Search

Djupgående produktanalys – Zoom & Microsoft Teams

Djupgående produktanalys – Zoom & Microsoft Teams

Vi har undersökt säkerheten för olika videokonferensprodukter för företag. I det här inlägget undersöker vi Zoom och Microsoft Teams.

 

Zoom

Zoom Video Communications är ett företag baserat i San Jose, Kalifornien. Verksamheten har haft stor framgång sedan starten 2011, och försäljningen har uppenbarligen ökat med COVID-19. Zoom försöker differentiera sig med utmärkt servicekvalitet och förlitar sig således exklusivt på sin SaaS-modell. Zoom används som samverkande ljud- och videolösning för användare (licensierade) av mötesrum, vilket gör det möjligt att arbeta internt med kollegor såväl som externt med partners, med ett innovativt interaktivt gränssnitt.

Sedan pandemin började och genomförandet av självisoleringsåtgärder över hela världen har användningen av Zoom ökat exponentiellt (+ 535%, endast i USA). Flera sårbarheter och brott under strålkastarna har undergrävt säkerheten och förtroendet för företaget. Även om dessa farhågor är motiverade anser vi att det också förekommit överdrifter, vilket var en del av vår motivation för att skriva denna rapport.

Zoom 5.0 släpptes den 27 april 2020 och stöder nu AES 256-bitars GCM-kryptering. Detta kommer att tillämpas över hela linjen från och med den 30 maj 2020, vilket innebär att endast Zoom-klienter på version 5.0 eller senare kan delta i möten.

Säkerhetskontroller för möten grupperas nu under säkerhetsikonen i menyfältet för värden. Dessa kontroller gör det möjligt för värden att aktivera eller inaktivera deltagarnas förmåga att: Skärmdela, chatta eller byta namn på sig själva. Värdar kan också “Rapportera en användare” till Zooms Trust & Safety-team, aktivera väntrumsfunktionen medan de redan är i ett möte, låsa mötet när alla deltagare har gått med för att förhindra oönskade gäster och ta bort deltagare som sedan förhindrar att personen åter går med mötet.

 

Ytterligare skyddsåtgärder har nu genomförts; dessa inkluderar:

  • Väntrum aktiverat som standard
  • Komplexa elvsiffriga unika mötes-ID är nu på plats. ID tas också bort från innehållsdelningsfönstret för att förhindra oavsiktlig delning av mötesinformation
  • Möteslösenord är nu mer komplexa och aktiverade som standard för de flesta kunder. För administrerade konton har kontoadministratörer nu möjlighet att definiera krav på lösenordskomplexitet
  • Mötesregistrering och mötesautentisering gör att ni kan låta deltagare registrera sig med deras e-post, namn och andra detaljer eller att aktivera förinställda profiler för att begränsa åtkomst till autentiserade användare respektive från specifika e-postdomäner
  • Alla molninspelningar är krypterade med komplexa lösenord som standard
    Ljudvattenmärken gör det möjligt för Zoom att identifiera vem som spelat in ett möte om det delas utan tillstånd
  • Vattenstämpel via skärmdelning krypterar en deltagares e-postadress till delat innehåll ifall att en skärmdump tas
  • Värdar kan nu välja vilka datacenterregioner de vill att deras mötestrafik ska använda när de schemalägger ett möte och deltagarna kan se vilket datacenter de är anslutna till

Djupgående produktanalys – Zoom & Microsoft Teams
Funktioner

Applikationen tillåter skärmdelning att samarbeta och dela anteckningar, synliga för alla deltagare. Du kan skicka meddelanden till alla deltagare med ett klick. Det är även möjligt att spela in konferenser på enheten eller i molnet.

Zoom integreras med ”Personal Information Manager” (PIM) -applikationer som Microsoft Outlook och körs på mobiltelefoner (iOS och Android) eller på pekskärmar för att möjliggöra så många integrationer som möjligt. Den ansluts till ett antal ljud- och videoändpunkter. För att skapa och hantera ett möte är det nödvändigt att installera en ‘tjock’ (körbar) klient eller en mobilapp under Windows, Linux, Android eller iOS. Vi tyckte dock att det är svårt att installera produkten under GNU/Linux. Att delta eller schemalägga ett möte kan även göras via en webbläsare.

Zoom tillhandahåller även integration med flera konferenshårdvarulösningar för kameror, mikrofoner och skärmar via partnerskap med utvalda leverantörer.

Zoom använder, till skillnad från många lösningar som presenteras här, egen teknik och använder inte allmänt accepterade WebRTC-standarder. WebRTC är ett gränssnitt som möjliggör kommunikation i realtid online. Med denna standard kan webbläsare stödja röst- eller datadelning direkt från webbläsaren, vilket eliminerar specifik programvara eller tillägg som ska ställas in.

