Skype的風險與控管策略

作者: Fred Wang (FW知識瑣記) 日期: 2012/2/16

Skype在企業使用上可節省大量的通話費用，但是相對於其他VoIP具有較高的資安風險。Skype的風險如下：

1.缺乏版本與更新控管，產生安全性風險 : 使用者自行下載Skype Client，企業內將存在許多不同版本的client, 許多未更新的版本將造成安全性風險

2.通話加密，產生資安的風險 : a. 傳統網路安全機制無法分析進入的流量以防制惡意軟體 b.無法分析並紀錄傳出的流量，造成敏感性資訊洩漏的危險。

3.Skype採用P2P分享機制，影響網路頻寬

4.特有的傳訊標準，無法以標準的防火牆進行管制 : 會自行尋找未鎖住的port進行傳輸，且不具固定的伺服器，容易產生後門，增加木馬與病毒程式攻擊的風險(TROJ_SPAYKE.C為專門監聽並側錄 Skype 所撥打的電話的木馬程式。)

5.Skype未獲得外部安全認證，可能隱藏未知的安全性弱點 : 一般IP電話供應商會取得FIPS 140-2認證與CC認證

Gartner建議企業根據風險的容忍度，採用不同的Skype安全控管策略

中度安全性 : 使用Skype企業版本進行集中設定與Skype client版本的控管
a.禁止自行下載使用Skype的消費者版本，一律採用統一更新的企業版本
b.申請使用Skype，一律需透過企業正式的簽核程序，簽核過後由IT安裝並進行控管，並將檔案傳遞功能關閉。
c.使用者電腦安裝端點安全軟體

高度安全性 : 使用中度安全性建議並透過proxy管控Skype流量
a.Skype流量透過HTTP/HTTPS代理伺服器集中控管，發生安全性威脅時可立即關閉該點的存取服務。
b.透過SSL/SOCKS5代理伺服器對將存取Skype服務的使用者進行身分認證，關閉P2P分享。

低度安全性 : 允許使用Skype消費者版本，但建議使用者進行安全性強化的設定

近年來有許多Skype管理的軟硬體技術，可以提供多種控管的解決方案。Skype的六種管理技術請參考iTHome,"如何管理員工的Skype使用行為"一文



Gartner提供Skype資安控管策略，越高的安全性控管策略所需花費的成本越高。因此企業在採用Skype策略與管理解決方案前應進行TCO分析。