1. Blog
  2. Cyberdefense
  3. Laten we eens kijken naar Cisco Webex – Een visionaire speler

Laten we eens kijken naar Cisco Webex – Een visionaire speler

Dit is de derde blog in een reeks blogs waarin de veiligheid van verschillende zakelijke videoconferencing producten worden onderzocht. In deze post onderzoeken we Cisco Webex Meetings en Cisco Webex Teams. Berichten die de komende dagen nog moeten komen, gaan over Google Meet, Bluejeans, Skype for Business, Tixeo, Jitsi Meet & BigBlueButton.

Om te lezen over onze aanpak van deze analyse, het doelgerichte veiligheidsmodel dat we hebben toegepast te begrijpen, of een zij-aan-zij vergelijking van de beoordeelde producten te zien, kunt u onze eerste post uit deze serie bezoeken.

Als u geïnteresseerd bent in de details voor Cisco Webex of Cisco Webex Team, lees dan verder.


Update: 01/06/2020

Dit bericht is bijgewerkt met diverse wijzigingen, nieuwe links en enkele correcties na feedback van Cisco.


Cisco Webex Meetings

Cisco Webex is een Amerikaans bedrijf dat webconferencing en videoconferencing applicaties ontwikkelt en verkoopt. De Webex-oplossing is beschikbaar onder verschillende licenties, waaronder een gratis versie (beperkt tot 100 deelnemers) en is beschikbaar als SaaS (public cloud), op een private cloud of on-premise op een dedicated server of geïntegreerd in een Cisco-telefoonsysteem.

Volgens Gartner is Webex momenteel marktleider en wordt het nog steeds beschouwd als een visionaire speler in videocommunicatietechnologieën (samen met Zoom en Microsoft).

De oplossing is beschikbaar in twee vormen, Webex Teams voor collaboratief werk (wordt later besproken) en Webex Meetings voor audio- en videovergaderingen (hier behandeld). Webex biedt ook apparatuur aan zoals IP-telefoons, schermen en camera’s voor videoconferenties. [1]

Functies

De Webex Meetings oplossing wordt gebruikt via een webbrowser met een plugin. Het is ook mogelijk om software te installeren en te gebruiken die beschikbaar is voor Windows, Android en iOS, voor toegang tot georganiseerde vergaderingen. De installatie van de client vereist beheerdersrechten op de computer

Resultaten tabel

Encryptie
Gebruikt een geschikt encryptie-algoritme Volledig Alle communicatie tussen Cisco Webex-toepassingen en Cisco Webex Cloud verloopt via gecodeerde kanalen.

Cisco Webex maakt gebruik van het TLS 1.2-protocol en maakt gebruik van krachtige cijfers (bijvoorbeeld AES 256).

Het User Datagram Protocol (UDP) is het voorkeursprotocol voor het verzenden van media. In UDP worden mediapakketten versleuteld met behulp van AES 128 . De initiële sleuteluitwisseling vindt plaats op een TLS-beveiligd kanaal. Bovendien maakt elk datagram gebruik van Hashed-Based Message Authentication Code (HMAC) voor authenticatie en integriteit.

Gebruikt een sterke encryptiesleutel Volledig AES 256 (stored) / AES 128 (streamed).Cisco heeft ons geïnformeerd dat ondersteuning voor AES 256 op dit moment op de agenda staat.
De gegevens worden bij normaal gebruik gecodeerd tijdens het transport Volledig https://www.cisco.com/c/dam/en/us/products/collateral/conferencing/webex-meeting-center/white-paper-c11-737588.pdf
Gegevens blijven gecodeerd op de servers van de provider Gedeeltelijk In de standaardmodus worden mediastromen die van een client naar Cisco Webex-servers stromen, gedecodeerd nadat ze de Cisco Webex-firewalls zijn gepasseerd. Volledige encryptie is echter beschikbaar ten koste van sommige functies zoals cloud recording.

