it-swarm.com.de

Es wird empfohlen, den gesamten Datenverkehr zu / von bestimmten IP-Adressen zu blockieren

Mein CFO erhielt eine E-Mail von einem Direktor eines Finanzinstituts, in der darauf hingewiesen wurde, dass der gesamte Datenverkehr (eingehend und ausgehend) von bestimmten IP-Adressen an der Firewall blockiert werden sollte. Der Direktor des Finanzinstituts wurde von seiner IT-Abteilung angewiesen, diese E-Mail zu senden. Die Liste der Adressen (ca. 40) befand sich in einem angehängten, passwortgeschützten PDF. Das Passwort wurde per SMS an meinen CFO gesendet.

Anfangs dachte ich, dies sei ein böswilliger Versuch, unseren CFO dazu zu bringen, ein infiziertes PDF zu öffnen, oder ein Phishing-/Walfangversuch, aber es scheint legitim zu sein. Wir haben mit der IT-Abteilung des FI gesprochen und sie sagen, dass es echt ist, aber sie können (werden) keine weiteren Informationen liefern. Aufgrund der Art der Beziehung zwischen meinem Unternehmen und dem Finanzministerium ist eine Ablehnung keine Option. Soweit ich sehen kann, scheinen die meisten IP-Adressen Technologieunternehmen zu gehören.

Kommt Ihnen dieser Ansatz verdächtig vor? Gibt es hier Social Engineering? Was könnte die Art der Bedrohung sein?

67

Wenn Sie auf einem separaten Kanal mit dem FI gesprochen haben, haben Sie tatsächlich mit dem FI gesprochen, und sie wissen davon, dann per Definition ist es kein Phish.

Was mir seltsam vorkommt, ist "aber sie können (werden) keine weiteren Informationen liefern" und "Ablehnen ist nicht wirklich eine Option". Diese beiden Fakten können nicht nebeneinander existieren wenn Sie eine vom FI getrennte Einheit sind.

Ihr Push-Back ist einfach: Ihre Firewall-Richtlinie erfordert ein legitimer Grund zusammen mit einem Enddatum, damit die Regel überprüft/entfernt werden kann. Sie fügen nicht nur Firewall-Regeln hinzu, weil Sie von jemandem außerhalb der Organisation dazu aufgefordert wurden. Der FI hat keine Ahnung, ob das Blockieren dieser IPs Auswirkungen auf Ihren Betrieb haben kann.

  • welchen Effekt soll diese Regel haben?
  • wie lange muss die Regel existieren?
  • wem (benannte Person) gehört diese Regel auf der FI-Seite?
  • welche Abhilfemaßnahmen werden erwartet, wenn sich die Regel negativ auf den Betrieb auswirkt?
  • welche Auswirkungen haben Ihre Unternehmen, wenn die Regel nicht genau wie gewünscht umgesetzt wird?

Sie werden die Firewall-Regel nicht hinzufügen, ohne zu wissen, wie sich dies auswirkt., entweder positiv oder negativ. Wenn sie mehr Kontrolle über Ihre Firewalls wünschen, können sie Ihre Firewalls für Sie bereitstellen und verwalten.

Wenn sie Sie und die Risiken besitzen, übernehmen sie die Risiken dieser Änderung. Fügen Sie also einfach die Regeln hinzu.

Ein Direktor, der diese Anfrage sendet, ist nicht so seltsam. Wenn Sie jemanden brauchen, der etwas tut, muss die Person mit der größten Schlagkraft die Anfrage stellen. Der Director hat möglicherweise keine Ahnung, was eine Firewall ist, aber die Anfrage wird im Namen dieser Person gestellt. Ich bin auch neugierig, warum so viel Einfluss benötigt wird. Es scheint, als wollten sie dich dazu zwingen, ohne sich selbst erklären zu müssen. Lassen Sie sich nicht von ihnen Ihre Richtlinien vorschreiben und wie Sie Ihr Unternehmen am besten schützen.

117
schroeder

Ich würde mich davon abwenden, ein Social-Engineering-Versuch zu sein, und eher darauf hin, dass ein Peer-FI in Bezug auf die Offenlegung von Informationen übervorsichtig ist - sie hatten möglicherweise einen Vorfall mit diesen IPs und sind nicht in der Phase, in der sie etwas weiter offenlegen möchten.

Betrachten Sie es so: Was würde ein offensichtlicher Bedrohungsschauspieler wirklich davon profitieren müssen?

Sie erwähnen, dass viele der IPs mit Technologieunternehmen zusammenhängen.

