Guia de Fortalecimento do Serviço Zoom

[post-views]
Abril 06, 2020 · 8 min de leitura
Guia de Fortalecimento do Serviço Zoom

Introdução

 

Este é um guia prático baseado nas recomendações da Zoom e CheckPoint, elaborado com bom senso e uso específico do Zoom em nossa empresa, também conhecido como atividade de trabalho em casa (WFH), como toda empresa no mundo agora, e atividades de vendas/prévendas como fornecedor. 

Devido à natureza específica do nosso negócio, além de reforço de segurança, fazemos o que fazemos de melhor, desenvolvemos conteúdo de análise de detecção de ameaças para SIEMs baseados em relatórios do Zoom disponíveis via API, logs de proxy e logs de estações de trabalho. 

 

Abordagem em Camadas

 

Todas as configurações configuráveis do zoom podem ser controladas em 3 níveis. Herança hierárquica em vigor:

  • Nível da conta (estado “padrão” ou “bloqueado”)
  • Nível do grupo (estado “padrão” ou “bloqueado”)
  • Nível do usuário (estado “padrão”)

Configurações padrão – recomendadas, mas podem ser alteradas por um usuário. Se uma configuração for alterada no nível da conta, isso se torna a configuração padrão para todos os grupos e usuários na conta, a menos que a configuração tenha sido alterada anteriormente por um grupo ou usuário.

Configurações bloqueadas – obrigatórias e não podem ser alteradas por um usuário. Cada configuração pode ser bloqueada no nível da conta ou no nível do grupo. Bloquear uma configuração no nível da conta significa que a configuração não pode ser alterada por nenhum usuário. Bloquear a configuração no nível do grupo significa que os membros do grupo não podem alterar a configuração. 

 

Dicas Técnicas

  • Para cada grupo que requer configurações diferentes, navegue até Configurações do Grupo > nome_do_grupo > Configurações. 
  • Para bloquear configurações no nível da conta ou do grupo – clique no ícone de cadeado à direita do nome da opção.

 

Em primeiro lugar, os grupos de usuários devem ser identificados com base na forma de trabalho, comunicação interna específica e negócio específico da empresa. Até agora identificamos os seguintes (sim, isso não é constante, estamos crescendo, estamos mudando):

  1. “Vanguarda” – Papel de Vendas/Prévendas, comunica-se em todo o mundo, opções máximas recomendadas, mínimas restrições para ser mais flexível e contatar todos os possíveis clientes e consumidores. Todos os riscos associados cobertos por atividade de conscientização adequada e treinamento sobre como mitigar atividade de infiltradores usando controles de reunião do Zoom.
  2. “Retaguarda” – Papel de equipe interna, comunica-se dentro da empresa como parte das atividades de trabalho em casa, um para um, um para muitos, reuniões instantâneas, reuniões agendadas, etc. Comunicação com o mundo externo é limitada. Máximas restrições e menor atividade de conscientização. 
  3. “Salas” – um papel para contas identificadas para apoiar processos internos de comunicação, como salas abertas continuamente, etc. Restrições específicas. 
  4. “Especial” – papel reservado para quaisquer possíveis requisitos especiais. Restrições mínimas. não deve ser usado de forma contínua.  

 

Configurações no nível da conta

Em detalhes:

  1. Entrar antes do host – padrão desativado
  2. Usar ID de Reunião Pessoal (PMI) ao agendar uma reunião – desativado
  3. Usar ID de Reunião Pessoal (PMI) ao iniciar uma reunião instantânea – desativado
  4. Somente usuários autenticados podem ingressar em reuniões – ativado padrão
  5. Exigir uma senha ao agendar novas reuniões – ativado bloqueado
  6. Identificar participantes convidados na reunião/webinar – ativado bloqueado
  7. Exigir uma senha para reuniões instantâneas – ativado bloqueado
  8. Exigir uma senha para ID de Reunião Pessoal (PMI) – ativado bloqueado
  9. Exigir uma senha para ID de Reunião de Sala (apenas para Salas Zoom) – ativado bloqueado
  10. Incorporar senha no link da reunião para adesão com um clique – ativado padrão
  11. Bate-papo – ativado padrão
  12. Transferência de arquivos – desativado bloqueado
  13. Permitir que o host coloque um participante em espera – ativado bloqueado
  14. Compartilhamento de tela – ativado padrão

    1. Quem pode compartilhar? – Todos os Participantes
    2. Quem pode iniciar o compartilhamento quando outra pessoa estiver compartilhando? – Somente o Host
  15. Anotação – ativado padrão
  16. Quadro branco – ativado padrão
  17. Controle remoto – ativado padrão
  18. Permitir que participantes removidos voltem a ingressar – desativado bloqueado
  19. Suporte remoto – padrão desativado
  20. Legendagem – padrão desativado
  21. Salvar Legendas – padrão desativado
  22. Controle de câmera remoto – desativado bloqueado
  23. Borrar instantâneo no trocador de tarefas do iOS – ativado bloqueado
  24. Gravação local – ativado bloqueado

    1. Hosts podem dar permissão aos participantes para gravar localmente – desativado
  25. Gravação automática – desativado bloqueado
  26. Controle de Acesso por Endereço IP – ativado bloqueado
  27. Somente usuários autenticados podem ver gravações na nuvem – ativado bloqueado
  28. Aviso sobre gravação – ativado bloqueado

 

Configurações no nível do grupo

Configurações do grupo “Vanguarda”

  1. Entrar antes do host – desativado bloqueado
  2. Usar ID de Reunião Pessoal (PMI) ao agendar uma reunião – desativado bloqueado
  3. Bate-papo privado – padrão desativado

