90天資安計劃進度報告:5月20日

2020-05-22_1

隨著我們用於改善平台的安全和隱私性90天的資安強化計劃推展,本週的"Ask Eric Anything"網路研討會著重於安全性、Zoom Phone的FedRAMP授權以及Zoom的漏洞賞金計劃。

Zoom執行長Eric S. Yuan本週偕同Zoom產品總監 Oded Gal、Zoom的副法律總顧問暨道德行為準則長Lynn Haaland,以及Luta Security的創始人兼執行長Katie Moussouris與會。Zoom技術長Brendan Ittelson和先前任職於Google擔任全球資安技術負責人,目前為Zoom資安顧問的Lea Kissner參與隨後的問與答時段。

過去一週執行的更新以及未來幾週的計劃:
2020-05-22_2

本週研討會的重點

Zoom Phone已獲FedRAMP授權

我們今天宣布,Zoom Phone已獲 U.S. FedRAMP的授權批准。該授權允許美國聯邦政府機構或其承包商可使用Zoom Phone,該服務納入既有Zoom for Government之中,為該項目提供更大服務範圍。Zoom for Government為美國政府機構提供了一個完整的Zoom UCaaS平台,包括Zoom會議(Zoom Meetings)、聊天功能(Chat)、Zoom網路研討會(Zoom Video Webinars)、會議室解決方案,以及,現在加入的Zoom Phone。

會議安全

Lynn Haaland談到Zoom在過去幾個月中所做的事情,來幫助防止會議受到不當的干擾。這些修改包括為特定用戶添加預設安全設定(如:預設密碼和等候室開啟),在"安全性"圖示中顯示會議中的安全操控按鈕、添加騷擾舉報機制、與執法部門和其他線上平台緊密合作,以及對用戶提供資訊安全最佳用法的相關教育訓練。

Lynn還重申了以下確保Zoom會議安全的重點:

  • 不要公開共享您的會議ID和/或會議密碼。
  • 保持啟用 Zoom 預設開啟的安全防護功能-這些包括等候室、會議密碼和螢幕共享。
  • 瞭解Zoom的主持人隱私性和安全性功能,例如"禁用視訊"、"使參與者靜音"、"移除參與者"和"鎖定會議室"。
  • 使用會議註冊功能。

Lynn解釋說,Zoom個人會議室(Zoom Meetings)不適用於需要將邀請公開在網路上的大型或公開活動。這類型的活動,我們強烈建議您使用"Zoom網路研討會服務"(Zoom Video Webinars),它可以使您擁有更多的參會用戶控制權限並提供更好的互動體驗。了解更多關於會議和網絡研討會的差異相關訊息。

Zoom的漏洞賞金計劃

Zoom的安全顧問Katie Moussouris(Luta Security的創始人兼首席執行長)談到了Zoom的漏洞賞金計劃將如何運作,並解釋說它使用了crowd-sourced模型,該模型依賴包含安全研究人員在內的所有各方資源來查找和回報錯誤。 她還點出,在Zoom實施其漏洞賞金計劃的更改之前,就已在徵求更廣泛用戶回饋,以優化這些程序。

Zoom 5.0升級提醒

Zoom 5.0已於4月27日正式上市。而在2020年5月30日起,將系統性全面啟用AES 256位元GCM加密,屆時,只有安裝5.0或以上版本的Zoom及Zoom Rooms軟體,才能夠加入Zoom的會議。我們鼓勵所有的用戶今天就進行5.0更新;大型導入方案(公有雲加SSO或混合雲加SSO)管理員請來信0800@zoomnow.net進行相關詢問。所有用戶可以在zoom.us/testgcm上預先體驗GCM加密的會議。

點對點加密設計草案將於週五發布

我們將在本週五在GitHub上發布針對我們的點到點加密產品的詳細密碼設計草案。我們將與密碼專家、客戶、群眾/團體或組織進行討論,以徵求回饋意見用以評估最終設計。

問與答
以下是本週網路研討會與會者所提出並被解決的一些問題:

如何回報安全漏洞?

請直接訪問zoom.us/security或發送電子郵件至security@zoom.us 。

如果我使用的是Chromebook,如何下載Zoom 5.0軟體?

Chromebook用戶可以從Google應用商店下載Zoom Chromebook應用程式,也可以使用Zoom網頁版,這些區域將保持最新的版本。

當用戶直接向Zoom提報特定與會者時,是否會同時通知帳戶管理員?

當主持人或聯席主持人使用"安全性舉報"功能來回報騷擾時,此通知將發送給Zoom的資訊安全管理部門。但是,將來我們計劃在某些特定情況下通知帳戶管理員關於回報的特殊情況。

除主持人外,其他任何人都可以進行會議錄影嗎?

主持人可以授予其他會議參與者錄製的權限,但是未經主持人的同意,任何人都無法使用Zoom進行會議錄影。

您是否能提供關於5月22日將發佈的點對點加密的設計草案的詳細訊息?

我們將於5月22日與各位分享我們的點對點加密視訊服務設計草案。該草稿將不包含任何實際程式碼。我們希望在開發點對點加密項目前預先收集並評估各方回饋。

是否有任何更新計畫能允許主持端在等候室與用戶進行私訊以幫助確認身份?

Oded說,這最被需要的增強功能之一已在我們的修正計畫之中。

為何取消全體靜音這功能被移除,是否有計劃將其恢復?

我們從用戶界面中刪除了"取消全體靜音"功能,因為主持人可以在未經參與者同意的情況下取消參與者的靜音狀態。將來我們將恢復此功能。但是,主持人需要在獲得與會者的同意後才能在會議中取消其靜音。

謝謝您的支持

感謝所有參加今天會議並提出問題的人!衷心感謝您的參與及支持,讓Zoom能成為世界上最安全的企業通訊平台。

如果您錯過了本週的對談,可以在這裡觀看錄影:

若想提供您的意見回饋或詢問Zoom問題,請發送電子郵件至answers@zoom.us。並請註冊下週的"Ask Eric Anything"網路研討會。

原文: 90-Day Security Plan Progress Report: May 20