FreeBuf甲方群话题讨论|你会给国产化安全产品机会吗？对Sohu钓鱼邮件有何看法？

没有网络安全就没有国家安全，随着网络安全上升到国家战略高度，我国网络安全产业正在呈现出一些新的趋势，其中之一就是国产化趋势。无论是前些年的斯诺登事件，还是近来欧美对俄罗斯的联合制裁，都让我们切身感受到拥有自主核心技术，才能在国家间的竞争对抗、自身产业的发展中走出一条可持续化道路，同时这也是产业创新升级、更好地抵御瞬息万变的网络威胁的必然选择。但在现阶段，国产化的技术、产品或服务依然面临着巨大挑战和苦难，那国产化进展到底如何？还有哪些疑难杂症有待解决？本期话题将以此就相关问题展开讨论。

此外，对于最近曝出的Sohu内部邮箱钓鱼诈骗事件，群内也进行了热烈讨论，本期也作为额外延伸话题进行收录。

1.在你的从业经历中，有没有采用过国产化的安全组件和系统设备？他们的实际效果是不是已经能够取代海外产品了？

之前在政府，国产化需求高，安全设备、网络设备与服务器几乎都是国产，虚拟化平台也是；现在在民企国产化一般。

使用过国产化产品，政府国资企业走在前面，特殊行业场景特殊需求在国产化方面应用广泛，大部分能够匹配需求；但是市场化的常用软件，国产化还需要更多检验和适配。

国产的一些核心能力和顶尖还是有差距，产品略粗糙。

完全国产化目前还比较难，信创都不够用，好多搞信创集成的中间商垫款都垫了好多。

有用过，信创名录内的产品，政策要求，必须用。使用中功能单一，人机交互效果一般，实际效果无法取代海外产品。

有，国产化的本土化做的比较好，比较符合国人的用户习惯和需求，但是在功能跟性能上跟海外产品有不小差距。

2.现阶段大家所在企业国产化网络安全产品或技术的比例是多少？在国产化过程中碰到过哪些困难或阻力？

在能够满足技术要求的前提下，采购的安全产品倾向于国产的，因为使用习惯接近国人，服务会更方便。

现用国产化产品仍是国内企业产品，符合国产化要求，因为国产化并不等于是自主可控和原创。

特殊行业特种设备很多已经实现国产化，市场化成熟的软硬件，如果没有更好的国产化替代方案，推进会有重重阻碍。接触过国产服务器（工控机）批量采购，制造国产化，但并没有所有硬件组件全部国产化，仍有难度。

代码审计接触的不多，不过现有接触的国产里面好像确实一个能打的都没有。

代码安全门槛比较高，需要比较长的技术沉淀，一般乙方公司耗不起。

信创项目目前对应安全产品的已经全部国产化，困难和阻力是资金。

国产化占大部分了，阻力主要在替换可能由于稳定性和功能性能等原因影响业务使用的场景会有疑虑。

3.构建国产化网络运维体系并非一蹴而就，而是一个阶段性过程，大家认为在实际运用中哪些终端、设备或服务能够率先国产化？

政策要求的都可以国产化，只要有供应商，小规模适配，大面积看效果。

服务是更容易国产化的，设备其次，终端最难。

同等技术情况下，国产也有一定优势的，包括价格、易用性和售后服务。

易用度可能是优势最大的。

感觉很多产品和软件，售后服务才是最大的优势。

初期就是办公终端，oa业务能够国产化，涉及具体制播业务，无法国产化。

终端最难，设备跟服务国产化都有替代方案，只是在于替换代价大小而已。

以前已经部署的干路串联和面向终端用户的最难，其他的基本都国产化无压力了。

延伸话题：

关于最近Sohu钓鱼邮件的看法

Q：这种内部邮箱钓鱼问题该怎么规避？

参考国家反诈教育。

没有邮件文化就直接规避了。

搞搞内部钓鱼，总结经验教训可能比啥都好使。

邮件管理员及时后台撤销邮件。

Q：什么样的人容易中招？

我们曾一年两次，连续两年内部钓鱼，中招的几乎都是同一批人。

这个和计算机应用普及程度不是强相关，凡是大家认为最高精尖的那批人，中招率最高，因为他们是重点目标人群之一，运维人员中招率最低。

运维太忙了吧，没工夫盯着邮箱。

Q：有没有大佬清楚Sohu真实的作案手法？

打开之后，引导输入手机号、卡号、验证码。

内部邮箱发信这一手法，这一点就搞定半数人了。

亲测了一下，如果按照提示，输入了银行卡号、验证码等信息，那么卡内的余额，会以美元的形式被转出到境外。

Q：内部邮箱怎么被盗用了？

1.有这个邮箱组使用权的号被钓了；

2.smtp-auth没开，直接可以内部伪造；

3.电脑中远控也是一种方式。

没开MFA吧，开了MFA能够解决很多隐患。

按照我负责钓鱼来看，应该是某员工弱口令被爆破，进了内网的smtp服务器，然后伪造发件人。因为走的内网，SPF、DKIM、DMARC全都没用。

Q：对于此类事件公司是否需要对员工进行赔付？对企业安全意识培训有哪些启示？

为什么要公司赔付？是伪造公司发的，还是盗用了某个公司员工账号发的？还是拿下了邮件服务器（或者管理员账号）发的？这么多情况，不都是需要公司赔付的吧，还是要根据情况分析。另外，个人是否有错？至少网络安全意识不到位吧。

只要公司做了安全教育，能自证这方面是积极努力做过做过防御的，基本就可以免责了。

没做钓鱼防护培训 没留底培训记录的话，会有麻烦。

公司网络安全培训的边界在哪？在法律上和道德上应该是不一致的。钓鱼防护培训是否属于公司网络安全意识培训的内容有待商榷。

这个还有待商榷么？哪家公司网络安全意识培训不做钓鱼的？我们公司钓鱼属于网络安全意识最重要的一大块。

法律和审计层面来说，没留底还出了事，就是没培训吧。

信息安全意识培训的方式和方法比较多，保障培训的有效性才是关键。可以通过小部分保护员工私人信息安全的内容，如生活案例，甚至是社会热点信息安全事件吸引员工兴趣，但重点是工作相关的信息安全意识培训。

主要是用内部的邮件地址发出的，如果是外部地址中招人数不会这么多，我司的对内部重要邮件的做法是：各部门有文员二次确认，确认没问题在部门内部转发。

我觉得随便一个普通员工的邮箱可以大规模群发而没有审核，这在权限和流程上就不太合理。

而且他们最重要的可能是安全部门反映有点迟钝。我们是员工反馈收到钓鱼邮件——直接服务器查对应标题，看多少人收到了——内部IM公众号推送提醒。Sohu这个事哪怕有一个人反馈到安全部门，安全部门至少要排查一下吧。

流程机制问题了，邮件怎么提到安全部门呢？起码得有疑问或者安全风险吧，Sohu这个如果没任何安全风险告警，收件人应该是首先先发件人/部门询问。

网络钓鱼就是电诈的分支，不是专业的人很难要求人人有意识技能去识别每一封邮件，通过持之以恒有效的宣贯提高意识是正道。总之Sohu的安全部门起码跑不掉了，被人进来了。

申请流程：扫码申请-后台审核（2-5个工作日）-邮件通知-加入会员俱乐部

FreeBuf甲方群话题讨论|你会给国产化安全产品机会吗？对Sohu钓鱼邮件有何看法？