CSO入狱启示、如何防止门禁卡被复制、关于钓鱼演练的探讨，包括点击率、填写率、演练频率、意识培训和价值等 | 总第174周

0x1本周话题TOP3

话题1：CSO“入狱指南” | Uber前CSO被判八年带来的启示

CSO经常处于一个无法成功的位置，他们负责一切安全事务，却又无能为力，因为他们知道应该做什么来降低风险，但得不到足够支持。

A1:大部分还是为了高报酬吧，顺带管管别的业务，干着干着就真的去干核心业务了，不也挺好的，充分说明安全的本质就是以业务发展为前提。

A2:一个有趣的现象，大多高层安全人员，在一个单位待的时间不会超过一年半。

A3:所以分管科技的管安全还挺靠谱。我觉得这是最好的方式，不然安全人员很难得到科技条线人员真正的配合。

A4:安全论技术始终为业务提供支撑，业务需要的是生产力。莫悲观。

A5:往往分管科技的不想兼管安全，管安全容易出事。

Q:你们安全条线不归入科技？那归哪个条线，没看懂哈。

A6:我们科技和信息是平行的两条线。信息里网络安全又是最不好干的。安全会被国家各种事件通报、演习、比赛，焦头烂额还不好量化成绩。信息的其它工作至少都是在创造和建设，只是成绩多少的问题，至少不会出现负数。

A7:业务安全，风控的，相对好些。业务安全的难点在于业务平衡，稍微松一点可能就被黑产搞了，稍微严一点天天被业务。

A8:向高管传达，当下的安全工作不重视不再是1和0，而是-1，出问题就是问责处罚入刑，数字化转型，数据要使用前提是安全合规，同时数字化转型打破了很多传统的边界，便捷和安全一样的重要，安全作为数字化转型的重要保障。做安全不能纯粹的说安全技术，而是和业务的融合，什么样的业务发展需要不同的安全策略，我们尽量做到安全与便捷的平衡。

A9:现在安全内涵外延越来越大，都做好很难，挑老板和业务老板关注的点发力，从合规，监管生态，业务风控等感知性强的方面入手，确实安全条线的人很难在公司有很高的发展空间，主要还是安全不挣钱，也是不是老板关注的人财物等核心部门。

A10:更多能看到的估计还是抵御“-1”的工作。

A11:回到这个案例，我们在接受一个国际培训的时候，老师问过一个问题：监管问你要隐私数据，给不给?

特别强调一点：不要为公司的违法行为毁了自己，觉得这是公司机密有害公司利益。在监管面前，要什么给什么，国外也这样。这个案例中，他入狱是对抗执法，不尽披露义务，而不是因为失职，失职的多了去了，文章稍微发散了下。

Q:信息和科技分开，是齐抓共管还是分头管理应用安全、运维安全、数据安全、网络安全？

A12:科技管新技术新产品研发，信息管系统建设和运营，不以安全对象区分。我们信息和科技是两个部。

A13:那就是研发中心和数据中心了。现在安全在数据中心，然后如果搞开发安全、数据安全、个人隐私就会存在跨中心的墙。我们除了数据安全在研发，其他安全都在运维。

Q:一般研发中心、数据中心、运维、科技+信息科技部、信息部、科技部在组织架构中是什么关系呀？是不是科技这个词只存在于金融机构中，互联网公司有吗？

A14:我们信息是运维部门，科技是开发部门。中心相当于事业部。大都存在于一开始没有IT也能开展业务的领域。

A15:管理态安全，研发态安全，运行态安全。事业部和一般部门有什么区别。只是一个说法吧，我记得最早入行的时候叫电脑部，后续叫信息技术部，再有些叫金融科技部的。

A16:有这个名字的，说明公司年代比较久远。经历了信息化。说起来，那个时候的信息化价值，和现在说数字化的价值好像如出一辙。

A17:好多信息化转型真就是excel转线上表单，业务没有上线。单纯就是后台做审批流，然后再打印出来签字。

A18:打印出来签字还做啥线上审批。

A19:我们财务更变态，付款要把那些合同都打出来，每年付某机构的维护费都打。那些合同好多甚至是上个世纪签的，只有框架，没有金额的，合同每年都一样，每年付维护费都要打印几百页的合同。

