Como proteger apps de videoconferência

Os apps de videoconferência oferecem muitos benefícios, mas também apresentam às organizações o desafio de garantir que seus funcionários – e os dados com os quais trabalham – permaneçam seguros ao usar esses apps.

Em nossas previsões de segurança para 2020, destacamos que a força de trabalho moderna agora tem acesso a opções além da configuração tradicional do escritório e, é verdade, a pandemia de coronavírus (COVID-19) em andamento mudou a forma como muitas pessoas trabalham. Com as empresas implementando acordos de trabalho remoto (WFH) para seus funcionários, muitas organizações agora estão recorrendo a ferramentas de videoconferência, como Zoom, Microsoft Skype e Cisco Webex.

Embora esses apps ofereçam muitos benefícios, principalmente permitindo uma transição quase perfeita da comunicação direta para a digital, eles também apresentam às organizações o desafio de garantir que seus funcionários – os dados com os quais trabalham – permaneçam seguros ao usar esses apps.

Ameaças a softwares de videoconferência

Com o que exatamente as empresas precisam se preocupar quando se trata de seu software de videoconferência?

Vulnerabilidades, por um lado. Os agentes de ameaças não têm problema em usar tudo a seu alcance e estão sempre atentos a qualquer falha ou vulnerabilidade que possam explorar para desencadear ataques maliciosos. Por exemplo, no início de 2020, uma vulnerabilidade no Webex permitiu que usuários não autenticados participassem de reuniões privadas apenas com o ID da reunião e um app Webex móvel.

Outro problema que vem circulando recentemente são os incidentes em que usuários não convidados interrompem as reuniões de videoconferência existentes que não possuem autenticação por senha, simplesmente obtendo acesso aos IDs das reuniões. Embora isso possa parecer um aborrecimento pequeno, pode se transformar em um grande problema quando a referida reunião envolve informações altamente sensíveis e confidenciais. Além disso, os agentes de ameaças também podem usar a parte de bate-papo dessas ferramentas para espalhar links maliciosos ou fazer upload de arquivos.

Os esquemas de engenharia social que se aproveitam do aumento do uso de software de comunicação digital também estão em ascensão. Por exemplo, mais de 1.700 novos domínios relacionados ao Zoom foram registrados em 2020 no final de março, sendo que um grande número deles estava ocorrendo durante a segunda metade do mês.

Felizmente, as empresas têm opções que abordaremos na próxima seção. Também descreveremos algumas práticas recomendadas que as organizações podem implementar para fortalecer a segurança de suas configurações de trabalho em casa.

Porém, antes de entrar em detalhes, pode ser uma boa ideia reexaminar se o software que você está usando ainda atende às suas necessidades específicas. As empresas tendem a se manter ligadas ao que sabem – há uma tendência a seguir o status quo se este ainda funcionar. No entanto, as organizações também podem presumir e um sistema que funcionou em uma configuração baseada em escritório continuará sendo eficaz ao fazer a transição para um ambiente de trabalho remoto. Pode ser que isso nem sempre seja verdade, principalmente quando se considera os requisitos de segurança da organização. Por exemplo, com funcionários trabalhando em casa, há uma necessidade ainda maior de criptografar áudios e vídeos – um fator que deve ser considerado ao manter ou alterar o software de videoconferência existente.

Dicas para proteger o ambiente de videoconferência

Sempre se certifique de que as reuniões estejam protegidas por senha. Incidentes envolvendo pessoas que entram sem terem sido convidadas nas reuniões – popularmente conhecidos como “Zoom bombing” – geralmente ocorrem devido a dois fatores: primeiro, o usuário externo consegue obter o ID da reunião, intencional ou acidentalmente; e segundo, a reunião é configurada sem uma senha. Embora o primeiro fator possa não ser algo que a organização possa controlar, a definição de uma senha para todas as reuniões de videoconferência deve ser obrigatória.

Não compartilhe informações de reuniões em plataformas públicas. Os brincalhões – e às vezes aqueles que são coisa pior – podem obter acesso a reuniões de videoconferência sem segurança simplesmente tendo as informações de identificação da reunião.  Embora possa parecer conveniente compartilhar informações sobre reuniões em plataformas públicas como mídias sociais, os usuários devem evitar fazê-lo, pois isso pode levar a interrupções e outras atividades maliciosas. Observe que apps como o Zoom fornecerão aos usuários um ID de reunião pessoal, que é essencialmente – como o nome indica – um espaço de reunião pessoal para o usuário.

Use controles de host para seu próprio bem. Os apps de videoconferência geralmente oferecem “controles de host” que permitem ao host moderar uma reunião, por exemplo, gerenciando ou removendo participantes ou bloqueando completamente a sala de reuniões. Esta última é uma boa ideia para evitar interrupções após o início da reunião. Outra medida prudente que os hosts podem adotar é desativar o compartilhamento de tela automática para os participantes, a fim de impedir que os potenciais invasores compartilhem qualquer material ofensivo.

Utilize salas de espera ou lobbies. A maioria dos apps de videoconferência possui um recurso de sala de espera ou lobby, onde os participantes podem esperar antes de participar da reunião. Essas salas de espera oferecem ao organizador da reunião a capacidade de controlar quando e quantas pessoas podem participar de uma reunião específica em um determinado momento. Esse recurso também permite que o host verifique quem está tentando ingressar na reunião.

Notifique os usuários se a reunião estiver sendo gravada. Embora pareça que isso não tem relação com segurança à primeira vista, os hosts ainda devem lembrar os participantes da reunião se uma reunião será gravada para garantir que todos estejam alinhados quando se trata de questões de privacidade.

Desative os recursos de transferência de arquivos. Os agentes de ameaças que desejam se aproveitar da crescente popularidade dos apps de videoconferência às vezes usam salas de reunião ou salas de bate-papo para fazer upload de arquivos baixados sem querer pelos participantes. Para minimizar a chance de isso acontecer, o host da reunião deve desativar os recursos de transferência de arquivos e, em vez disso, usar outros métodos, como e-mail, para enviar arquivos.

Sempre atualize para a versão mais recente. Os patches existem por um motivo – para adicionar novos recursos ou corrigir bugs e vulnerabilidades, muitos dos quais podem ser aproveitados por elementos maliciosos que procuram falhas de software que podem ser exploradas. Os usuários sempre devem atualizar seu app para a versão mais recente para solucionar vulnerabilidades.

A situação atual tornou a videoconferência uma parte indispensável do trabalho remoto – e isso provavelmente se estenderá para além do retorno à normalidade. À medida que esses tipos de apps se tornam mais comuns e mais integrados ao ambiente de negócios, a segurança se torna um problema ainda mais significativo. Embora essas práticas recomendadas não sejam soluções infalíveis para segurança de videoconferência, elas ajudarão as organizações e os usuários individuais a terem uma experiência melhor e mais segura. 

Quer mais dicas e recomendações para se manter seguro durante a pandemia e depois? Confira nosso Trend Connect mais recente e veja o que nossos especialistas compartilharam acerca do novo normal.