Zi 字媒體

背景圖片來源：by Pete Linforth on Pixabay       　　視訊會議軟體 Zoom 有幾個資安風險值得注意。   　　首先是該平台被發現多個新的程式軟體漏洞：其中一個可以讓駭客竊取 Windows 密碼，另外兩個可能讓駭客從遠端在受害的 Mac 電腦上安裝惡意程式並監聽會議進行。   　　不過，絕大多數的新聞報導和大眾輿論都聚焦在所謂的「Zoom 炸彈客（Zoom-bombing）」上。   　　「Zoom   炸彈客（Zoom-bombing）」，也就是一些不請自來的使用者破壞教學或會議的進行。這通常發生在會議識別碼（Meeting ID）經由社群媒體分享的半開放大型活動。如果會議沒有設定密碼，而且與會人員沒有過濾機制，就可能會出現 Zoom 炸彈客，輕則開玩笑、惡作劇，重則發送激烈言論、播放色情內容或者利用其他方式來亂入擾亂。   　　「Zoom   炸彈客（Zoom-bombing）」的威脅，不只來自惡意的外部人，也會來自有心的內部人。在學校教育方面，內部人有可能包括職員、老師等，甚至是學生；在工作開會場合，內部人有可能包括與會人士在內等。   　　這就衍伸了一個重要資安概念和議題：「零信任（Zero Trust）」。   　　「零信任」的概念，與傳統的安全防護模式相比，從本質上已經不再預設任何的信任，從而指出邊界防護策略的局限性，而在實際作法上，所有安全管制作法針對的目標預設就是「全部」的使用者、載具裝置、應用程式、資訊來源和網路流量。簡單來說，我們必須從原本習慣的「信任並驗證（trust but verify）」的認知調整為「驗證且持保留態度（verify and never trust）」。   　　我們經常習慣性忽略掉內部防護的部分，誤以為比較安全而有所鬆懈，因此最好一視同仁，對於保護網路外部與內部的作法都必須同樣嚴密、毋枉毋縱！   　　另一個部分則是權限控管的方式也要跟著調整，改以最低權限及嚴格管制的方式，不給予過高的存取授權許可，每個使用者和處理程序只能在有限範圍內執行，如此就算遭到惡意程式濫用，所造成的影響範圍也會跟著限縮。   　　不輕易信任，必須充分驗證，確認安全無虞，建立信任基礎。       資訊來源：   ▓All Your Zoom Classes are Belong to Us ／ The K-12 Cybersecurity Resource Center ▓【肺炎抗疫】使用 Zoom 開視訊會議前，必須確認的資安基本要點／趨勢科技 ▓Using Zoom? Here's how to keep your business and employees safe ／ TREND MICRO ▓Zero Trust Network：威脅無所不在，不輕易信任才能確保資安／ iThome   創作者介紹 Huang 福爾摩沙　太平洋島嶼上的孩子們