我最初以为这是一次恶意企图,使我们的CFO打开受感染的PDF,或者是网络钓鱼/捕鲸尝试,但这似乎是合法的。我们已经与FI的IT部门进行了交谈,他们说这是真实的,但他们不能(不会)提供更多信息。由于我公司与金融中介机构之间关系的性质,拒绝实际上不是一种选择。从我可以看到,大多数IP地址似乎都属于科技公司。
这种方法会使您感到可疑吗?这里有一些社会工程吗?威胁的本质是什么?
#1 楼
如果您是通过单独的渠道与FI对话的,那么您实际上是与FI对话的,他们知道这一点,因此根据定义,它不是网络钓鱼。让我感到奇怪的是“但是他们不能(不会)提供更多信息”和“拒绝实际上不是一种选择”。如果您是金融机构以外的实体,则这两个事实不能共存。
您的推后操作很简单:您的防火墙策略需要有正当的理由以及要审核/删除规则的结束日期。您不只是添加防火墙规则,因为组织外部的人告诉您这样做。 FI不知道阻止这些IP是否会影响您的操作。
该规则应具有什么作用?
该规则需要存在多长时间?
(个人)在FI端拥有此规则的人?
如果该规则对运营产生负面影响,预计会采取什么补救措施?
如果未完全按照要求实施该规则,贵公司之间会有什么影响?
您在不知道正面或负面影响的情况下,不会添加防火墙规则。如果他们想更好地控制您的防火墙,那么他们可以为您提供和管理您的防火墙。
另一方面,如果他们拥有您和风险,那么他们会承担这种变更的风险,因此只需添加规则。
至于董事发送此请求,这并不奇怪。当您需要某人做某事时,您将拥有最有影响力的人提出请求。主任可能不知道什么是防火墙,但是请求是以该人的名义提出的。我也很好奇为什么需要这么大的影响力。似乎他们想向您施加压力,而不必自己解释。不要让他们决定您的政策以及您如何最好地保护公司。
评论
@DonQuiKong然后,如果政治胜过适当的安全和风险管理,那么这就是您的政策
– schroeder♦
18-09-10 18:56
重新阅读我的答案。我没有说“只是拒绝”,而是说有具体的信息要求后退。
– schroeder♦
18/09/10在19:02
我无法想象在任何情况下,政治因素会覆盖一个方向另一方指示防火墙规则的两家公司所承担的责任。如果金融机构想推动,那么他们还必须承担债务,这需要明确。
– schroeder♦
18/09/10在19:06
您总是可以假装说是。例如:“当然,我们可以添加这些。这是请求新防火墙规则的标准表格,请填写并在星期四之前寄回。”然后,表格会询问您想要的任何信息。
–凯文
18年9月11日,0:06
我认为@Kevin的观点并不是欺骗性的(尽管主张其面值),但是您可以在需求中使用友好的面孔。与其把请求看成是对信息的要求,不如强调只要符合合理的政策,您就愿意满足请求:“谢谢您的建议。根据我们的政策,我们需要记录一些更多的信息,然后才能将其落实到位我们还需要更好地理解预期的影响是什么,以便我们可以根据其余政策/规则以及我们是否成功来评估规则。”或类似。
– jpmc26
18/09/11在19:11
#2 楼
我不希望这是一种社会工程学的尝试,而应该更多地倾向于同行FI在信息公开方面过于谨慎-他们可能发生了涉及这些IP的某种事件,并且不在他们想要进一步公开任何内容的阶段。这样看:一个明显的威胁参与者实际上将从中获得什么?
您提到许多IP与技术公司有关。 />
这些公司是否提供任何可用于恶意基础架构的虚拟主机?
这些公司是否提供任何可能被滥用的代理服务?
这些公司是否提供任何可被滥用的代理服务?可以恶意使用的安全测试软件?
虽然组织本身可能是合法的,但可以利用它们,但是如果没有该FI的进一步信息,我将不采取行动:举证责任取决于此列表的发送者。
这实际上是低质量的种族威胁情报-它没有提供证据表明这些指标值得采取行动。
除此之外,您是否有任何方法可以同时设置对这些IP的监视?您可能需要进行一些调查才能得出所需的信息,以确定为什么这些数据据称值得阻止(某些OSINT挖掘也可能很有成果)。
评论
是否可以将这些IP地址发出的请求发送到单独的服务器(也许在链接本地网络上)并隔离以进行分析?
