- Blog home
- >
- Visioconférences
- >
- Notre attention sur la sécurité dans un monde de collaboration ouvert
Tags: blogs Cisco, collaboration, Conformité, des données confidentielles à travers la vidéoconférence, Équipe de réponse aux incidents de sécurité du produit Cisco (PSIRT), Les intégrations de collaboration non pris en cas d’augmentation du risque pour les clients, outil de vidéoconférence, sécurité, Sécurité Cisco, sécurité et interopérabilité, signaler les problèmes de sécurité, Zoom
L’interopérabilité et l’ouverture ne doivent jamais être un compromis avec la sécurité et nos utilisateurs ne devraient pas croire qu’ils doivent s’échanger les uns avec les autres. L’interopérabilité et la sécurité peuvent et doivent fonctionner à l’interopérabilité, ce qui nécessite que les sociétés de logiciels d’aujourd’hui travaillent avec quelques bases sur la façon dont nous sécurisons collectivement nos clients mutuels.
Cisco a créé un environnement riche de partenaires, développeurs et intégrateurs, de sorte que nos clients ont la flexibilité et le choix de super charger leurs outils et workflows avec nos technologies de collaboration, sans problème. Nous sommes sérieux concernant l’interopérabilité des outils que vous aimez et que vous utilisez au quotidien. Certains exemples du travail que nous avons effectué à ce sujet incluent nos intégrations d’origine avec Google , Apple , Microsoft , Slack et plus encore.
Toutefois, cette flexibilité, choix et interopérabilité ne doivent avoir aucun compromis sur la sécurité et l’intégrité des données.
Les intégrations de collaboration non pris en cours peuvent augmenter le risque pour les clients. La compatibilité et la sécurité peuvent être un défi, c’est pourquoi nous allons prendre en charge uniquement les fournisseurs de collaboration tiers qui répondent à nos normes de sécurité et qui s’intègrent à nos produits et services via nos API ouvertes supportées.
Cisco a été avertie d’un risque sérieux de sécurité avec le connecteur Zoom pour Cisco le 31 octobre2019
et a suivi notre processus bien établi pour enquêter sur le problème. Nous pensons que Zoom a également été averti le 31 octobre. Le 18 novembre , notre ciSO a informél’équipe CISO de ses résultats et a recommandé une action immédiate pour répondre à tous les risques liés àla sécurité. Je partage les détails de ce problème car nous nous engageons à préserver la transparence et la protection de nos clients dans le paysage de sécurité qui change constamment.
Le connecteur Zoom pour Cisco, propriétaire et opérateur de Zoom Video Communications, connecte leur cloud à un réseau interne client et en particulier un point de terminaison/périphérique vidéo Cisco et son interface de gestion.
Quel était le problème ? Malheureusement, l’accès (via une URL zoom) pour le connecteur Zoom de Cisco hébergé sur zoom.us était accessible sans authentification.
Détails sur les problèmes :
Périphériques Cisco Webex peuvent être gérées via une interface Web qui fournit la gestion de la configuration, du statut, des journaux, de la sécurité et des intégrations telles que les commandes et les macros dans la salle. Le connecteur Zoom pour Cisco a créé une URL spécifique au périphérique hébergée sur le site Web Zoom pour chaque point de destination configuré dans le connecteur. Cette URL a fourni l’accès à l’interface Web du périphérique en utilisant le connecteur API sur site de Zoom pour modifier les pages Web Cisco afin qu’ils soient accessibles à partir de l’URL Zoom à l’extérieur du réseau du client.
Malheureusement, cette URL Zoom fournie à partir de leur site Web était accessible sans authentification. En outre, Zoom a fourni une page d’accueil qui copie la page d’accueil de Cisco, y compris le logo et les marques, les clients erronés dans une page Web Cisco avec sécurité Cisco, plutôt que d’une URL accessible publiquement.
Le connecteur Zoom pour Cisco a créé les risques critiques de sécurité suivants :
changé ou lors de la suppression d’un utilisateur administratif Zoom. Ainsi, un ex-employé continuerait d’avoir accès aux périphériques via le pare-feu à partir de l’Internet public, s’ils avaient conservé l’URL du Zoom dans leur historique.
Le 19 novembre2019, Zoom a publié un « correctif de bogue » qui a partiellement résolu les problèmes de sécurité et, après toute communication de Cisco, a envoyé un courrier électronique avec des informations incomplètes sur les risques liés à la sécurité pour leurs clientsconcernés.
En Cisco Webex, nous entretenons des principes sécurisés, simples et évolutifs. Au cours de mes années dans le secteur du logiciel, j’ai appris qu’il n’est jamais acceptable de passer outre les questions de sécurité pour raison de commodité et de simplicité. Et lorsque tant de données sensibles sont partagées via la conférence vidéo, incluant la possibilité d’utiliser la caméra d’un périphérique, la sécurité doit être de toute importance. C’est la promesse que nous tenez chèrement à Cisco pour chacun de nos clients, et qui est incorporée par les étapes que nous avons prises pour ce problème :
Si vous êtes un client qui utilise le connecteur Zoom pour Cisco, veuillez consulter vos journaux administratifs et analyser l’utilisation pour voir s’il y a eu une violation suite à la procédure d’implémentation décrite ici.
Actuellement, le Connecteur Zoom pour Cisco n’est pas une solution Cisco prise en charge qui répond à nos normes de sécurité au niveau de l’entreprise. Nos solutions supportées répondent aux normes que nos clients attendent de Cisco en utilisant nos API ouvertes bien documentées.
Vous pouvez continuer à que vos Périphériques Cisco Webex et salles se connectent aux réunions Zoom à l’aide de méthodes standard telles que SIP, ainsi que de nos XAPI documentées ici.
Nous vous promettons de travailler avec chacun de nos clients pour leur fournir la configuration la plus sécurisée. Veuillez nous contacter au psirt@cisco.com si vous avez d’autres questions ou si vous avez besoin de nous pour faciliter la sécurité de Périphériques Cisco Webex. Nous travaillons avec chaque partenaire qui utilise nos API. Nous sommes prêts à travailler avec Zoom, afin qu’ils utilisent les API supportées et que la solution soit certifiée via nos programmes officiels.
En savoir plus :
Les administrateurs atteignent davantage de objectifs avec Webex : Réduisez les coûts de l’intégration avec les outils informatiques Microsoft et profitez des fonctions de sécurité d’origine de Webex : Offrez la meilleure expérience de collaboration et les données sensibles sécurisées avec le Pack de sécurité étendu de Cisco Cisco Unified Communications Manager Evolution — Votre sécurité est-elle à votre niveau de sécurité ?