Отчет о достижениях в рамках 90-дневного плана по укреплению безопасности: 24 июня

Отчет о достижениях в рамках 90-дневного плана по укреплению безопасности: 24 июня

Поскольку мы продолжаем реализацию 90-дневного плана по укреплению безопасности и конфиденциальности нашей платформы, вебинар «Спросите Эрика» на этой неделе был посвящен последним обновлениям безопасности продуктов, в том числе мероприятиям, связанным с нашей премиальной программой по выявлению ошибок, и обновлениям, включенным в версию клиента 5.1.1.

К генеральному директору компании Zoom Эрику С. Юаню присоединились Велчами Санкарлингам, президент по инженерным разработкам и продукции компании Zoom, Одед Галь, директор по продукции компании Zoom, и Рэнди Барр, руководитель отдела безопасности продуктов компании Zoom.

К сеансу вопросов и ответов присоединились технический директор Zoom Брендан Иттелсон, Алекс Стамос, советник по вопросам конфиденциальности и безопасности компании Zoom, и Линн Холанд, заместитель генерального юрисконсульта компании Zoom, директор по надзору за нормативно-правовыми соответствиями и вопросами этики.

Анонс: Джейсон Ли, директор по вопросам информационной безопасности

Эрик начал вебинар с объявления, что с 29 июня 2020 года Джейсон Ли вступает в должность нового директора по вопросам информационной безопасности компании Zoom. Ли имеет 20-летний опыт работы в сфере информационной безопасности и эксплуатации критически важных сервисов и ранее занимал должности старшего вице-президента по операциям безопасности в Salesforce и начальника отдела инженерных разработок в области безопасности в Microsoft. Джейсон будет играть важную роль в укреплении безопасности нашей платформы и внесет свой вклад в наше постоянное стремление к повышению уровня безопасности и конфиденциальности нашего продукта.

Обновления продуктов

На этих выходных мы собираемся выпустить клиент версии 5.1.1 и новую версию веб-портала, которые будут содержать следующие изменения.

  • Виртуальные фоны с возможностью централизованного управления: Администраторы учетных записей могут управлять виртуальными фонами в своей организации, загрузив для пользователей набор предварительно одобренных фонов.
  • Верхний колонтитул безопасности в настройках конференций на веб-портале: В верхнем колонтитуле в настройках конференций на веб-портале будут отображаться параметры, связанные с безопасностью, например, пароли, зал ожидания и методы аутентификации, чтобы их можно было легко найти в одном месте.
  • Обновления чата Zoom: Пользователи смогут скрывать свой статус присутствия от внешних контактов и запрещать внешним контактам добавлять новых пользователей в канал или групповой чат.

Знакомьтесь: Велчами Санкарлингам

Эрик представил аудитории нового президента по инженерным разработкам и продукции компании Zoom Велчами Санкарлингама, который ранее занимал должность старшего вице-президента по разработке и эксплуатации облачных сервисов в VMware. Велчами, ветеран в области облачных технологий и решений для совместной работы, поделится с нашей командой своим богатым опытом и знаниями, и мы, в свою очередь, очень рады тому, что он будет курировать деятельность наших групп разработчиков продукта, инжиниринга и DevOps.

Новые требования к безопасности конференций

В целях повышения безопасности и конфиденциальности с 19 июля все конференции — как на платных, так и на бесплатных учетных записях — будут требовать наличие код-пароля или зала ожидания. Если ни одна из этих функций безопасности не будет включена в конференциях, сервис Zoom принудительно активирует зал ожидания. Если у вас уже задан код-пароль или активирован зал ожидания, процесс планирования конференций для вас не изменится. Если вы решите добавить код-пароли к существующим конференциям, вы должны будете отправить календарные приглашения повторно вместе с новым код-паролем. В случае новых конференций с включенным код-паролем, последний будет автоматически включен в текст приглашения на конференцию. Если вы активировали залы ожидания, процесс планирования конференций для вас не изменится.

Обновления премиальной программы по выявлению ошибок

Рэнди рассказал нам об изменениях в премиальной программе по выявлению ошибок и раскрытию уязвимостей. В рамках нашего 90-дневного плана мы выполняли оценку внутреннего процесса обработки уязвимостей и эффективности используемой нами премиальной программы по выявлению ошибок. В целях усовершенствования премиальной программы по выявлению ошибок и мероприятий по раскрытию уязвимостей мы разработали центральный репозиторий ошибок и сопутствующий рабочий процесс для обеспечения соответствия требованиям стандартов ISO 29147 и 30111. Репозиторий принимает входные данные из таких источников, как HackerOne, Bugcrowd и security@zoom.us (последний не требует подписания соглашения о неразглашении), с расстановкой приоритетов при рассмотрении через Praetorian. Мы внедрили непрерывный процесс анализа с ежедневными планерками и усовершенствовали координацию с инженерами-исследователями проблем безопасности и сторонними экспертами.

ВОПРОСЫ И ОТВЕТЫ

Как можно сообщить об ошибке в Zoom для получения премии?

Отправлять сообщения о найденных ошибках в рамках премиальной программы можно по адресу security@zoom.us, после чего наша специальная группа рассмотрит каждое из них и назначит ответственного специалиста для устранения проблемы.

Вы все еще предоставляете шифрование для платных и бесплатных учетных записей?

Да, все конференции на платных и бесплатных учетных записях шифруются с помощью 256-разрядного шифрования AES GCM. Мы также сделаем доступным сквозное шифрование конференций для бесплатных и платных учетных записей, чтобы создать надежно защищенную среду для проведения конференций.

Занимается ли Zoom сбором и продажей данных о пользователях?

Когда клиенты используют платформу Zoom, мы собираем информацию, необходимую для предоставления услуг, например, IP-адреса; однако компания Zoom никогда не занималась и не будет заниматься продажей данных о пользователях.

Может ли Zoom добавить возможность глобального сброса настроек код-пароля и залов ожидания для администраторов?

Администраторы учетных записей могут включать и даже блокировать эти настройки на уровне учетной записи, что позволит использовать эти настройки безопасности для всех конференций и пользователей по умолчанию. Вы также можете включать код-пароли и зал ожидания на уровне группы или пользователя.

Как работает зал ожидания?

Когда зал ожидания включен, пользователи сначала попадают в виртуальное лобби. Затем организатор сможет проверить потенциальных участников конференции и допустить их по одному или всех разом. Функцию «Зал ожидания» можно включать на уровне учетной записи, группы, пользователя или конференции.

Благодарим за поддержку

Спасибо за участие в сеансе на этой неделе и спасибо всем, кто задал вопросы! Мы по-настоящему благодарны за вашу поддержку в нашем стремлении сделать Zoom самой безопасной в мире корпоративной коммуникационной платформой.

Если вы пропустили сеанс на этой неделе, вы можете посмотреть запись здесь:

Чтобы оставить отзыв или задать вопрос компании Zoom, отправьте электронное письмо на адрес answers@zoom.us. И обязательно подпишитесь на вебинар «Спросите Эрика», который пройдет на следующей неделе.

Не забудьте поделиться этой публикацией