从ZOOM炸弹事件,看toB视频会议的安全防线

发布日期:2020/04/16来源:

“我确实搞砸了。”面对媒体采访时,ZOOM创始人兼首席执行官Eric Yuan(袁征)并没有推诿责任,他承诺将ZOOM所有工程资源向安全倾斜,停更90天以修复漏洞。与此同时,袁征还请了前Facebook安全总监协助应对困扰ZOOM的隐私安全问题。

现在回想一下,新冠疫情给ZOOM带来的高光并不持久——从用户量激增20倍、股价拉升近50%到遭受各国政务机构和大客户封杀禁用,ZOOM只用了4个月的时间。



无独有偶,疫情期间大规模扩容的腾讯会议APP也紧急启动了为期一个月的百万现金漏洞悬赏计划,生怕走了ZOOM的旧路。

疫情已经在全球爆发了,可能一直持续到明年,政府、企事业单位以及个人为了恢复正常的工作秩序,势必会逐渐接受远程视频会议等办公方式。一定程度上来说,疫情加速释放了视频会议的市场潜能,让这个并不显眼的行业走上了风口,至于这个风口上能不能产生独角兽,目前仍是未知数。唯一可以肯定的是,用户信息安全已经成了视讯行业的达摩克利斯之剑。

 

理清并区别对待B端与C端用户需求


视频会议刚引入国内时,因为专业、昂贵及自身属性等原因,它主要是面向政府机构和大型企事业单位的,一直很难向C端个人用户渗透。

2011年ZOOM刚成立时,软件视频会议领域已经相当成熟了,既有袁征的老东家思科WebEx,也有微软Skype、谷歌Hangouts等巨头。为了挤进这个红海市场,ZOOM选择了以“极致的用户体验”作为差异化突破口,强调不管是在windows/Mac电脑,还是智能手机上或网站,都能实现一键开会,随手可用,不需要加密邮件、语音信箱等验证手段。ZOOM创始人袁征曾对媒体说起自己在WebEx做研发的经历,“往往精心打磨的功能,不一定是用户最想要的”,他认为易用才是王道。

为此,ZOOM在易用性和实用性下足了功夫,其重要性甚至排在了安全之前。在2017年推出的ZOOM 4.0版本,主要提升了第三方开放平台能力,通过丰富API接口和跨平台SDKs、Mobile RTC,进一步加强了开放性,让ZOOM可以内嵌在所有安卓、iOS移动应用(APP)中,并且可以将会议链接直接分享到Facebook、Twitter等社交平台,对于普通用户来说,这种升级无疑是相当友好的。从当时的市场反馈来看,ZOOM模式是被看好的,两年之后,ZOOM成功在美国纳斯达克上市,市值接近200亿美元(现在395亿左右),成为视讯行业的当红辣子鸡。



在发展之初,也就是2014年之前,ZOOM一直瞄准着个人用户,“教育和企业用户是意外的惊喜”,这与ZOOM创始人袁征的个人经历有关。在他大学期间,为了和异地女朋友见面,总是要等到寒暑假,要坐火车,所以他希望发明一种设备,点一下就能实现远程见面,基于这种初心,他有着为普通人解决“距离带来情感隔阂”问题的情怀。

对于C端普通用户来说,ZOOM的确做到了淋漓极致。但是当它想要转向需求更多、价值更高的B端企业用户和G端政府用户,这种基于普通用户的产品思维和产品设计便逐渐暴露出问题了,毕竟相对个人来说,企业、尤其是政府单位都不会为有安全漏洞的视频会议产品买单,它们绝对不敢带着商业机密、政府秘密在互联网上裸奔。曾经有一位行业大佬说“中国人愿意用隐私交换便捷”,但这种“隐私论”明显不适用于上述两种用户,这也是谷歌、FBI等大用户光速禁用ZOOM的重要原因。


 

如何筑牢toB视频会议的安全防线?


在国内,政务视频会议(包括国企、事业单位等)仍然是主流。

自2013年斯诺登事件、尤其是2018年中美贸易摩擦不断升级以来,信息安全已经上升到了国家战略层面,并提出了“没有网络安全就没有国家安全”的论断。我国国家互联网应急中心曾在媒体采访中提及“中国是网络攻击主要受害国”,既有操作系统和应用程序层面的安全漏洞,也在芯片等核心领域被西方国家卡脖子。

前段时间,当国内新冠疫情十分危急时,还出现了境外黑客攻击我国医疗机构,试图窃取敏感数据的恶性事件。

在这种背景下,该如何筑牢toB视频会议安全防线,才能保证信息安全?从国内专业聚焦政务视频会议的厂商经验来看,主要要从以下几个方面来把控——

要有全局可控的安全意识。传统硬件视频会议厂家要从最底层的芯片、硬件以及操作系统、加密方式等多个维度入手,做到真正的全流程自主可控。目前,备受关注的国产CPU已经有了龙芯和飞腾,在此基础上配合中标麒麟操作系统,已经可以实现全业务、全场景的高清视频会议服务了;国密算法已经从SM1-SM4分别实现了对称、非对称、摘要等算法功能,并在金融等重要领域推广应用了。因此,对各大视讯厂商来说,当务之急是实现产品与龙芯、飞腾及中标麒麟等生态的兼容互认,并努力实现国密。



基于云网络提供视频会议服务,不管是公有云、私有云还是混合云的服务模式,云平台都要兼顾身份认证安全、传输加密安全、物理安全以及用户信息保存等多个方面,避免ZOOM式裸奔。

与此同时,还要深挖AI+安全的潜力,就当前来说,可落地的AI能力是评估一家企业实力水准的重要指标。许多视频会议服务商已经在利用AI提升用户体验、产品功能了,比如通过人脸识别进行会议点到、会议背景幕布切换,语音识别进行会控会管、会议纪要整理输出等等。但这些仍然还不够,还要加强AI在安全方面的赋能,比如通过AI自动、不间断地进行安全巡查和漏洞评估,并实现快速定位,精准拦截。现在华为、腾讯、阿里和百度等巨头都把AI作为自身的核心能力,可以预估的是“没有AI能力的厂商,难以把握未来”。

 

对整个视讯行业来说,ZOOM事件是一次极为重要的警醒,远程视频会议要真正地融合生活和工作,就一定要不断平衡“安全”和“易用实用”的关系,在取舍之间,更多地做到以用户为中心。


TAGS:视频会议安全国密

Baidu
map