Zie https://www.cisco.com/c/dam/en/us/products/collateral/conferencing/webex-meeting-center/white-paper-c11-737588.pdf

Stem, video en tekst zijn allemaal gecodeerd Volledig https://www.cisco.com/c/dam/en/us/products/collateral/conferencing/webex-meeting-center/white-paper-c11-737588.pdf
Bestandsoverdrachten & sessie-opnamen zijn gecodeerd Volledig https://www.cisco.com/c/dam/en/us/products/collateral/conferencing/webex-meeting-center/white-paper-c11-737588.pdf
De vendor kan de gegeven technisch gezien op geen enkel moment ontcijferen, zelfs niet onder druk van de regelgeving (volledige E2EE). Gedeeltelijk Cisco Webex biedt end-to-end encryptie. Met deze optie ontcijfert Cisco Webex Cloud de mediastromen niet. Alle Cisco Webex-clients genereren sleutelparen en sturen de publieke sleutel naar de klant van de host. De host genereert een willekeurige symmetrische sleutel en versleutelt deze met de publieke sleutel die de client verstuurt, en stuurt de versleutelde symmetrische sleutel terug naar de client. Het verkeer dat door de client wordt gegenereerd wordt versleuteld met de symmetrische sessiesleutel. In dit model kan het verkeer niet worden ontcijferd door de Cisco Webex-server.

Zie https://www.cisco.com/c/dam/en/us/products/collateral/conferencing/webex-meeting-center/white-paper-c11-737588.pdf

Encryptie-implementatie heeft het onderzoek in de loop van de tijd doorstaan Volledig
Authenticatie
Beheerders kunnen het beveiligingsbeleid voor wachtwoorden definiëren Volledig Daarnaast kan de beheerder de wachtwoordcriteria beheren met behulp van de volgende opties:

  • Gemengd geval
  • Minimale lengte
  • Minimumaantal numerieke, alfabetische of speciale tekens
  • Geen karakter dat drie keer of meer herhaald moet worden
  • Geen hergebruik van een bepaald aantal eerdere wachtwoorden
  • Geen dynamische tekst (naam van de site, naam van de gastheer, gebruikersnaam)
  • Geen wachtwoorden uit een configureerbare lijst (bijvoorbeeld “wachtwoord”)
  • Minimaal tijdsinterval voor het wijzigen van het wachtwoord
Ondersteunt MFA als standaard Niet Geen eigen MFA beschikbaar, heeft IdP van een derde partij nodig om het te leveren.
Kan integreren met Active Directory of vergelijkbaar Volledig
Kan integreren met SSO-oplossingen via SAML of vergelijkbaar. Volledig
Biedt RBAC aan Volledig Het gedrag van de Cisco Webex-toepassing is vanaf de basis opgebouwd rond vijf rollen, die elk verschillende privileges krijgen. https://www.cisco.com/c/dam/en/us/products/collateral/conferencing/webex-meeting-center/white-paper-c11-737588.pdf
Maakt het mogelijk om wachtwoorden in te stellen voor vergaderingen Volledig
Maakt het mogelijk om het beveiligingsbeleid voor vergaderingen met wachtwoorden in te stellen Volledig
Jurisdictie
Adres hoofdkantoor USA Milpitas, California (United States)
De verkoper kan technisch gezien geen toegang krijgen tot de gegevens zonder toestemming van de klant Gedeeltelijk Wanneer E2EE wordt ingezet, kan Cisco de gegevens niet ontcijferen.

In de ‘normale’ modus zegt Cisco dat medewerkers geen toegang hebben tot de klantgegevens, tenzij de klant om ondersteuningsredenen om toegang vraagt.

Een volledige on-prem versie is beschikbaar voor gebruikers die de leverancier niet willen vertrouwen. Volledig Cisco WebEx-vergaderingsserver

Zie https://www.cisco.com/c/en/us/products/conferencing/meeting-server/index.html

Daarnaast stelt een functie genaamd ‘Hybride Data Security’ organisaties in staat om encryptiesleutelbeheer en andere beveiligingsgerelateerde functies in hun on-premise datacenters onder te brengen.

Voor SaaS-modi kan de klant selecteren welke landen of politieke regio’s gegevens worden opgeslagen of verwerkt in Gedeeltelijk Tijdens de bevoorrading selecteert de beheerder een land, dat bepaalt welke van de twee GEO-regio’s de gegevens van de organisatie zijn.