– Tracy Cramer
18/09/10在19:17
这个空间有两个不错的选择;您可以转发它们(例如本地链接),也可以“即时”允许并进行分析,但是如果仍然有问题,可以将它们放在线下。
–鹅
18/09/10在19:24
“明显的威胁行为者真的将从中获得什么?”对某种被阻止方的某种拒绝服务。威胁不一定要直接对OP的公司造成威胁,即使确保满足客户的需求符合他们的利益。
– jpmc26
18/09/11在19:53
@ jpmc26-绝对正确,这是可能的,但是我觉得这不太可能:我从来没有遇到过这样的策略,甚至听说过对某个组织不屑一顾。鉴于此对手不仅需要知道要联系的正确团队和欺骗发送者,而且这些IP的阻塞将导致目标服务器的服务质量下降,因此我认为在这种情况下这不是攻击的途径。
–鹅
18/09/11在20:22
“显然的威胁参与者将从中获得什么”-他们可能在建立优先权。这次,它阻止了防火墙中的IP列表。他们会再提出几次类似的请求,通过繁文tape节变得越来越容易,直到变得几乎正常为止。然后,一个请求将包含一些白名单规则,没有人对此有任何想法,因为他们已经过训练,不必担心
–达伦·H
18年9月12日在5:51
#3 楼
我的CFO收到了某金融机构董事的电子邮件,建议您将来自某些IP地址的所有流量(入站和出站)都在防火墙处阻止。他的IT部门建议该金融机构的主管发送此邮件。地址列表(约40个)位于随附的受密码保护的PDF中。密码是通过短信发送给我的CFO的。
我唯一感到奇怪的是CFO确实参与其中。 CTO(或下属)通常会处理机构和国家情报机构(FBI,CERT等)之间的网络情报和信息共享。
我最初认为这是一种恶意尝试,旨在使我们首席财务官打开受感染的PDF或网络钓鱼/捕鲸尝试,但这似乎是合法的。我们已经与FI的IT部门进行了交谈,他们说这是真实的,但他们不能(不会)提供更多信息。由于我公司与金融中介机构之间关系的性质,拒绝实际上不是一种选择。从我的看到,大多数IP地址似乎都属于科技公司。
您的勤奋值得掌声;那是一个合理的载体。
您没有指定这些“科技公司”是什么,但是如果它们是AWS,DigitalOcean,Linode,Vultr,Choopa,Hetzner,OVH,Velia等,则它们是什么。那么您应该知道这些科技公司(以及许多其他小型公司,包括torrent种子箱)通常与僵尸网络,恶意软件和财务欺诈有关。任何提供共享主机或VPS服务的东西都是发动攻击的可能平台。我可以从直接的经验中告诉您,许多HSA,W2,纳税申报欺诈和诸如Krebs报告之类的其他骗局都是从这类廉价的VPS服务中发起的。
是否采用这种方法打你可疑吗?这里有一些社会工程吗?
有关当前事件的信息可以正式共享(通过发布到US-CERT邮件列表以及DIBNET,FS-ISAC等机构之间),或通过高管之间的奇怪的PDF共享方案共享,这些方案源自被认为是非可披露的,非归属的FBI提示。它确实发生了。
当FBI是始发来源时,它们通常提供很少甚至没有细节或背景信息,因此,上级可能无法很好地接收到摇摇树并拒绝采取行动而没有更多信息的情况。继续坚持下去,您最终会像Equifax一样,在违规之前延迟对Struts的修补。他是第一个被扔下公共汽车的人。您显然已经签订了一项业务协议,有义务根据收到的威胁情报实施一些IP块。照做吧。
同样,对我来说,唯一令人困扰的是首席财务官是收件人。但这可能仅是由于他与该董事之间现有关系的性质。
完全有可能有人试图通过让您阻止与您有业务往来的公司的IP来造成混乱,但是这似乎有些牵强-它需要大量的内部知识和精力才能在最坏的情况下完成小规模的中断。
威胁的本质是什么?