话题二：【复制门禁卡是否合规】身边的实际问题，经常忘带门禁卡，目前一般三种方式：

1、物业给做一张（不知道原来的是否失效）

2、通过手机NFC 

3、网上有卖破解的，直接复制到实体卡 

第1、2种好像是正规手段，但是有个疑问，这样不就可以随意复制多份代表你身份的卡了吗，是否合规。如果不合规，为什么很多手机NFC都支持？

A1:这种NFC复制卡一般分为非加密和加密的两种。前几年的卡一般都是非加密的，可以任意复制，从合规层面来讲，如果未经卡所有者授权的复制都是不合规的，但是技术上做不到，如果卡丢了或者是有人在靠近持有者一定距离范围内隐秘的复制，是没办法杜绝的。这几年的卡基本都是加密的，需要到权威的第三方（物业、行政部门等）进行密码授权或是特定的设备上才能复制，这就意味着是卡持有者的授权行为。

A2:在卡规格上，不要用m1卡，用CPU卡。另外估计这块的问题还没那么大，或者还没到整治的地步。

A3:也就是说复制卡是否合规的关键是得到本人授权确认，好像很多饭卡都可以随意复制。门禁卡好像不行。很多门禁卡的加密体系形如虚设。理论来说应该复制一份，之前的就挂失了才对吧？要不然就变成这种设计就允许一堆卡存在。

A4:我单位这边，门禁卡就是可以复制的，可以复制在手机里。还有单位门禁卡和饭卡是一块的，都可以复制。“复制一份后，之前就挂失”比较难做到，员工复制了，你也不知道，系统里面也识别不了。

A5:做不到，说白了，你复制的门禁卡相当于客户端，可以任意复制。服务器端后台识别不到。

A6:这块风险倒也不大，就是存在员工私自复制后把卡给别人特别是外包，然后进来还是这个员工的信息。

A7:做的到，有些门禁卡在读卡的同时写卡，这样复制卡再刷就刷不了了。我之前帮人复制卡，如果先刷复制卡，原卡不可用，先刷原卡，复制卡不可用。

A8:制度可以定的，定性为把身份凭据（如口令）给他人，这种列为开除项的都有。技术上，还是用加密卡比较好，毕竟不加密的随意复制你抓不到，也很难说自己限制了这种行为，人说一个不知道也没外传。而对抗加密性质就明显不同了。工卡给别人，口令给别人，一个性质。