Zie https://help.webex.com/en-us/oybc4fb/Data-Residency-in-Cisco-Webex-Teams#id_102374

Voldoet aan de toepasselijke veiligheidscertificaten (bv. ISO27002 of BSI C5). Volledig Cisco Webex voldoet niet alleen aan onze strenge interne normen, maar onderhoudt ook voortdurend validaties van derden om onze toewijding aan informatiebeveiliging aan te tonen. Cisco Webex is:

ISO 27001, 27017, 27018 certified

Service Organization Controls (SOC) 2 Type II audited

FedRAMP certified (visit cisco.com/go/fedramp)

Cloud Computing Compliance Controls Catalogue (C5) attestation

Privacy Shield Framework certified

Zie https://www.cisco.com/c/en/us/about/trust-center/webex.html#~certifications

Voldoet aan de juiste privacynormen (bijv. FERPA of GDPR). Volledig https://help.webex.com/en-us/pdz31w/Cisco-Webex-Compliance-and-Certifications
Biedt een transparantierapport met informatie over verzoeken om gegevens, dossiers of inhoud. Volledig https://www.cisco.com/c/en/us/about/trust-center/transparency.html
Security Management
Biedt andere vormen van toegangscontrole tot vergaderingen, bijvoorbeeld wachtkamers, lock-out, bannen, enz. Volledig https://www.cisco.com/c/dam/en/us/products/collateral/conferencing/webex-meeting-center/white-paper-c11-737588.pdf
Maakt het mogelijk om granulaire controle uit te oefenen op acties binnen de vergadering, zoals het delen van het scherm, bestandsoverdracht, afstandsbediening. Volledig https://www.cisco.com/c/dam/en/us/products/collateral/conferencing/webex-meeting-center/white-paper-c11-737588.pdf
Biedt duidelijke centrale controle over alle beveiligingsinstellingen Volledig
Maakt monitoring en onderhoud van endpointsoftwareversies mogelijk Onduidelijk Niet voor zover wij weten. Control Hub Analytics en Troubleshooting?
Biedt compliance-functies zoals eDiscovery & Legal Hold Volledig https://www.cisco.com/c/en/us/products/collateral/collaboration-endpoints/webex-room-series/datasheet-c78-740772.html
Auditing en rapportage Volledig https://help.webex.com/en-us/n3b0w6x/Audit-Events-in-Cisco-Webex-Control-Hub
Aanvullende content security controls like DLP, watermarking, etc. Gedeeltelijk DLP-oplossingen van derden kunnen worden geïntegreerd via de Events-API.
Vulnerability Management
Percentage van NVD 2019 0.15
Percentage van NVD 2020 0.09
Vendor maakt bekend welke kwetsbaarheden zijn aangepakt Volledig Cisco has a clear and comprehensive Security Vulnerability Policy. See https://tools.cisco.com/security/center/resources/security_vulnerability_policy.html and https://help.webex.com/en-us/c3r7uf/Open-and-Resolved-Bugs-for-the-Latest-Webex-Meetings-Updates
Vendor voert een bug bounty uit Gedeeltelijk Cisco staan vermeld op hackerone, maar niets specifieks voor Webex.

 

Encryptie

Webex Meetings biedt twee beveiligingsmogelijkheden. Standaard is de communicatie tussen de server en de clients versleuteld (hop-by-hop). Duidelijke tekstgegevens lopen dus over de server. Het is ook mogelijk om end-to-end encryptie in te schakelen bij gebruik van de thick client. In dit model kan het verkeer niet worden ontcijferd door de Cisco Webex-server. Dit beperkt echter bepaalde functies, zoals het delen van schermen of het delen van bestanden[2].

Cisco versleutelt ook opgeslagen Network Based Recordings. Tijdens het afspelen en downloaden wordt het versleutelde opnamebestand vervolgens voor of tijdens de bewerking ontcijferd. Cisco onderhoudt deze sleutels voor de klant.

Met een functie genaamd ‘Hybrid Data Security’ kunnen organisaties het beheer van versleutelingscodes en andere beveiligingsgerelateerde functies in hun interne datacenters brengen.

Authenticatie

Webex Meetings ondersteunt SSO met integratie in de identity management technologie van de klant (bijvoorbeeld Microsoft Active Directory Federation Services, PingFederate, CA Siteminder Single Sign-On, OpenAM, of Oracle Access Manager) met behulp van de Security Assertion Markup Language (SAML) 2.0.

