области ВКС, а именно: Microsoft Teams, GoToMeeting, Zoom, Avaya, Polycom, Cisco Meeting, Blue Jeans, и определиться с соотношением «функционал-цена-качество».
Далее необходимо принять решение, будет ли компания содержать систему ВКС у себя в инфраструктуре или выберет облачный сервис. Зачастую разработчики предлагают оба варианта.
Размещение ВКС на инфраструктуре компании — это ресурсоёмкий и затратный вариант, однако он позволяет контролировать безопасность ВКС и своих конфиденциальных данных. «Наземные» (размещенные в инфраструктуре компании) ВКС более безопасны, так как никто, кроме ограниченного числа сотрудников, не имеет доступа к данным проводимых совещаний, компания может самостоятельно проверить состояние безопасности системы, и, при необходимости, оперативно закрыть найденные уязвимости.
Облачная ВКС — это раскрытие конфиденциальности, как минимум, для разработчика системы связи. Что бы разработчик ни говорил про сквозное шифрование и соглашение о конфиденциальности, проконтролировать соблюдение этих деклараций пользователь никак не сможет. При этом вероятность того, что информация, озвученная во время конференцсвязи, будет использована разработчиком в корыстных целях, мала.
Примеры облачных систем: Zoom, MSTeams, GoToMeeting.
Примеры «наземных» систем: Polycom, Avaya, Cisco Meeting.
В процессе выбора «кандидатов» на роль системы ВКС необходимо изучить их известные уязвимости, понять, насколько они критичны для конкретной компании и будут ли они опасны при том процессе использования ВКС, который планируется осуществлять. При этом надо понимать, что если система ВКС популярная, то она находится под более пристальным вниманием злоумышленников. А это значит, что уязвимости в ней находят и публикуют чаще, — следовательно, разработчики стараются закрыть их как можно быстрее. В менее популярных системах ВКС с высокой вероятностью могут быть необнаруженные критические уязвимости, которые не закрывают.
Таким образом, при использовании популярной ВКС, конференцию может взломать и специалист с низкой квалификацией, так как уязвимости и инструменты взлома к ней опубликованы. Но пользователь будет оперативно об этом узнавать и иметь возможность закрыть уязвимость.
Менее распространённые системы ВКС не имеют опубликованных уязвимостей, и, в большинстве случаев, для их взлома нужен специалист с высокой квалификацией. Но в этом случае у пользователя будет гораздо меньше пространства для манёвра и шансов отреагировать на взлом.
Как пользоваться
Для облачной ВКС:
• Важно использовать уникальный и надёжный пароль для учётных записей и проверенную рабочую почту для их регистрации.
• Необходимо найти раздел, связанный с шифрованием передаваемой информации и включить рекомендуемые параметры.
• Стоит внимательно изучить настройки, связанные с сохранением данных в облаке.
• При проведении конференцсвязи сеансы связи лучше делать закрытыми, а конференцию — защищённой паролем, чтобы избежать подключения посторонних.
• Присылаемую ссылку на конференцию нужно внимательно изучить перед нажатием, так как это может быть фишинговая страница.
• Если используемая ВКС мало распространена, стоит запросить у разработчика заключение о тестировании на проникновение, или анализе защищённости сделанного сторонними экспертами. Если таких документов нет — лучше посмотреть в сторону другого продукта.
Для «наземной» ВКС необходимо дополнительно обратить внимание на следующие моменты:
• Использование технологии, наложенной сверху сервиса virtual private network (VPN), в первую очередь для скрытия, опубликованного сервиса ВКС, и во вторую — для надёжного шифрования передаваемых данных. Почему наложенное шифрование передаваемых данных во вторую очередь? Ответ прост — практически все системы ВКС имеют встроенное шифрование данных.
• При публикации ВКС в сеть для проведения совещаний с внешними участниками, рекомендуется применять два основных сценария. Первый: использовать две системы ВКС, только одна из которых будет публиковаться вовне, а вторая (с использованием VPN) использоваться для обсуждения конфиденциальных вопросов внутри компании. Второй: использование единой системы, но при этом, обязательно проведение регулярных тестов на проникновение в систему.
Примеры из практики
При проведении тестирования на проникновение в компании из ТОП-100 РБК было обнаружено, что используемый веб-сервер системы ВКС некорректно отрабатывает запросы с использованием символов обратного пути «../», что позволяет получить любые файлы с сервера. Используя эту тривиальную, с точки зрения теории информационной безопасности, уязвимость, можно было получить любую запись переговоров. Эта уязвимость системы даже не требует написания специальной вредоносной программы, однако производитель не позаботился об анализе уязвимостей своей разработки.
Сейчас много говорят об опасности использования Zoom и множественных уязвимостях этой системы. Действительно в системе Zoom были найдены уязвимости, как и во всех без исключения крупных системах ВКС, в том числе и в MSTeams, и в Cisco Meeting. Широкая известность утечки данных из Zoom, скорее всего, связанна с конкурентной борьбой и растущей популярностью данной системы. Если уязвимости были найдены — они будут устранены. Необходимо отслеживать этот процесс, если компания пользуется Zoom.
Более печальная ситуация, если клиент использует систему, уязвимость в которой есть, но она не освещена перед широкой публикой, а, возможно, и вовсе ещё не найдена. Необходимо обратить внимание что подавляющее большинство утечек произошло из-за небезопасных настроек конференций, а не из-за уязвимостей.
Итог:
1. Абсолютно безопасных систем ВКС не существует.
2. Обеспечение информационной безопасности систем ВКС, как и любых ИТ-систем, требует регулярной и вдумчивой работы, что чаще всего невозможно осуществить силами внутренних сотрудников.
3. Первичное внимание при использовании систем ВКС должно уделяться корректным настройкам.
Подписаться на рассылку
status-media.com
Отправляя форму вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности
Добавить комментарий
Для того, чтобы оставить комменатрий вам необходимо зарегистрироваться!