安全研究人員Jonathan Leitschuh發(fā)布了一個(gè)詳細的報道，內容涉及他在Zoom視頻會(huì )議服務(wù)中發(fā)現的漏洞，這些漏洞允許潛在的拒絕服務(wù)攻擊，不必要的會(huì )議加入（可能是麥克風(fēng)和攝像頭激活），以及也許最令人不安的是，在卸載時(shí)留下的Web服務(wù)器常駐程序，無(wú)需用戶(hù)同意即可重新安裝Zoom客戶(hù)端，以及將人員加入Zoom會(huì )議。

　　No Jitter的Beth Schultz報道了這個(gè)故事，而Zoom給出了回應，TalkingPointz的撰稿人和分析師Dave Michels提供了一個(gè)深思熟慮的關(guān)于Zoom回應的回顧以及此事件引發(fā)的持續問(wèn)題。

　　安全故事上周繼續，Slack宣布重置其認為在2015年數據泄露事件中遭受入侵的帳戶(hù)的所有用戶(hù)密碼，以及思科杰出安全工程師Jeremy Laurenson關(guān)于如何允許微軟團隊的訪(fǎng)客帳戶(hù)的新貼，這意味著(zhù)組織失去了共享到其他Teams實(shí)例的數據控制。Jeremy的帖子回應了我在2018年5月發(fā)表在No Jitter帖子中提到的客戶(hù)賬戶(hù)相關(guān)問(wèn)題。

　　可悲的是，最近與安全相關(guān)的故事強調了缺乏風(fēng)險意識，并將協(xié)作納入整體安全戰略。在我們最近發(fā)布的“職場(chǎng)協(xié)作：2019-20研究報告”中，Nemertes發(fā)現645個(gè)參與組織中只有21.3％擁有主動(dòng)的工作場(chǎng)所協(xié)作安全策略。這比2018年略有上升，當時(shí)只有19.3％的參與者表示他們有這樣的策略。

　　Nemertes研究

　　如今，大多數企業(yè)安全策略正在從基于外圍的方法發(fā)展為零信任模型，將所有設備和用戶(hù)視為不可信任。但是，企業(yè)往往將這些努力集中在保護對CRM，ERP和其他應用程序中存儲的數據的訪(fǎng)問(wèn)，而不一定涵蓋協(xié)作平臺和服務(wù)。

　　我們發(fā)現，主動(dòng)的工作場(chǎng)所協(xié)作安全策略與成功相關(guān)（定義為從協(xié)作投資中獲得可衡量的業(yè)務(wù)價(jià)值）。大約17％的研究參與者符合我們的成功組。其中，36％的人擁有主動(dòng)協(xié)作的安全策略，而不是我們成功組的21.1％。

　　我們挖得更深一點(diǎn)，以便更好地了解那些主動(dòng)采取安全策略的參與者是否參與了這項工作。主要組成部分是：

　　最常用的是安全審核，而特定于應用的防火墻和安全認證評估最少使用。我們還沒(méi)有發(fā)現組織正在將零信任組件（如行為威脅分析，云訪(fǎng)問(wèn)安全代理和下一代端點(diǎn)安全性）擴展到其協(xié)作應用程序。

　　Nemertes研究

　　此外，我們發(fā)現組織越來(lái)越多地要求使用加密，管理自己的加密密鑰，以及要求應用程序支持單點(diǎn)登錄，然后才允許業(yè)務(wù)部門(mén)使用自己的協(xié)作應用程序。

　　雖然我們沒(méi)有具體詢(xún)問(wèn)訪(fǎng)客帳戶(hù)的使用情況，但有傳聞?wù)f(shuō)我們確實(shí)聽(tīng)說(shuō)這些通常是允許的，可能很少了解風(fēng)險，正如思科的Laurenson在我之前引用的帖子中所指出的那樣。但是，希望支持跨企業(yè)邊界的團隊協(xié)作的組織應該考慮使用Mio，NextPlane和Sameroom等聯(lián)合服務(wù)，或啟用Team Webex Teams等團隊應用程序提供的本機聯(lián)盟。

　　希望過(guò)去幾周的協(xié)作安全問(wèn)題能夠喚醒CISO和協(xié)作領(lǐng)導者更加重視安全性，并將協(xié)作平臺納入其整體安全規劃中，尤其是新興的零信任方法。

　　作者：歐文·拉扎爾（Irwin Lazar）

　　原文網(wǎng)址：https://www.nojitter.com/security/lets-talk-about-collaboration-security%20