CTI论坛（ctiforum.com）（编译/老秦）： 由于冠状病毒大流行，人们急于远程办公，导致快速采用基于视频的会议服务，而通常情况下，组织没有时间进行必要的尽职调查以评估安全性和合规性。

 

　　最近，Zoom Meetings出现了一些与安全相关的问题，导致Zoom创始人Eric Yuan撰写了一篇博客文章，指出他已经实施了为期90天的功能开发冻结期限，以集中精力解决安全问题。您可以想象，当Zoom的竞争对手试图在市场上脱颖而出时，已经利用这些问题来加强自己对安全的承诺。

　　最近，Zoom的加密模型受到攻击，突显了Zoom独有的问题。与Cisco和Symphony一样，Zoom为其消息传递应用程序提供了端到端加密。但是，Zoom没有为会议提供端到端加密。而是，如此处所述，它会加密在Zoom客户端或Zoom Room终结点到Zoom的服务器之间传输的语音和视频数据上，但是一旦数据到达服务器，Zoom必须解密该数据以支持录制，转录以及其他各种功能。

　　在这方面，Zoom并不孤单。会议供应商提供高级功能，例如转录和记录；利用新兴的AI功能（例如面部识别）；或支持第三方集成，他们必须能够解密视频和音频数据以对其进行分析。会议应用程序之间的通用加密模型是静态数据（在提供商的服务器上）和动态数据（例如，端点到服务器）。

　　思科是值得一提的例外，它确实为Webex Meetings提供了端到端加密选项。但是，正如Cisco所指出的那样，使用此选项将禁用其Web应用程序，录制功能，与会人员在主持人到达之前加入会议的能力以及视频端点的使用。另一个供应商Wire提供视频会议和消息传递的端到端加密，但是每个呼叫最多可以有10个参与者。

　　大多数视频会议供应商都没有端到端加密，也没有客户能够按照自己的服务标准来管理自己的加密密钥的事实，这意味着政府实体可以获得授权书并进行会议。包括思科，谷歌和微软在内的大多数云提供商都发布了透明度报告，其中列出了政府对数据的请求。Yuan的博客文章指出，Zoom很快也会采取同样的措施，以解决有关政府可能要求访问的会议数据的担忧。

　　更重要的是，有关端到端加密的争论提出了一个问题，即企业是否真正需要它来满足其安全性和合规性需求。显然，组织的独特需求将推动需求。那些在受监管行业中进行活动，召开会议以共享个人身份信息（例如，远程医疗）或参与国家安全的组织，将比对有内部会议讨论即将进行的研究项目的分析公司说，对安全有更严格的要求。

　　对于真正无法承担会议供应商或第三方实体风险的组织，获得访问会议数据的权限，思科，Compunetix和Pexip等供应商提供的本地会议平台选项就足够了。使用这些类型的平台意味着公司正在其数据中心或它控制的公共云服务内购买，部署和管理自己的会议基础架构。 Nemertes最近发布的成本效益分析：工作场所协作和联络中心对500多个组织的研究表明，约有12.5％的人运行自己的本地会议平台。

　　对于负责信息安全和/或协作的人员来说，值得花一些时间来了解使用中的供应商的安全功能，以及可能要评估以供将来使用的供应商。首先记录您自己对信息保护和隐私的要求，并对云提供商是否可以满足您的需求进行全面评估，或者是否需要考虑内部部署选项。

　　作者：欧文·拉扎（Irwin Lazar）

　　原文网址：https://www.nojitter.com/security/do-you-need-end-end-video-meeting-encryption%20