安全研究人員Jonathan Leitschuh發(fā)布了一個(gè)詳細(xì)的報(bào)道,內(nèi)容涉及他在Zoom視頻會(huì)議服務(wù)中發(fā)現(xiàn)的漏洞,這些漏洞允許潛在的拒絕服務(wù)攻擊,不必要的會(huì)議加入(可能是麥克風(fēng)和攝像頭激活),以及也許最令人不安的是,在卸載時(shí)留下的Web服務(wù)器常駐程序,無需用戶同意即可重新安裝Zoom客戶端,以及將人員加入Zoom會(huì)議。
No Jitter的Beth Schultz報(bào)道了這個(gè)故事,而Zoom給出了回應(yīng),TalkingPointz的撰稿人和分析師Dave Michels提供了一個(gè)深思熟慮的關(guān)于Zoom回應(yīng)的回顧以及此事件引發(fā)的持續(xù)問題。
安全故事上周繼續(xù),Slack宣布重置其認(rèn)為在2015年數(shù)據(jù)泄露事件中遭受入侵的帳戶的所有用戶密碼,以及思科杰出安全工程師Jeremy Laurenson關(guān)于如何允許微軟團(tuán)隊(duì)的訪客帳戶的新貼,這意味著組織失去了共享到其他Teams實(shí)例的數(shù)據(jù)控制。Jeremy的帖子回應(yīng)了我在2018年5月發(fā)表在No Jitter帖子中提到的客戶賬戶相關(guān)問題。
可悲的是,最近與安全相關(guān)的故事強(qiáng)調(diào)了缺乏風(fēng)險(xiǎn)意識(shí),并將協(xié)作納入整體安全戰(zhàn)略。在我們最近發(fā)布的“職場(chǎng)協(xié)作:2019-20研究報(bào)告”中,Nemertes發(fā)現(xiàn)645個(gè)參與組織中只有21.3%擁有主動(dòng)的工作場(chǎng)所協(xié)作安全策略。這比2018年略有上升,當(dāng)時(shí)只有19.3%的參與者表示他們有這樣的策略。
Nemertes研究
如今,大多數(shù)企業(yè)安全策略正在從基于外圍的方法發(fā)展為零信任模型,將所有設(shè)備和用戶視為不可信任。但是,企業(yè)往往將這些努力集中在保護(hù)對(duì)CRM,ERP和其他應(yīng)用程序中存儲(chǔ)的數(shù)據(jù)的訪問,而不一定涵蓋協(xié)作平臺(tái)和服務(wù)。
我們發(fā)現(xiàn),主動(dòng)的工作場(chǎng)所協(xié)作安全策略與成功相關(guān)(定義為從協(xié)作投資中獲得可衡量的業(yè)務(wù)價(jià)值)。大約17%的研究參與者符合我們的成功組。其中,36%的人擁有主動(dòng)協(xié)作的安全策略,而不是我們成功組的21.1%。
我們挖得更深一點(diǎn),以便更好地了解那些主動(dòng)采取安全策略的參與者是否參與了這項(xiàng)工作。主要組成部分是:
- 內(nèi)部安全團(tuán)隊(duì)或外部供應(yīng)商定期審核,以發(fā)現(xiàn)潛在的漏洞
- 再次由內(nèi)部團(tuán)隊(duì)或外部供應(yīng)商進(jìn)行滲透測(cè)試,以發(fā)現(xiàn)未經(jīng)授權(quán)的個(gè)人訪問應(yīng)用程序的潛在途徑
- 修補(bǔ)程序,以便在安全補(bǔ)丁可用時(shí)識(shí)別,評(píng)估和應(yīng)用它們
- 實(shí)施防火墻和/或會(huì)話邊界控制器,以防止基于SIP的應(yīng)用程序攻擊
- 確保供應(yīng)商獲得相關(guān)的合規(guī)性和安全認(rèn)證,如FedRAMP,SOC 2/3,ISO / IEC 2700xx,HIPAA等。
最常用的是安全審核,而特定于應(yīng)用的防火墻和安全認(rèn)證評(píng)估最少使用。我們還沒有發(fā)現(xiàn)組織正在將零信任組件(如行為威脅分析,云訪問安全代理和下一代端點(diǎn)安全性)擴(kuò)展到其協(xié)作應(yīng)用程序。
Nemertes研究
此外,我們發(fā)現(xiàn)組織越來越多地要求使用加密,管理自己的加密密鑰,以及要求應(yīng)用程序支持單點(diǎn)登錄,然后才允許業(yè)務(wù)部門使用自己的協(xié)作應(yīng)用程序。
雖然我們沒有具體詢問訪客帳戶的使用情況,但有傳聞?wù)f我們確實(shí)聽說這些通常是允許的,可能很少了解風(fēng)險(xiǎn),正如思科的Laurenson在我之前引用的帖子中所指出的那樣。但是,希望支持跨企業(yè)邊界的團(tuán)隊(duì)協(xié)作的組織應(yīng)該考慮使用Mio,NextPlane和Sameroom等聯(lián)合服務(wù),或啟用Team Webex Teams等團(tuán)隊(duì)?wèi)?yīng)用程序提供的本機(jī)聯(lián)盟。
希望過去幾周的協(xié)作安全問題能夠喚醒CISO和協(xié)作領(lǐng)導(dǎo)者更加重視安全性,并將協(xié)作平臺(tái)納入其整體安全規(guī)劃中,尤其是新興的零信任方法。
聲明:版權(quán)所有 非合作媒體謝絕轉(zhuǎn)載
作者:歐文·拉扎爾(Irwin Lazar)
原文網(wǎng)址:https://www.nojitter.com/security/lets-talk-about-collaboration-security%20