安全研究人員Jonathan Leitschuh發(fā)布了一個詳細(xì)的報道，內(nèi)容涉及他在Zoom視頻會議服務(wù)中發(fā)現(xiàn)的漏洞，這些漏洞允許潛在的拒絕服務(wù)攻擊，不必要的會議加入（可能是麥克風(fēng)和攝像頭激活），以及也許最令人不安的是，在卸載時留下的Web服務(wù)器常駐程序，無需用戶同意即可重新安裝Zoom客戶端，以及將人員加入Zoom會議。

　　No Jitter的Beth Schultz報道了這個故事，而Zoom給出了回應(yīng)，TalkingPointz的撰稿人和分析師Dave Michels提供了一個深思熟慮的關(guān)于Zoom回應(yīng)的回顧以及此事件引發(fā)的持續(xù)問題。

　　安全故事上周繼續(xù)，Slack宣布重置其認(rèn)為在2015年數(shù)據(jù)泄露事件中遭受入侵的帳戶的所有用戶密碼，以及思科杰出安全工程師Jeremy Laurenson關(guān)于如何允許微軟團(tuán)隊的訪客帳戶的新貼，這意味著組織失去了共享到其他Teams實例的數(shù)據(jù)控制。Jeremy的帖子回應(yīng)了我在2018年5月發(fā)表在No Jitter帖子中提到的客戶賬戶相關(guān)問題。

　　可悲的是，最近與安全相關(guān)的故事強(qiáng)調(diào)了缺乏風(fēng)險意識，并將協(xié)作納入整體安全戰(zhàn)略。在我們最近發(fā)布的“職場協(xié)作：2019-20研究報告”中，Nemertes發(fā)現(xiàn)645個參與組織中只有21.3％擁有主動的工作場所協(xié)作安全策略。這比2018年略有上升，當(dāng)時只有19.3％的參與者表示他們有這樣的策略。

　　Nemertes研究

　　如今，大多數(shù)企業(yè)安全策略正在從基于外圍的方法發(fā)展為零信任模型，將所有設(shè)備和用戶視為不可信任。但是，企業(yè)往往將這些努力集中在保護(hù)對CRM，ERP和其他應(yīng)用程序中存儲的數(shù)據(jù)的訪問，而不一定涵蓋協(xié)作平臺和服務(wù)。

　　我們發(fā)現(xiàn)，主動的工作場所協(xié)作安全策略與成功相關(guān)（定義為從協(xié)作投資中獲得可衡量的業(yè)務(wù)價值）。大約17％的研究參與者符合我們的成功組。其中，36％的人擁有主動協(xié)作的安全策略，而不是我們成功組的21.1％。

　　我們挖得更深一點，以便更好地了解那些主動采取安全策略的參與者是否參與了這項工作。主要組成部分是：

　　最常用的是安全審核，而特定于應(yīng)用的防火墻和安全認(rèn)證評估最少使用。我們還沒有發(fā)現(xiàn)組織正在將零信任組件（如行為威脅分析，云訪問安全代理和下一代端點安全性）擴(kuò)展到其協(xié)作應(yīng)用程序。

　　Nemertes研究

　　此外，我們發(fā)現(xiàn)組織越來越多地要求使用加密，管理自己的加密密鑰，以及要求應(yīng)用程序支持單點登錄，然后才允許業(yè)務(wù)部門使用自己的協(xié)作應(yīng)用程序。

　　雖然我們沒有具體詢問訪客帳戶的使用情況，但有傳聞?wù)f我們確實聽說這些通常是允許的，可能很少了解風(fēng)險，正如思科的Laurenson在我之前引用的帖子中所指出的那樣。但是，希望支持跨企業(yè)邊界的團(tuán)隊協(xié)作的組織應(yīng)該考慮使用Mio，NextPlane和Sameroom等聯(lián)合服務(wù)，或啟用Team Webex Teams等團(tuán)隊?wèi)?yīng)用程序提供的本機(jī)聯(lián)盟。

　　希望過去幾周的協(xié)作安全問題能夠喚醒CISO和協(xié)作領(lǐng)導(dǎo)者更加重視安全性，并將協(xié)作平臺納入其整體安全規(guī)劃中，尤其是新興的零信任方法。

　　作者：歐文·拉扎爾（Irwin Lazar）

　　原文網(wǎng)址：https://www.nojitter.com/security/lets-talk-about-collaboration-security%20