漏洞安全問題，終究是給Zoom上了一課。

[[321043]]

3個月，1.9億用戶，股價下跌16%

3個月新增1.9億用戶。在新冠疫情全球爆發(fā)之際，9歲的Zoom迎來了機(jī)會。

根據(jù)公開數(shù)據(jù)，在創(chuàng)紀(jì)錄的一周下載量中，Zoom 的下載量是 2019 年第四季度美國每周平均下載量的 14 倍。遠(yuǎn)程辦公的熱潮中，發(fā)力云視頻會議的Zoom真實(shí)地做到了“一口吃成一個胖子”，意氣風(fēng)發(fā)莫過于此。

如果沒有后面的事，大抵Zoom會成為疫情期間最大的企業(yè)贏家，成為一樁商界美談。

可惜，沒有如果。

• 3 月 26 日，Motherboard指出，在 iOS 系統(tǒng)下載或打開 Zoom App 時，App內(nèi)嵌的 Facebook SDK會向Facebook 傳送用戶的手機(jī)型號、時區(qū)、城市、運(yùn)營商以及廣告唯一標(biāo)識符等信息，而 iOS 版本的 Zoom甚至沒有在隱私條款中提前說明，就將用戶數(shù)據(jù)共享給Facebook。
• 隨后，Zoom承認(rèn)了漏洞。
• 3 月 28 日， SpaceX 發(fā)給員工的一封電子郵件中要求員工立即停止使用 Zoom。信中是這么說的：“我們知道，我們中的很多人正在使用這一工具進(jìn)行會議。但請使用電子郵件、短信或者電話作為代替通信的手段。”
• 3月30日，美國聯(lián)邦調(diào)查局(FBI)波士頓辦公室發(fā)布了關(guān)于 Zoom 的警告，提醒大家不要在 Zoom 進(jìn)行公開會議或者廣泛分享鏈接，甚至還談到此前已經(jīng)發(fā)生了多起身份不明的人入侵學(xué)校網(wǎng)絡(luò)課程的事件。
• 3 月 31 日，Zoom 再次被曝漏洞。Windows版 Zoom App爆出容易受到 NUC 路徑注入攻擊。由于Zoom 的“公司目錄”下會展示使用同一郵箱域名的同事姓名、頭像和郵箱，導(dǎo)致如果用戶用私人郵箱注冊，可能會看到同樣使用該郵箱域名的陌生人，而攻擊者利用聊天模塊的漏洞，能夠竊取點(diǎn)擊相關(guān)鏈接的用戶的 Windows 登陸憑據(jù)，允許訪問受害者的麥克風(fēng)和攝像機(jī)。
• 與此同時，美國航天局發(fā)言人斯蒂芬妮·希爾霍爾茨也表示，NASA 也已經(jīng)禁止員工使用Zoom 。

數(shù)據(jù)泄露、安全隱患、漏洞頻出……讓Zoom的快速擴(kuò)張受到了質(zhì)疑聲。而來自FBI、SpaceX、NASA的態(tài)度，讓事態(tài)進(jìn)一步惡化。

受安全漏洞事件的影響，開盤前Zoom股價一度下跌16%。開盤約一小時后，股價下挫逾7%。CEO袁征(Eric Yuan)出面為漏洞事件道歉。Zoom宣布凍結(jié)新功能。

3個月，大起大落。最后留下的是Zoom對公眾的一概承諾：

• 立即凍結(jié)添加新功能;
• 立即轉(zhuǎn)移所有工程資源以專注于最大的信任，安全和隱私問題;
• 與第三方專家和代表用戶進(jìn)行全面審查，以了解并確保Zoom所有新消費(fèi)者使用案例的安全性;
• 準(zhǔn)備透明度報(bào)告，詳細(xì)說明與數(shù)據(jù)，記錄或內(nèi)容請求有關(guān)的信息;
• 增強(qiáng)當(dāng)前的漏洞賞金計(jì)劃;
• 進(jìn)行一系列白盒滲透測試，以進(jìn)一步發(fā)現(xiàn)和解決問題。

漏洞事件帶來的一系列多米諾骨牌效應(yīng)，最終讓Zoom囿于困境。

安全漏洞對企業(yè)的影響

對于Zoom來說，這幾乎是魔幻與現(xiàn)實(shí)并存的3個月，而將其從飛速擴(kuò)張的美夢中叫醒的罪魁禍?zhǔn)拙褪?ldquo;漏洞”。

漏洞對于企業(yè)來說有多重要?成也漏洞，敗也漏洞。

成，企業(yè)在漏洞檢測、挖掘、管理上形成體系，隨時隨刻地查“漏”補(bǔ)缺，不僅能夠強(qiáng)化企業(yè)安全能力，保障業(yè)務(wù)的順利開展，適當(dāng)披露已修復(fù)的漏洞還能增強(qiáng)用戶對企業(yè)的信任。

