Djupgående produktanalys – Zoom & Microsoft Teams
Djupgående produktanalys – Zoom & Microsoft Teams
Vi har undersökt säkerheten för olika videokonferensprodukter för företag. I det här inlägget undersöker vi Zoom och Microsoft Teams.
Zoom
Zoom Video Communications är ett företag baserat i San Jose, Kalifornien. Verksamheten har haft stor framgång sedan starten 2011, och försäljningen har uppenbarligen ökat med COVID-19. Zoom försöker differentiera sig med utmärkt servicekvalitet och förlitar sig således exklusivt på sin SaaS-modell. Zoom används som samverkande ljud- och videolösning för användare (licensierade) av mötesrum, vilket gör det möjligt att arbeta internt med kollegor såväl som externt med partners, med ett innovativt interaktivt gränssnitt.
Sedan pandemin började och genomförandet av självisoleringsåtgärder över hela världen har användningen av Zoom ökat exponentiellt (+ 535%, endast i USA). Flera sårbarheter och brott under strålkastarna har undergrävt säkerheten och förtroendet för företaget. Även om dessa farhågor är motiverade anser vi att det också förekommit överdrifter, vilket var en del av vår motivation för att skriva denna rapport.
Zoom 5.0 släpptes den 27 april 2020 och stöder nu AES 256-bitars GCM-kryptering. Detta kommer att tillämpas över hela linjen från och med den 30 maj 2020, vilket innebär att endast Zoom-klienter på version 5.0 eller senare kan delta i möten.
Säkerhetskontroller för möten grupperas nu under säkerhetsikonen i menyfältet för värden. Dessa kontroller gör det möjligt för värden att aktivera eller inaktivera deltagarnas förmåga att: Skärmdela, chatta eller byta namn på sig själva. Värdar kan också “Rapportera en användare” till Zooms Trust & Safety-team, aktivera väntrumsfunktionen medan de redan är i ett möte, låsa mötet när alla deltagare har gått med för att förhindra oönskade gäster och ta bort deltagare som sedan förhindrar att personen åter går med mötet.
Ytterligare skyddsåtgärder har nu genomförts; dessa inkluderar:
- Väntrum aktiverat som standard
- Komplexa elvsiffriga unika mötes-ID är nu på plats. ID tas också bort från innehållsdelningsfönstret för att förhindra oavsiktlig delning av mötesinformation
- Möteslösenord är nu mer komplexa och aktiverade som standard för de flesta kunder. För administrerade konton har kontoadministratörer nu möjlighet att definiera krav på lösenordskomplexitet
- Mötesregistrering och mötesautentisering gör att ni kan låta deltagare registrera sig med deras e-post, namn och andra detaljer eller att aktivera förinställda profiler för att begränsa åtkomst till autentiserade användare respektive från specifika e-postdomäner
- Alla molninspelningar är krypterade med komplexa lösenord som standard
Ljudvattenmärken gör det möjligt för Zoom att identifiera vem som spelat in ett möte om det delas utan tillstånd - Vattenstämpel via skärmdelning krypterar en deltagares e-postadress till delat innehåll ifall att en skärmdump tas
- Värdar kan nu välja vilka datacenterregioner de vill att deras mötestrafik ska använda när de schemalägger ett möte och deltagarna kan se vilket datacenter de är anslutna till
Djupgående produktanalys – Zoom & Microsoft Teams
Funktioner
Applikationen tillåter skärmdelning att samarbeta och dela anteckningar, synliga för alla deltagare. Du kan skicka meddelanden till alla deltagare med ett klick. Det är även möjligt att spela in konferenser på enheten eller i molnet.
Zoom integreras med ”Personal Information Manager” (PIM) -applikationer som Microsoft Outlook och körs på mobiltelefoner (iOS och Android) eller på pekskärmar för att möjliggöra så många integrationer som möjligt. Den ansluts till ett antal ljud- och videoändpunkter. För att skapa och hantera ett möte är det nödvändigt att installera en ‘tjock’ (körbar) klient eller en mobilapp under Windows, Linux, Android eller iOS. Vi tyckte dock att det är svårt att installera produkten under GNU/Linux. Att delta eller schemalägga ett möte kan även göras via en webbläsare.
Zoom tillhandahåller även integration med flera konferenshårdvarulösningar för kameror, mikrofoner och skärmar via partnerskap med utvalda leverantörer.
Zoom använder, till skillnad från många lösningar som presenteras här, egen teknik och använder inte allmänt accepterade WebRTC-standarder. WebRTC är ett gränssnitt som möjliggör kommunikation i realtid online. Med denna standard kan webbläsare stödja röst- eller datadelning direkt från webbläsaren, vilket eliminerar specifik programvara eller tillägg som ska ställas in.
