Domanda:
Consigliato per bloccare tutto il traffico da / verso indirizzi IP specifici
upsidedowncreature
2018-09-10 19:43:39 UTC
view on stackexchange narkive permalink

Il mio CFO ha ricevuto un'e-mail da un direttore di un istituto finanziario che avvisava che tutto il traffico (in entrata e in uscita) da determinati indirizzi IP doveva essere bloccato al firewall. Il direttore dell'istituto finanziario è stato consigliato dal suo dipartimento IT di inviare questa mail. L'elenco degli indirizzi (circa 40) era in un PDF protetto da password allegato. La password è stata inviata al mio CFO tramite messaggio di testo.

Inizialmente pensavo che fosse un tentativo dannoso di convincere il nostro CFO ad aprire un PDF infetto o un tentativo di phishing / caccia alla balena, ma sembra legittimo. Abbiamo parlato con il dipartimento IT di FI e dicono che è autentico, ma non possono (non) fornire ulteriori informazioni. A causa della natura del rapporto tra la mia azienda e FI, rifiutare non è davvero un'opzione. Da quello che posso vedere, la maggior parte degli indirizzi IP sembra appartenere a società tecnologiche.

Questo approccio ti sembra sospetto? C'è dell'ingegneria sociale in corso qui? Quale potrebbe essere la natura della minaccia?

Penso che questa domanda manchi di dettagli sufficienti per fornire una buona risposta.Ciò che trovo particolarmente mancante sono maggiori dettagli sugli indirizzi IP interessati, le ragioni fornite per il blocco e la fonte originale delle raccomandazioni (che probabilmente non è una directory di un FI che di solito non ha molta idea della sicurezza IT).Non è raro, tuttavia, che alcune informazioni sui potenziali pericoli vengano fornite solo a società potenzialmente interessate selezionate e non siano rese pubbliche per non fornire agli aggressori troppe informazioni di cui sono a conoscenza.Questo potrebbe spiegare il PDF crittografato.
Inoltre, non descrivi la natura del tuo rapporto con FI per sapere se si tratta di una richiesta ragionevole (legittima o meno).
Mancano dettagli perché non ho alcun dettaglio, oltre a un elenco di indirizzi IP.Il fatto che la richiesta sia arrivata da un direttore di un istituto finanziario è ciò che trovo sospetto.Sono ben consapevole che è improbabile che una persona del genere sia esperta in questioni di sicurezza IT.So che è una domanda vaga, qualcosa non va bene.
Qual è il titolo del regista?Qual è la dimensione del FI?Il regista è il tuo contatto abituale?
@jcaron alla fine, quei 3 fatti non contano
@schroeder In definitiva, no.Ma: se il reparto IT avesse avuto bisogno di comunicare con tutti i "partner" perché erano consapevoli di un rischio specifico (ad esempio, Wannacry ++), avrebbero potuto rivolgersi al "direttore delle partnership" che ha effettivamente l'elenco di tutti i partner con il contatto pertinenteInformazioni.Ciò potrebbe rimuovere uno degli elementi di incertezza che OP ha con il modo in cui ciò è stato comunicato.OP, quando hai parlato con il dipartimento IT della FI, ovviamente hai utilizzato le informazioni di contatto che già avevi, non un numero di telefono incluso nell'e-mail, ovviamente?
Questo potrebbe avere qualcosa a che fare con la conformità, ad esempio sanzioni, AML, liste nere dei terroristi?
Potrebbe valere la pena sottolineare che gli indirizzi IP possono essere falsificati, quindi il blocco di 40 indirizzi (supponendo che non siano divieti di intervallo IP) sembra abbastanza piccolo e arbitrario.
OK, ho controllato e questo è molto probabilmente un problema di conformità.IMPORTANTE: dove sei nel mondo e dove sono queste aziende?
Per scoprire qual è la natura della minaccia, è possibile impostare un registro honeypot / IP.
Date le notizie recenti e che la lista sembra essere società tecnologiche, mi chiedo dal momento che l'OP non ha detto, se la block list è per i servizi P2P o STUN gestiti da società tecnologiche che teoricamente * potrebbero * consentire la connessione a servizi CCTV che purtroppo troppilasciare il tecnico installato con nome utente / password predefiniti e servizi non necessari?In tal caso è più facile gestire correttamente la propria rete e le apparecchiature collegate.Non posso commentare la progettazione o il funzionamento di tali reti P2P, ma è ipotizzabile che, quando abilitate sui dispositivi, lascino una grande opportunità aperta alle aziende tecnologiche.
La mia ipotesi è che questo provenga dal controspionaggio dell'FBI (o una fonte simile) ed è stato designato [TLP: AMBER] (https://www.us-cert.gov/tlp).Distribuire l'elemento dell'azione ai partner sotto stretto controllo è tutto ciò che possono fare.Chiedere cosa ti serve per inserire la tua azienda nell'elenco di distribuzione della fonte è una buona idea, quindi in futuro avrai più informazioni.
Esiste la possibilità che non essere in grado di accedere a tali indirizzi IP darebbe un vantaggio a un concorrente?
sono i [Tor Exit Nodes] dell'IP (https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=1.1.1.1)?
Cinque risposte:
schroeder
2018-09-10 20:24:08 UTC
view on stackexchange narkive permalink