A9:那是滚码，滚码是个比较好的防御方案，常见的可以复制了。

A10:是的，很多新的门禁读卡器会带写卡功能，专门防范那种低成本的UID复制行为，也算是门禁系统开始懂互相博弈了。

Q:红队有没有利用下复制员工门禁卡操作的案例？

A11:之前测过，实战阶段被领导否了。

A12:我觉得防复制还是从管理上入手，制定管理规则，建立责任制，卡被复制，卡主人担责，单从技术上可能比较难防。

Q：这个卡的加密机制我一直没特别懂，有大佬能形象说明下吗？

A13:就是有个密码（锁头）锁着数据。密码不对，不让进。密码对了，就让读数据。

A14:零几年的rfid安全方案就要加密写入了，防止伪冒、跟踪、甚至防止卡物理入侵后的问题。

Q:我的疑问是这些头和数据都在卡上，不管什么加密，我原样复制过来就可以呀，反正人不需要读懂他，读卡器去读就行。

A15:卡上有芯片。芯片负责读写，其实并不是读卡器负责读写。

A16:是的，这个攻击可行，只是利用条件苛刻。

A17:原文在这里哈，推荐阅读，比较好懂。

http://images.china-pub.com/ebook4940001-4945000/4942171/ch02.pdf

A18:芯片的密钥设计要求就是不能出硬件，出了就是有问题。

A19:不需要出，也能实现他说的攻击，上面文章里面也是建立在密钥安全的前提下。但是这种攻击利用条件只能在有限的动态校验窗口中实现。

A20:赞这本书，真的透彻 简单来说的话，就是id卡只要读到卡号就认为是你，所以能复制 加密卡能读到的是密文，没有芯片和密钥，就无法交互。但是在具体的实现上由于密钥是固定的且不联网，所以也存在高频逐位破解等的对抗，对吗？

A21:买一个pm3 傻瓜式测试一下就知道哪些卡安全了。一般有：id，ic，cpu卡。

1.id卡基本防不了攻击；

2.ic卡m1卡为代表，主要密码不破解，基本没法复制。需要卡没伪随机漏洞，防嗅探，克隆等攻击。一般好一点的设备都有这些功能。有攻击都会报警。

3.cpu卡，要高安全性都应这类卡，里面有自己的小系统，目前没有公开的攻击方法，要研究的话，物理成本都很高。

A22:现在时代变了，手机或者特定硬件可以软模拟，原来很多针对防uid克隆的手段都得更新了。hid cpu级系列卡有一个elite方案，密钥和uid范围都可以私有定制，在不能软模拟的时代，进出只能刷卡，保安监督到位，可以保证一定安全强度。

话题三：请教各位师傅个问题，你们多长时间做一次钓鱼演练，点击率和数据填写率大概是多少？

A1:最近一次做的钓鱼邮件演练:

A2:半年一次。

Q:结果咋样，点击率和提填写率？

A3:中招率基本上都是三分之一。

A4:点击率30%，填写率10%。因为我们不是所有用户都有邮箱的。而且我们还规避了高层领导。限制加了很多，所以反馈的效果看上去很好。

A5:我们公司中奖的比较少，我们自己分析主要是邮件系统用的比较少。

A6:我们是每季度一次。

A7:之前调研，各家都在10%左右；涉及绩效考核的模板能干到30%。如果公司内部折扣活动的，能更高。互联网公司演练间隔周期长的话，基本这个数不会有大变动。

还有就是，群里有B站和微博的师傅么？我想知道你们的这个数据大体啥情况呢？

Q:你们是怎么查哪个用户的邮箱收到(没点)真实的钓鱼邮件的？

A11:邮箱后台可以看到是否已读

Q:中招率跟钓鱼邮件主题关系很大。比如跟实事、福利相关的，中招率就很高，跟异地登录、改密码之类，中招率就很低，这个数据就是可控的。刚好讨论钓鱼邮件，可以讨论下:

1.如何通过中招率变化，去体现员工安全意识提升？

2.钓鱼邮件每次发送范围如何控制？全员，随机，还是按部门？感觉全员一次推的话，大家口口相传，也影响效果。

A12:1、中招的就安排学习、考试；2、邮件的范围就看你要什么结果，通过结果反推方案。

A13:目前我们控制同一个主题，每个月发，来对比中招率。中招的都有定向推送安全课程，多次中招还会晾晒。

A14:根据主题定推送范围，通用的可以全推，部分岗位的定制主题单独推送。另外还可以根据当前的热点推送，比如我们推过疫苗预约的钓鱼，冬奥会奖品钓鱼。偶尔玩个新主题，数据量就来了，比如世界杯防菠菜宣传。

A15:钓鱼邮件搞多了，会被内网投诉吐槽，也要考虑到员工感受。

A16:这个科室就是背锅的，要经得住吐槽。

A17:自己写个Python脚本，凡是点击的他都会返回一个文件包。文件包里面有点击时间和ip地址。如果是内网的话，IP和人是对应的。这样就可以搞定了。如果说自己内部的端口管理还没到位的话，做邮件测试纯粹是形象工程。

