90天資安計劃進度報告:6月24日

logo

隨著我們用於改善平台安全性和隱私性的90天資安強化計劃的持續推展,本週的"Ask Eric Anything"網路研討會著重於最新的產品安全更新,包括我們對於漏洞賞金計畫所做的努力以及 5.1.1 版本更新的相關訊息。

Zoom執行長Eric與Zoom產品工程總裁Velchamy Sankarlingam、Zoom產品總監Oded Gal和Zoom產品安全首席Randy Barr一起參加了會議。

Zoom技術長Brendan Ittelson、Zoom隱私及資安顧問Alex Stamos和Zoom的副法律總顧問暨道德行為準則長Lynn Haaland加入隨後的問與答時段。

宣佈資安長Jason Lee到任

Eric在網路研討會開始時即宣佈,Zoom聘用Jason Lee擔任資安長,任期自2020年6月29日起生效。Lee原先擔任Salesforce安全營運資深副總裁和Microsoft安全工程首席總監,擁有20年的資訊安全和關鍵任務服務營運的專業經歷。在我們不斷努力改善產品安全性和隱私權的過程中,Jason將扮演關鍵性的角色,協助我們建立更安全的平台。

產品更新

本週末,我們將推出5.1.1版的Zoom軟體及網站更新,其中包括下列變更:

  • 虛擬背景集中管理:大型方案導入的帳戶管理員可以管理組織內部使用的虛擬背景圖,並提供一系列預先核准的背景供使用者選擇。
  • 會議安全相關設定調整:於Zoom官網上,將會議安全相關設定如:會議密碼、等候室和驗證方法等集中在會議設定的安全性標籤底下並放置在易於找到的頂部位置。
  • Zoom Chat 更新:使用者可以對外部聯絡人隱藏自己的上線狀態,而且可以選擇阻止外部聯絡人將新使用者加入到頻道或群組聊天室中。

介紹Velchamy Sankarlingam

Eric介紹前VMware雲端服務開發和營運資深副總裁 Velchamy Sankarlingam,他已經加入Zoom擔任產品與工程總裁。擁有二十多年經驗在雲端和協作軟體,Velchamy 為我們的團隊帶來豐富的經驗和知識,我們很榮幸能聘請他督導我們產品、工程和開發營運團隊的工作。

新的會議資安需求

從7月19日開始,無論是付費帳戶還是免費帳戶,所有會議都必須啟用會議密碼或等候室,以確保會議更安全、更有保障。如果兩者皆未啟用,Zoom將為您的會議啟用等候室作為預設使用功能。如果您已經啟用會議密碼或等候室,則安排會議的方式將維持不變。如果您將會議密碼新增到既有已安排的會議中,則需要重新傳送會議邀請,以便資訊中帶有會議密碼相關資訊,而帶有會議密碼的新會議連結將包含在會議邀請中。如果已經啟用等候室,則安排會議的方式將維持不變。

漏洞賞金計畫更新

Randy提供漏洞賞金和弱點揭露計畫更新。在90天計畫中,我們持續評估內部漏洞處理程序以及使用漏洞賞金平台所達到的有效性。為了強化我們的漏洞賞金計畫和弱點揭露作業,我們開發出中央錯誤存放庫(Central Bug Repository)和相關的工作流程,以便與ISO 29147和30111所規範的要求一致。這個存放庫接受HackerOne、Bugcrowd和security@zoom.us(後者不要求保密協議)所提供的透過 Praetorian進行分類的輸入。我們透過每日會議建立持續的審查程序,並加強與安全研究人員和第三方評估人員的協調合作。

問與答

該如何向Zoom申請漏洞賞金?

您可以將漏洞賞金申請提交到security@zoom.us,我們的專責團隊將審核每次提交的結果並指派人員處理提交的問題。

貴公司是否為付費和免費帳戶提供加密?

是,付費和免費帳戶的所有會議均使用AES 256位元GCM加密技術。我們也將同時為免費和付費帳戶提供會議的點對點加密,藉以營造高安全性會議環境。

Zoom是否會收集或出售使用者資料?

客戶使用我們的平台時,Zoom會收集我們提供服務所需的資訊,例如:IP 位址;不過,Zoom 並未且也將永遠不會出售使用者資料。

Zoom是否可以為管理員新增對帳戶底下所有用戶之會議密碼和等候室功能之設定還原(reset)的選項?

身為大型導入的帳戶管理員,您可以在您的管理帳戶層級啟用或鎖定這些設定,這些設定將為所有會議和使用者啟用這些安全設定作為預設值。您也可以在您所管理的群組或使用者層級後台啟用密碼和等候室功能。

等候室如何運作?

啟用等候室後,與會者將先進入一個虛擬等候區中,而主持人可以檢視哪些人嘗試加入會議,並逐一或全部一次性的允許這些人進入會議。在大型導入方案中的帳戶、群組、使用者或一般個人會議會議管理層級的設定啟用等候室功能。

感謝您的支持

謝謝您參加本週研討會,也謝謝每一位提問的朋友!Zoom 努力成為全世界最安全的企業通訊平台,真心感謝您一路以來的支持。

如果您錯過了本週的對談,可以在這裡觀看錄影:

若想提供您的意見回饋或詢問Zoom問題,請發送電子郵件至answers@zoom.us。並請註冊下週的"Ask Eric Anything"網路研討會。

原文: 90-Day Security Plan Progress Report: June 24