Vi tyckte att Zoom var ett mycket funktionellt och lättanvänt verktyg, vilket antagligen har bidragit till dess meteoriska uppgång. Den är tillgänglig för en stor majoritet av plattformarna, inklusive en webbläsare, och kräver inga specifika ändringar av företagsplattformar eller nätverk på grund av sin SaaS-operativa modell. Integrationen med de viktigaste e-post- och kalenderprogrammen som Microsoft Outlook eller Google Suite är smidig. Zoom erbjuder även tillgänglighetsfunktioner för alla deltagare, till exempel genom att aktivera undertexter via Rest API. Zooms breda antagande gör det också till ett attraktivt val för företag som vill ha kontakt med andra utanför sin egen organisation.
Djupgående produktanalys – Zoom & Microsoft Teams
Resultat:
| Kryptering | ||
| Använder en lämplig krypteringsalgoritm | Fullständigt | GCM med AES 256 sedan v5. Inte helt bevisat i produktionen. |
| Använder en stark krypteringsnyckel | Fullständigt | AES-GCM med 256-bit nycklar |
| Data krypteras under transitering under normal användning | Fullständigt | Krypteringsnycklarna för varje möte genereras dock av Zooms servrar |
| Data förblir krypterad på leverantörsservrar | Delvis | Förutsatt att möten inte spelas in.
Läs: https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/ |
| Röst, video och text är alla krypterade | Fullständigt | Läs: https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/ |
| Filöverföringar och sessioninspelningar är krypterade | Fullständigt | Läs: https://zoom.us/docs/doc/Zoom-Security-White-Paper.pdf |
| Säljaren kan tekniskt inte dekryptera data när som helst, inte ens under regulatoriskt tryck (full E2EE) | Nej | Förväntas i framtiden med Keybase-integration.
Läs: |
| Krypteringsimplementeringen har motstått granskning över tiden | Nej | v4-kryptering kritiserades, men Zoom påpekar att det faktiskt aldrig har rapporterats någon kompromiss av deras kryptering. v5-kryptering är bara helt aktiv från slutet av maj. Zoom planerar att publicera ett detaljerat utkast till kryptografisk design den 22 maj |
| Authentication | ||
| Administratörer kan definiera säkerhetspolicyer för lösenord | Fullständigt | För administrationskonton, har kontoadministratörer nu möjlighet att definiera lösenordskomplexitet
|
| Stöder MFA som standard | Delvis | 2FA (tvåfaktorsautentisering) gäller inte Zoom Desktop Client eller Mobile App
|
| Kan integreras med Active Directory eller liknande | Fullständigt | Läs: https://support.zoom.us/hc/en-us/articles/201363023-SSO-with-Active-Directory |
| Kan integreras med SSO-lösningar via SAML eller liknande | Fullständigt | Läs: https://support.zoom.us/hc/en-us/articles/201363023-SSO-with-Active-Directory |
| Erbjuder RBAC | Fullständigt | Läs: https://support.zoom.us/hc/en-us/articles/115001078646-Role-Based-Access-Control |
| Tillåter att lösenord ställs in, inför möten | Fullständigt | See https://support.zoom.us/hc/en-us/articles/360033559832-Meeting-and-webinar-passwords |
| Tillåter säkerhetspolicys för möteslösenord att ställas in | Fullständigt | Läs: https://blog.zoom.us/wordpress/2020/04/14/enhanced-password-capabilities-for-zoom-meetings-webinars-cloud-recordings/ |
| Jurisdiktion | ||
| Huvudkontorsadress | USA | San Jose, California, U.S. |
| Säljaren kan tekniskt inte komma åt några data utan kundens samtycke | Nej | Förväntas i framtiden med Keybase-integration.
|
| En fullständig version på plats är tillgänglig för användare som inte vill lita på leverantören | Delvis | Metadata för användare och möten hanteras fortfarande i det offentliga Zoom-molnet.
Läs: https://support.zoom.us/hc/en-us/articles/360034064852-Zoom-On-Premise-Deployment |
| För SaaS-driftsätt kan klienten välja vilka länder eller politiska regioner som data lagras eller bearbetas i | Delvis | Funktionen finns men antalet regioner är begränsat, t.ex. utan bestämmelser för Storbritannien, Ryssland eller några afrikanska områden. Möjliga “regioner” för försörjning är USA, Kanada, Europa (NL, GER) och Kina. |
| Uppfyller lämplig säkerhetscertifieringar (tex, ISO27002 or BSI C5) | Nej | Läs: https://zoom.us/docs/en-us/privacy-and-security.html |
| Uppfyller lämpliga integritetsstandarder (t.ex. FERPA eller GDPR). | Fullständigt |
|
| Tillhandahåller en transparensrapport som beskriver information relaterad till förfrågningar om data, register eller innehåll. | Nej | Pågående.
