Oct. 24-26
- Blog home
- >
- Videoconferência
- >
- Nosso foco na segurança em um mundo de colaboração aberta
Tags: Blogs da Cisco, Cisco Security, colaboração, conformidade, dados confidenciais por meio de videoconferência, Equipe de resposta de incidentes de segurança do produto da Cisco (PSIRT), ferramentas de videoconferência, integrações de colaboração não-compatíveis levam ao aumento do risco ao cliente, relatando problemas de segurança, segurança, segurança e interoperabilidade, Zoom
A interoperabilidade e a abertura nunca devem ser uma troca com segurança e nossos usuários não devem acredita que precisam sacrificar um pelo outro. A interoperabilidade e a segurança podem e devem funcionar em união, e isso requer que as empresas de software de hoje trabalhem com algumas normas básicas sobre como proteger coletivamente nossos clientes mútuos.
A Cisco criou um ecossistema rico de parceiros, desenvolvedores e integradores para que nossos clientes tenham a flexibilidade e a opção de cobrar totalmente suas ferramentas e fluxos de trabalho com nossas tecnologias de colaboração, sem problemas. Estamos falando sérios sobre a interoperabilidade com as ferramentas que você adora e usa todos os dias. Alguns exemplos do trabalho que fizemos nesse contexto incluem nossas integrações nativas com oGoogle, Apple, Microsoft , Slack emuito mais.
Essa flexibilidade, a escolha e a interoperabilidade, no entanto, devem vir com zero compromissos na segurança e na integridade dos dados.
Integrações de colaboração não-compatíveis podem levar ao aumento do risco ao cliente. A compatibilidade e a segurança podem ser um desafio, e é por isso que suportaremos apenas fornecedores de colaboração de terceiros que atendem nossos padrões de segurança e que se integram com nossos produtos e serviços por meio de nossas APIs abertas suportadas.
A Cisco foi notificada de um grave risco à segurança com o Zoom Connector da Cisco em 31 de outubro de 2019
e seguiu nosso processo bem estabelecido para investigar o problema. Acreditamos que o Zoom também tenha sido notificado em 31 de outubro ou sobre isso. Em 18 de novembro de 2018, nosso CISO notificou o CISO da Zoom sobre nossas descobertas e recomendou uma ação imediata para resolver todos osriscos à segurança. Estou compartilhando os detalhes deste problema já que estamos comprometidos com a transparência e com a proteção dos nossos clientes no cenário de segurança em constante evolução.
O conector de zoom da Cisco, pertencente e operado pela Zoom Video Communications, conecta sua nuvem à rede interna de um cliente e, especificamente, a um dispositivo de extremidade/vídeo da Cisco e sua interface de gerenciamento.
Qual foi o problema? Infelizmente, o acesso (através de uma URL de Zoom) para o conector de zoom da Cisco hospedado no zoom.us pode ser acessado sem autenticação.
Detalhes do problema:
Cisco Webex Devices podem ser gerenciados por meio de uma interface na Web que fornece gerenciamento de configuração, status, registros, segurança e integrações, como controles na sala e macros. O conector de zoom da Cisco criou uma URL específica de dispositivo organizada no site Zoom para cada extremidade configurada no conector. Esta URL forneceu acesso à interface da web do dispositivo usando o conector de API no local da Zoom para modificar as páginas da Web da Cisco para que elas pudessem ser acessadas a partir da URL de Zoom fora da rede do cliente.
Infelizmente, esta URL de Zoom fornecida no seu site foi acessível semautenticação. Além disso, o Zoom forneceu uma página de destino que copiou a página de destino da Cisco, incluindo o logotipo e as marcas da Cisco, enganoso os clientes para crer que estavam em uma página da Web da Cisco com segurança da Cisco, em vez de uma URL publicamente acessível.
O conector de zoom da Cisco criou os seguintes riscos críticos à segurança:
Em 19 de novembro de2019, a Zoom liberou uma “correção de erros” que abordava parcialmente os problemas de segurança e, após novas comunicações da Cisco, forneceu um e-mail com informações incompletas sobre os riscos à segurança para seus clientesafetados.
Na Cisco Webex, vivemos por princípios seguros, simples e escalonáveis. Ao longo das minhas décadas no setor de software, aprendi que nunca é aceitável ignorar as normas de segurança por questão de conveniência e simplicidade. E quando dados tão confidenciais estão sendo compartilhados por meio de videoconferência, incluindo a capacidade de usar a câmera de um dispositivo, a segurança deve ser de importância u apple apple. Essa é a promessa que a Cisco espera de cada um de nossos clientes, e foi personada pelas etapas que tomamos para esse problema:
Se você for um cliente usando o Conector de zoom da Cisco, revise os seus registros administrativos e analise o uso para ver se houve algum violação como resultado da implementação descrita aqui.
No momento, o conector de zoom da Cisco não é uma solução suportada pela Cisco que atende aos nossos padrões de segurança de classe empresarial. Nossas soluções suportadas atendem aos padrões que nossos clientes esperam da Cisco usando nossas APIs abertas bem documentadas.
Você pode continuar com a conexão Cisco Webex Devices salas e de reuniões para ampliar as reuniões usando métodos padrão suportados, como o SIP, bem como nossos XAPI estão documentados aqui.
É nossa promessa trabalhar com cada um dos nossos clientes para fornecer a eles a configuração mais segura. Entre em contato conosco em [email protected] em caso de dúvidas ou se precisar que ajude a proteger sua Cisco Webex Devices. Trabalhamos com cada parceiro que usa nossas APIs com responsabilidade. Estamos prontos para trabalhar com o Zoom para que eles usem as APIs suportadas e que a solução seja certificada por meio de nossos programas oficial.
Saiba mais
Os administradores conseguem mais com a Webex: Reduza o custo integrando-se com as ferramentas de IT da Microsoft e aproveite os recursos de segurança nativos do Webex para fazer o impossível: Oferece a melhor experiência de colaboração e dados confidenciais seguros com o Pacote de segurança estendida Cisco Unified Communications Manager Da Cisco — Sua segurança está completa?