lswcap
国家安全局的国家安全局(NSA)发布了一份报告,评估了RemoteWork中经常使用的主要视频会议和消息传递工具(例如Zoom,Microsoft Teams和Slack)的安全性。
评估目标是Cisco Webex,Dust,G Suite,GoToMeeting,Mattermost,Microsoft Teams,Signal和Skype for Business。 ),Slack,SMS,WhatsApp,Wickr和Zoom。美国国家安全局(NSA)基于八个基础评估了这些工具的安全性。
首先,是否实施端到端加密。发送者和接收者不仅都进行加密,而且加密密钥是否相互作用也很重要。另外,在大规模视频聊天的情况下,由于性能问题,未实现端到端加密。
以下是通信加密是否强并且是否基于众所周知的可测试加密标准。即使没有端到端加密,NSA仍建议使用强加密标准,并指出希望使用诸如TLS,DTLS和SRTP之类的开放协议标准。
接下来是是否使用多因素身份验证。美国国家安全局(NSA)检查如何使用多因素身份验证(例如每种工具的代码,令牌和生物特征识别码)访问现有帐户。下一个问题是您是否可以检查和控制谁连接到用户会话。 NSA表示,希望支持合理且强大的身份验证以加入会话,是否可以使用登录密码和候诊室等功能将会话的访问权限限制为仅被邀请者。
以下是隐私政策及其是否允许与第三方或分支机构共享信息。会议工具必须能够保护敏感数据,例如联系信息和内容。是否应与第三方共享是否可能损害组织的各种信息(例如与ID,设备信息和会话记录有关的元数据)与第三方共享,如果有,应在隐私策略中指定。
接下来是用户是否可以从客户端和服务器上安全删除服务存储和必要的数据。 NSA可能不是一种完全支持安全覆盖和删除数据的服务,但是它说明应该给用户提供删除共享文件或会话内容之类的数据并永久删除未使用帐户的机会。 。
接下来,是否将其开发为开源,最后,是否符合美国联邦安全认证(FedRAMP)。
在总结评估时,Microsoft团队和Google G-Suite规定了与第三方和开发人员共享个人数据的策略,尽管强大的加密,多因素身份验证,FedRAMP合规性以及各个方面都满足了NSA要求。对于Slack,您不能从客户端自由删除服务器端数据。同样,虽然Zoom符合FedRAMP,但它不使用用户多因素身份验证。对于用户个人信息泄漏和安全性问题,曾多次指出Zoom。
美国国家安全局(NSA)解释说,发布视频会议工具安全评估报告的原因是为了组织和指导对军事组织,公共机构和私营企业至关重要的工具的特性,并且每个组织都应具有适当的安全性。系统,并为恶意攻击者的威胁做好准备。做到了。相关信息可以在这里找到。
Add comment