Läs: https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/ |
| Säkerhetshantering | ||
| Erbjuder andra former av åtkomstkontroll till möten, t.ex. väntrum, lockout, förbud etc. | Fullständigt | |
| Tillåter detaljerad kontroll över möteshandlingar som skärmdelning, filöverföring, fjärrkontroll. | Fullständigt | |
| Ger tydlig central kontroll över alla säkerhetsinställningar | Fullständigt | |
| Tillåter övervakning och underhåll av programvaruversioner för klienter | Delvis | En administratör kan granska klientprogramvaruversioner, men verktyg från tredje part krävs för att genomföra en uppdatering. |
| Tillhandahåller efterlevnadsfunktioner som eDiscovery & Legal Hold | Nej | In vad vi kan se |
| Granskning och rapportering | Delvis | Läs: https://support.zoom.us/hc/en-us/articles/201363213-Getting-Started-with-Reports
och https://support.zoom.us/hc/en-us/articles/360032748331-Operation-Logs |
| Ytterligare innehållssäkerhetskontroller som DLP, vattenstämplar etc. | Delvis |
|
| Sårbarhetshantering | ||
| Procent av NVD 2019 | 0.02 | |
| Procent av NVD 2020 | 0.08 | |
| Säljaren avslöjar vilka sårbarheter som har åtgärdats | Delvis | Zoom adresserar flera sårbarheter på sin webbplats, men vi kunde inte hitta kommentarer till dem alla. |
| Säljaren driver en bug bounty (hittelön för skadlig kod). | Delvis | En modernisering av programmet pågår den 15 april
Läs: https://blog.zoom.us/wordpress/2020/04/15/luta-security-katie-moussouris-zoom-bug-bounty/ |
Djupgående produktanalys – Zoom & Microsoft Teams
Kryptering
Lösningen finns exklusivt som SaaS (eller hybridmoln), kunderna måste vara bekväma med att lita på Zoom för att skydda infrastrukturen och respektera deras data. I hybridmolnläget hanteras användar- och mötesmetadata i det offentliga molnet, medan video-, röst- och datadelning går via Zoom-mötesanslutningen på plats.
Zoom hade tidigare föreslagit att deras kommunikation var krypterad från början till slut. Vid närmare granskning har det visat sig att detta inte är fallet (se granskningen ovan). Dessutom rapporterade Citizen Lab att Zoom-kommunikation är krypterad med AES-128 och inte AES-256 som tidigare indikerats av Zoom. Mer problematiskt för vissa användare, Zoom AES-128-krypteringsnycklarna kunde ha överförts till tredje part, möjligen i Kina.
Zoom har dock reagerat kraftfullt för att ta itu med dessa och andra problem, den nya 5.0-uppdateringen inkluderar uppgraderad kryptering. Det nya ‘Galois Counter Mode’ (GCM)-krypteringen kommer att använda 256-bitars ‘Advanced Encryption Standard’ (AES) -algoritm, vilket anses vara standard, rimligt och lämpligt för applikationer av detta slag. En noggrann utvärdering av Zooms implementering av denna algoritm ligger utanför omfattningen av denna recension, men det vore rättvist att hävda att Zoom har lagt de främsta historiska oron för sin kryptering för att integrera med den här uppdateringen.
För att stärka deras krypteringsfunktioner har Zoom tydligen meddelat förvärvet av Keybase. Keybase levererar för närvarande en “end-to-end” krypterad och säker meddelande- och fildelningsplattform. Zoom har sagt att förvärvet är ett viktigt steg i deras “försök att åstadkomma en verkligt privat videokommunikationsplattform som kan skala till hundra miljoner deltagare, samtidigt som de har flexibiliteten att stödja Zooms många olika användningsområden”. Även om det inte är klart för oss i detta skede vad Zooms strategi av detta förvärv är, verkar det som om tekniken skulle placera Zoom mycket starkt för att tillhandahålla fullständig “end-to-end”-kryptering baserat på beprövade krypteringsmetoder för offentlig nyckel någon gång i framtida.
Djupgående produktanalys – Zoom & Microsoft Teams
Autentisering
Zoomadministratörer kan aktivera tvåfaktorautentisering med Google Authenticator, Microsoft Authenticator eller FreeOTP .
