诸子云 | 走进招银云创:钓鱼邮件、安全评估和个人信息安全
日前,《Coremail 2021年第二季度邮件安全报告》发布,数据显示,2021年第二季度整体垃圾邮件数量较上一季度增长了15.22%,同比去年同期增长11.72%。
随着疫情的缓和、新年假期的结束,社会整体全面复工,Q2 季度钓鱼邮件的数量突破攀升至4055.3万封。其中有近83%的钓鱼邮件是来自境外IP,国内防御局势仍然十分严峻。
作为一项传统的网络攻击技术,钓鱼邮件似乎从没有消停过,鱼叉式网络钓鱼和企业电子邮件泄露更是已经成为了一笔“大生意”,因此而蒙受巨额损失的企业不在少数。微软也曾多次警告说,高级鱼叉式网络钓鱼攻击已变得非常具有针对性,这些钓鱼攻击通常涉及冒充公司CEO欺骗企业高管打开带有恶意附件的邮件。
与此同时,针对用户个人信息的网络攻击也呈现出增长的趋势,各类用户信息泄露事件层出不穷,暗网上大批量售卖企业用户数据者不计其数,几乎涉及所有的行业,一时间引起轩然大波。
参会嘉宾合影
根据中国互联网络信息中心(CNNIC)发布的第 48 次《中国互联网络发展状况统计报告》显示,个人信息泄露是占比最高、最为突出的网络安全问题,占比 22.8%。
2021 年 8月20日,基于个人隐私信息保护的首部法律《个人信息保护法》应势发布,这意味着国家层面的数据安全监管环境良性向好,在个人信息保护方面有了更加充分、完善的法律法规体系,可以说,在接下来的时间里,个人隐私泄漏乱象丛生的问题将有望得到持续、强力的清理整治。
基于以上这些问题,为了促进安全行业之间的交流,提升实践认知,加强互信互联,2021年9月4日,安在新媒体诸子云上海分会,以沙龙的形式,举办了“诸子云——走进招银云创”专题活动。
在本次沙龙活动中,招银云创安全合规总监陈欣伟(KC)、上海电信信息安全一级专家黄少琪和安华金和华东区技术总监朱晓东分别发表主题分享。活动由诸子云上海分会会长赵锐主持。
诸子云上海分会会长赵锐
本次活动有幸邀请天安财险、蓝光、南洋商业银行、平安科技、中国移动咪咕视讯、上海电信、得物、爱茉莉、上海中通吉网络技术有限公司、华瑞银行、招银云创、中银证券、天翼电子商务有限公司、交通银行等企业的安全专家、安全部门负责人和技术骨干的参与。
为了增加趣味性,本次研讨会还专门增设了互动抽奖环节,奖品包括《CSO进阶之路》、运动水杯、kindle阅读器,以及KC独家赞助的乐高,希望与会的专家们可以在结交朋友、分享交流的同时,不辜负这难得的周末时光。
幸运嘉宾合影
《邮件钓鱼的艺术》
招银云创安全合规总监 陈欣炜(KC)
在沙龙活动分享中,陈欣炜(KC)从今年护网的2个真实案例进行开篇,由钓鱼的定义和套路、钓鱼的艺术两块内容进行展开。根据邮件钓鱼的定义,剖析了邮箱钓鱼的合规要求,无论哪种钓鱼测试,都需要经过领导层的授权,而且建议领导层全员阅知。已授权的测试须是书面授权,建议公章,领导层签字。不然,可能会违反《刑法》第二百八十五条 非法侵入计算机信息系统罪、以及《中华人民共和国互联网电子邮件服务管理办法》第13条,还包括《刑法》第279条和《中华人民共和国电信条例》第五十七条相关要求。
招银云创安全合规总监 陈欣炜(KC)
钓鱼的结果往往是个故事,可能是喜剧,甚至是爆笑喜剧。正常而言,一次没有任何培训的钓鱼测试,可以有30%的人员不中招已经是很不错的成绩了。同时从钓鱼邮件的点击时间分布来看,两个12点是高发期,再从部门的中招度来看,业务部门基本上沦陷状态,而人事行政和销售因为邮件过多反而不中招。
邮箱钓鱼是一种社会工程学,是一种心理战。邮箱钓鱼难免中招,但要提起警惕和及时上报,同时一眼就能看穿的邮件钓鱼不要掉以轻心,应及时通知相关部门。陈欣炜以诸多邮件钓鱼的具体案例进行展开,建议警惕奇怪标题的邮件;注意发件人/部门邮箱名(区分数字和字母,比如0和O),与发件人/部门电话确认;不在奇怪邮件中点击链接、图片;不下载奇怪邮件的附件(尤其是EXE、COM、BAT等可执行文件);不在弹出的网页中输入用户名密码,可以输入错误的用户名和错误的密码进行测试;及时上报安全部门;及时通知收到同样邮件的同事。最大程度的保证反钓鱼能力和普及反钓鱼意识。
