ZOOM90天安全计划结束
日期:2020-07-02阅读

2020年的前几个月中,Zoom团队全天候工作,以支持我们平台上大量涌入的新用户和不同类型用户。3月下旬,我们意识到,为数以亿计的参与者提供无损视频通信这一独特使命产品对的安全性和客户隐私同样重要,我们还需要做更多的工作。

202041日,我们承诺将对安全性和隐私性进行一些增强。我们推出了为期90天的计划将公司重新聚焦于7项承诺,这些承诺将安全性和隐私性永久地嵌入到ZoomDNA中。以下每一项承诺的新状态,并分享我们的前进方向。

承诺1

41日起90天不在发布新功能,并转移我们所有的工程资源以专注于安全和隐私问题。

状态:我们对与隐私,安全性或安全性无关的所有功能实行了90天的冻结。利用我们朝着这个方向的所有工程和产品资源,我们发布了100多种功能,其中包括:

ZOOM5.0

AES 256 GCM加密(适用于所有用户,免费和付费)

UI更新安全图标,带有数据中心位置的绿色加密盾,单击即可

用户报告

会议默认设置–密码,等候室和屏幕共享限制

其他功能–主机禁用多个设备登录,取消静音需参会者同意,云记录到期,更严格的ZOOM聊天控件等

收购Keybase并开始构建端到端加密服务(适用于所有用户,免费和付费)

提供按地理位置的定制数据中心

展望未来,我们已经建立了机制,以确保安全性和隐私在我们产品和功能开发的每个阶段中始终是优先事项:

设计阶段:安全需求,风险评估,威胁建模

构建:安全代码准则,自助扫描,CI / CD工具

测试:安全测试,自动测试执行,Web测试工具

阶段:安全配置,完整性监视,验证需求

生产:监控系统的安全性,系统运行状况,威胁态势

承诺2

与第三方专家和代表用户进行全面审查,以了解并确保我们所有新用例的安全性和隐私性。

状态:我们已经与一组第三方专家合作,以审查和改进我们的产品,实践和政策,包括我们的CISO咨询委员会,Lea KissnerAlex StamosLuta SecurityBishop FoxBit of BitsNCC小组,Praetorian以及其他组织在隐私,安全和平台中的行为。此列表中每个人的贡献都是巨大的,我们非常感谢他们的帮助。

承诺3

准备一份透明度报告,其中详细说明与数据,记录或内容请求有关的信息。

现状:我们在定义透明度报告的框架和方法方面取得了重大进展,该报告详细介绍了Zoom收到的有关数据,记录或内容的请求的相关信息。我们期待在今年晚些时候的第一份报告中提供第二季度的财务数据。在此期间,我们近期建立了一个指导我们回应政府消息的部门。我们为了使隐私政策更易于理解,还更新了我们的隐私政策。

承诺4

增强我们当前的漏洞赏金计划。

现状:我们已经开发了一个漏洞信息库和解决漏洞相关的工作流程。该存储库从HackerOneBugcrowdsecurity@zoom.us获取漏洞报告,通过Praetorian分流。我们通过日常会议建立了完善的审查流程,并改善了与安全研究人员和第三方评估人员的协调方式。我们还聘请了漏洞和Bug Bounty负责人以及其他几位appsec工程师,并且正在招聘更多的安全工程师,他们将致力于解决漏洞。同时,我们将尽力缩短漏洞回复时间。总体而言,我们的漏洞赏金流程是可靠的,并且在实现我们的招聘目标时会变得更强大。在此,我们要感谢Luta Security在此过程中提供的帮助。

承诺5

与业界领先的CISO合作,成立CISO委员会,以促进有关安全和隐私的做法的持续对话。

状态:我们成立了CISO委员会,由来自各个行业的36CISO组成,包括SentinelOne,亚利桑那州立大学,汇丰银行和赛诺菲。在我们的副CIO——Gary Sorrentino的领导下,该委员会在过去三个月中已召开了四次会议,并就重要事项提供了咨询服务,例如区域数据中心的选择,加密,会议验证以及用户报告密码等候室等功能。理事会已获得了显著的成果,此后,我们将通过CISO圆桌会议完善此计划——CISO客户与我们的安全团队负责人之间的交互式讨论,以了解Zoom采取的措施以及将来将采取的措施,以确保Zoom的安全性和隐私性我们的平台。 

承诺6

参与一系列同时进行的白盒测试,以进一步发现并解决问题。

现状: Zoom聘请了包含Trail of BitsNCC GroupBishop Fox 等多家机构对我们的平台进行测试。他们的工作范围包括:

测试公用和共置数据中心的Zoom运行环境:

云配置

外部IP空间

内部生产网络

测试Zoom核心Web应用程序和Zoom公司网络:

内部网络

外围

普通客户的公共API

行动客户

桌面客户端

Zoom致力于进行连续的第三方渗透测试,以此作为其安全计划的基础。

承诺7

每周三举办一次的网络研讨会,以向我们的社区提供隐私和安全更新。

现状:包括今天的网络研讨会在内,自41日起,我们共举办了13场例行网络研讨会。这些线上活动会有许多高管和顾问参与,他们实时回答了与会人员的问题。每个星期三,我们还在博客上分享了网络研讨会的回顾和录像。我们将在715日继续进行例行网络研讨会,然后研讨会频率由每周一次改为每月一次的。

其他主要更新

我们还采取了一些其他值得注意的事项:

41日以来,我们进行了几项重要的领导层增加或变更,包括:

产品和工程总裁Velchamy Sankarlingham

首席信息安全官Jason Lee

首席多样性官Damien Hooper-Campbell

Aparna Bawa被任命为首席运营官,现在负责Zoom的安全工作

副总法律顾问兼首席合规与道德官Lynn Haaland也被任命为首席隐私官

HR McMaster加入了Zoom董事会

Josh Kallmer,公共政策和政府关系全球负责人

隐私权副法律顾问Ginny Lee

玛拉·戴维斯(Mara Davis),合规与道德副总法律顾问

漏洞和漏洞赏金负责人,从713开始

进攻安全负责人安迪·格兰特(Andy Grant)开始7/13

Zoom Phone已添加到Zoom for Government中,Zoom for Government已获得美国联邦风险和授权管理计划(FedRAMP)的授权

我们仍然致力于大幅增加我们在美国的工程团队,以支持在亚利桑那州凤凰城和宾夕法尼亚州匹兹堡的新办事处增加使用量

我们的前进方向

这一时期为我们公司产生了很多有意义的变化,我们努力赢得客户对我们的信任,将平台的安全性,隐私性成为我们所做工作的重中之重。我为Zoom在处于隔离状态的世界所扮演的角色感到骄傲,感谢在过去90天内,我们的团队为更好地保护我们的平台而做出的所有努力。

但是我们不能就此止步。隐私和安全性是Zoom的工作重点,再过去90天的时间虽然卓有成效,但这只是第一步。在以上报告中,我提供了有关新流程和人员的信息,这些信息将有助于帮助ZOOM更加完善。

感谢我们的用户的支持,耐心和信任。作为一家公司,我们的核心价值是创造更符合用户需求的产品,我们希望在过去90天内通过我们的行动证明了这一点,并将继续通过未来的行动证明这一点。



关于华万:

华万成立于2013年,是工信部授权的多方通信运营商。华万是ZOOM在中国的授权合作伙伴。

华万致力于为中国企业统一通信提供优质解决方案,为中国企业的发展助力。

目前华万已经累计为近万家中国企业提供多方通信服务。



下一步


如何能帮到您?