在2020年初的幾個月中,Zoom團隊不間斷的工作,以支援我們平台上大量湧入新註冊以及不同類型的用戶。加諸於我們系統上瞬間爆增的需求,對大部分公司而言是未曾經歷過的。在3月即將結束時,我們體認到,安全性和隱私性,與為日常數億會議參與者提供順暢視訊通訊這使命同等重要,這些也是我們需要著墨更多的部分。
2020年4月1日,我們承諾將對安全性和隱私性進行強化。為期90天的資安強化計劃推出當下,將公司重新聚焦於7項承諾上,這些承諾將安全性和隱私考量永久地嵌入到Zoom的基因中。今天,我將提供每項承諾目前的最新情況,並分享我們之後的方向。
承諾1:暫停新功能開發,4月1日起,我們轉移所有的工程資源以專注在提供用戶最高的信任,安全性和隱私相關問題上。
現狀:我們於90天內暫停開發所有對隱私性及資安方面無關的功能。利用我們所有的工程和產品資源朝著更安全的產品方向邁進,我們發表超過100項功能,其中包括:
- Zoom 5.0
- AES 256位元GCM加密(適用於所有免費和付費用戶)
- 使用者介面更新-安全性圖示、綠色加密盾牌圖示,點擊圖示可看見資料中心位置資訊
- 違規使用者回報
- 會議預設選項-會議密碼、等候室和螢幕共享限制
- 其他功能-主持端禁用多個設備登入、開啟當主持端取消全體靜音的同意鈕、雲端錄影檔案效期限制、更嚴謹的Zoom聊天控制選項等
- 收購Keybase公司,並開始建立點到點加密(適用於所有免費和付費用戶)
- 提供會議資料傳遞路徑控制
展望未來,我們已經建立起機制以確保安全性和隱私在我們產品和功能開發的每個階段中,永遠是優先考量:
- 設計階段:安全需求、風險評估、威脅結構分析
- 構建:安全代碼設定準則、自助掃描、CI/CD工具
- 測試:安全測試、自動測試執行、Web測試工具
- 階段:安全配置、完整性監視、驗證需求
- 生產:監控系統的安全性、系統運行狀況、威脅態勢(threat landscape)
承諾2:與第三方專家和用戶代表進行全面檢視,以了解並確保我們產品的安全和隱私性能適用於所有新使用情境。
現狀:我們已與諸多第三方專家合作,審查和改進我們的產品、實踐和政策,包括我們的CISO諮詢委員會、Lea Kissner、Alex Stamos、Luta Security、Bishop Fox、Trail of Bits、NCC小組、Praetorian、Crowdstrike、Center for Democracy以及其他組織在隱私、安全和包容性空間中的使用。上述列表中每個人都有巨大的貢獻,我們非常感謝他們的幫助。
承諾3:準備一份透明度報告,其中詳載關於資料,記錄或內容請求之相關資訊。
現狀:我們在定義透明度報告的框架和方法上取得了重大進展,該報告詳細載明了Zoom所收到關於索取資料、記錄或內容等請求之相關資訊。之後,我們期待在今年提供第一份於第二會計季度內之相關資料的報告。於此同時,我們也已建立了一份政府部門提出需求時該如何如何應對的指南。我們還更新了Zoom的隱私政策內容,以便更易於理解,並且增加了一份單獨的加州隱私權利聲明(California Privacy Rights Statement)。您可以在zoom.com/privacy-and-legal上找到相關文件。
承諾4:強化我們當前的漏洞賞金計劃。
現狀:我們已經開發了一套中央漏洞資料庫(Central Bug Repository )和相關的工作流程。該存儲庫從HackerOne、Bugcrowd和security@zoom.us獲取漏洞報告(後者不需要保密協議)透過Praetorian分類。我們透過每日的會議建立起持續的審查流程,並改進了與安全研究人員和第三方評估人員的協調合作。我們還聘請了一位弱點和漏洞賞金主管以及另外幾位應用程式安全工程師,並且正在招聘更多的資安工程師,他們全都致力於解決這些弱點漏洞。同時也改進回應次數。總體而言,我們的漏洞賞金流程是紮實的,在完成我們的招聘目標後,這賞金流程才會變得更加強大。我們感謝Luta Security在這過程中提供的幫助。