We konden geen bewijs vinden dat Webex Meetings enige vorm van Multi Factor Authenticatie (MFA) aanbiedt, maar veel van de SSO-oplossingen die via SAML worden ondersteund (bijvoorbeeld Duo of Okta) zouden die mogelijkheid bieden.

Jurisdictie & Regulering

Cisco beweert dat ISO 9001, ISO 27001, en ISO 27018, SOC 2, Privacy Shield Framework en EU-modelclausules voor Webex-vergaderingen worden nageleefd.  Webex Teams en Webex Meetings hebben ook formeel een attest ontvangen tegen de BSI Cloud Computing Compliance Controls Catalogus (BSI C5).

Webex is echter een SaaS-oplossing van Cisco, die onder de jurisdictie van de Amerikaanse overheid valt. Theoretisch betekent dit dat het bedrijf gedwongen zou kunnen worden om gegevens of toegang tot de overheid te verstrekken in overeenstemming met de Amerikaanse wetgeving, wat een zorg zou kunnen zijn voor bedrijven uit andere landen.

Cisco Webex Meetings maakt expliciet reclame voor ‘data residency’ opties, waardoor klanten de keuze hebben waar hun opgeslagen gegevens zich bevinden. Het lijkt erop dat de beheerder tijdens de levering een land selecteert, dat bepaalt welke van de twee GEO-regio’s de gegevens van de organisatie zich bevinden.

Beveiligingsfuncties en -beheer

Webex Meetings stelt gebruikers in staat om voor elke vergadering een uniek wachtwoord te genereren. Beheerders definiëren de complexiteit van het wachtwoord om te voldoen aan het wachtwoordbeleid van de organisatie.

Webex ondersteunt toegang op basis van rollen, wat de rechten van de vergaderplatformen definieert. Deze configuratie maakt het ook mogelijk om het delen van applicaties of bureaublad te beperken als dat nodig is.

Kwetsbaarheid & exploitatiegeschiedenis

De NIST National Vulnerability Database registreert sinds begin 2019 33 kwetsbaarheden voor Cisco Webex-componenten (exclusief Teams), waarvan een aantal als ernstig is bestempeld:

Jaar Gerapporteerd NVD Totaal Percentage
2019 26 17,308 0.15%
2020 7 7,624 0.09%

Cisco heeft een duidelijk Security Vulnerability Policy dat aangeeft hoe Cisco gemelde beveiligingskwetsbaarheden in Cisco-producten en -diensten aanpakt, met inbegrip van de tijdslijn, acties en verantwoordelijkheden die voor alle klanten gelden[3].

Het Cisco Product Security Incident Response Team (PSIRT) is verantwoordelijk voor het reageren op beveiligingsincidenten met Cisco-producten en houdt zich aan ISO/IEC 29147:2014[4].


Sources

[1] https://www.cisco.com/c/en/us/products/collaboration-endpoints/collaboration-room-endpoints/index.html?dtid=osscdc000283#~explore-video-devices

[2] https://help.webex.com/en-us/nwh2wlx/Enable-End-to-End-Encryption-Using-End-to-End-Encryption-Session-Types

[3] https://tools.cisco.com/security/center/resources/security_vulnerability_policy.html

[4] https://www.cisco.com/c/dam/en_us/about/security/psirt/Cisco-PSIRT-Infographic.pdf


 

Cisco Webex Teams

https://www.webex.com/team-collaboration.html

Cisco Webex is een Amerikaans bedrijf dat webconferencing en videoconferencing applicaties ontwikkelt en verkoopt. De Webex-oplossing is beschikbaar onder verschillende licenties, waaronder een gratis versie (beperkt tot 100 deelnemers) en is beschikbaar als SaaS (public cloud), op een private cloud of on-premise op een dedicated server of geïntegreerd in een Cisco-telefoonsysteem.

De oplossing is beschikbaar in twee vormen, Webex Teams voor collaboratief werk (hier besproken) en Webex Meetings voor audio- en videovergaderingen (eerder behandeld).

Functies

Webex Teams is een applicatie die het mogelijk maakt om doorlopend  in een team te werken met behulp van videovergaderingen, groepsberichten, bestanden en het delen van whiteboards. Het volledige gebruik van de Webex Teams oplossing vereist de installatie van client-side applicaties, beschikbaar voor Windows, iOS, Android en MacOS.