Se hai parlato con FI su un canale separato, hai effettivamente parlato con FI e loro lo sanno, quindi per definizione, non è un phishing .

Ciò che mi colpisce come strano è "ma non possono (non) fornire ulteriori informazioni" e "rifiutare non è davvero un'opzione". Questi 2 fatti non possono coesistere se sei un'entità separata dall'IF.

Il tuo respingimento è semplice: i criteri del firewall richiedono un motivo legittimo insieme a una data di fine per la revisione / rimozione della regola. Non si aggiungono regole del firewall solo perché qualcuno al di fuori dell'organizzazione te lo ha detto. L'FI non ha idea se il blocco di tali IP possa influire sulle operazioni.

  • che effetto dovrebbe avere questa regola?
  • per quanto tempo deve esistere la regola?
  • chi (persona nominata) possiede questa regola sul lato FI?
  • quali rimedi ci si aspetta se la regola ha un effetto negativo sulle operazioni?
  • quale effetto ci sarà tra le vostre aziende se la regola non viene applicata esattamente come richiesto ?

Non aggiungerai la regola del firewall senza sapere qual è l'impatto , positivo o negativo. Se desiderano un maggiore controllo sui tuoi firewall, possono fornire e gestire i tuoi firewall per te.

D'altra parte, se possiedono te e i rischi, si assumono i rischi di questo cambiamento, quindi aggiungi le regole.

Come per un direttore che invia questo richiesta, non è così strano. Quando hai bisogno che qualcuno faccia qualcosa, fai in modo che la persona con più potere faccia la richiesta. Il direttore potrebbe non avere idea di cosa sia un firewall, ma la richiesta viene effettuata a nome di quella persona. Sono anche curioso di sapere perché sia ​​necessaria così tanta influenza. Sembra che vogliano spingerti a farlo senza doverti spiegare. Non lasciare che siano loro a dettare la tua politica e il modo migliore per proteggere la tua azienda.

"Non lasciare che siano loro a dettare la tua politica e il modo migliore per proteggere la tua azienda." A meno che per motivi politici il rifiuto non sia un'opzione.
@DonQuiKong allora se la politica batte la sicurezza adeguata e la gestione del rischio, allora questa è la tua politica
Voglio dire, mi piace la tua risposta in generale, ma op sta dicendo * Non posso rifiutare, quali problemi potrebbe portare? * E stai dicendo * qualunque cosa, rifiuta *.Non è proprio una risposta.Si potrebbe chiamarla una sfida al frame, ma suona più come una distruzione totale del frame.
Rileggi la mia risposta.Non ho detto "rifiuta solo", ho risposto respingendo con specifiche richieste di informazioni.
Non riesco a immaginare alcuno scenario in cui la politica annulli le responsabilità a cui * entrambe * le società sono esposte dall'una che detta le regole del firewall all'altra.Se l'IF vuole spingere, deve assumersi anche le responsabilità, e questo deve essere chiarito.
"Non lo farò a meno che ..." è una specie di rifiuto.Ma hai ragione anche tu, è anche un sì condizionale.Il punto è che la domanda dell'operatore è * questo ha un odore di pesce, dove potrebbe essere il pesce *.La tua risposta è * non farlo *.Hai ragione, ma non stai rispondendo alla domanda.(Ma Imho non risponde, quindi ...)
È tutto coperto nella mia prima riga.Il resto probabilmente scoprirà il "pesce".
Potresti sempre fingere di dire di sì.Ad esempio: "Certo, possiamo aggiungerli. Ecco il modulo standard per la richiesta di nuove regole del firewall, compilalo e rispediscilo entro giovedì."Il modulo chiede quindi tutte le informazioni desiderate.
@Kevin se la società "non può rifiutare", l'inganno non fa che aumentare la responsabilità dell'azienda.Tutte le persone coinvolte dovrebbero essere professionali riguardo alla situazione e fornire rispetto reciproco per l'agenzia e le responsabilità reciproche.
Penso che il punto di @Kevin's non sia tanto inganno (nonostante lo sostenga al valore nominale), ma che tu possa dare una faccia amichevole alla richiesta.Piuttosto che formulare la richiesta come una richiesta di informazioni, sottolinea la tua disponibilità a soddisfare la richiesta purché siano rispettate le politiche ragionevoli: "Grazie per questo suggerimento. In base alla nostra politica, dobbiamo registrare alcune ulteriori informazioni prima di poterle mettere in attoDobbiamo anche capire meglio quale sia l'impatto previsto, in modo da poter valutare la regola alla luce del resto delle nostre politiche / regole e se ci siamo riusciti o meno. "O simili.
Capisco che tu non stia sostenendo di sembrare il tipo di persona scontroso, aggressivo, "Non scherzare con la MIA rete", ovviamente, ma la tua risposta è dura.Penso che sia completamente giustificato, ma anche sottolineare che puoi essere discreto riguardo alla domanda non è una cosa negativa.
@jpmc26 Legge in modo aspro e non sto sostenendo di essere scontroso ma di tracciare linee di responsabilità molto chiare.Qualsiasi richiesta da parte di una parte esterna di configurare il firewall e di non fornire informazioni quando richiesto ("ma non possono (non) fornire ulteriori informazioni") deve essere respinta in faccia.Non è il momento per una "faccia amica".E il fatto che una delle persone coinvolte abbia bisogno di chiedere aiuto qui significa che quella persona ha bisogno del permesso per prendere una posizione dura.
Doomgoose
2018-09-10 20:55:36 UTC
view on stackexchange narkive permalink

