摘要:
您有一份周报待查收.........
0x1本周话题TOP2
话题一:大家最近有没有觉得钓鱼邮件攻击突然增多了?日常又怎么监测钓鱼邮件?有些灰色邮件被拦截了,但还是会有漏网之鱼。
A1:最近确实多了不少钓鱼邮件,还有企微钓鱼。漏报率(第一类错误)和误报率(第二类错误)很难为0。
A2:期初只是几个下属公司反馈,后面跟邮件网关厂商聊说,很多金融同业最近钓鱼邮件都多了,是外面有什么消息么,惊蛰了?
A3:据说某反z组织在搞。种类没有新花样,就是在量上上去了。
A4:退税周期,是比较好的钓鱼攻击窗口期:
Q:想知道,可能漏报或误报的情况,怎么快速知道有收到钓鱼邮件了,不然需要依赖公司员工反馈,还是被动些。
A5:大家可以共享一下钓鱼样本和检测策略,联防联控,有些团伙用的工具特征还是比较明显的。
A6:我知道可以买反钓鱼服务,有钓鱼邮件的情报。
A7:部门安全考核上把主动汇报事件列为加分项,内部员工有红黑榜,分支机构纳入考核加分。
A8:把员工接受外部邮箱权限关了。至少科技人员不太需要收的,有需求的提申请开通,钓鱼邮件对科技这边影响最大。
A9:科技人员和外部厂家沟通还是蛮多的。你们邮箱访问是包在VPN里面了,还是可以互联网直连?
A10:内外分开。外部假定已经失陷了(一定有人意识不足中招的),设计防御体系。
A11:银行大点的像招行,号称研发有一万人。大家觉得有多少人是必须和外部沟通的?如果都开通。那安全运营就特别累。
A12:收有些权限,还不如直接不让员工上网。不能上网的办公终端,收到钓鱼邮件完全没压力。
A13:员工上外网也是要申请的。但是这个大部分科技这边是可以提申请开通的。相比不能收邮件,不能开通外网查询技术资料,研发干不下去的。
A14:没事,银行的研发都是不能访问互联网的。不说绝对,大行和股份制,我猜95%。钓鱼邮件,对银行来说,基本上都排不上号,没啥好防的。
A15:管得严的大行是这样的,大部分银行内外网完全隔离,内网根本收不了邮件。
A16:除非全部自己开发,不然就很难避免,另外人员一多即使比例小,绝对数量就很大,工作量还是大。人多,宣导就累。
A17:不要太相信人的意识能达到太高的水平,宣贯教育的能力是有限的。
A18:在定义用户邮箱名的时候考虑防猜测、防爆破这些手段应该效果也可以。
A19:基本都是要求员工拼音全称加公司域名,不能因为安全而完全破坏业务的便利性,因为这个涉及企业整个的IAM设计。你一个邮箱,搞个前缀搞个12位无意义字母、大小写,业务不劈死你才怪。安全只是企业一个面,而不是全部,正如券商APP,登录密码就是6位数字,从安全的角度来看,安全性不是烂到爆吗?BUT,这就是行业惯例,就是业务便利性赢了。
A20:银行ATM POS 一直只有6位密码呢,但毕竟有个实体卡。还是从smtp控制开始吧,先解决掉账号沦陷。
A21:所以之前也有讨论 到底 银行卡 加密码 算不算双因素?
A22:监管认就行,业务认就行。
话题二:请问大家,对于等保测评这类有统一工作模式的项目,在厂商考察时,问哪些问题有助于筛选出更适合的厂商呢?
A1:资质类的已经有宣传册,如果是问具体技术问题,感觉又像面试考试,比较奇怪。
A2:等保测评机构选择么?等保网有公示的《》。231家牌照商,如果你领导看重央国企就选国资背景的,如果省钱就选民营企业。
Q:是想问比如已经预选了六七家,在技术方面,问哪些问题可以横向的比较、评分?