Net als bij Webex Meetings is het mogelijk om de oplossing te koppelen aan vele diensten (Google Calendar, Zendesk, Trello, Twitter, etc.).

In combinatie met de andere gerelateerde producten en diensten van Cisco, waaronder switches, telefoons en camera’s, beschouwen wij dit als een van de meest complete oplossingen die momenteel beschikbaar is.

Resultaten tabel

Encryptie
Gebruikt een geschikt encryptie-algoritme Volledig Advanced Encryption Standard (AES) 128, AES 256, Secure Hash Algorithm (SHA) 1, SHA 256 and RSA.
Gebruikt een sterke encryptiesleutel Volledig AES 256 (stored) / AES 128 (streamed)
De gegevens worden bij normaal gebruik gecodeerd tijdens het transport Volledig Zie https://help.webex.com/en-us/vf2yaz/Cisco-Webex-Teams-App-Security

en https://www.cisco.com/c/dam/en/us/td/docs/voice_ip_comm/cloudCollaboration/spark/esp/Cisco-Webex-Apps-Security-White-Paper.pdf

Gegevens blijven gecodeerd op de servers van de provider Volledig Volgens Cisco versleuteld de Webex Teams app de berichten, bestanden en namen van plaatsen op de endpoint voordat ze naar de cloud worden verzonden. Het wordt verwerkt en opgeslagen totdat het weer wordt gedecodeerd op het apparaat. Het is echter begrijpelijk dat de app geen end-to-end versleuteling kan bieden voor berichten en bestanden die zijn gekoppeld aan automatiseringstools in de app, zoals bots.
Stem, video en tekst zijn allemaal gecodeerd Volledig Zie https://help.webex.com/en-us/vf2yaz/Cisco-Webex-Teams-App-Security

en https://www.ciscospark.com/content/dam/ciscospark/eopi/country/usa/assets/pdf/cisco-spark-security-white-paper.pdf

Bestandsoverdrachten & sessie-opnamen zijn gecodeerd Volledig https://help.webex.com/en-us/vf2yaz/Cisco-Webex-Teams-App-Security
De vendor kan de gegeven technisch gezien op geen enkel moment ontcijferen, zelfs niet onder druk van de regelgeving (volledige E2EE). Gedeeltelijk Cisco Webex Teams maakt gebruik van een open architectuur voor het beheer van encryptiesleutels, waardoor onze klanten exclusieve controle krijgen over hun encryptiesleutels en de vertrouwelijkheid van hun gegevens. Dit betekent dat de inhoud wordt versleuteld op het werkstation van de gebruiker en versleuteld blijft totdat deze de ontvanger bereikt, zonder dat tussenpersonen toegang hebben tot decoderingssleutels voor inhoud, tenzij de onderneming er expliciet voor kiest om een dergelijke toegang toe te staan.

Cisco biedt elke klant van de onderneming toegang tot de broncode voor de componenten die zich in het Security Realm bevinden, zodat deze kunnen worden geïnspecteerd, verzameld en binair kunnen worden vergeleken.

Zie https://www.ciscospark.com/content/dam/ciscospark/eopi/country/usa/assets/pdf/cisco-spark-security-white-paper.pdf

Encryptie-implementatie heeft het onderzoek in de loop van de tijd doorstaan Volledig Cisco belooft ook broncode voor Security Realm-services, zoals de KMS, te leveren aan elke klant van de onderneming die hierom vraagt ter verificatie van zijn of haar claims.
Authenticatie
Beheerders kunnen het beveiligingsbeleid voor wachtwoorden definiëren Gedeeltelijk Het lijkt erop dat Webex de wachtwoordvereisten vooraf heeft geconfigureerd, hoewel deze voor SSO met Active Directory en andere IdP’s kunnen worden geconfigureerd.