金融机构X的主管被告知事件。他们可能会受到这40个IP中的一个或多个IP的危害,或者意识到来自外部来源的威胁。他们可能会或可能不会观察到证据,证明他们通过尝试使用的凭据,请求的端点或泄露的数据也可能将您的公司作为目标。他们认为适合与您的公司共享此信息,因此您可以采取积极措施。
在你我之间,我对这种情况并不感到困惑。我每个星期一(尤其是在国定假日之后的几天)都会在我的邮箱中找到这种东西,外国攻击者喜欢等待,直到他们知道没人会在办公室待几天。周...)。
在实现块之前,我个人对这些列表的处理方式是通过我们自己的日志运行它们,并查看同一行为者可能对我们自己的系统进行了哪些活动。查找同一子网中任何IP的活动;提供的IP可能与您已经定位的IP不同。有时,它会发现所提供的情报不在所提供情报范围之内的证据。
评论
我真的不建议任何人在不创建维护这些黑名单记录的过程的情况下,以每个IP(v4?)为基础来阻止一次性DigitalOcean小滴的列表。注意:仅DO就有成千上万个(即使不是数百万个)IPv4地址,攻击者可以在几分钟之内在其中移动。并且,例如,AWS部署的更多得多。
– ximaera
18/09/11在1:14
此外,AWS不仅是僵尸网络托管者,而且还是企业常用的便捷aaaS功能的流行提供者。如果您的任何客户或合作伙伴也在使用AWS,该怎么办?如果一旦Amazon安全团队从恶意IP应用程序中删除了恶意应用程序,它们偶尔迁移到这些被阻止的IP地址之一,该怎么办?不,这只是自找麻烦。
– ximaera
18年9月11日在1:20
CFO的参与表明这可能是合规性问题,而不是安全性问题。
–前哨
18年9月11日在4:49
我看不出有什么可疑的……金融机构与您公司的联系很可能是首席财务官,或在他的指挥下的人。如果他们联系了CTO,由于CTO试图确认消息的来源,因此会有更长的延迟。如果CFO直接与您联系,并且您向CTO或CIO汇报,那么可以,请上级给予一些确认,但是如果出现问题,您只是因为看起来很奇怪而将其驳回了,那您就是将被晾干。可能需要制定一个策略,确定CxO是“稍后确认”还是“首先确认”。
–乔
18/09/11在19:04
@ximaera面对既定威胁(CVE)不采取任何措施是导致Equifax漏洞的原因。在(前)首席执行官的普遍心态下,“哇哇,我们不能做任何会影响生产的事情”。看那是从哪里得到的。意外地阻塞一部分客户/合作伙伴基础结构(如果在这种情况下甚至适用)在最坏的情况下是一个技术错误,其解决方案由合同和SLA决定,其后果远小于完全将其付诸表决。
–伊凡
18/09/11在19:06
#4 楼
IT部门不知道阻止IP的原因,以及FI主管正在与CFO(而不是CTO)保持联系的事实表明,这是合规性问题。您可以面临制裁,反洗钱或反恐黑名单的实施。可能进行PCI审核。
我在银行工作过,合规程序可能很奇怪,难以实施。您可以要求Compliance对该措施本身进行批准。
#5 楼
这种方法会让您感到可疑吗?
您说:“由于我公司与金融中介机构之间关系的性质,拒绝实际上不是一种选择。 ”
这是一个非常有趣的声明。归根结底,在不讨论这种关系的细节的情况下,我认为没有人能说出这种方法是否可疑。听起来好像两家公司之间的合同安排涵盖了这种情况。如果是这样,那么这不是可疑的。
这里有一些社会工程吗?
听起来不像。如果您口头确认另一家公司的IT部门实际上已经发送了此请求/命令,则否,这不是社会工程问题。
威胁的本质是什么? ?
也许其他公司已经证明那些高科技公司已经渗透。也许其他公司只是担心这些公司可能盗用了他们的IP。不知道是谁参与其中,就不可能猜测。
评论
我认为这个问题缺少足够的细节以提供良好的答案。我发现特别缺少的是有关受影响的IP地址的更多详细信息,阻止的原因以及建议的原始来源(可能不是FI的目录,通常对IT安全性了解不多)。尽管某些有关潜在危险的信息仅提供给选定的潜在受影响的公司,而不是公开提供,以不向攻击者提供太多已知信息,这并不少见。这可能解释了加密的PDF。它缺少详细信息,因为除了IP地址列表之外,我没有其他详细信息。我发现该请求来自金融机构的主管,这一事实令人怀疑。我很清楚这样的人不太可能精通IT安全事务。我知道这是一个模糊的问题,有些事情并没有解决。
@jcaron最终,这三个事实无关紧要
@schroeder最终,不会。但是:如果IT部门由于意识到某个特定风险(例如Wannacry ++)而需要与所有“合作伙伴”进行沟通,那么他们可能会去找“合作伙伴总监”,而后者实际上拥有所有具有相关联系人的合作伙伴的清单。信息。这可能消除了OP传达不确定性的因素之一。 OP,当您与FI的IT部门交谈时,您当然使用的是您已经拥有的联系信息,而不是电子邮件中包含的电话号码?
可能值得指出的是,IP地址可以被欺骗,因此阻止40个地址(假设它们不是IP范围禁止)似乎很小而且很任意。