Zoom CEO’su 90 günlük güvenlik programının sonuçlarını paylaştı

Zoom CEO’su Eric S. Yuan’ın şirketin resmi blog sahifesinde paylaştığı bu rapor ile 90 günlük plan ile kullanıcılara kelam verilen 7 ana unsurdaki gelişmeler anlatılırken, Yuan, şirketin gelecekteki çalışmaları hakkında da haber verdi.

Zoom’a 3 ayda 100’den fazla yeni özellik eklendi

Zoom, 1 Nisan’da tüm mühendislik kaynaklarını güvenlik ve kapalılık meselelerine aktarmıştı. Şirket, üç aylık süreçte kullanıcılarına 100’den fazla özellik sundu. Bunlar arasında öne çıkanları aşağıda görebilirsiniz.

Zoom 5.0 sürümü ile,

Fiyatlı ve fiyatsız tüm kullanıcılar için AES 256 bit GCM şifreleme
Güvenlik simgesi, olgu merkezi konumu ve yeşil şifreleme kalkanı üzere arayüz güncellemeleri
Kullanıcı raporlama özelliği
Içtimalar için parola, bekleme odası ve kısıtlı ekran paylaşımı üzere ayarların varsayılan olarak kullanılması
Içtima başkanlarının çoklu cihaz girişini engelleyebilmesi, kullanıcıların mikrofonu açılırken kullanıcının isteğinin alınması, bulut kayıtlarının saklanma vadesinin belirlenebilmesi ve daha sıkı Zoom Chat denetimleri üzere öteki özellikler
Keybase satın alması ile fiyatlı ve fiyatsız tüm kullanıcılar için uçtan uca şifreleme çalışmaları başladı.

Coğrafi konuma nazaran data yönlendirme seçimi getirdi.

Ayrıyeten güvenlik ve kapalılığın eser ve özellik geliştirmenin her fazında bir öncelik olarak kalması sağlandı. Bunun için süreçlerde aşağıdaki değişiklikler yapıldı:

Tasarım aşaması: Güvenlik gereksinimleri, risk değerlendirmesi, tehdit modellemesi
Programlama: Inançlı kod yönergeleri, self servis tarama, CI/CD araçları
Test: Güvenlik testi, otomatik test yürütülmesi, web test araçları
Yayın öncesi: Inançlı konfigürasyon, tutarlılık izleme, gereksinim doğrulama
Üretim: Sistem güvenliği izleme, sistem sıhhati izleme, tehdit kıymetlendirme
Bağımsız mütehassıslar eser, pratik ve siyasetleri inceledi

Lea Kissner, Alex Stamos, Luta Security, Bishop Fox, Trail of Bits, NCC Group, Praetorian, Crowdstrike, Center for Democracy and Technology üzere güvenlik, kapalılık ve katılımcılık konusundaki tertipler ile CISO istişare kurulu, Zoom’un eser, pratik ve siyasetlerini inceleyerek tavsiyelerde bulundu.

Saydamlık raporu ile done, kayıt ve içerik talepleriyle ilgili haberler paylaşılacak

Zoom’dan talep edilen olgu, kayıt ve içeriklerle ilgili haberleri detaylandıran saydamlık raporu için yaklaşım ve çerçeve belirlendi. İlerleyen devirde Zoom, birinci raporunu 2020 mali yılı 2. çeyrek haberleriyle paylaşacak. Bu esnada, şirket, hükümetlerin taleplerine nasıl cevap verileceği ile ilgili bir rehber hazırladı, kapalılık siyasetlerini daha anlaşılır hale getirerek güncelledi ve Kaliforniya Zımnilik Hakları Bildirgesi için münferit bir siyaset hazırladı. Bu dokümanlara şirketin web sahifesinden ulaşılabiliyor.

Kusur armağan programının kapsamı genişletildi

Plan kapsamında Merkezi Cürüm Koruması ve ilgili iş akış süreçlerini oluşturan Zoom, HackerOne, Bugcrowd ve [email protected] adresine gönderilen zafiyet raporlarını bir araya toplamaya başladı. Günlük içtimalarla incelemeler yapılırken, güvenlik araştırmacıları ve üçüncü taraf kıymetlendirme kuruluşlarıyla uyum artırıldı. Zoom, bu süreçte Armağan Programı ve Zafiyet Başkanı konumu açtı ve yalnızca zafiyetlerle ilgili çalışan pratik güvenliği mühendisi sayısını artırdı. Zoom, ayrıyeten karşılık vadelerini de geliştirmek için çeşitli adımlar attı.

CISO Kurulu ile en düzgün güvenlik ve zımnilik tatbikleri değerlendirildi

Farklı kollardan 36 Haber Güvenliği Üst Yöneticisi’nin (CISO) oluşturduğu kurulda, SentinelOne, Arizona Eyalet Üniversitesi, HSBC ve Sanofi üzere kurumlardan iştirakçiler taraf alıyor. Zoom CIO Yardımcısı Gary Sorrentino tarafından yönetilen kurul, 3 ay içerisinde 4 kere bir araya gelerek bölgesel data merkezi seçimi, şifreleme, içtima kimlik doğrulaması ve Kullanıcı Raporlama, Parolalar ve Bekleme Odaları üzere özellikler konusunda danışmanlık sağladı.

Zoom CEO’su Eric S. Yuan, kurulun başarısı sebebiyle, CISO yuvarlak masa içtimalarının da yapılacağını belirtirken, Zoom güvenlik ekibi başkanları ve müşteri kurumların CISO’ları bir araya gelerek interaktif diyalog kurulacağını müjdeledi.

Tüm platform yapısı üçüncü taraflarca sızma testlerine tabi tutuldu

Zoom, aralarında Trail of Bits, NCC Group ve Bishop Fox’un da bulunduğu kimi şirketlerden platformunu kapsamlı biçimde incelemesini istedi. Beyaz kutu sızma testleri yapan bu şirketler hem açık hem barındırma yapılan olgu merkezlerinde Zoom üretim ortamını, bulut konfigürasyonlarını, dış IP ortamlarını, iç üretim ağını, Zoom ana web pratiği ve Zoom kurumsal ağında iç ağ ve harici çeperi, mobil ve masaüstü istemcilerde Açık API’leri incelediler. Zoom, ilerleyen devirde de üçüncü taraf sızma testlerini yapmayı sürdürecek.

Webinar’lar ayda bir frekansta sürecek

Güvenlik planı çerçevesinde her Çarşamba günü Zoom CEO’su Eric S. Yuan’ın kullanıcıları bilgilendirmek için yaptığı webinar’larda başkanlar ve danışmanlar da taraf aldı. Bugüne kadar 13 sefer gerçekleşen webinar’lar, 15 Temmuz tarihinden sonra ayda 1 kere gerçekleştirilmeye devam edecek.

Temmuz ayı itibarıyla tamamlanan 90 günlük planı pahalandıran Yuan, güvenlik ve kapalılığın platformun çekirdeğinde konum aldığını ve müşteri inancının kendileri için en değerli husus olduğunun altını çizdi. Yuan, 90 günlük plan tamamlansa da güvenlik ve kapalılık önceliklerinin birebir biçimde süreceğini söyledi ve kullanıcılara destekleri, sabırları ve itimatları için teşekkür etti.