https://help.webex.com/en-us/nxsab72/Webex-Teams-Change-Your-Password

Ondersteunt MFA als standaard Niet Geen eigen MFA beschikbaar, heeft IdP van derden nodig om het te leveren. Cisco heeft ons geïnformeerd dat ondersteuning voor eigen MFA op dit moment op de agenda staat.
Kan integreren met Active Directory of vergelijkbaar Volledig
Kan integreren met SSO-oplossingen via SAML of vergelijkbaar. Volledig
Biedt RBAC aan Volledig https://help.webex.com/en-us/fs78p5/Assign-Organization-Account-Roles-in-Cisco-Webex-Control-Hub
Maakt het mogelijk om wachtwoorden in te stellen voor vergaderingen Volledig https://help.webex.com/en-us/zrupm6/Manage-Security-for-Your-Site-in-Cisco-Webex-Site- Administration
Maakt het mogelijk om het beveiligingsbeleid voor vergaderingen met wachtwoorden in te stellen Volledig https://help.webex.com/en-us/zrupm6/Manage-Security-for-Your-Site-in-Cisco-Webex-Site-Administration
Jurisdictie
Adres hoofdkantoor USA Milpitas, California (United States)
De verkoper kan technisch gezien geen toegang krijgen tot de gegevens zonder toestemming van de klant Gedeeltelijk Cisco beweert end-to-end encryptie te hebben ingebouwd in het weefsel van Webex Teams en vertrouwt daarbij op de scheiding van het Security Realm en de rest van de Cisco Cloud om dit mogelijk te maken. Voor klanten die nog sterkere garanties willen dat Cisco, als leverancier van clouddiensten, geen toegang heeft tot hun inhoud, biedt Cisco flexibiliteit in de inzet van de diensten in het Security Realm en biedt het toegang tot de broncode voor de verificatie van hun claims.

Zie https://www.cisco.com/c/dam/en/us/td/docs/voice_ip_comm/cloudCollaboration/spark/esp/cisco-spark-security-white-paper.pdf

Een volledige on-prem versie is beschikbaar voor gebruikers die de leverancier niet willen vertrouwen. Gedeeltelijk Klanten die zich zorgen maken over de opslag van hun bericht- en bestandsversleutelingssleutels en -inhoud door Cisco, kunnen ervoor kiezen om een on-premise (versleutelde) Key Management Server (KMS) te implementeren, die een onderdeel is van het Webex Hybrid Data Security platform. De KMS controleert en beheert de encryptiesleutels voor de inhoud die in de Webex datacenters is opgeslagen.

Zie https://www.cisco.com/c/dam/en/us/td/docs/voice_ip_comm/cloudCollaboration/spark/esp/Webex-Teams-Security-Frequently-Asked-Questions.pdf en https://help.webex.com/en-us/nm1m8zv/Get-Started-with-Cisco-Webex-Hybrid-Services

Voor SaaS-modi kan de klant selecteren welke landen of politieke regio’s gegevens worden opgeslagen of verwerkt in Gedeeltelijk De locatie van de datacenters kan tijdens de installatie worden geselecteerd.
Voldoet aan de toepasselijke veiligheidscertificaten (bv. ISO27002 of BSI C5). Volledig Zie https://www.cisco.com/c/en/us/about/trust-center/webex.html#~certifications
Voldoet aan de juiste privacynormen (bijv. FERPA of GDPR). Volledig https://www.cisco.com/c/en_uk/solutions/collaboration/webex-teams/security-compliance-management.html
Biedt een transparantierapport met informatie over verzoeken om gegevens, dossiers of inhoud. Volledig https://www.cisco.com/c/en/us/about/trust-center/transparency.html
Security Management
Biedt andere vormen van toegangscontrole tot vergaderingen, bijvoorbeeld wachtkamers, lock-out, bannen, enz. Gedeeltelijk Vereist een Webex Meetings enabled account voor enige functionaliteit.