Vi tyckte att Zoom var ett mycket funktionellt och lättanvänt verktyg, vilket antagligen har bidragit till dess meteoriska uppgång. Den är tillgänglig för en stor majoritet av plattformarna, inklusive en webbläsare, och kräver inga specifika ändringar av företagsplattformar eller nätverk på grund av sin SaaS-operativa modell. Integrationen med de viktigaste e-post- och kalenderprogrammen som Microsoft Outlook eller Google Suite är smidig. Zoom erbjuder även tillgänglighetsfunktioner för alla deltagare, till exempel genom att aktivera undertexter via Rest API. Zooms breda antagande gör det också till ett attraktivt val för företag som vill ha kontakt med andra utanför sin egen organisation.

Djupgående produktanalys – Zoom & Microsoft Teams
Resultat:

 

Kryptering    
Använder en lämplig krypteringsalgoritm Fullständigt GCM med AES 256 sedan v5. Inte helt bevisat i produktionen.
Använder en stark krypteringsnyckel Fullständigt AES-GCM med 256-bit nycklar
Data krypteras under transitering under normal användning Fullständigt Krypteringsnycklarna för varje möte genereras dock av Zooms servrar
Data förblir krypterad på leverantörsservrar Delvis Förutsatt att möten inte spelas in.

 

Läs: https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/

Röst, video och text är alla krypterade Fullständigt Läs: https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/
Filöverföringar och sessioninspelningar är krypterade Fullständigt Läs: https://zoom.us/docs/doc/Zoom-Security-White-Paper.pdf
Säljaren kan tekniskt inte dekryptera data när som helst, inte ens under regulatoriskt tryck (full E2EE) Nej Förväntas i framtiden med Keybase-integration.

 

Läs:

https://blog.zoom.us/wordpress/2020/05/07/zoom-acquires-keybase-and-announces-goal-of-developing-the-most-broadly-used-enterprise-end-to-end-encryption-offering/

Krypteringsimplementeringen har motstått granskning över tiden Nej v4-kryptering kritiserades, men Zoom påpekar att det faktiskt aldrig har rapporterats någon kompromiss av deras kryptering. v5-kryptering är bara helt aktiv från slutet av maj. Zoom planerar att publicera ett detaljerat utkast till kryptografisk design den 22 maj
Authentication    
Administratörer kan definiera säkerhetspolicyer för lösenord Fullständigt För administrationskonton, har kontoadministratörer nu möjlighet att definiera lösenordskomplexitet

 

Läs: https://blog.zoom.us/wordpress/2020/04/22/zoom-hits-milestone-on-90-day-security-plan-releases-zoom-5-0/

Stöder MFA som standard Delvis 2FA (tvåfaktorsautentisering) gäller inte Zoom Desktop Client eller Mobile App

 

Läs: https://support.zoom.us/hc/en-us/articles/360038247071-Setting-up-and-using-two-factor-authentication

Kan integreras med Active Directory eller liknande Fullständigt Läs: https://support.zoom.us/hc/en-us/articles/201363023-SSO-with-Active-Directory
Kan integreras med SSO-lösningar via SAML eller liknande Fullständigt Läs: https://support.zoom.us/hc/en-us/articles/201363023-SSO-with-Active-Directory
Erbjuder RBAC Fullständigt Läs: https://support.zoom.us/hc/en-us/articles/115001078646-Role-Based-Access-Control
Tillåter att lösenord ställs in, inför möten Fullständigt See https://support.zoom.us/hc/en-us/articles/360033559832-Meeting-and-webinar-passwords
Tillåter säkerhetspolicys för möteslösenord att ställas in Fullständigt Läs: https://blog.zoom.us/wordpress/2020/04/14/enhanced-password-capabilities-for-zoom-meetings-webinars-cloud-recordings/
 Jurisdiktion    
Huvudkontorsadress USA San Jose, California, U.S.
Säljaren kan tekniskt inte komma åt några data utan kundens samtycke Nej Förväntas i framtiden med Keybase-integration.

 

Läs: https://blog.zoom.us/wordpress/2020/05/07/zoom-acquires-keybase-and-announces-goal-of-developing-the-most-broadly-used-enterprise-end-to-end-encryption-offering/

En fullständig version på plats är tillgänglig för användare som inte vill lita på leverantören Delvis Metadata för användare och möten hanteras fortfarande i det offentliga Zoom-molnet.

 

Läs: https://support.zoom.us/hc/en-us/articles/360034064852-Zoom-On-Premise-Deployment

För SaaS-driftsätt kan klienten välja vilka länder eller politiska regioner som data lagras eller bearbetas i Delvis Funktionen finns men antalet regioner är begränsat, t.ex. utan bestämmelser för Storbritannien, Ryssland eller några afrikanska områden. Möjliga “regioner” för försörjning är USA, Kanada, Europa (NL, GER) och Kina.
Uppfyller lämplig säkerhetscertifieringar (tex, ISO27002 or BSI C5) Nej Läs: https://zoom.us/docs/en-us/privacy-and-security.html
Uppfyller lämpliga integritetsstandarder (t.ex. FERPA eller GDPR). Fullständigt
  • SOC 2 (Type II)
  • FedRAMP (Moderate)
  • TrusARC
  • GDPR, CCPA, COPPA, FERPA and HIPAA Compliant (with BAA)
  • Privacy Shield Certified (EU/US, Swiss/US, Data Privacy Practices)See zoom.us/privacy.
Tillhandahåller en transparensrapport som beskriver information relaterad till förfrågningar om data, register eller innehåll. Nej Pågående.