承諾5:與跨產業之各的主要CISO(Chief Information Security Officer)成為合作夥伴,成立CISO委員會,在安全性和隱私性的最佳做法上,建立一個持續性的意見交換機制。
現狀:我們成立了CISO委員會,由來自各個行業的36位CISO組成,包括SentinelOne、亞利桑那州立大學(Arizona State University)、匯豐銀行(HSBC)和Sanofi等等。在我們的副資訊長Gary Sorrentino的領導下,該委員會在過去三個月中已召開了四次會議,並就重要事項提供了建議,像是區域資料中心的選擇、加密、會議驗證以及"違規使用者回報"、"會議密碼"和"等候室"等功能。CISO委員會已確認是項成功的設置,我們將設置CISO圓桌會議來擴大現有的作法-透過CISO客戶代表與我們的安全團隊負責人之間的互動式討論,了解Zoom已採取的措施以及將來計畫採取的措施,以確保我們的平台兼顧安全性和隱私性。對此有興趣的CISOs和CIOs,可向您的大型方案導入聯絡窗口獲取更多訊息。
承諾6:進行一系列同步進行的白盒滲透測試,以進一步發現並解決問題。
現狀:Zoom與多家公司-Trail of Bits、NCC Group和Bishop Fox合作-來檢視Zoom整個平台。他們的工作範圍包括:
- Zoom正式環境-包含公有雲和主機代管資料中心:
- 雲端設定
- 外部IP空間
- 內部正式環境網路
- Zoom核心網路應用程式和Zoom企業網絡:
- 內部網路
- 外部網路
- 對用戶提供的公開API:
- 行動端用戶
- 電腦端用戶
Zoom致力於進行持續的第三方滲透測試,以此作為其安全計劃的基礎。
承諾7:每週三舉辦一次的網路研討會,向公眾提供隱私和安全更新。
現狀:自4月1日起的每周三,我們共舉辦了13場網路研討會,包括今天的這一場。這些線上活動由多位高階主管和顧問一同參與,他們即時的回答了參與者的問題。每週三,我們還會在部落格上分享網路研討會的重點回顧和錄影。我們將持續這類的網路研討會,下次舉行是在7月15日,然後將改為每月一次的方式進行。
其他重要更新
我們還採取了一些值得關注的調整:
- 自4月1日以來,我們進行了幾項重要的領導階層新增或更替,包括:
- 產品工程總裁 Velchamy Sankarlingam
- 首席資訊安全長 Jason Lee
- 首席多元文化長 Damien Hooper-Campbell
- Aparna Bawa被任命為首席營運長,目前負責Zoom的安全工作
- Lynn Haaland 副法律總顧問暨道德行為準則長同時也被任命為首席隱私長
- R. McMaster加入了Zoom董事會
- Josh Kallmer,國際公共政策和政府關係負責人
- Ginny Lee,隱私權方面副總法律顧問
- Mara Davis,法律暨道德行為準則副總法律顧問
- 弱點和漏洞賞金計劃負責人,自7/13開始
- Andy Grant,Offensive Security負責人,自7/13開始
- Zoom Phone已添加到Zoom for Government中,該功能已獲得美國聯邦風險與授權管理計劃(FedRAMP)的授權
- 藉由亞利桑那州鳳凰城及賓州匹茲堡新辦公室成立,我們持續致力於擴大我們在美國的工程團隊以支援大幅成長的使用量
我們的目標
這特殊時期為我們公司帶來了有意義的改變,並使我們平台的保護性、隱私性和安全性成為我們工作的核心,也因這些努力贏得用戶對我們的信任。我衷心的感謝在過去90天內,團隊為提供更安全的平台所完成的各項任務,並為Zoom在這疫情危機中所發揮串聯全世界的作用而感到自豪。
但是我們不能也不會停止腳步。隱私和安全性將是Zoom持續進行的重心,而這90天的資安計劃雖然碩果纍纍,但這只是我們的第一步。在此份報告中,我提供了關於新流程和新夥伴的訊息,這些資訊將有助於Zoom進一步發展成為世界上最流暢,最安全的視訊通訊平台。
感謝所有用戶的支持,耐心與信任。我們公司的核心價值是在乎用戶需求,我們希望透過過去90天的行動證明這一點,並將持續以未來的行動證明這一點。