安全研究人員Jonathan Leitschuh發(fā)布了一個詳細的報道，內容涉及他在Zoom視頻會議服務中發(fā)現(xiàn)的漏洞，這些漏洞允許潛在的拒絕服務攻擊，不必要的會議加入（可能是麥克風和攝像頭激活），以及也許最令人不安的是，在卸載時留下的Web服務器常駐程序，無需用戶同意即可重新安裝Zoom客戶端，以及將人員加入Zoom會議。

　　No Jitter的Beth Schultz報道了這個故事，而Zoom給出了回應，TalkingPointz的撰稿人和分析師Dave Michels提供了一個深思熟慮的關于Zoom回應的回顧以及此事件引發(fā)的持續(xù)問題。

　　安全故事上周繼續(xù)，Slack宣布重置其認為在2015年數(shù)據(jù)泄露事件中遭受入侵的帳戶的所有用戶密碼，以及思科杰出安全工程師Jeremy Laurenson關于如何允許微軟團隊的訪客帳戶的新貼，這意味著組織失去了共享到其他Teams實例的數(shù)據(jù)控制。Jeremy的帖子回應了我在2018年5月發(fā)表在No Jitter帖子中提到的客戶賬戶相關問題。

　　可悲的是，最近與安全相關的故事強調了缺乏風險意識，并將協(xié)作納入整體安全戰(zhàn)略。在我們最近發(fā)布的“職場協(xié)作：2019-20研究報告”中，Nemertes發(fā)現(xiàn)645個參與組織中只有21.3％擁有主動的工作場所協(xié)作安全策略。這比2018年略有上升，當時只有19.3％的參與者表示他們有這樣的策略。

　　Nemertes研究

　　如今，大多數(shù)企業(yè)安全策略正在從基于外圍的方法發(fā)展為零信任模型，將所有設備和用戶視為不可信任。但是，企業(yè)往往將這些努力集中在保護對CRM，ERP和其他應用程序中存儲的數(shù)據(jù)的訪問，而不一定涵蓋協(xié)作平臺和服務。

　　我們發(fā)現(xiàn)，主動的工作場所協(xié)作安全策略與成功相關（定義為從協(xié)作投資中獲得可衡量的業(yè)務價值）。大約17％的研究參與者符合我們的成功組。其中，36％的人擁有主動協(xié)作的安全策略，而不是我們成功組的21.1％。

　　我們挖得更深一點，以便更好地了解那些主動采取安全策略的參與者是否參與了這項工作。主要組成部分是：

　　最常用的是安全審核，而特定于應用的防火墻和安全認證評估最少使用。我們還沒有發(fā)現(xiàn)組織正在將零信任組件（如行為威脅分析，云訪問安全代理和下一代端點安全性）擴展到其協(xié)作應用程序。

　　Nemertes研究

　　此外，我們發(fā)現(xiàn)組織越來越多地要求使用加密，管理自己的加密密鑰，以及要求應用程序支持單點登錄，然后才允許業(yè)務部門使用自己的協(xié)作應用程序。

　　雖然我們沒有具體詢問訪客帳戶的使用情況，但有傳聞說我們確實聽說這些通常是允許的，可能很少了解風險，正如思科的Laurenson在我之前引用的帖子中所指出的那樣。但是，希望支持跨企業(yè)邊界的團隊協(xié)作的組織應該考慮使用Mio，NextPlane和Sameroom等聯(lián)合服務，或啟用Team Webex Teams等團隊應用程序提供的本機聯(lián)盟。

　　希望過去幾周的協(xié)作安全問題能夠喚醒CISO和協(xié)作領導者更加重視安全性，并將協(xié)作平臺納入其整體安全規(guī)劃中，尤其是新興的零信任方法。

　　作者：歐文·拉扎爾（Irwin Lazar）

　　原文網(wǎng)址：https://www.nojitter.com/security/lets-talk-about-collaboration-security%20