 

Läs: https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/

Säkerhetshantering    
Erbjuder andra former av åtkomstkontroll till möten, t.ex. väntrum, lockout, förbud etc. Fullständigt  
Tillåter detaljerad kontroll över möteshandlingar som skärmdelning, filöverföring, fjärrkontroll. Fullständigt  
Ger tydlig central kontroll över alla säkerhetsinställningar Fullständigt  
Tillåter övervakning och underhåll av programvaruversioner för klienter Delvis En administratör kan granska klientprogramvaruversioner, men verktyg från tredje part krävs för att genomföra en uppdatering.
Tillhandahåller efterlevnadsfunktioner som eDiscovery & Legal Hold Nej In vad vi kan se
Granskning och rapportering Delvis Läs: https://support.zoom.us/hc/en-us/articles/201363213-Getting-Started-with-Reports

 

och https://support.zoom.us/hc/en-us/articles/360032748331-Operation-Logs

Ytterligare innehållssäkerhetskontroller som DLP, vattenstämplar etc. Delvis
  • Enkel, synlig säkerhetsinställningsikon
  • Ta bort deltagare
  • Rapportera en användare
  • Skärmdump vattenstämpel
  • Ljudvattenstämpling
  • Dela specifika applikationer
  • Informationsbarriärer
Sårbarhetshantering    
Procent av NVD 2019 0.02  
Procent av NVD 2020 0.08  
Säljaren avslöjar vilka sårbarheter som har åtgärdats Delvis Zoom adresserar flera sårbarheter på sin webbplats, men vi kunde inte hitta kommentarer till dem alla.
Säljaren driver en bug bounty (hittelön för skadlig kod). Delvis En modernisering av programmet pågår den 15 april

 

Läs: https://blog.zoom.us/wordpress/2020/04/15/luta-security-katie-moussouris-zoom-bug-bounty/

 

Djupgående produktanalys – Zoom & Microsoft Teams
Kryptering

 

Lösningen finns exklusivt som SaaS (eller hybridmoln), kunderna måste vara bekväma med att lita på Zoom för att skydda infrastrukturen och respektera deras data. I hybridmolnläget hanteras användar- och mötesmetadata i det offentliga molnet, medan video-, röst- och datadelning går via Zoom-mötesanslutningen på plats.

Zoom hade tidigare föreslagit att deras kommunikation var krypterad från början till slut. Vid närmare granskning har det visat sig att detta inte är fallet (se granskningen ovan). Dessutom rapporterade Citizen Lab att Zoom-kommunikation är krypterad med AES-128 och inte AES-256 som tidigare indikerats av Zoom. Mer problematiskt för vissa användare, Zoom AES-128-krypteringsnycklarna kunde ha överförts till tredje part, möjligen i Kina.

Zoom har dock reagerat kraftfullt för att ta itu med dessa och andra problem,  den nya 5.0-uppdateringen inkluderar uppgraderad kryptering. Det nya ‘Galois Counter Mode’ (GCM)-krypteringen kommer att använda 256-bitars ‘Advanced Encryption Standard’ (AES) -algoritm, vilket anses vara standard, rimligt och lämpligt för applikationer av detta slag. En noggrann utvärdering av Zooms implementering av denna algoritm ligger utanför omfattningen av denna recension, men det vore rättvist att hävda att Zoom har lagt de främsta historiska oron för sin kryptering för att integrera med den här uppdateringen.

För att stärka deras krypteringsfunktioner har Zoom tydligen meddelat förvärvet av Keybase. Keybase levererar för närvarande en “end-to-end” krypterad och säker meddelande- och fildelningsplattform. Zoom har sagt att förvärvet är ett viktigt steg i deras “försök att åstadkomma en verkligt privat videokommunikationsplattform som kan skala till hundra miljoner deltagare, samtidigt som de har flexibiliteten att stödja Zooms många olika användningsområden”. Även om det inte är klart för oss i detta skede vad Zooms strategi av detta förvärv är, verkar det som om tekniken skulle placera Zoom mycket starkt för att tillhandahålla fullständig “end-to-end”-kryptering baserat på beprövade krypteringsmetoder för offentlig nyckel någon gång i framtida.

 

Djupgående produktanalys – Zoom & Microsoft Teams
Autentisering

Zoomadministratörer kan aktivera tvåfaktorautentisering med Google Authenticator, Microsoft Authenticator eller FreeOTP .

Enligt deras hemsida är Zoom single sign-on (SSO) baserat på Security Assertion Markup Language (SAML 2.0). Zoom fungerar som tjänsteleverantör (SP) och erbjuder automatisk användaradministration. Du behöver inte registrera dig som användare i Zoom. Det kan också fungera med andra tjänsteleverantörer som PingOne, OktaAzure, Centrify, Shibboleth, Gluu, G Suite/Google Apps och OneLogin. Zoom kan dessutom fungera med Microsofts ADFS 2.0 SAML-implementering.

