安全研究人员Jonathan Leitschuh发布了一个详细的报道,内容涉及他在Zoom视频会议服务中发现的漏洞,这些漏洞允许潜在的拒绝服务攻击,不必要的会议加入(可能是麦克风和摄像头激活),以及也许最令人不安的是,在卸载时留下的Web服务器常驻程序,无需用户同意即可重新安装Zoom客户端,以及将人员加入Zoom会议。
No Jitter的Beth Schultz报道了这个故事,而Zoom给出了回应,TalkingPointz的撰稿人和分析师Dave Michels提供了一个深思熟虑的关于Zoom回应的回顾以及此事件引发的持续问题。
安全故事上周继续,Slack宣布重置其认为在2015年数据泄露事件中遭受入侵的帐户的所有用户密码,以及思科杰出安全工程师Jeremy Laurenson关于如何允许微软团队的访客帐户的新贴,这意味着组织失去了共享到其他Teams实例的数据控制。Jeremy的帖子回应了我在2018年5月发表在No Jitter帖子中提到的客户账户相关问题。
可悲的是,最近与安全相关的故事强调了缺乏风险意识,并将协作纳入整体安全战略。在我们最近发布的“职场协作:2019-20研究报告”中,Nemertes发现645个参与组织中只有21.3%拥有主动的工作场所协作安全策略。这比2018年略有上升,当时只有19.3%的参与者表示他们有这样的策略。
Nemertes研究
如今,大多数企业安全策略正在从基于外围的方法发展为零信任模型,将所有设备和用户视为不可信任。但是,企业往往将这些努力集中在保护对CRM,ERP和其他应用程序中存储的数据的访问,而不一定涵盖协作平台和服务。
我们发现,主动的工作场所协作安全策略与成功相关(定义为从协作投资中获得可衡量的业务价值)。大约17%的研究参与者符合我们的成功组。其中,36%的人拥有主动协作的安全策略,而不是我们成功组的21.1%。
我们挖得更深一点,以便更好地了解那些主动采取安全策略的参与者是否参与了这项工作。主要组成部分是:
- 内部安全团队或外部供应商定期审核,以发现潜在的漏洞
- 再次由内部团队或外部供应商进行渗透测试,以发现未经授权的个人访问应用程序的潜在途径
- 修补程序,以便在安全补丁可用时识别,评估和应用它们
- 实施防火墙和/或会话边界控制器,以防止基于SIP的应用程序攻击
- 确保供应商获得相关的合规性和安全认证,如FedRAMP,SOC 2/3,ISO / IEC 2700xx,HIPAA等。
最常用的是安全审核,而特定于应用的防火墙和安全认证评估最少使用。我们还没有发现组织正在将零信任组件(如行为威胁分析,云访问安全代理和下一代端点安全性)扩展到其协作应用程序。
Nemertes研究
此外,我们发现组织越来越多地要求使用加密,管理自己的加密密钥,以及要求应用程序支持单点登录,然后才允许业务部门使用自己的协作应用程序。
虽然我们没有具体询问访客帐户的使用情况,但有传闻说我们确实听说这些通常是允许的,可能很少了解风险,正如思科的Laurenson在我之前引用的帖子中所指出的那样。但是,希望支持跨企业边界的团队协作的组织应该考虑使用Mio,NextPlane和Sameroom等联合服务,或启用Team Webex Teams等团队应用程序提供的本机联盟。
希望过去几周的协作安全问题能够唤醒CISO和协作领导者更加重视安全性,并将协作平台纳入其整体安全规划中,尤其是新兴的零信任方法。
声明:版权所有 非合作媒体谢绝转载
作者:欧文·拉扎尔(Irwin Lazar)
原文网址:https://www.nojitter.com/security/lets-talk-about-collaboration-security%20