https://help.webex.com/en-us/sf4sh1/Webex-Teams-Security-Best-Practices

Maakt het mogelijk om granulaire controle uit te oefenen op acties binnen de vergadering, zoals het delen van het scherm, bestandsoverdracht, afstandsbediening. Volledig Het lijkt erop dat Pro Pack voor Cisco Webex Control Hub nodig is voor de functionaliteit.
Biedt duidelijke centrale controle over alle beveiligingsinstellingen Volledig https://www.cisco.com/c/en/us/products/collateral/collaboration-endpoints/webex-room-series/datasheet-c78-740770.html
Maakt monitoring en onderhoud van endpointsoftwareversies mogelijk Onduidelijk Voor zover wij weten
Biedt compliance-functies zoals eDiscovery & Legal Hold Volledig Vereist Pro Pack voor Cisco Webex Control Hub voor extra gegevensbehoud
Auditing en rapportage Volledig https://help.webex.com/en-us/n3b0w6x/Audit-Events-in-Cisco-Webex-Control-Hub
Aanvullende content security controls like DLP, watermarking, etc. Volledig Uitgebreide DLP is beschikbaar via Cisco ‘Cloudlock’ als onderdeel van een Extended Security Pack, dat ook anti-malware mogelijkheden biedt.
Vulnerability Management
Percentage van NVD 2019 0.03
Percentage van NVD 2020 0.02
Vendor maakt bekend welke kwetsbaarheden zijn aangepakt Volledig https://www.cisco.com/c/en/us/support/unified-communications/spark/products-security-advisories-list.html
Vendor voert een bug bounty uit Gedeeltelijk Cisco staat vermeld op hackerone, maar niets specifieks voor Teams.

 

Encryptie

Cisco beweert dat de oplossing voorziet in end-to-end encryptie van alle gegevens, en het lijkt duidelijk dat communicatie en bestanden worden versleuteld voordat ze worden verzonden en indien nodig versleuteld worden opgeslagen [1].

Cisco beweert dat alle real-time media in de Webex-teams van Cisco (spraak, video en desktop sharing) worden verzonden met behulp van Secure Real-Time Transport Protocol (SRTP), dat bescherming biedt tegen rondsnuffelen in het netwerk. Maar Cisco maakt ook duidelijk dat real-time media niet altijd end-to-end gecodeerd zijn – sommige gegevens moeten mogelijk worden gedecodeerd in hun cloud voor het mengen, distribueren en openbaar geschakelde telefoonnetwerk (PSTN) interoperabiliteit.

Webex Teams stellen klanten echter ook in staat om hun encryptiesleutels zelf te bewaren en zo te voorkomen dat ze naar de cloud moeten worden gestuurd. Gegevens die in de cloud zijn opgeslagen, zijn dus alleen toegankelijk voor geautoriseerde gebruikers. Klanten die zich zorgen maken over de opslag van hun bericht- en bestandsversleutelingssleutels en -inhoud door Cisco, kunnen ervoor kiezen om een on-premise (encryptie) Key Management Server (KMS) te implementeren, die een onderdeel is van het Webex Hybrid Data Security platform. De KMS controleert en beheert de encryptiesleutels voor de inhoud die in de Webex datacenters is opgeslagen.

In de documentatie van Cisco wordt ook gesuggereerd dat Cisco onder bepaalde omstandigheden met toestemming van de klant toegang kan krijgen tot de gegevens van de klant. Wij hebben begrepen dat de klant de sleutels in bezit heeft en Webex toegang tot de gegevens moet verschaffen. [2]

Authenticatie

De oplossing maakt, zoals vele op de markt, integratie met de Active Directory van het bedrijf mogelijk om de authenticatie te vergemakkelijken via een single-sign-on en biedt extra functies zoals een vorm van Data Leakage Protection (DLP). Dit versterkt de bescherming van opgeslagen gegevens. Gegevens kunnen alleen worden gedeeld in gesloten vergaderruimtes, waar alleen geautoriseerde personen medewerkers kunnen toevoegen.

Jurisdictie & Regulering

Cisco beweert dat ISO 9001, ISO 27001, en ISO 27018, SOC 2, Privacy Shield Framework en EU-modelclausules voor Webex-teams worden nageleefd.  Webex Teams en Webex Meetings hebben ook formeel een attest ontvangen tegen de BSI Cloud Computing Compliance Controls Catalogus (BSI C5).

Webex is echter een SaaS-oplossing van Cisco, die onder de jurisdictie van de Amerikaanse overheid valt. Theoretisch betekent dit dat het bedrijf gedwongen zou kunnen worden om gegevens of toegang tot de overheid te verstrekken in overeenstemming met de Amerikaanse wetgeving, wat een zorg zou kunnen zijn voor bedrijven uit andere landen. Cisco biedt echter flexibiliteit in de inzet van de diensten in het Security Realm en biedt toegang tot de broncode voor de verificatie van hun claims.