Zoom erbjuder faktiskt en inbyggd 2FA-implementering via olika ‘One Time Pin’ -applikationer för mobil, men dessa tvingas endast för autentisering till webbgränssnittet, dvs inte för att gå med i möten via mobil- eller stationära applikationer. Men SSO:s olika plattformar som stöds tillåter förbättrade funktioner som push-to-mobile för stark autentisering för alla element i Zoom-ekosystemet.

Fram till nyligen krävde Zoom-möten inte ett lösenord, vilket innebär att alla som fick ett mötes-ID, kan delta i det pågående mötet, ibland med roliga knep ibland med mer oetiskt beteende. Men det här problemet verkar ha tagits upp av en serie nya funktioner som kulminerade i lanseringen av Zoom v5.

Det har också avslöjats att Zoom-inställningarna skulle lägga till samma domän-e-postadress i en enda katalog, som i vissa fall personer som använder en personlig e-postadress kan läggas till i en pool av kontakter som de inte vet något om, och dela deras personliga information som e-post adress och foto. Den 18 april har Zoom sagt att användare inte längre kommer att kunna söka med fullständigt namn efter kontakter med samma domän om de inte finns på samma konto eller organisation. Vi tror att denna förändring mildrar problemet ovan.

 

Regler och jurisdiktion

Zoom Inc är ett registrerat amerikanskt företag, men medierapporter har föreslagit att det är tätt integrerat med flera kinesiska företag, anställer utvecklare i Kina och faktiskt av misstag har dirigerat lite trafik genom servrar i Kina för en liten delmängd av sina användare. Detta orsakade oro och gråt för användare och företag som trodde att Zoom skulle hamna under USA: s jurisdiktion.

Zoom har dock ett alternativ under sina avancerade inställningar för betalda konton som tillåter användare att välja bort vissa datacenterregioner. Valfritt antal regioner kan avmarkeras, utom den region från vilken kontot tillhandahölls. Enligt Zooms webbplats “Val av datacenterregioner gäller endast för mötes- och webinarstrafik. Valet påverkar inte platsen för data i vila. Datacenterregionval gäller inte heller för Zoom Phone eller relaterade funktioner”.

En annan funktion som marknadsförs på Zooms webbplats är värt att notera. Zoom “Meeting Connector” är en hybridmolnutsättningsmetod som gör det möjligt för en kund att distribuera en Zoom-multimedia-router (programvara) i kundens interna nätverk. Enligt deras webbplats: ”Användar- och mötesmetadata hanteras i Zoom-kommunikationsinfrastruktur, men själva mötet är värd i kundens interna nätverk. All mötestrafik i realtid inklusive ljud-, video- och datadelning går genom företagets interna nätverk ”.

Zoom hävdar att de följer integritetsstandarder som HIPAA och GDPR och hävdar att dess policyer är utformade för att återspegla deras överensstämmelse med kraven i Children’s Online Privacy Protection Act (COPPA), Federal Education Rights and Privacy Act (FERPA), California Consumer Privacy. Act (CCPA) och andra tillämpliga lagar. Det verkar främst på grund av det faktum att det inte samlar in relevant information eller får användarens samtycke innan det görs.

Djupgående produktanalys – Zoom & Microsoft Teams
Säkerhetsfunktioner och hantering

Zoom erbjuder rollbaserad åtkomstkontroll som gör det möjligt för ett konto att ha ytterligare användarroller. Användarroller kan ha en uppsättning behörigheter som endast tillåter åtkomst till de inställningssidor som en användare behöver för att visa eller redigera.

Zooms portal “Admin Management” verkar vara mycket lik den avancerade inställningssidan som en användare skulle arbeta med, men med den extra förmåga att definiera inställningar för olika undergrupper av användare. En administratör kan inte bara ställa in standardvärden för dessa inställningar utan kan också välja att “låsa” en inställning så att den inte kan skrivas över av en enskild användare. Vår upplevelse av gränssnittet visade att den var snabb, enkel och intuitiv när den väl installerats korrekt.

Portalen tillåter även administratörer att se programvaruversionerna som körs för olika användare, men det verkar inte finnas ett sätt att centralt hantera klientprogramvaran. Enligt Zoom-webbplatsen kan “Desktop Client konfigureras för Windows på 3 olika sätt: via MSI-installationsprogrammet för både konfiguration och installation, en administrativ mall för Active Directory som använder grupprincip för konfiguration eller via registernycklar för konfiguration” .

Sårbarhet och exploateringshistorik

NIST National Vulnerability Database registrerar sex sårbarheter för Zoom sedan början av 2019:

 

År Rapporterade Total NVD Procent
2019 3 17,308 0.02%
2020 6 7,519 0.08%

 

 

Flera av de sårbarheter som ovan skulle betraktas som ”allvarliga”, men åtminstone två ifrågasätts av Zoom.

