CTI論壇（ctiforum.com）（編譯/老秦）： 由于冠狀病毒大流行，人們急于遠程辦公，導致快速采用基于視頻的會議服務，而通常情況下，組織沒有時間進行必要的盡職調查以評估安全性和合規(guī)性。

 

　　最近，Zoom Meetings出現了一些與安全相關的問題，導致Zoom創(chuàng)始人Eric Yuan撰寫了一篇博客文章，指出他已經實施了為期90天的功能開發(fā)凍結期限，以集中精力解決安全問題。您可以想象，當Zoom的競爭對手試圖在市場上脫穎而出時，已經利用這些問題來加強自己對安全的承諾。

　　最近，Zoom的加密模型受到攻擊，突顯了Zoom獨有的問題。與Cisco和Symphony一樣，Zoom為其消息傳遞應用程序提供了端到端加密。但是，Zoom沒有為會議提供端到端加密。而是，如此處所述，它會加密在Zoom客戶端或Zoom Room終結點到Zoom的服務器之間傳輸的語音和視頻數據上，但是一旦數據到達服務器，Zoom必須解密該數據以支持錄制，轉錄以及其他各種功能。

　　在這方面，Zoom并不孤單。會議供應商提供高級功能，例如轉錄和記錄；利用新興的AI功能（例如面部識別）；或支持第三方集成，他們必須能夠解密視頻和音頻數據以對其進行分析。會議應用程序之間的通用加密模型是靜態(tài)數據（在提供商的服務器上）和動態(tài)數據（例如，端點到服務器）。

　　思科是值得一提的例外，它確實為Webex Meetings提供了端到端加密選項。但是，正如Cisco所指出的那樣，使用此選項將禁用其Web應用程序，錄制功能，與會人員在主持人到達之前加入會議的能力以及視頻端點的使用。另一個供應商Wire提供視頻會議和消息傳遞的端到端加密，但是每個呼叫最多可以有10個參與者。

　　大多數視頻會議供應商都沒有端到端加密，也沒有客戶能夠按照自己的服務標準來管理自己的加密密鑰的事實，這意味著政府實體可以獲得授權書并進行會議。包括思科，谷歌和微軟在內的大多數云提供商都發(fā)布了透明度報告，其中列出了政府對數據的請求。Yuan的博客文章指出，Zoom很快也會采取同樣的措施，以解決有關政府可能要求訪問的會議數據的擔憂。

　　更重要的是，有關端到端加密的爭論提出了一個問題，即企業(yè)是否真正需要它來滿足其安全性和合規(guī)性需求。顯然，組織的獨特需求將推動需求。那些在受監(jiān)管行業(yè)中進行活動，召開會議以共享個人身份信息（例如，遠程醫(yī)療）或參與國家安全的組織，將比對有內部會議討論即將進行的研究項目的分析公司說，對安全有更嚴格的要求。

　　對于真正無法承擔會議供應商或第三方實體風險的組織，獲得訪問會議數據的權限，思科，Compunetix和Pexip等供應商提供的本地會議平臺選項就足夠了。使用這些類型的平臺意味著公司正在其數據中心或它控制的公共云服務內購買，部署和管理自己的會議基礎架構。 Nemertes最近發(fā)布的成本效益分析：工作場所協作和聯絡中心對500多個組織的研究表明，約有12.5％的人運行自己的本地會議平臺。

　　對于負責信息安全和/或協作的人員來說，值得花一些時間來了解使用中的供應商的安全功能，以及可能要評估以供將來使用的供應商。首先記錄您自己對信息保護和隱私的要求，并對云提供商是否可以滿足您的需求進行全面評估，或者是否需要考慮內部部署選項。

　　作者：歐文·拉扎（Irwin Lazar）

　　原文網址：https://www.nojitter.com/security/do-you-need-end-end-video-meeting-encryption%20