  • Bieten diese Unternehmen Webhosting an, das als schädliche Infrastruktur verwendet werden könnte?
  • Bieten diese Unternehmen Proxy-Dienste an, die missbraucht werden könnten?
  • Bieten diese Unternehmen Sicherheitstestsoftware an, die böswillig verwendet werden könnte?

Die Organisationen selbst mögen zwar legitim sein, sie könnten jedoch ausgenutzt werden. Ohne weitere Informationen aus diesem FI würde ich jedoch keine Maßnahmen ergreifen: Die Beweislast liegt beim Absender dieser Liste.

Dies ist effektiv eine Bedrohungsinformation von geringer Qualität - sie liefert keinen Beweis dafür, dass es sich lohnt, Maßnahmen zu ergreifen.

Gibt es im Übrigen eine Möglichkeit, die Überwachung dieser IPs in der Zwischenzeit einzurichten? Einige Nachforschungen an Ihrem Ende liefern möglicherweise die Informationen, die Sie benötigen, um festzustellen, warum diese angeblich blockiert werden sollten (einige OSINT-Grabungen können ebenfalls fruchtbar sein).

39
Doomgoose

Mein CFO erhielt eine E-Mail von einem Direktor eines Finanzinstituts, in der darauf hingewiesen wurde, dass der gesamte Datenverkehr (eingehend und ausgehend) von bestimmten IP-Adressen an der Firewall blockiert werden sollte. Der Direktor des Finanzinstituts wurde von seiner IT-Abteilung angewiesen, diese E-Mail zu senden. Die Liste der Adressen (ca. 40) befand sich in einem angehängten, passwortgeschützten PDF. Das Passwort wurde per SMS an meinen CFO gesendet.

Der einzige Teil daran, den ich seltsam finde, ist, dass das C F O überhaupt daran beteiligt ist. CTOs (oder Untergebene) befassen sich routinemäßig mit Cyberintelligenz und Informationsaustausch zwischen Institutionen und nationalen Geheimdiensten (FBI, CERT usw.).

Anfangs dachte ich, dies sei ein böswilliger Versuch, unseren CFO dazu zu bringen, ein infiziertes PDF zu öffnen, oder ein Phishing-/Walfangversuch, aber es scheint legitim zu sein. Wir haben mit der IT-Abteilung des FI gesprochen und sie sagen, dass es echt ist, aber sie können (werden) keine weiteren Informationen liefern. Aufgrund der Art der Beziehung zwischen meinem Unternehmen und dem Finanzministerium ist eine Ablehnung keine Option. Soweit ich sehen kann, scheinen die meisten IP-Adressen Technologieunternehmen zu gehören.

Ihre Sorgfalt ist Applaus wert; das ist ein plausibler Vektor.

Sie geben nicht an, was diese "Technologieunternehmen" sind, aber wenn es sich um Dinge wie AWS, DigitalOcean, Linode, Vultr, Choopa, Hetzner, OVH, Velia et al. Handelt. Dann sollten Sie wissen, dass diese Technologieunternehmen (und viele andere kleinere, einschließlich Torrent-Seedboxes) routinemäßig in Botnets, Malware und Finanzbetrug verwickelt sind. Alles, was Shared Hosting oder VPS-Dienste anbietet, ist eine mögliche Plattform, um Angriffe zu starten. Ich kann Ihnen aus direkter Erfahrung sagen, dass viele der HSA-, W2-, Steuererklärungsbetrugsfälle und anderen Betrugsjournalisten wie Krebs über billige VPS-Dienste wie diese gestartet werden.

Kommt Ihnen dieser Ansatz verdächtig vor? Gibt es hier Social Engineering?

Informationen über aktuelle Vorfälle können formell (durch Veröffentlichung auf US-CERT-Mailinglisten, zwischen Institutionen auf DIBNET, FS-ISAC usw.) oder über seltsame PDF-Sharing-Schemata zwischen Führungskräften ausgetauscht werden, die von einem angeblich nicht Offenlegbarer, nicht zuordenbarer FBI-Tipp. Es passiert.

Wenn das FBI die Ursprungsquelle ist, liefern sie im Allgemeinen wenig bis gar keine Details oder Zusammenhänge. Wenn Sie den Baum schütteln und sich weigern, ohne weitere Informationen Maßnahmen zu ergreifen, werden Ihre Vorgesetzten möglicherweise nicht gut aufgenommen. Halten Sie weiter durch und Sie werden wie der Mistkerl bei Equifax enden, der das Patchen von Struts vor der Verletzung verzögert hat. Er war der erste, der unter den Bus geworfen wurde. Sie haben anscheinend eine Geschäftsvereinbarung, die Sie verpflichtet, einige IP-Blöcke basierend auf den erhaltenen Bedrohungsinformationen zu implementieren. TU es einfach.