敗，可以參考Zoom，或者更直接點(diǎn)，根據(jù)IBM的2019年數(shù)據(jù)泄露成本報(bào)告，美國數(shù)據(jù)泄露的平均成本為819萬美元。公司平均需要206天才能識別出泄露，嘗試解決這些問題則平均需要38天，漏洞給企業(yè)帶來的是直觀的高成本代價，同時，還有一系列信譽(yù)損失、業(yè)務(wù)難以維系、用戶流失等問題。

可以說，漏洞引發(fā)的安全問題幾乎成為企業(yè)業(yè)務(wù)開展的生命線。從Zoom事件中，我們或許應(yīng)該深入思考如何降低安全漏洞對企業(yè)的威脅。

1. 安全是業(yè)務(wù)長遠(yuǎn)發(fā)展的根基

為什么Zoom在過去9年都沒有發(fā)現(xiàn)的漏洞卻在最近1個月里被曝光。企業(yè)在收獲用戶激增的紅利下，有沒有思考用戶量提升后帶來的安全問題很重要。

在1000萬用戶規(guī)模下，如果企業(yè)認(rèn)為“定期的漏掃就足夠了”、“內(nèi)部能夠自己能發(fā)現(xiàn)、解決漏洞”，可一旦遇見用戶量大躍升等情況，再去做漏洞管理就來不及了，那些隱藏的漏洞會被外部(記者、安全研究人員、用戶等)提前發(fā)現(xiàn)、披露。顯然，從1000萬用戶到2億用戶，雖然Zoom做出了一些安全舉措(刪除了iOS客戶端中的Facebook SDK、更新了隱私政策)，但顯然還不夠、來不及。

在”致Zoom用戶的一封信”中提到：因?yàn)橛脩魯?shù)的激增，Zoom 員工一直都在全天候工作。因?yàn)?ldquo;在設(shè)計(jì)這款產(chǎn)品時并沒有預(yù)見到，在短短幾周內(nèi)，全球各地的人們突然緊急開始在家辦公、學(xué)習(xí)和社交?，F(xiàn)在，我們有了更廣泛的用戶群體，他們正以各種意想不到的方式使用我們的產(chǎn)品，這給我們帶來的挑戰(zhàn)是我們在設(shè)計(jì)平臺時所沒有預(yù)料到的。”

因此，我們一直強(qiáng)調(diào)安全一定是企業(yè)業(yè)務(wù)長遠(yuǎn)發(fā)展的根基。在2億用戶規(guī)模下安全建設(shè)很重要，1000萬用戶規(guī)模下安全建設(shè)也不能忽視，讓業(yè)務(wù)從開始就融入安全的理念，才能應(yīng)對突發(fā)的威脅，保障業(yè)務(wù)的長遠(yuǎn)發(fā)展。

2. 重視漏洞全生命周期管理

目前披露的2個Zoom漏洞是如何披露的?是媒體記者、安全研究人員對外發(fā)聲。這個過程中沒有給Zoom留下足夠的反應(yīng)和漏洞修補(bǔ)時間。

漏洞的披露暴露了Zoom在漏洞管理上的不足。有趣的是，我們發(fā)現(xiàn)了2019年Zoom對于用戶上報(bào)2個的漏洞的處理：

談到漏洞的全生命周期落地，這并不容易，但是企業(yè)成長的過程中必須要做的一個事情。生命周期包括了漏洞發(fā)現(xiàn)、漏洞跟蹤和漏洞記錄。也就是先發(fā)現(xiàn)漏洞，然后跟進(jìn)、修復(fù)漏洞，最后要將各種情況的漏洞以及漏洞處理措施記錄在案。

然而，由于企業(yè)的安全能力有限度，僅僅依靠內(nèi)部的安全團(tuán)隊(duì)很難真正地及時發(fā)現(xiàn)所有潛在的漏洞(這也是出現(xiàn)被攻擊者利用的0day的主要原因之一)。第一步的發(fā)現(xiàn)沒有做好，后續(xù)的跟進(jìn)與修復(fù)自然無法進(jìn)行。因此，隨著企業(yè)安全建設(shè)的不斷深入，可以拓展漏洞發(fā)現(xiàn)渠道，譬如企業(yè)SRC(安全應(yīng)急響應(yīng)中心)、國家信息安全漏洞共享平臺、第三方漏洞提交平臺(如漏洞盒子等)。越來越多的企業(yè)開始擁抱眾測模式，通過白帽子的接入與鏈接，強(qiáng)化企業(yè)的安全能力。

同時，為規(guī)范網(wǎng)絡(luò)安全漏洞報(bào)告和信息發(fā)布等行為，避免漏洞夸大披露乃至被惡意利用的情況，2019年我國工信部發(fā)布了《網(wǎng)絡(luò)安全漏洞管理規(guī)定(征求意見稿)》，企業(yè)落地網(wǎng)絡(luò)安全漏洞管理時可以以此為參考。

最后，企業(yè)還可以適當(dāng)通過漏洞獎勵、強(qiáng)化漏掃等手段進(jìn)一步加強(qiáng)與安全研究/從業(yè)人員的交流，使其不是簡單直接向公眾公開披露。