Zoom tenta cumprir promessas de segurança e privacidade
Após uma explosão massiva de uso e um começo difícil quando a pandemia COVID-19 varreu o mundo, a Zoom concluiu seu ambicioso plano de segurança e privacidade de 90 dias, mais recentemente adicionando autenticação de dois fatores (2FA) à sua lista de medidas de proteção.
O 2FA, bem como a adição do ex-executivo da Salesforce Jason Lee como diretor de segurança da informação, parecem ser passos da Zoom para responder às críticas empilhadas na plataforma de teleconferência por deficiências que levaram ao ” bombardeio de zoom “, vulnerabilidades de dia zero sendo vendidas no mercado por corretores de bug e outros erros de privacidade.
Como parte de seus esforços contínuos, a empresa construiu um programa robusto de recompensa por bugs na plataforma Bugcrowd. O CEO da Bugcrowd, Ashish Gupta, conversou com a SC Media sobre o programa e os avanços que ele acredita que o Zoom fez para proteger os dados e a privacidade.
O que a adoção da Zoom pela autenticação de dois fatores significa na estratégia da empresa para melhorar sua postura de privacidade e segurança de dados?
A Zoom anunciou a autenticação aprimorada de dois fatores para desktop e celular, que adiciona uma camada extra de proteção e protege as informações pessoais. Estamos fazendo muitos avanços no uso de tecnologias cibernéticas em nosso dia-a-dia e o Zoom se tornou uma grande parte de nossas vidas – tanto pessoal quanto profissionalmente. Essa camada extra de segurança não apenas supera a força de suas senhas, mas também é fácil de implementar e adiciona outra camada de segurança. 2FA oferece aos atores nefastos um obstáculo adicional antes que eles possam acessar suas informações ou reunião Zoom.
Bugcrowd executa o programa de recompensa de bug do Zoom. Como a empresa tem investido no crescimento desse programa?
O Zoom é muito ativo com seu programa de recompensa de bug e responde ao feedback do pesquisador e do Bugcrowd. Eles contrataram especialistas adicionais com vasta experiência em programas de recompensa por bug para ajudar a gerenciar seus processos internos e se beneficiar ainda mais do poder dos pesquisadores de segurança que enviam seus programas de recompensa por bug.
A Zoom continua a apoiar a abordagem crowdsourced e de todos os pesquisadores que fornecem esse feedback crítico. Ao utilizar pesquisadores para testar continuamente sua plataforma quanto a vulnerabilidades, o Zoom colhe os benefícios do ‘toque humano’ ou ‘engenhosidade humana’. Isso permite que o Zoom obtenha mais visibilidade de sua superfície de ataque, pois a visibilidade contextual que os hackers éticos contribuem é vital. Vimos o Zoom mover-se para abordar ativamente todas as [vulnerabilidades] enviadas pelos pesquisadores do Bugcrowd.
Espera-se que a IA faça uma diferença significativa no gerenciamento de riscos. Isso torna o elemento humano menos importante?
Embora a IA e outras soluções de segurança tenham um papel na redução do risco cibernético, a engenhosidade humana também é importante para alcançar uma postura de segurança eficaz. Nossos hackers de chapéu branco podem realizar testes de vulnerabilidade que podem identificar vulnerabilidades dentro de aplicativos em uma base contínua. Uma das melhores maneiras de vencer um invasor é pensando como um.
No final do dia, a velocidade pode ser inimiga da segurança, pois todos desejam colocar seus produtos no mercado mais rapidamente. No entanto, se mais empresas como a Zoom puderem tornar a segurança uma parte essencial do ciclo de vida de desenvolvimento de software e receber a opinião da multidão, os benefícios podem ser imensos.
Depois de ser atacado desde o início, a Zoom reconheceu as preocupações e apresentou um plano de privacidade e segurança proativo de 90 dias detalhado para tratar de questões de segurança e privacidade. Quais são as implicações de longo prazo no programa de recompensa por insetos da empresa?
Gostaria de reafirmar que os esforços do Zoom para utilizar o poder da segurança crowdsourced e a recompensa de insetosprograma não são um negócio ‘uma vez e feito’. O Zoom teve um grande aumento no uso e ajudou o Zoom a se tornar mais seguro. Fazemos isso de várias maneiras e um método muito poderoso é combinar os pesquisadores certos com o caso de uso certo. Por exemplo, o Zoom funciona em vários pontos finais com vários sistemas operacionais e navegadores, calendários, ambientes, APIs, etc. Ter uma equipe de pesquisadores que entendem coletivamente esses ambientes torna mais fácil encontrar vulnerabilidades de segurança em qualquer área individual ou em pontos de transferência . O benefício da multidão e de nossa plataforma é que criamos um multiplicador de força impulsionado por trazer especialistas para trabalhar juntos e uma plataforma que fornece inteligência contextual que ajuda a encontrar e corrigir vulnerabilidades de segurança mais rapidamente.
O Zoom leva esse multiplicador de força a sério e convida os pesquisadores a apresentar vulnerabilidades em nossa plataforma com o objetivo de tornar o mundo conectado ao Zoom mais seguro. Eles continuam a fazer do SecOps uma parte fundamental do DevOps e do ciclo de vida geral de desenvolvimento de software e se beneficiam do feedback de nossa equipe, que os ajuda a fornecer comunicações ainda mais seguras para o mundo. Vemos que o Zoom está nisso para o longo prazo e aplaudimos esses esforços.
Fonte: https://www.scmagazine.com/home/security-news/zoom-makes-good-on-security-privacy-promises/