Enligt deras hemsida är Zoom single sign-on (SSO) baserat på Security Assertion Markup Language (SAML 2.0). Zoom fungerar som tjänsteleverantör (SP) och erbjuder automatisk användaradministration. Du behöver inte registrera dig som användare i Zoom. Det kan också fungera med andra tjänsteleverantörer som PingOne, Okta, Azure, Centrify, Shibboleth, Gluu, G Suite/Google Apps och OneLogin. Zoom kan dessutom fungera med Microsofts ADFS 2.0 SAML-implementering.
Zoom erbjuder faktiskt en inbyggd 2FA-implementering via olika ‘One Time Pin’ -applikationer för mobil, men dessa tvingas endast för autentisering till webbgränssnittet, dvs inte för att gå med i möten via mobil- eller stationära applikationer. Men SSO:s olika plattformar som stöds tillåter förbättrade funktioner som push-to-mobile för stark autentisering för alla element i Zoom-ekosystemet.
Fram till nyligen krävde Zoom-möten inte ett lösenord, vilket innebär att alla som fick ett mötes-ID, kan delta i det pågående mötet, ibland med roliga knep ibland med mer oetiskt beteende. Men det här problemet verkar ha tagits upp av en serie nya funktioner som kulminerade i lanseringen av Zoom v5.
Det har också avslöjats att Zoom-inställningarna skulle lägga till samma domän-e-postadress i en enda katalog, som i vissa fall personer som använder en personlig e-postadress kan läggas till i en pool av kontakter som de inte vet något om, och dela deras personliga information som e-post adress och foto. Den 18 april har Zoom sagt att användare inte längre kommer att kunna söka med fullständigt namn efter kontakter med samma domän om de inte finns på samma konto eller organisation. Vi tror att denna förändring mildrar problemet ovan.
Regler och jurisdiktion
Zoom Inc är ett registrerat amerikanskt företag, men medierapporter har föreslagit att det är tätt integrerat med flera kinesiska företag, anställer utvecklare i Kina och faktiskt av misstag har dirigerat lite trafik genom servrar i Kina för en liten delmängd av sina användare. Detta orsakade oro och gråt för användare och företag som trodde att Zoom skulle hamna under USA: s jurisdiktion.
Zoom har dock ett alternativ under sina avancerade inställningar för betalda konton som tillåter användare att välja bort vissa datacenterregioner. Valfritt antal regioner kan avmarkeras, utom den region från vilken kontot tillhandahölls. Enligt Zooms webbplats “Val av datacenterregioner gäller endast för mötes- och webinarstrafik. Valet påverkar inte platsen för data i vila. Datacenterregionval gäller inte heller för Zoom Phone eller relaterade funktioner”.
En annan funktion som marknadsförs på Zooms webbplats är värt att notera. Zoom “Meeting Connector” är en hybridmolnutsättningsmetod som gör det möjligt för en kund att distribuera en Zoom-multimedia-router (programvara) i kundens interna nätverk. Enligt deras webbplats: ”Användar- och mötesmetadata hanteras i Zoom-kommunikationsinfrastruktur, men själva mötet är värd i kundens interna nätverk. All mötestrafik i realtid inklusive ljud-, video- och datadelning går genom företagets interna nätverk ”.
Zoom hävdar att de följer integritetsstandarder som HIPAA och GDPR och hävdar att dess policyer är utformade för att återspegla deras överensstämmelse med kraven i Children’s Online Privacy Protection Act (COPPA), Federal Education Rights and Privacy Act (FERPA), California Consumer Privacy. Act (CCPA) och andra tillämpliga lagar. Det verkar främst på grund av det faktum att det inte samlar in relevant information eller får användarens samtycke innan det görs.
Djupgående produktanalys – Zoom & Microsoft Teams
Säkerhetsfunktioner och hantering
Zoom erbjuder rollbaserad åtkomstkontroll som gör det möjligt för ett konto att ha ytterligare användarroller. Användarroller kan ha en uppsättning behörigheter som endast tillåter åtkomst till de inställningssidor som en användare behöver för att visa eller redigera.
Zooms portal “Admin Management” verkar vara mycket lik den avancerade inställningssidan som en användare skulle arbeta med, men med den extra förmåga att definiera inställningar för olika undergrupper av användare. En administratör kan inte bara ställa in standardvärden för dessa inställningar utan kan också välja att “låsa” en inställning så att den inte kan skrivas över av en enskild användare. Vår upplevelse av gränssnittet visade att den var snabb, enkel och intuitiv när den väl installerats korrekt.
Portalen tillåter även administratörer att se programvaruversionerna som körs för olika användare, men det verkar inte finnas ett sätt att centralt hantera klientprogramvaran. Enligt Zoom-webbplatsen kan “Desktop Client konfigureras för Windows på 3 olika sätt: via MSI-installationsprogrammet för både konfiguration och installation, en administrativ mall för Active Directory som använder grupprincip för konfiguration eller via registernycklar för konfiguration” .