De senaste sårbarheterna och intrången har väckt stor uppmärksamhet och uppenbarligen undergrävt förtroendet för tekniken. Här är en kort sammanfattning:

  • Zoom: Genom att uppenbarligen missförstå Facebook Software Development Kit (SDK), delade data från iOS-användare med Facebook under en viss tid. Lyckligtvis stoppades dessa dataöverföringar efter att ha rapporterats 
  • Citizen Lab rapporterade ett problem där Zoom automatiskt skulle skicka en videoström av mötet live, liksom mötets dekrypteringsnyckel, till alla användare i mötets väntrum 
  • Zoom låter dig automatiskt generera adresskataloger: Personer som arbetar i samma företag kan gruppera kataloger. Det fanns emellertid oro eftersom Zoom gjorde samma sak med personliga e-postadresser som Gmail, och exponerade hundratusentals e-postadresser för andra tredje parter 
  • En tidigare version av Zoom för MacOS installerade en hemlig webbserver som inte togs bort när programmet avinstallerades. Denna fråga adresserades så småningom efter offentligt höjda röster

Zoom verkar emellertid förstå dessa säkerhetsfrågor och har aggressivt vidtagit nödvändiga åtgärder för att lösa dessa problem och korrigera sårbarheter så snart som möjligt. Den nya 5.0-uppdateringen adresserar alla säkerhetsproblem som vi känner till i skrivande stund, som sammanfattas i tabellen nedan.

 

Ämne Källa Datum-Problem Datum-lösning Lösning Beskrivning/Länk
Uppmärksamhetsspårning https://www.vice.com/en_us/article/qjdnmm/working-from-home-zoom-tells-your-boss-if-youre-not-paying-attention Mars
16
2020
April
1
2020
Ta bort funktion https://blog.zoom.us/wordpress/2020/04/01/amessage-to-our-users/
Zoom bombning https://techcrunch.com/2020/03/17/zoombombing/ Mars
17
2020
Mars
20
2020
Bästa säkerhetspraxis https://blog.zoom.us/wordpress/2020/03/20/keepuninvited-guests-out-of-your-zoom-event/
Facebook SDK https://www.vice.com/en_us/article/k7e599/zoom-ios-app-sends-data-to-facebook-even-if-you-donthave-a-facebook-account Mars
26
2020
Mars
27
2020
Ta bort FB SDK https://blog.zoom.us/wordpress/2020/03/27/zoom-use-of-facebook-sdk-in-ios-client/
“End to End”-kryptering https://theintercept.com/2020/03/31/zoom-meeting-encryption/ Mars
31
2020
April
1
2020
Förtydligande om zoomkryptering https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/
Microsoft UNC Länkar https://www.bleepingcomputer.com/news/security/zoom-lets-attackers-steal-windows-credentials-run-programs-via-unc-links/ Mars
31
2020
April
1
2020
Uppdatering mjukvara https://blog.zoom.us/wordpress/2020/04/01/amessage-to-our-users/
Mac Local Privilege https://www.vmray.com/cyber-security-blog/zoom-macos-installer-analysis-good-apps-behaving-badly/ April
1
2020
April
1
2020
Uppdatering mjukvara https://blog.zoom.us/wordpress/2020/04/01/amessage-to-our-users/
Dirigera data till Kina https://theintercept.com/2020/04/03/zooms-encryption-is-not-suited-for-secrets-and-has-surprising-links-to-china-researchers-discover/ April
3
2020
April
3
2020
Konfigurationskontroll https://blog.zoom.us/wordpress/2020/04/03/response-to-research-from-university-of-torontos-citizen-lab/

 


Källor

theintercept.com/2020/03/31/zoom-meeting-encryption/
citizenlab.ca/2020/04/move-fast-roll-your-own-crypto-a-quick-look-at-the-confidentiality-of-zoom-meetings/
link.springer.com/referenceworkentry/10.1007%2F978-1-4419-5906-5_451
www.itpro.co.uk/security/29671/what-is-aes-encryption
support.zoom.us/hc/en-us/articles/360038247071-Setting-up-and-using-two-factor-authentication
en.wikipedia.org/wiki/Security_Assertion_Markup_Language
docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc786469(v=ws.10)
www.cnbc.com/2020/04/15/nancy-pelosi-calls-zoom-a-chinese-entity.html
 https://support.zoom.us/hc/en-us/articles/360042411451-Selecting-data-center-regions-for-hosted-meetings-and-webinars
support.zoom.us/hc/en-us/articles/201362163-Mass-Installation-and-Configuration-for-Windows
https://betanews.com/2020/03/28/zoom-data-sharing-update/
citizenlab.ca/2020/04/zooms-waiting-room-vulnerability/
digitalguardian.com/blog/zooms-privacy-problems-snowball-two-zero-days-uncovered
www.theverge.com/2019/7/8/20687014/zoom-security-flaw-video-conference-websites-hijack-mac-cameras


 

Djupgående produktanalys – Zoom & Microsoft Teams
Microsoft Teams

Microsoft Teams är en egen kommunikationsapplikation, som endast fungerar i SaaS-läge, som officiellt lanserades av Microsoft i november 2016. Tjänsten kan integreras med Microsoft Office 365-paketet och Skype för företag. Det förväntas också ersätta Skype, som kommer att överges i juli 2021. Lösningen möjliggör samarbetsarbete (sampublicering och lagring av dokument, åtkomst till e-postmeddelanden och ett snabbmeddelandesystem etc.), vilket erbjuder långt utöver traditionella funktioner i videokonferenssystem. Teams erbjuder även tillägg som kan integreras i andra produkter än Microsoft.

