报告发现
采样视频会议厂商中共发现,所有Web资产存在385个高危安全漏洞, 其中数量最多的是“XSS跨站脚本攻击”。
CVE漏洞分布
数据标签分别为:编号,数量,占比
视频会议行业安全数据概况
根据上表可知:①视频会议行业网络安全风险状况不容乐观;②Web应用高危漏洞和主机高危漏洞两者危害较大而且数量存在漏洞数量很多;③Web中危漏洞和主机中危漏洞的数量最高,虽然风险会比高危漏洞小但是可能会对生产环境造成巨大影响。网络风险依旧严峻,要自始至终坚持安全防范意识,逐步采取全面、可行的安全防护措施,把安全风险降低到最小程度。
视频会议行业互联网资产分析
视频会议行业有 60% 的资产进行了云迁移部署在云服务商上面,其中有529 个互联网资产部署在阿里云上,是视频会议行业中所使用云服务厂商最多的,这与其全国性的业务范围和云服务商能力有一定关系,国外云服务商beget拥有2 个视频会议行业互联网资产。视频会议行业使用阿里云服务商云迁移比例最高为 72%。
Web应用安全漏洞详细说明
2020年视频会议行业Web应用高危漏洞统计
2020年,视频会议行业评估的厂商中,对视频行业厂商404个域名资产进行安全漏洞检测,共发现中危漏洞CSRF1316个、信息泄露1071个、程序版本漏洞252个、拒绝服务84个、容器漏洞51个、TLS漏洞48个、配置不当41个、注入26个、SSL漏洞20个、XSS跨站脚本17个、URL跳转漏洞2个、代码执行2个、未授权访问2个,总共2932个。
报告建议
1. 视频会议行业已经具有国家关键信息基础设施的属性,并将在未来一段时间内发挥更加重要的作用,且具有非常高的成长性,需要得到额外的关注和保护。
2. 视频会议行业的爆发迅猛,在强调功能和易用性的同时,安全和个人信息及隐私的保护也需要额外得到关注。
4. 视频会议服务提供商、国家监管机构和安全服务供应商,三者通力配合才能保证视频会议行业的快速、安全、健康的发展。
视频会议服务作为疫情条件下,有效缓解交流场景的支撑技术,已经具有重要基础设置的属性和特征。因此会控系统及会议支撑资产的安全性,成为必须面对的迫切问题。如何让视频会议服务更安全,需要整个生态系统的共同努力,报告希望在这个重要的时间节点,提醒大家关注行业安全。报告分为官方该要版和技术研讨版,本次发布的是官方概要版,以统计、分析、趋势、建议为主,不包含详细的技术细节内容。如需要详细技术探讨,请与Seraph实验室取得联系。Seraph安全实验室,隶属于北京云科安信,主要提供安全能力输出。
联系客服