Sårbarhet och exploateringshistorik
NIST National Vulnerability Database registrerar sex sårbarheter för Zoom sedan början av 2019:
| År | Rapporterade | Total NVD | Procent |
| 2019 | 3 | 17,308 | 0.02% |
| 2020 | 6 | 7,519 | 0.08% |
Flera av de sårbarheter som ovan skulle betraktas som ”allvarliga”, men åtminstone två ifrågasätts av Zoom.
De senaste sårbarheterna och intrången har väckt stor uppmärksamhet och uppenbarligen undergrävt förtroendet för tekniken. Här är en kort sammanfattning:
- Zoom: Genom att uppenbarligen missförstå Facebook Software Development Kit (SDK), delade data från iOS-användare med Facebook under en viss tid. Lyckligtvis stoppades dessa dataöverföringar efter att ha rapporterats
- Citizen Lab rapporterade ett problem där Zoom automatiskt skulle skicka en videoström av mötet live, liksom mötets dekrypteringsnyckel, till alla användare i mötets väntrum
- Zoom låter dig automatiskt generera adresskataloger: Personer som arbetar i samma företag kan gruppera kataloger. Det fanns emellertid oro eftersom Zoom gjorde samma sak med personliga e-postadresser som Gmail, och exponerade hundratusentals e-postadresser för andra tredje parter
- En tidigare version av Zoom för MacOS installerade en hemlig webbserver som inte togs bort när programmet avinstallerades. Denna fråga adresserades så småningom efter offentligt höjda röster
Zoom verkar emellertid förstå dessa säkerhetsfrågor och har aggressivt vidtagit nödvändiga åtgärder för att lösa dessa problem och korrigera sårbarheter så snart som möjligt. Den nya 5.0-uppdateringen adresserar alla säkerhetsproblem som vi känner till i skrivande stund, som sammanfattas i tabellen nedan.
Källor
theintercept.com/2020/03/31/zoom-meeting-encryption/
citizenlab.ca/2020/04/move-fast-roll-your-own-crypto-a-quick-look-at-the-confidentiality-of-zoom-meetings/
link.springer.com/referenceworkentry/10.1007%2F978-1-4419-5906-5_451
www.itpro.co.uk/security/29671/what-is-aes-encryption
support.zoom.us/hc/en-us/articles/360038247071-Setting-up-and-using-two-factor-authentication
en.wikipedia.org/wiki/Security_Assertion_Markup_Language
docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc786469(v=ws.10)
www.cnbc.com/2020/04/15/nancy-pelosi-calls-zoom-a-chinese-entity.html
https://support.zoom.us/hc/en-us/articles/360042411451-Selecting-data-center-regions-for-hosted-meetings-and-webinars
support.zoom.us/hc/en-us/articles/201362163-Mass-Installation-and-Configuration-for-Windows
https://betanews.com/2020/03/28/zoom-data-sharing-update/
citizenlab.ca/2020/04/zooms-waiting-room-vulnerability/
digitalguardian.com/blog/zooms-privacy-problems-snowball-two-zero-days-uncovered
www.theverge.com/2019/7/8/20687014/zoom-security-flaw-video-conference-websites-hijack-mac-cameras
Djupgående produktanalys – Zoom & Microsoft Teams
Microsoft Teams
Microsoft Teams är en egen kommunikationsapplikation, som endast fungerar i SaaS-läge, som officiellt lanserades av Microsoft i november 2016. Tjänsten kan integreras med Microsoft Office 365-paketet och Skype för företag. Det förväntas också ersätta Skype, som kommer att överges i juli 2021. Lösningen möjliggör samarbetsarbete (sampublicering och lagring av dokument, åtkomst till e-postmeddelanden och ett snabbmeddelandesystem etc.), vilket erbjuder långt utöver traditionella funktioner i videokonferenssystem. Teams erbjuder även tillägg som kan integreras i andra produkter än Microsoft.
Microsoft Teams har funnits som en gratis version, begränsad till 300 medlemmar, sedan 13 juli 2018, även om vissa funktioner i Office 365 saknas. Lösningen hävdar nu mer än 44 miljoner aktiva användare med en exponentiell acceleration sedan början av den massiva pandemidrivna distansarbetet i många länder.
Djupgående produktanalys – Zoom & Microsoft Teams
Funktioner
Lösningen finns på de flesta Microsoft Windows-, MacOS-, Android-, iOS- och GNU/Linux-distributioner. Produkten är helt användbar via en webbläsare utan att behöva installera en klient. Klienten som tillval eller en webbläsare som stöds (som Microsoft Edge baserat på Chromium eller Chrome själv) krävs dock för att få åtkomst till avancerade funktioner som innehållsdelning, kontroll av delat innehåll och bakgrund.