《个人信息监测与保护思考》
安华金和华东区技术总监 朱晓东
近年来,个人数据信息泄露形势日益严峻,其原因大致有以下几点:1、企业的业务更加开放和复杂,个人数据分布广泛;2、缺乏有效的制度和监管手段;3、数据流动性大,在不同网络之间、不同系统之间、系统和桌面之间大量交互;4、Devops 、大数据分析、开源工具等大量使用也增加数据泄露的风险。
安华金和华东区技术总监 朱晓东
企业在合规上的要求也越来越严格,对于金融行业而言尤其如此。包括《网络安全法》《数据安全法》《个人信息保护法》《人行金融消费者权益保护实施办法》等法律法规都对个人信息保护提出了相应的新要求。
朱晓东认为,随着业务的复杂、数据的流动和监管的收紧,企业的数据安全能力也需要不断地演进:由静态到动态,由分散到集中,由人工到智能,最终建立起企业数据安全体系。
基于此,安华金和的《个人信息监测保护解决方案》以资产梳理和数据分类分级为基础,对数据进行识别和分类分级,包括个人敏感数据相关业务、个人敏感信息内容识别、个人敏感数据资产的动态变化、个人敏感信息的标记和个人敏感数据分类分级。
二是做好个人信息映射视图,建立个人信息映射关系;三是构建个人金融数据、信息管理制度;四是个人信息安全技术架构设计;五是构建场景化的技术方案,实现个人敏感数据流动监测和管控;六是构建具体业务的安全方案,画出个人敏感信息综合保护方案逻辑图;七是构建长效的安全运营体系,有效保护用户的个人信息数据。
分享中,朱晓东表示,方案建设大致可以分为三步走,第一阶段是试点业务个人金融信息能力建设,比如制度、流程、管理规范的制定等;第二阶段是安全能力横向、纵向的不断延申,试点业务向更多业务推广,制度、流程不断优化;第三阶段是最佳实践和方法论完善,方案不断优化和迭代。
最后,为了方便嘉宾们更好地理解《个人信息监测保护解决方案》,朱晓东还列举了不少真实用户的实践案例,深入浅出的介绍该方案在不同企业中落地过程,以及给企业能够带来哪些具体的优势等。
《上海电信新技术新业务安全评估》
上海电信信息安全一级专家 黄少琪
新技术新业务安全评估是指运用科学的方法和手段,系统地识别互联网业务经营过程中存在的信息安全风险,评估风险导致的信息安全事件一旦发生可能造成的危害程度,进而提出综合性和可操作性的预防信息安全事件发生的管理对策和安全措施,实现将信息安全风险控制在可接受的水平,最大限度地保障互联网业务的信息安全。
其目标是为了进一步加强对互联网新业务的管理,提早防范潜在安全风险,提前部署安全保障措施,促进互联网新业务的健康发展。
上海电信信息安全一级专家 黄少祺
黄少琪表示,互联网新技术新业务安全评估应与安全管理工作紧密结合,始终围绕违法信 息监测发现、定位处置、追踪溯源等关键监管环节开展评估工作,主要涉及 业务安全风险评估和企业安全保障能力评估两个流程。
其中,业务安全风险评估主要是评估新技术新业务的功能、属性、特点、技术实现方式、市场发展情况、(潜在)用户规模等关键要素对安全管理工作的威胁和挑战,分析识别信息安全风险。
而企业安全保障能力评估主要是评估企业安全管理措施和技术保障手段能否有效应对业务安全威胁,可从安全组织机构、安全管理制度、技术保障手段建设情况等多个方面,评估企业的安全保障工作水平。
在活动分享中,黄少琪以通讯信息诈骗、信息数据泄露和违法违规经营等网络安全事件为引子,以《网络安全法》《电信业务经营许可管理办法》《互联网新业务安全评估管理办法》等法律法规为依据,结合自身的工作经验、对网络安全的理解,向在座的嘉宾们分享了上海电信在新技术新业务安全评估上的实践和思考,从业务风险、保障能力、评估流程、重点关注等方向进行叙述,满满的都是干货内容。
花絮