Microsoft Teams har funnits som en gratis version, begränsad till 300 medlemmar, sedan 13 juli 2018, även om vissa funktioner i Office 365 saknas. Lösningen hävdar nu mer än 44 miljoner aktiva användare med en exponentiell acceleration sedan början av den massiva pandemidrivna distansarbetet i många länder.

Djupgående produktanalys – Zoom & Microsoft Teams
Funktioner

Lösningen finns på de flesta Microsoft Windows-, MacOS-, Android-, iOS- och GNU/Linux-distributioner. Produkten är helt användbar via en webbläsare utan att behöva installera en klient. Klienten som tillval eller en webbläsare som stöds (som Microsoft Edge baserat på Chromium eller Chrome själv) krävs dock för att få åtkomst till avancerade funktioner som innehållsdelning, kontroll av delat innehåll och bakgrund.

Det finns en gratis version för små och medelstora företag (upp till 300 användare) även om den erbjuder mycket begränsad funktionalitet. Vi anser att lösningen kan vara lite tung för mycket grundläggande eller tillfälliga behov.

 

Resultattabell

 

Kryptering    
Använder en lämplig krypteringsalgoritm Fullständigt Alla chiffersviter som stöds av Office 365 använder algoritmer som är acceptabla under FIPS 140-2. Office 365 ärver FIPS-valideringar från Windows.
Använder en stark krypteringsnyckel Fullständigt AES-GCM med 256-bit nycklar

 

Läs: https://docs.microsoft.com/en-us/windows/win32/secauthn/cipher-suites-in-schannel

Data krypteras under transitering under normal användning Fullständigt Läs: https://docs.microsoft.com/en-us/microsoftteams/teams-security-guide
Data förblir krypterad under transporten på leverantörsservrar Oklart Vi kunde inte klargöra detta från offentligt tillgänglig information.

 

Läs https://docs.microsoft.com/en-us/microsoftteams/teams-security-guide

Röst, video och text är alla krypterade Fullständigt Läs: https://docs.microsoft.com/en-us/microsoft-365/compliance/encryption?view=o365-worldwide
Filöverföringar och sessioninspelningar är krypterade Fullständigt Läs: https://docs.microsoft.com/en-us/microsoft-365/compliance/encryption?view=o365-worldwide
Säljaren kan tekniskt inte dekryptera data när som helst, inte ens under regulatoriskt tryck (helt E2EE) Delvis En funktion som kallas Service Encryption gör det möjligt för din organisation att tillhandahålla rotnycklarna och styra Microsofts förmåga att bearbeta dina data.
Krypterade implementering klarade granskningen över tid Fullständigt  
Autentisering    
Administratörer kan definiera lösenords säkerhetspolicys Fullständigt  
Supporterar MFA som standard Fullständigt  
Kan integreras med Active Directory eller liknande Fullständigt  
Kan integreras med SSO via SAML eller liknande Fullständigt  
Erbjudaande RBAC Fullständigt  
Tillåter lösenord som ska ställas in för möten Nej Läs: https://docs.microsoft.com/en-us/microsoftteams/meeting-policies-in-teams
Allows meeting password security policies to be set

 

Tillåter möteslösenord för att säkerhetspolicys som ska ställas in

Nej  
Jurisdiktion    
Adress huvudkontoret USA One Microsoft Way, Redmond, Washington, U.S.A
Leverantören kan inte tekniskt få åtkomst till data utan kundens tillåtelse Delvis En funktion som kallas Service Encryption gör det möjligt för din organisation att tillhandahålla rotnycklarna och styra Microsofts förmåga att bearbeta dina data.
En fullständig version är tillgänglig för användare som inte vill lita på leverantören Nej  
För SaaS-driftsätt kan klienten välja vilka länder eller politiska regioner som data lagras eller bearbetas i Fullständigt Läs: https://docs.microsoft.com/en-us/microsoftteams/location-of-data-in-teams
Uppfyller lämpliga säkerhetscertifieringar (t.ex. ISO27002 eller BSI C5) Fullständigt Läs: https://docs.microsoft.com/en-us/microsoft-365/compliance/offering-iso-27001?view=o365-worldwide

 

och https://docs.microsoft.com/en-us/microsoft-365/compliance/offering-c5-germany?view=o365-worldwide