Det finns en gratis version för små och medelstora företag (upp till 300 användare) även om den erbjuder mycket begränsad funktionalitet. Vi anser att lösningen kan vara lite tung för mycket grundläggande eller tillfälliga behov.
Resultattabell
| Kryptering | ||
| Använder en lämplig krypteringsalgoritm | Fullständigt | Alla chiffersviter som stöds av Office 365 använder algoritmer som är acceptabla under FIPS 140-2. Office 365 ärver FIPS-valideringar från Windows. |
| Använder en stark krypteringsnyckel | Fullständigt | AES-GCM med 256-bit nycklar
Läs: https://docs.microsoft.com/en-us/windows/win32/secauthn/cipher-suites-in-schannel |
| Data krypteras under transitering under normal användning | Fullständigt | Läs: https://docs.microsoft.com/en-us/microsoftteams/teams-security-guide |
| Data förblir krypterad under transporten på leverantörsservrar | Oklart | Vi kunde inte klargöra detta från offentligt tillgänglig information.
Läs https://docs.microsoft.com/en-us/microsoftteams/teams-security-guide |
| Röst, video och text är alla krypterade | Fullständigt | Läs: https://docs.microsoft.com/en-us/microsoft-365/compliance/encryption?view=o365-worldwide |
| Filöverföringar och sessioninspelningar är krypterade | Fullständigt | Läs: https://docs.microsoft.com/en-us/microsoft-365/compliance/encryption?view=o365-worldwide |
| Säljaren kan tekniskt inte dekryptera data när som helst, inte ens under regulatoriskt tryck (helt E2EE) | Delvis | En funktion som kallas Service Encryption gör det möjligt för din organisation att tillhandahålla rotnycklarna och styra Microsofts förmåga att bearbeta dina data. |
| Krypterade implementering klarade granskningen över tid | Fullständigt | |
| Autentisering | ||
| Administratörer kan definiera lösenords säkerhetspolicys | Fullständigt | |
| Supporterar MFA som standard | Fullständigt | |
| Kan integreras med Active Directory eller liknande | Fullständigt | |
| Kan integreras med SSO via SAML eller liknande | Fullständigt | |
| Erbjudaande RBAC | Fullständigt | |
| Tillåter lösenord som ska ställas in för möten | Nej | Läs: https://docs.microsoft.com/en-us/microsoftteams/meeting-policies-in-teams |
| Allows meeting password security policies to be set
Tillåter möteslösenord för att säkerhetspolicys som ska ställas in | Nej | |
| Jurisdiktion | ||
| Adress huvudkontoret | USA | One Microsoft Way, Redmond, Washington, U.S.A |
| Leverantören kan inte tekniskt få åtkomst till data utan kundens tillåtelse | Delvis | En funktion som kallas Service Encryption gör det möjligt för din organisation att tillhandahålla rotnycklarna och styra Microsofts förmåga att bearbeta dina data. |
| En fullständig version är tillgänglig för användare som inte vill lita på leverantören | Nej | |
| För SaaS-driftsätt kan klienten välja vilka länder eller politiska regioner som data lagras eller bearbetas i | Fullständigt | Läs: https://docs.microsoft.com/en-us/microsoftteams/location-of-data-in-teams |
| Uppfyller lämpliga säkerhetscertifieringar (t.ex. ISO27002 eller BSI C5) | Fullständigt | Läs: https://docs.microsoft.com/en-us/microsoft-365/compliance/offering-iso-27001?view=o365-worldwide
och https://docs.microsoft.com/en-us/microsoft-365/compliance/offering-c5-germany?view=o365-worldwide |
| Uppfyller lämpliga integritetsstandarder (t.ex. FERPA eller GDPR) | Fullständigt |
|
| Tillhandahåller en transparensrapport som beskriver information relaterad till begäran om data, register eller innehåll. | Fullständigt | Läs: https://www.microsoft.com/en-us/corporate-responsibility/law-enforcement-requests-report |
| Säkerhetshantering | ||
| Erbjuder andra former av åtkomstkontroll till möten, t.ex. väntrum, lockout, förbud etc. | Delvis | Väntrum |
| Tillåter detaljerad kontroll över möteshandlingar som skärmdelning, filöverföring, fjärrkontroll. | Fullständigt | Läs:https://docs.microsoft.com/en-us/microsoftteams/meeting-policies-in-teams#meeting-policy-settings—general |
| Erbjuder en tydlig central kontroll över alla säkerhetsinställningar | Fullständigt | Läs: https://docs.microsoft.com/en-us/microsoftteams/manage-teams-skypeforbusiness-admin-center |
| Tillåter övervakning och underhåll av olika versioner av klientmjukvara | Fullständigt | Via Microsoft Endpoint Configuration Manager, MSI, GPO eller andra Microsoft verktyg. |
| Tillhandahåller efterlevnadsfunktioner som eDiscovery & Legal Hold | Fullständigt | Läs:https://docs.microsoft.com/en-us/microsoftteams/security-compliance-overview |
| Granskning och rapportering | Fullständigt | Läs: https://docs.microsoft.com/en-us/microsoft-365/compliance/search-the-audit-log-in-security-and-compliance?view=o365-worldwide |
| Additional content security controls like DLP, watermarking, etc.