    1. Pode ser ativado se necessário para comunicação técnica do host, co-host, etc.   
  4. Co-host – ativado padrão
  5. Mostrar um link “Ingressar do seu navegador” –  ativado padrão
  6. Sala de espera – ativado bloqueado

 

Configurações do grupo “Retaguarda”

  1. Entrar antes do host – desativado bloqueado
  2. Usar ID de Reunião Pessoal (PMI) ao agendar uma reunião – desativado bloqueado
  3. Somente usuários autenticados podem ingressar em reuniões – ativado bloqueado
  4. Bate-papo privado – desativado bloqueado
  5. Controle remoto – desativado bloqueado
  6. Sala de espera – ativado bloqueado
  7. Suporte remoto – desativado bloqueado

 

Configurações do grupo “Salas”

  1. Entrar antes do host – ativado padrão
  2. Sala de espera – padrão desativado

 

Configurações de segurança da conta

 

Decidimos usar o Google para autenticação, onde já temos reforço de senha, 2FA e controles adicionais em vigor.

 

Métodos de login

  1. Permitir que usuários façam login com o Google: ativado
  2. Permitir que usuários façam login com o Facebook:  desativado

Segurança

  1. Somente o administrador da conta pode alterar o nome, foto, e-mail e chave de host dos usuários: desativado
  2. Somente o administrador da conta pode alterar o ID PM e o Nome do Link Pessoal dos usuários pro: desativado

Usuário precisa inserir a Chave do Host para reivindicar o papel de host com o comprimento de: 10

 

Recomendações gerais e de bom senso

 

  • Quando você compartilha seu link de reunião nas redes sociais ou outros fóruns públicos, isso torna seu evento… extremamente público. QUALQUER PESSOA com o link pode participar da sua reunião.
  • Evite usar seu ID de Reunião Pessoal (PMI) para eventos públicos. PMI é basicamente uma reunião contínua e você não quer estranhos invadindo seu espaço virtual pessoal após a festa acabar. Gere um ID de reunião aleatório para reuniões, sempre que possível.
  • De acordo com a pesquisa (5), hosts de reuniões do Zoom nem precisam enviar um link público para que usuários participem de suas reuniões. Sempre exija uma senha para ingressar.
  • Se realmente necessário, compartilhe IDs de reunião aleatórios via redes sociais, mas envie uma senha por mensagem direta.
  • Nunca tente abrir links ou imagens enviadas pelo Chat.
  • Configurar autenticação adequada no nível da conta, Google, Senhas Locais com controles adequados em vigor, SAML, 2FA, use autenticação relevante para sua política de segurança corporativa.
  • Familiarize-se com as configurações e recursos do Zoom para entender como proteger seu espaço virtual quando necessário. Como silenciar, como desligar o vídeo para os participantes, colocar participantes em espera, etc.
  • Configure a coleta de logs da sua conta Zoom para seu SIEM e estabeleça mecanismos de alerta/monitoramento.
  • A coleta de logs do seu servidor proxy e EDR é obrigatória no cenário de ameaças de hoje. Apenas cubra ataques específicos ao zoom através desses logs.  

 

Conteúdo para detectar ataques relacionados ao Zoom

 

Possíveis Domínios Maliciosos do Zoom (via proxy) – https://tdm.socprime.com/tdm/info/MrDuoDkETUIP/

Possíveis Domínios Maliciosos do Zoom (via dns) – https://tdm.socprime.com/tdm/info/TWstmhIEa1oA/

Possível Abuso de Binário do Zoom (via cmdline) – https://tdm.socprime.com/tdm/info/BMUtqKem63oL/

Possível Vazamento de Credenciais NTLM via Caminho UNC Externo Indesejado (via cmdline) – https://tdm.socprime.com/tdm/info/i71EA49sF8jW/

Referências

———————————-

  1. https://blog.zoom.us/wordpress/2020/03/20/keep-the-party-crashers-from-crashing-your-zoom-event/
  2. https://threatpost.com/as-zoom-booms-incidents-of-zoombombing-become-a-growing-nuisance/154187/
  3. https://support.zoom.us/hc/en-us/articles/115005269866-Using-Tiered-Settings
  4. https://blog.checkpoint.com/2020/03/26/whos-zooming-who-guidelines-on-how-to-use-zoom-safely/
  5. https://support.zoom.us/hc/en-us/articles/360034291052-Predicting-Zoom-Meeting-IDs
  6. https://support.zoom.us/hc/en-us/articles/360034675592-Advanced-security-settings
  7. https://support.zoom.us/hc/en-us/articles/360038247071-Setting-up-and-using-two-factor-authentication
  8. https://support.zoom.us/hc/en-us/articles/360032748331-Using-Operation-Logs
  9. https://www.bleepingcomputer.com/news/security/zoom-client-leaks-windows-login-credentials-to-attackers/
  10. https://library.myguide.org/myguide-library/categories/zoom/zoom-web/zoom-web-guides

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

SOC Prime no Discord: Junte-se a uma Comunidade Única para Todos os Defensores Cibernéticos se Beneficiarem da Expertise Compartilhada
Blog, Plataforma SOC Prime — 4 min de leitura
SOC Prime no Discord: Junte-se a uma Comunidade Única para Todos os Defensores Cibernéticos se Beneficiarem da Expertise Compartilhada
Veronika Telychko
Detecção CVE-2022-29108: Nova Falha Descoberta no Microsoft SharePoint Server
Ameaças Mais Recentes, Blog — 3 min de leitura
Detecção CVE-2022-29108: Nova Falha Descoberta no Microsoft SharePoint Server
Anastasiia Yevdokimova
O Futuro da Detecção de Ameaças é a Comunidade
Ameaças Mais Recentes, Blog — 5 min de leitura
O Futuro da Detecção de Ameaças é a Comunidade
Alla Yurchenko