Uppfyller lämpliga integritetsstandarder (t.ex. FERPA eller GDPR) Fullständigt
  • SSAE16
  • SOC 1 och SOC 2
  • HIPAA
  • EU Modell Clauses (EUMC)
Tillhandahåller en transparensrapport som beskriver information relaterad till begäran om data, register eller innehåll. Fullständigt Läs: https://www.microsoft.com/en-us/corporate-responsibility/law-enforcement-requests-report
Säkerhetshantering    
Erbjuder andra former av åtkomstkontroll till möten, t.ex. väntrum, lockout, förbud etc. Delvis Väntrum
Tillåter detaljerad kontroll över möteshandlingar som skärmdelning, filöverföring, fjärrkontroll. Fullständigt Läs:https://docs.microsoft.com/en-us/microsoftteams/meeting-policies-in-teams#meeting-policy-settings—general
Erbjuder en tydlig central kontroll över alla säkerhetsinställningar Fullständigt Läs: https://docs.microsoft.com/en-us/microsoftteams/manage-teams-skypeforbusiness-admin-center
Tillåter övervakning och underhåll av olika versioner av klientmjukvara Fullständigt Via Microsoft Endpoint Configuration Manager, MSI, GPO eller andra Microsoft verktyg.
Tillhandahåller efterlevnadsfunktioner som eDiscovery & Legal Hold Fullständigt Läs:https://docs.microsoft.com/en-us/microsoftteams/security-compliance-overview
Granskning och rapportering Fullständigt Läs: https://docs.microsoft.com/en-us/microsoft-365/compliance/search-the-audit-log-in-security-and-compliance?view=o365-worldwide
Additional content security controls like DLP, watermarking, etc.

 

Ytterligare innehållssäkerhetskontroller som DLP, vattenstämpling etc.

Fullständigt
  • Avancerat hotskydd
  • Säkra länkar
  • Säkra bifogade dokument
  • Information bärriärer
  • Kommunikationsöverensstämmelse
  • Förebyggande av dataförlust
  • Dela specifika funktioner
Sårbarhetshantering    
Procent av NVD 2019 0.01  
Procent av NVD 2020 0.00  
Säljaren avslöjar vilka sårbarheter som har åtgärdats Delvis  
Leverantörer använder en bug bounty Fullständigt Läs: https://www.microsoft.com/en-us/msrc/bounty-microsoft-cloud?rtc=1

 

Kryptering

Team använder Transport Layer Security (TLS) och ömsesidig TLS (MTLS) som krypterar snabbmeddelandetrafik. “Point to point”ljud-, video- och applikationsdelningsströmmar krypteras med hjälp av Secure Real-Time Transport Protocol (SRTP). Filer lagras i SharePoint och skyddas med SharePoint-kryptering. Anteckningar hanteras via OneNote och skyddas av OneNote-kryptering, som också finns på en SharePoint. Microsoft hävdar att med Microsoft O365 krypteras data under både transport och i vila.

Nätverkskommunikation är krypterad. Alla Teams-servrar måste använda certifikat och implementera teknik som Oauth, TLS eller SRTP plus 256-bitars kryptering. Kommunikation krypteras från användare till Teams-servrar, vilket innebär att de inte är krypterade från end-to-end.

Teams kräver att alla servrar innehåller minst en distributionsplats för certifikatåterkallning i syfte att verifiera att ett certifikat inte har återkallats sedan den utfärdades.

Microsoft O365 erbjuder ett extra krypteringsskikt på applikationsnivå som kallas ”servicekryptering”, som täcker data från Exchange Online, Skype för företag, SharePoint Online, OneDrive för företag och Teams-filer.

Enligt Microsoft Tech Community-bidragsgivaren ‘Alexwall’, ‘Microsoft behåller en tillgänglighetsnyckel, vilket innebär att Microsoft kan få tillgång till all kundinformation. Bristen på kryptering av Teams-meddelanden, liksom förekomsten av en tillgänglighetsnyckel för alla tjänster, skulle vara ett bekymmer för en kund som vill ha 100% säkerhet.

Mobilklienten stöder appskyddspolicyer från Microsoft InTune som säkerställer att dess innehåll krypteras på den mobila slutpunktenheten.

Autentisering

Autentisering är baserad Office 365 med fokus på Microsoft Azure. Microsoft Teams stationära klienter för Windows och Mac stöder ”modern autentisering” vilket ger inloggning baserat på Azure Active Directory Authentication Library (ADAL) till Microsoft Office-klientapplikationer över plattformar. Microsoft Teams stöder alla identitetsmodeller som finns tillgängliga med Office 365 och har en omfattande uppsättning verktyg för att tillhandahålla och hantera identiteter, alla kopplade till befintliga Active Directory- eller Azure-implementeringar.

Multifactor-autentisering stöds av alla Microsoft 365- eller Office 365-planer som inkluderar Microsoft Teams, med stöd för telefonsamtal, text, One Time Pin eller Mobile App Notification som en andra faktor. Användare drar även nytta av de ytterligare säkerhetskontroller som tillhandahålls av Microsoft i O365: s tjänster.

Jurisdiktion & reglering

Team kategoriseras av Microsoft som ett ”Tier D” -kompatibelt program, vilket innebär att det följer ISO 27001ISO 27018, SSAE16 SOC 1 och SOC 2, HIPAA och EU Model Clauses (EUMC). Teams är också kompatibelt med den tyska regeringen BSI Cloud Security Alliance.