Wiederum ist der einzige fischige Teil für mich, dass der CFO der Empfänger war. Dies könnte jedoch nur auf die Art einer bestehenden Beziehung zwischen ihm und diesem Regisseur zurückzuführen sein.

Es ist durchaus möglich, dass jemand versucht, Chaos zu verursachen, indem er IPs von Unternehmen blockiert, mit denen Sie Geschäfte machen, aber das scheint weit hergeholt - es erfordert viel Insiderwissen und Mühe, um im schlimmsten Fall eine kleine Unterbrechung zu erreichen.

Was könnte die Art der Bedrohung sein?

Der Direktor des Finanzinstituts X wurde auf einen Vorfall aufmerksam gemacht. Sie wurden wahrscheinlich durch eine oder mehrere dieser 40 IPs kompromittiert oder auf eine Bedrohung durch eine externe Quelle aufmerksam gemacht. Möglicherweise haben sie Beweise dafür beobachtet, dass Ihr Unternehmen möglicherweise auch ein potenzielles Ziel ist, entweder durch Anmeldeinformationen, die sie versucht haben, angeforderte Endpunkte oder durch Datenfiltration. Sie hielten es für angebracht, diese Informationen mit Ihrem Unternehmen zu teilen, damit Sie proaktive Maßnahmen ergreifen können.

Zwischen Ihnen und mir ist dieses Szenario nicht beeindruckend. So etwas finde ich jeden Montag in meinem Briefkasten (und besonders in den Tagen nach den Nationalfeiertagen - ausländische Angreifer warten gerne, bis sie wissen, dass niemand ein paar Tage im Büro sein wird. Der Tag der Arbeit war der letzte Woche...).

Was ich persönlich mit diesen Listen mache, bevor ich Blöcke implementiere, ist, sie durch unsere eigenen Protokolle zu führen und zu sehen, welche Aktivitäten dieselben Akteure möglicherweise mit unseren eigenen Systemen gemacht haben. Suchen Sie nach Aktivitäten von IPs in denselben Subnetzen. Die angegebenen IPs waren möglicherweise nicht die gleichen, die Sie möglicherweise bereits angesprochen haben. Manchmal werden Hinweise auf Kompromisse aufgedeckt, die nicht im Rahmen der bereitgestellten Informationen lagen.

13
Ivan

Die Tatsache, dass die IT-Abteilung die Gründe für die Sperrung der IPs nicht kennt und dass die FI-Manager im Gegensatz zum CTO mit dem CFO in Verbindung stehen, legt nahe, dass dies ein Compliance-Problem ist.

Möglicherweise werden Sie mit der Umsetzung von Sanktions-, AML- oder Antiterror-Blacklists konfrontiert. Möglicherweise PCI-Audit.

Ich habe in Banken gearbeitet, und Compliance-Verfahren können ziemlich bizarr und schwierig umzusetzen sein. Sie können Compliance um Genehmigung für die Maßnahme selbst bitten.

7
Sentinel

Kommt Ihnen dieser Ansatz verdächtig vor?

Sie sagten: "Aufgrund der Art der Beziehung zwischen meinem Unternehmen und dem Finanzministerium ist die Ablehnung keine Option."

Das ist eine sehr interessante Aussage. Letztendlich kann niemand sagen, ob dieser Ansatz verdächtig ist oder nicht, ohne auf die Details dieser Beziehung einzugehen. Es klingt sicherlich so, als ob die vertraglichen Vereinbarungen zwischen den beiden Unternehmen dieses Szenario abdeckten. Wenn das stimmt, dann ist dies nicht verdächtig.

Gibt es hier Social Engineering?

Klingt nicht so. Wenn Sie mündlich bestätigt haben, dass die IT-Abteilung des anderen Unternehmens diese Anfrage/Bestellung tatsächlich gesendet hat, ist dies kein Social-Engineering-Problem.

Was könnte die Art der Bedrohung sein?

Vielleicht hat das andere Unternehmen Beweise dafür, dass diese Technologieunternehmen infiltriert wurden. Vielleicht ist das andere Unternehmen einfach besorgt, dass diese Unternehmen ihr geistiges Eigentum stehlen könnten. Ohne zu wissen, wer beteiligt ist, ist es unmöglich zu erraten.

6
NotMe