Mi allontanerei dal fatto che questo sia un tentativo di ingegneria sociale e più verso un FI peer che è estremamente cauto riguardo alla divulgazione di informazioni: potrebbero aver avuto qualche tipo di incidente che coinvolge questi IP e non sono nella fase in cui vogliono divulgare qualsiasi altra cosa.

Considerala in questo modo: cosa dovrebbe davvero guadagnare un apparente attore di minacce da questo?

Hai menzionato che molti degli IP sono legati a società tecnologiche.

  • Queste società forniscono hosting web che potrebbe essere utilizzato come infrastruttura dannosa?
  • Queste società forniscono servizi proxy di cui si potrebbe abusare?
  • Queste aziende forniscono software di test di sicurezza che potrebbe essere utilizzato in modo dannoso?

Sebbene le organizzazioni stesse possano essere legittime, potrebbero essere sfruttate senza ulteriori informazioni da questo FI, non prenderei provvedimenti: l'onere della prova spetta al mittente di questa lista.

Questo è effettivamente low-qua lity threat intelligence: non fornisce alcuna prova che valga la pena agire sugli indicatori.

Per inciso, esiste un modo per impostare il monitoraggio su questi IP nel frattempo? Alcune indagini da parte tua potrebbero fornire le informazioni necessarie per determinare il motivo per cui questi sono presumibilmente degni di essere bloccati (anche alcuni scavi OSINT potrebbero essere fruttuosi).

È possibile che le richieste provenienti da questi indirizzi IP vengano inviate a un server separato (magari su una rete locale di collegamento) e messe in quarantena per l'analisi?
Due buone opzioni in questo spazio;potresti inoltrarli in sinkhole (come link local) o potresti consentire e analizzare "al volo" ma rilasciarli più in basso se c'è ancora un problema.
"cosa dovrebbe davvero guadagnare un attore apparentemente minaccioso da questo?"Una sorta di negazione del servizio a una delle parti bloccate.La minaccia non deve essere necessariamente diretta all'azienda dell'OP, anche se è nel loro interesse garantire che le esigenze dei clienti siano soddisfatte.
@jpmc26 - È assolutamente corretto affermare che questa è una possibilità, tuttavia ritengo che sarebbe altamente improbabile: non è una tattica che abbia mai incontrato o che abbia mai sentito usare contro un'organizzazione. Dato che questo avversario avrebbe bisogno non solo di conoscere il team corretto da contattare e il mittente da falsificare e che il blocco di questi IP porterebbe a un degrado del servizio per l'obiettivo, non penso che sia una probabile via di attacco in questo caso.
"cosa dovrebbe guadagnare un attore di minacce apparenti da questo" - potrebbero costruire la precedenza.Questa volta blocca un elenco di IP nel tuo firewall.Faranno una richiesta simile ancora un paio di volte e diventerà sempre più facile superare la burocrazia finché non diventerà quasi normale.Quindi una richiesta includerà alcune regole della whitelist e nessuno ci pensa nulla perché è stato addestrato a non preoccuparsi
"cosa dovrebbe davvero guadagnare un attore apparentemente minaccioso da questo?"Il blocco dei server di aggiornamento relativi al tuo stack corrisponderebbe agli IP delle aziende tecnologiche e potrebbe essere solo paranoico (devi controllare gli aggiornamenti) da un attore legittimo o dannoso da uno illegittimo (abbiamo bisogno di alcuni giorni per entrare). Ma in ogni caso,non sapere se questo è quello che stai facendo è negligente.
Ivan
2018-09-11 04:07:41 UTC
view on stackexchange narkive permalink