Endast för nya kunder finns data i Teams i den geografiska regionen som är associerad med kundens Office 365-organisation. För närvarande stöder Team Australien, Kanada, Frankrike, Tyskland, Indien, Japan, Sydafrika, Sydkorea, Schweiz (som inkluderar Liechtenstein), Förenade Arabemiraten, Storbritannien, Amerika, APAC och EMEA. Vi kunde inte avgöra om detta också gäller för röst-, video- och textkommunikation.

Teams är dock en SaaS-lösning som levereras av Microsoft, som faller under USA: s regerings jurisdiktion. Krypteringsnycklar ägs av Microsoft som standard och kan därför tekniskt dekryptera dina data. Detta kan vara ett problem för kunder som är verksamma utanför USA.

Säkerhetsfunktioner och hantering

Microsoft Teams stöds separat som en molnapp i Azure Active Directory-policyer för villkorlig åtkomst. Policyer för villkorlig åtkomst som är inställda för Microsoft Teams molntillämpning gäller för Microsoft Teams när en användare loggar in.

Som en del av Microsoft 365 drar Teams nytta av en omfattande och detaljerad uppsättning centraliserade säkerhets- och efterlevnadshanteringsverktyg som är väl lämpade för företaget, särskilt om Microsoft AD eller Azure redan används.

Microsoft 365, med alla dess sammanlänkade applikationer, är dock mycket sofistikerad och komplex. Vi anser att utan den nödvändiga skickligheten och lämplig vård är det mer sannolikt att den genomsnittliga organisationen kommer att drabbas av ett brott på grund av en oavsiktlig läcka eller felkonfiguration än som ett resultat av teknisk avlyssning av data av en motståndare eller Microsoft själva.

Djupgående produktanalys – Zoom & Microsoft Teams Sårbarhet och exploateringshistorik

Det finns en sårbarhet registrerad för Microsoft Teams specifikt i NIST National Vulnerability Database under perioden från början av 2019 till tidpunkten för skrivning, men det har registrerats ett antal för associerade produkter som Skype, Skype för företag och SharePoint.

 

År Rapporterade Total NVD Procent
2019 1 17,308 0.01%
2020 0 7,545 0.00%

 

Den 28 april 2020 skapade forskare vid Cyb0rArk en proof-of-concept-attack (PoC) som innebär att en inre angripare får ett offer att se en skadlig GIF som gör att en angripare kan ta över offrets Teams-konto. De rapporterade två osäkra underdomäner till Microsoft, som löste problemet på under en månad. Med hjälp av felet kan en angripare få tillgång till en organisations Teams-konton genom att ringa Teams API-samtal, vilket gör att man kan läsa och skicka meddelanden, skapa grupper och lägga till och ta bort användare.

I allmänhet, även om det finns lite data för att bedöma produktens säkerhetsarv, skulle det vara rättvist att hävda att Microsoft har robusta processer och har utvecklat ett starkt rykte i detta avseende.

 


 


Källor

docs.microsoft.com/en-gb/MicrosoftTeams/get-clients
en.wikipedia.org/wiki/Secure_Real-time_Transport_Protocol
docs.microsoft.com/en-us/microsoftteams/teams-security-guide
docs.microsoft.com/en-us/microsoft-365/compliance/office-365-service-encryption
techcommunity.microsoft.com/t5/user/viewprofilepage/user-id/555109
techcommunity.microsoft.com/t5/microsoft-teams/end-to-end-encryption-with-microsoft-teams/m-p/804842
docs.microsoft.com/en-us/mem/intune/apps/app-protection-policy
docs.microsoft.com/en-us/MicrosoftTeams/identify-models-authentication
docs.microsoft.com/en-us/microsoftteams/location-of-data-in-teams


Skribenter

Head of Security Research

Charl van der Walt

Technical thought leader, spokesman and figurehead for Orange Cyberdefense world-wide, leading and managing the OCD Security Research Center – a specialist security research unit. We identify, track, analyze, communicate and act upon significant developments in the security landscape.

Senior Consultant Cybersecurity

Quentin Aguesse

Graduated from a French Business School, Quentin is now senior consultant at Orange Cyberdefense operating from Casablanca (Morocco). With nearly 10 years of experience, Quentin has specialized in risk assessment, disaster recovery planning, as well as cybersecurity awareness.

Consultant Cybersecurity

Jérôme Mauvais

As a specialist in regulatory compliance, Jérôme Mauvais is a security consultant for Orange Cyberdefense. Highly invested in the protection of personal data, Jérôme has also been remarked all along with his career for his great capacities of knowledge transmission.

Lead Security Researcher (MSIS Labs)

Carl Morris

Carl has over 20 years’ experience working within IT, covering the whole breadth of the IT infrastructure, with a primary focus and interest on the security-related solutions. This has been followed by a decade working in MSSP’s, the latest of which being at SecureData for over 7 years. Initially as an Escalation Engineer followed by moving into Professional Services then to the Managed Threat Detection team as a Senior Security Analyst before moving into the Labs team as a Lead Security Researcher.

 

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.