Ytterligare innehållssäkerhetskontroller som DLP, vattenstämpling etc. | Fullständigt |
|
| Sårbarhetshantering | ||
| Procent av NVD 2019 | 0.01 | |
| Procent av NVD 2020 | 0.00 | |
| Säljaren avslöjar vilka sårbarheter som har åtgärdats | Delvis | |
| Leverantörer använder en bug bounty | Fullständigt | Läs: https://www.microsoft.com/en-us/msrc/bounty-microsoft-cloud?rtc=1 |
Kryptering
Team använder Transport Layer Security (TLS) och ömsesidig TLS (MTLS) som krypterar snabbmeddelandetrafik. “Point to point”ljud-, video- och applikationsdelningsströmmar krypteras med hjälp av Secure Real-Time Transport Protocol (SRTP). Filer lagras i SharePoint och skyddas med SharePoint-kryptering. Anteckningar hanteras via OneNote och skyddas av OneNote-kryptering, som också finns på en SharePoint. Microsoft hävdar att med Microsoft O365 krypteras data under både transport och i vila.
Nätverkskommunikation är krypterad. Alla Teams-servrar måste använda certifikat och implementera teknik som Oauth, TLS eller SRTP plus 256-bitars kryptering. Kommunikation krypteras från användare till Teams-servrar, vilket innebär att de inte är krypterade från end-to-end.
Teams kräver att alla servrar innehåller minst en distributionsplats för certifikatåterkallning i syfte att verifiera att ett certifikat inte har återkallats sedan den utfärdades.
Microsoft O365 erbjuder ett extra krypteringsskikt på applikationsnivå som kallas ”servicekryptering”, som täcker data från Exchange Online, Skype för företag, SharePoint Online, OneDrive för företag och Teams-filer.
Enligt Microsoft Tech Community-bidragsgivaren ‘Alexwall’, ‘Microsoft behåller en tillgänglighetsnyckel, vilket innebär att Microsoft kan få tillgång till all kundinformation. Bristen på kryptering av Teams-meddelanden, liksom förekomsten av en tillgänglighetsnyckel för alla tjänster, skulle vara ett bekymmer för en kund som vill ha 100% säkerhet.
Mobilklienten stöder appskyddspolicyer från Microsoft InTune som säkerställer att dess innehåll krypteras på den mobila slutpunktenheten.
Autentisering
Autentisering är baserad Office 365 med fokus på Microsoft Azure. Microsoft Teams stationära klienter för Windows och Mac stöder ”modern autentisering” vilket ger inloggning baserat på Azure Active Directory Authentication Library (ADAL) till Microsoft Office-klientapplikationer över plattformar. Microsoft Teams stöder alla identitetsmodeller som finns tillgängliga med Office 365 och har en omfattande uppsättning verktyg för att tillhandahålla och hantera identiteter, alla kopplade till befintliga Active Directory- eller Azure-implementeringar.
Multifactor-autentisering stöds av alla Microsoft 365- eller Office 365-planer som inkluderar Microsoft Teams, med stöd för telefonsamtal, text, One Time Pin eller Mobile App Notification som en andra faktor. Användare drar även nytta av de ytterligare säkerhetskontroller som tillhandahålls av Microsoft i O365: s tjänster.
Jurisdiktion & reglering
Team kategoriseras av Microsoft som ett ”Tier D” -kompatibelt program, vilket innebär att det följer ISO 27001, ISO 27018, SSAE16 SOC 1 och SOC 2, HIPAA och EU Model Clauses (EUMC). Teams är också kompatibelt med den tyska regeringen BSI Cloud Security Alliance.
Endast för nya kunder finns data i Teams i den geografiska regionen som är associerad med kundens Office 365-organisation. För närvarande stöder Team Australien, Kanada, Frankrike, Tyskland, Indien, Japan, Sydafrika, Sydkorea, Schweiz (som inkluderar Liechtenstein), Förenade Arabemiraten, Storbritannien, Amerika, APAC och EMEA. Vi kunde inte avgöra om detta också gäller för röst-, video- och textkommunikation.