A3:招标打分表,价格,人员资质+经验,获得等保测评证书的人员数量,关键还要看甲方要做啥呀。实际测评也是一项一项证据,有水平的不多。等保就是合规方向的事情,不要指望他们的技术能力。你问技术问题,他们可能来的是销售,售前,跟实际测评人员还是不一样的,感觉意义不大。
A4:这种一般问业内人比较好,看哪家机构服务好,效率高,对测评项的宽松度。也看老板对等级保护是什么态度了,如果老板觉得这个东西就是合规性质的东西,那就让那几家报价过来,然后底下聊一下就大概知道怎么玩了。
A5:建议找个安服机构,能协助你进行咨询、整改、预测评,包括选定测评机构,测评机构就是看项目管控,漏扫渗透,报告撰写能力。
A6:调研一下同业,口碑不错的约三家来。基本就是比比价格了,可以比较同业客户数量,公司规模,合同里承诺来的测评师的证书或经验年限等。
A7:问同业同地区的比较合适。对于list这种东西,经验丰富一点的售前人员,回答起来差不多,但实际效果就不一样。而且这种现场来评测的人,水平不一,你的感受也不太一样,也就是花钱买个合规证书。对机构来说,等保的那些要求真也就是最低要求了,要是连等保都过不去,那真可以卷铺盖走了。
A8:真想做企业安全,不能只靠等保,要做合规持续监测,安全规划设计。
A9:等保的知名度高一些,可以靠这个牵引出其他合规建设的规划,但是测评师好像很少懂咨询的。测评师现在也只能挂在等保机构下,不在等保机构下,第一你考不了,第二你离职了自动注销测评师。
A10:说起实际效果这事,其实可以讨论下,个人觉得得分开来看。
对于之前信息安全工作一直不受重视,或者没有相对明确规划的机构,做等保是个比较好的机会。因为相对比较成体系,可以给同仁们有个比较好的思路来打基础,不是家家机构都有自研能力去,用开源的做二次开发。从架构到领域实现,照着做完了,基本框架就起来了。
对于相对好一些的机构(有架构有组织有专职人员有一些资金支持),主要是个查缺补漏,每年测评机构的重点会跟着公安的要求重点不一样。就举个例子,里面重要信息要存储加密这个,个人了解大多数人都是没做到了的。这种情况等保过了,风险等级可以去沟通,但是问题项会写进去。最后怎么对待这些问题就是各自本事了。
大型成熟机构或者行业就不说了,基本上要么属于资金支持充足,也干了些年了,要么就是自研能力强。
A11:对,提醒到了,确实是每年公安要求重点会变化,会借着等保条款去深钻符合性。要说实践里跟老板汇报和其他同事PK,27001还不如等保好用,等保更细更明确。
A12:想轻松过还是想严查推动安全建设。
A13:等保做的细其实也能发现不少问题,和应用相关的,渗透测试强度大点。和网络相关,每个区域分开搞。安全计算环境一堆整改项。和测评师能力还有责任心挂钩。等保做细能做很多事情,你可以有要求,让公司多查点。
话题三:有了解网络安全保险的吗?有保险公司卖这个险种了吗?
A1:之前还看到有某厂说在和保险公司合作研讨中,我也想了解来着,目前没看到动静。
A2:非广告,真的就是刚好看到了:
《网络安全保险研究报告》梳理分析了国内外网络安全保险发展现状,并针对现阶段的发展问题提出相关对策建议。报告表明,我国网络安全保险发展已步入快速发展新阶段。目前,我国共有30余家保险公司备案了77款网络安全保险产品,2022年网络安全保险保费规模达1.4亿,较上一年翻一番。
公众号:国家工业信息安全发展研究中心聚焦|2023年网络和数据安全产业高峰论坛-网络安全保险分论坛成功举办
A3:安全企业卖产品,保险公司卖保险,第三方测评机构搞鉴定。上周还有个保险公司来找我们谈合作。
A4:前提是要使用对方的方案,分析和评估,接受指导。类似寿险重疾险一样,需要安全公司做完评估,才会给保险报价。
Q:怎么定损和理赔呢?
A5:理解为对赌,看保险合同怎么写。重疾险也会有诊断要求,例如根据等级保护测评分数算,或者要风险评估。
0x2 本周精粹
休刊
