安全研究人員Jonathan Leitschuh發(fā)布了一個(gè)詳細(xì)的報(bào)道，內(nèi)容涉及他在Zoom視頻會(huì)議服務(wù)中發(fā)現(xiàn)的漏洞，這些漏洞允許潛在的拒絕服務(wù)攻擊，不必要的會(huì)議加入（可能是麥克風(fēng)和攝像頭激活），以及也許最令人不安的是，在卸載時(shí)留下的Web服務(wù)器常駐程序，無需用戶同意即可重新安裝Zoom客戶端，以及將人員加入Zoom會(huì)議。

　　No Jitter的Beth Schultz報(bào)道了這個(gè)故事，而Zoom給出了回應(yīng)，TalkingPointz的撰稿人和分析師Dave Michels提供了一個(gè)深思熟慮的關(guān)于Zoom回應(yīng)的回顧以及此事件引發(fā)的持續(xù)問題。

　　安全故事上周繼續(xù)，Slack宣布重置其認(rèn)為在2015年數(shù)據(jù)泄露事件中遭受入侵的帳戶的所有用戶密碼，以及思科杰出安全工程師Jeremy Laurenson關(guān)于如何允許微軟團(tuán)隊(duì)的訪客帳戶的新貼，這意味著組織失去了共享到其他Teams實(shí)例的數(shù)據(jù)控制。Jeremy的帖子回應(yīng)了我在2018年5月發(fā)表在No Jitter帖子中提到的客戶賬戶相關(guān)問題。

　　可悲的是，最近與安全相關(guān)的故事強(qiáng)調(diào)了缺乏風(fēng)險(xiǎn)意識(shí)，并將協(xié)作納入整體安全戰(zhàn)略。在我們最近發(fā)布的“職場協(xié)作：2019-20研究報(bào)告”中，Nemertes發(fā)現(xiàn)645個(gè)參與組織中只有21.3％擁有主動(dòng)的工作場所協(xié)作安全策略。這比2018年略有上升，當(dāng)時(shí)只有19.3％的參與者表示他們有這樣的策略。

　　Nemertes研究

　　如今，大多數(shù)企業(yè)安全策略正在從基于外圍的方法發(fā)展為零信任模型，將所有設(shè)備和用戶視為不可信任。但是，企業(yè)往往將這些努力集中在保護(hù)對(duì)CRM，ERP和其他應(yīng)用程序中存儲(chǔ)的數(shù)據(jù)的訪問，而不一定涵蓋協(xié)作平臺(tái)和服務(wù)。

　　我們發(fā)現(xiàn)，主動(dòng)的工作場所協(xié)作安全策略與成功相關(guān)（定義為從協(xié)作投資中獲得可衡量的業(yè)務(wù)價(jià)值）。大約17％的研究參與者符合我們的成功組。其中，36％的人擁有主動(dòng)協(xié)作的安全策略，而不是我們成功組的21.1％。

　　我們挖得更深一點(diǎn)，以便更好地了解那些主動(dòng)采取安全策略的參與者是否參與了這項(xiàng)工作。主要組成部分是：

　　最常用的是安全審核，而特定于應(yīng)用的防火墻和安全認(rèn)證評(píng)估最少使用。我們還沒有發(fā)現(xiàn)組織正在將零信任組件（如行為威脅分析，云訪問安全代理和下一代端點(diǎn)安全性）擴(kuò)展到其協(xié)作應(yīng)用程序。

　　Nemertes研究

　　此外，我們發(fā)現(xiàn)組織越來越多地要求使用加密，管理自己的加密密鑰，以及要求應(yīng)用程序支持單點(diǎn)登錄，然后才允許業(yè)務(wù)部門使用自己的協(xié)作應(yīng)用程序。

　　雖然我們沒有具體詢問訪客帳戶的使用情況，但有傳聞?wù)f我們確實(shí)聽說這些通常是允許的，可能很少了解風(fēng)險(xiǎn)，正如思科的Laurenson在我之前引用的帖子中所指出的那樣。但是，希望支持跨企業(yè)邊界的團(tuán)隊(duì)協(xié)作的組織應(yīng)該考慮使用Mio，NextPlane和Sameroom等聯(lián)合服務(wù)，或啟用Team Webex Teams等團(tuán)隊(duì)?wèi)?yīng)用程序提供的本機(jī)聯(lián)盟。

　　希望過去幾周的協(xié)作安全問題能夠喚醒CISO和協(xié)作領(lǐng)導(dǎo)者更加重視安全性，并將協(xié)作平臺(tái)納入其整體安全規(guī)劃中，尤其是新興的零信任方法。

　　作者：歐文·拉扎爾（Irwin Lazar）

　　原文網(wǎng)址：https://www.nojitter.com/security/lets-talk-about-collaboration-security%20