A18:每个月做一次宣传，每个季度做一次演练，中招的内部晾晒进行意识教育，主动反馈的给予适当奖励，培养安全性思维的养成，发动群众的力量。演练尽量限定变量控制人群，演练的结果受邮件内容、方式、范围等因素影响较大，而且演练的目的也不在于让多少人中招，而在于让多少人的安全意识得到提升，文化建设本身就是个长期的过程。

Q:关于钓鱼演练提出一个挑战：就算每季度甚至每月都在演练+培训+宣导+奖惩，但中招率只能控制在一定比例比如从30%降到10%，但不能杜绝。这种情况下，演练的价值怎么体现？

A19:我们也会参考演练后，有漏拦截邮件时，员工主动反馈数量（特别是反馈者曾经为中招者），侧面体现价值。中招率低，可能是设计的钓鱼演练太简单，也可能是员工意识高，不好说。

A20:更尖锐一点，钓鱼演练就算每周做，也还是会有不少人中招，那这事是不是根本没必要再投入精力。或者把精力放在钓鱼邮件拦截，恶意程序查杀，后门反弹检测等方面会更好？

A21:钓鱼链接这种东西没啥意思，感觉真要钓鱼应该用真的攻防里面的东西来。

A22:演练最好和管理层通好气，不然业务中招率高了，业务老大也中招了，还来投诉安全。

A23:钓鱼邮件做的越逼真，总有人经不住诱惑的。

A24:特别是涉及到金钱的，比如说工资补贴，那真的是中招率很高，还有人为了拿到补贴，不惜填十几次密码的。

事后对于中招的组织考试，然后通过企业微信h5进行全员宣传。中招后的员工，不会重复中招，这事就有意义。

A25:我们有个做法是中招的员工要参加安全意识考试。中招一次参加一次。

A26:按部门统计中招率汇报给高层和各部门负责人，各部门在内部宣导。中招的开小灶培训可能不太好，但是做题应该可以，设定一个及格分，中招的必须通过考试，我们目前也是这样考虑的。

A27:这事核心目标还是安全管理，控制钓鱼风险到合理水平，而不是零。 如果有其他途径成本收益更高，显然到一定阶段，选收益高的即可。

A28:统计到个人不太好，可以按照部门维度曝光和PK。

Q:针对链接式的钓鱼，大家用邮件网关配置url改写进行一定提醒用的多么？有效率如何？

A29:直接改写URL影响邮件使用。比较合适的方法是邮件网关对传入邮件的URL做持续性监控，如果内容正常则保持原样；万一出现延迟投递攻击，则通过邮件系统的API对原始邮件进行URL改写、删除、提醒等动作。

A30:影响使用倒不至于，就是做个提醒页面用，如果选择信任继续访问还是会跳回原链接。

0x2 本周精粹

GCCP五大年度分享评选

0x3 群友分享

【安全资讯】

Gartner发布2022年中国安全技术成熟度曲线

抱歉，这轮不向VC/PE开放

重磅！美国防部发布零信任战略及实施路线图

协同共建｜深入分析应用密钥安全治理之术

东软NetEye网络安全互联互通实践

BAS那点事儿

https://xz.aliyun.com/t/11880

-------------------------------------------------------------------------------

【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送（每周）。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球，方便大家查阅。

往期群周报：

关基检查之企业必须成立领导小组或者委员会类组织机构吗？数据出境有无自评估的方案？如何治理办公类合规软件？| 总第173周

开源组件如何从源头管控多层级组件依赖？关于数据安全治理落地路径、某终端安全软件冲突事件的杂谈 | 总第172周

网络安全三套防线及数据安全杂谈，中小型金融企业年度安全规划及采购探讨，访问云上对象存储OSS的最佳实践？| 总第171周

如何进群？

如何下载群周报完整版？

请见下图：

原文始发于微信公众号（君哥的体历）：CSO入狱启示、如何防止门禁卡被复制、关于钓鱼演练的探讨，包括点击率、填写率、演练频率、意识培训和价值等 | 总第174周