Teams är dock en SaaS-lösning som levereras av Microsoft, som faller under USA: s regerings jurisdiktion. Krypteringsnycklar ägs av Microsoft som standard och kan därför tekniskt dekryptera dina data. Detta kan vara ett problem för kunder som är verksamma utanför USA.
Säkerhetsfunktioner och hantering
Microsoft Teams stöds separat som en molnapp i Azure Active Directory-policyer för villkorlig åtkomst. Policyer för villkorlig åtkomst som är inställda för Microsoft Teams molntillämpning gäller för Microsoft Teams när en användare loggar in.
Som en del av Microsoft 365 drar Teams nytta av en omfattande och detaljerad uppsättning centraliserade säkerhets- och efterlevnadshanteringsverktyg som är väl lämpade för företaget, särskilt om Microsoft AD eller Azure redan används.
Microsoft 365, med alla dess sammanlänkade applikationer, är dock mycket sofistikerad och komplex. Vi anser att utan den nödvändiga skickligheten och lämplig vård är det mer sannolikt att den genomsnittliga organisationen kommer att drabbas av ett brott på grund av en oavsiktlig läcka eller felkonfiguration än som ett resultat av teknisk avlyssning av data av en motståndare eller Microsoft själva.
Djupgående produktanalys – Zoom & Microsoft Teams Sårbarhet och exploateringshistorik
Det finns en sårbarhet registrerad för Microsoft Teams specifikt i NIST National Vulnerability Database under perioden från början av 2019 till tidpunkten för skrivning, men det har registrerats ett antal för associerade produkter som Skype, Skype för företag och SharePoint.
| År | Rapporterade | Total NVD | Procent |
| 2019 | 1 | 17,308 | 0.01% |
| 2020 | 0 | 7,545 | 0.00% |
Den 28 april 2020 skapade forskare vid Cyb0rArk en proof-of-concept-attack (PoC) som innebär att en inre angripare får ett offer att se en skadlig GIF som gör att en angripare kan ta över offrets Teams-konto. De rapporterade två osäkra underdomäner till Microsoft, som löste problemet på under en månad. Med hjälp av felet kan en angripare få tillgång till en organisations Teams-konton genom att ringa Teams API-samtal, vilket gör att man kan läsa och skicka meddelanden, skapa grupper och lägga till och ta bort användare.
I allmänhet, även om det finns lite data för att bedöma produktens säkerhetsarv, skulle det vara rättvist att hävda att Microsoft har robusta processer och har utvecklat ett starkt rykte i detta avseende.
Källor
docs.microsoft.com/en-gb/MicrosoftTeams/get-clients
en.wikipedia.org/wiki/Secure_Real-time_Transport_Protocol
docs.microsoft.com/en-us/microsoftteams/teams-security-guide
docs.microsoft.com/en-us/microsoft-365/compliance/office-365-service-encryption
techcommunity.microsoft.com/t5/user/viewprofilepage/user-id/555109
techcommunity.microsoft.com/t5/microsoft-teams/end-to-end-encryption-with-microsoft-teams/m-p/804842
docs.microsoft.com/en-us/mem/intune/apps/app-protection-policy
docs.microsoft.com/en-us/MicrosoftTeams/identify-models-authentication
docs.microsoft.com/en-us/microsoftteams/location-of-data-in-teams
Skribenter
Head of Security Research
Charl van der Walt
Technical thought leader, spokesman and figurehead for Orange Cyberdefense world-wide, leading and managing the OCD Security Research Center – a specialist security research unit. We identify, track, analyze, communicate and act upon significant developments in the security landscape.
Senior Consultant Cybersecurity
Quentin Aguesse
Graduated from a French Business School, Quentin is now senior consultant at Orange Cyberdefense operating from Casablanca (Morocco). With nearly 10 years of experience, Quentin has specialized in risk assessment, disaster recovery planning, as well as cybersecurity awareness.
Consultant Cybersecurity
Jérôme Mauvais
As a specialist in regulatory compliance, Jérôme Mauvais is a security consultant for Orange Cyberdefense. Highly invested in the protection of personal data, Jérôme has also been remarked all along with his career for his great capacities of knowledge transmission.
Lead Security Researcher (MSIS Labs)
Carl Morris
Carl has over 20 years’ experience working within IT, covering the whole breadth of the IT infrastructure, with a primary focus and interest on the security-related solutions. This has been followed by a decade working in MSSP’s, the latest of which being at SecureData for over 7 years. Initially as an Escalation Engineer followed by moving into Professional Services then to the Managed Threat Detection team as a Senior Security Analyst before moving into the Labs team as a Lead Security Researcher.