Beveiligingsfuncties en -beheer

Als een cloud gebaseerde dienst geniet Webex van de veiligheid van Cisco Datacenters die de dienst hosten.

Webex ondersteunt toegang op basis van rollen, waardoor de privileges van vergaderplatformen worden beperkt. Deze configuratie stelt hosts ook in staat om het delen van applicaties of bureaublad te beperken als dat nodig is.

Net als andere leveranciers stelt Cisco de beheerder in staat om de wachtwoordcriteria naar behoefte te beheren.

Cisco biedt Webex Control Hub aan als een “webgebaseerd, intuïtief, single-pane-of-glass managementportaal dat u in staat stelt Cisco Webex services en Webex Hybrid Services, zoals Hybrid Call Service, Hybrid Calendar Service, Hybrid Directory Service en Video Mesh, te leveren, te administreren en te beheren”.

Daarnaast is Pro Pack voor Webex Control Hub een “premium aanbod voor klanten die meer geavanceerde mogelijkheden nodig hebben, of zelfs integraties met hun bestaande beveiligings-, compliance- en analysesoftware. Toegang kan specifiek worden verleend aan diegenen die deze meer geavanceerde mogelijkheden nodig hebben – bijvoorbeeld informatiebeveiligingsprofessionals, compliance officers of bedrijfsanalisten”.

Vulnerability & exploit geschiedenis

De NIST National Vulnerability Database registreert sinds begin 2019 zes kwetsbaarheden voor onderdelen van Cisco Webex Teams, waarvan er een aantal als ernstig zijn aangemerkt:

Jaar Gerapporteerd NVD Totaal Percentage
2019 4 17,308 0.02%
2020 2 7,624 0.03%

Het valt buiten het bestek van deze beoordeling om na te gaan in hoeverre kwetsbaarheden in andere Cisco Webex-componenten een impact zouden hebben op het platform Teams. Maar omdat dit technisch gezien ook geldt voor andere geïntegreerde producten zoals Microsoft Teams, Skype for Business en Google Meet, hebben we die kwetsbaarheden hier buiten beschouwing gelaten.

Cisco heeft een duidelijk Security Vulnerability Policy dat duidelijk aangeeft hoe Cisco gemelde beveiligingslekken in Cisco-producten en -diensten aanpakt, inclusief de tijdlijn, acties en verantwoordelijkheden die voor alle klanten gelijkelijk van toepassing zijn[3].

Het Cisco Product Security Incident Response Team (PSIRT) is verantwoordelijk voor het reageren op beveiligingsincidenten met Cisco-producten en houdt zich aan ISO/IEC 29147:2014[4].

 


Sources


1: Video killed the conferencing star
2: In-depth product analysis – Zoom & Microsoft Teams
3: Let’s examine Cisco Webex – A visionary player
4: Google Meet and BlueJeans – Re-engineered platforms for secure meetings
5: Tixeo and BigBlueButton
6: A closer look at Skype for business and Jitsi Meet

 


Authors

Head of Security Research

Charl van der Walt

Technical thought leader, spokesman and figurehead for Orange Cyberdefense world-wide, leading and managing the OCD Security Research Center – a specialist security research unit. We identify, track, analyze, communicate and act upon significant developments in the security landscape.

Senior Consultant Cybersecurity

Quentin Aguesse

Graduated from a French Business School, Quentin is now senior consultant at Orange Cyberdefense operating from Casablanca (Morocco). With nearly 10 years of experience, Quentin has specialized in risk assessment, disaster recovery planning, as well as cybersecurity awareness.

Consultant Cybersecurity

Jérôme Mauvais

As a specialist in regulatory compliance, Jérôme Mauvais is a security consultant for Orange Cyberdefense. Highly invested in the protection of personal data, Jérôme has also been remarked all along with his career for his great capacities of knowledge transmission.

Lead Security Researcher (MSIS Labs)

Carl Morris

Carl has over 20 years’ experience working within IT, covering the whole breadth of the IT infrastructure, with a primary focus and interest on the security-related solutions. This has been followed by a decade working in MSSP’s, the latest of which being at SecureData for over 7 years. Initially as an Escalation Engineer followed by moving into Professional Services then to the Managed Threat Detection team as a Senior Security Analyst before moving into the Labs team as a Lead Security Researcher.


Delen