我的 CFO 收到一封来自金融机构主管的电子邮件,建议防火墙应阻止来自某些 IP 地址的所有流量(入站和出站)。金融机构的主管被他的 IT 部门建议发送这封邮件。地址列表(大约 40 个)在附有密码保护的 PDF 中。密码已通过短信发送给我的首席财务官。
我最初认为这是让我们的 CFO 打开受感染的 PDF 的恶意尝试,或者是网络钓鱼/捕鲸尝试,但它似乎是合法的。我们已经与 FI 的 IT 部门进行了交谈,他们说这是真的,但他们不能(不会)提供更多信息。由于我公司和金融机构之间关系的性质,拒绝并不是一个真正的选择。据我所知,大多数 IP 地址似乎属于科技公司。
这种方法是否让您感到可疑?这里有一些社会工程吗?威胁的性质可能是什么?
如果您在单独的频道上与 FI 交谈,您实际上与 FI 交谈,他们知道这一点,那么根据定义,这不是网络钓鱼。
令我感到奇怪的是“但他们不能(不会)提供更多信息”,并且“拒绝并不是一个真正的选择”。如果您是独立于金融机构的实体,这两个事实不能共存。
您的回击很简单:您的防火墙策略需要正当理由以及要审查/删除规则的结束日期。您不只是因为组织外部的人告诉您而添加防火墙规则。FI 不知道阻止这些 IP 是否会影响您的运营。
在不知道影响是正面或负面的情况下,您不会添加防火墙规则。如果他们想要更好地控制您的防火墙,那么他们可以为您提供和管理您的防火墙。
另一方面,如果他们拥有你和风险,那么他们就会承担这种变化的风险,所以只需添加规则。
至于一个主管发出这个请求,倒也不奇怪。当您需要某人做某事时,您让最有影响力的人提出请求。主管可能不知道防火墙是什么,但请求是以该人的名义提出的。不过,我也很好奇为什么需要这么大的影响力。似乎他们想在不必解释自己的情况下向您施加压力。不要让他们决定您的政策以及如何最好地保护您的公司。
我会远离这是一种社会工程尝试,而更多地倾向于同行 FI 对信息披露非常谨慎 - 他们可能已经发生了涉及这些 IP 的某种事件,并且还没有处于他们想要进一步披露任何内容的阶段。
以这种方式看待它:一个明显的威胁行为者真正必须从中获得什么?
你提到很多IP都和科技公司有关。
虽然这些组织本身可能是合法的,但它们可能会被利用,但是如果没有来自该 FI 的进一步信息,我不会采取行动:举证责任在于此列表的发送者。
这实际上是低质量的威胁情报——它没有提供证据表明这些指标值得采取行动。
顺便说一句,有什么方法可以同时对这些 IP 进行监控?对您的一些调查可能会产生您需要的信息,以确定为什么这些据称值得阻止(一些 OSINT 挖掘也可能是富有成效的)。
我的 CFO 收到一封来自金融机构主管的电子邮件,建议防火墙应阻止来自某些 IP 地址的所有流量(入站和出站)。金融机构的主管被他的 IT 部门建议发送这封邮件。地址列表(大约 40 个)在附有密码保护的 PDF 中。密码已通过短信发送给我的首席财务官。
我觉得奇怪的唯一部分是 C F O 完全参与其中。CTO(或下属)通常处理机构和国家情报机构(FBI、CERT 等)之间的网络情报和信息共享。
我最初认为这是让我们的 CFO 打开受感染的 PDF 的恶意尝试,或者是网络钓鱼/捕鲸尝试,但它似乎是合法的。我们已经与 FI 的 IT 部门进行了交谈,他们说这是真的,但他们不能(不会)提供更多信息。由于我公司和金融机构之间关系的性质,拒绝并不是一个真正的选择。据我所知,大多数 IP 地址似乎属于科技公司。
你的勤奋值得掌声;这是一个合理的向量。
您没有具体说明这些“科技公司”是什么,但如果它们是 AWS、DigitalOcean、Linode、Vultr、Choopa、Hetzner、OVH、Velia 等。那么您应该知道,这些科技公司(以及许多其他较小的公司,包括洪流种子盒)通常与僵尸网络、恶意软件和金融欺诈有牵连。任何提供共享主机或 VPS 服务的东西都是发动攻击的可能平台。我可以从直接经验告诉你,许多 HSA、W2、纳税申报表欺诈和 Krebs 等记者报道的其他骗局都是从这些廉价的 VPS 服务启动的。
这种方法是否让您感到可疑?这里有一些社会工程吗?
有关当前事件的信息可以正式共享(通过发布到 US-CERT 邮件列表,在 DIBNET、FS-ISAC 等机构之间)或通过源自本应是非可公开的、不可归属的 FBI 提示。它发生了。
当 FBI 是原始来源时,他们通常几乎不提供任何细节或背景信息,因此您的上级可能不会很好地接受您的上级。坚持下去,你最终会像 Equifax 的傻瓜一样,在违规之前延迟修补 Struts;他是第一个被扔到公共汽车下的人。您显然有一份商业协议,要求您根据收到的威胁情报实施一些 IP 块。去做就对了。
同样,对我来说唯一可疑的部分是首席财务官是接受者。但这可能只是由于他和那位导演之间现有关系的性质。
完全有可能有人试图通过阻止与您有业务往来的公司的 IP 来制造混乱,但这似乎有些牵强——它需要大量的内部知识和努力才能在最坏的情况下完成一个小中断。
威胁的性质可能是什么?
金融机构 X 的董事获悉事件。他们可能受到这 40 个 IP 中的一个或多个 IP 的破坏,或者意识到来自外部来源的威胁。他们可能观察到也可能没有观察到您的公司也可能成为潜在目标的证据,无论是通过他们看到的凭据、请求的端点或泄露的数据。他们认为与您的公司分享这些信息是合适的,这样您就可以采取积极的措施。
在你我之间,我不会被这种情况吓到。这是我每周一都会在我的邮箱里找到的那种东西(尤其是在国庆节后的几天里——外国攻击者喜欢等到他们知道几天没人会在办公室里。劳动节是最后一个星期...)。
在实现块之前,我个人对这些列表所做的事情是通过我们自己的日志运行它们,并查看相同的参与者在我们自己的系统中可能进行了哪些活动。查找同一子网内任何 IP 的活动;提供的 IP 可能与已经针对您的 IP 不同。有时它会发现不在所提供情报范围内的妥协证据。
IT 部门不知道阻止 IP 的原因以及 FI 高管与 CFO 而非 CTO 联络的事实表明这是一个合规问题。
您可能面临制裁、反洗钱或反恐黑名单的实施。可能是 PCI 审计。
我曾在银行工作过,合规程序可能非常奇怪,并且难以实施。您可以要求合规部批准该措施本身。