Il mio CFO ha ricevuto un'e-mail da un direttore di un istituto finanziario in cui si informava che tutto il traffico (in entrata e in uscita) da determinati indirizzi IP doveva essere bloccato sul firewall. Il direttore dell'istituto finanziario è stato consigliato dal suo dipartimento IT di inviare questa mail. L'elenco degli indirizzi (circa 40) era in un PDF protetto da password allegato. La password è stata inviata al mio CFO tramite messaggio di testo.

L'unica parte che trovo strana è che la C F O è coinvolta in tutto questo . I CTO (o subordinati) si occupano abitualmente di cyberintelligence e condivisione di informazioni tra istituzioni e agenzie di intelligence nazionali (FBI, CERT, ecc.).

Inizialmente ho pensato che fosse un tentativo malizioso di convincere il nostro CFO a aprire un PDF infetto o un tentativo di phishing / caccia alla balena, ma sembra legittimo. Abbiamo parlato con il dipartimento IT di FI e dicono che è autentico, ma non possono (non) fornire ulteriori informazioni. A causa della natura del rapporto tra la mia azienda e FI, rifiutare non è davvero un'opzione. Da quello che posso vedere la maggior parte degli indirizzi IP sembra appartenere a società tecnologiche.

La tua diligenza merita un applauso; questo è un vettore plausibile.

Non si specifica cosa siano queste "aziende tecnologiche", ma se si tratta di cose come AWS, DigitalOcean, Linode, Vultr, Choopa, Hetzner, OVH, Velia, et al. allora dovresti sapere che queste aziende tecnologiche (e molte altre più piccole, inclusi i seedbox dei torrent) sono regolarmente implicate in botnet, malware e frodi finanziarie. Tutto ciò che offre hosting condiviso o servizi VPS è una possibile piattaforma per il lancio di attacchi. Posso dirti per esperienza diretta che molti giornalisti di HSA, W2, frodi sulla dichiarazione dei redditi e altre truffe come i rapporti Krebs vengono lanciati da servizi VPS economici come questi.

Questo approccio ti colpisce come sospettoso? C'è dell'ingegneria sociale in corso qui?

Le informazioni sugli incidenti attuali possono essere condivise formalmente (attraverso la pubblicazione nelle mailing list US-CERT, tra le istituzioni su DIBNET, FS-ISAC, ecc.) o tramite strani schemi di condivisione di PDF tra dirigenti che hanno avuto origine da ciò che avrebbe dovuto essere un suggerimento dell'FBI non divulgabile e non attribuibile. Succede.

Quando l'FBI è la fonte di origine, generalmente forniscono pochi dettagli o nessun contesto e quindi scuotere l'albero e rifiutarsi di agire senza ulteriori informazioni potrebbe non essere ricevuto bene dai tuoi superiori. Continua a resistere e finirai come lo shmuck di Equifax che ha ritardato la riparazione di Struts prima della violazione; è stato il primo a essere gettato sotto l'autobus. Apparentemente hai un accordo commerciale che ti obbliga a implementare alcuni blocchi IP basati sulle informazioni sulle minacce ricevute. Fallo e basta.

Ancora una volta, l'unica parte sospetta per me è che il destinatario era il CFO. Ma ciò potrebbe essere semplicemente dovuto alla natura di una relazione esistente tra lui e quel direttore.

È del tutto possibile che qualcuno stia cercando di creare caos facendoti bloccare gli IP delle aziende con cui fai affari, ma sembra inverosimile - richiede molta conoscenza interna e impegno per realizzare una piccola interruzione nel peggiore dei casi.

Quale potrebbe essere la natura della minaccia?

Il direttore dell'istituto finanziario X è stato informato di un incidente. Probabilmente sono stati compromessi da uno o più di questi 40 IP o resi consapevoli di una minaccia da una fonte esterna. Potrebbero o meno aver osservato prove che la tua azienda potrebbe anche essere un potenziale obiettivo, tramite le credenziali che hanno visto tentati, gli endpoint richiesti o i dati esfiltrati. Hanno ritenuto opportuno condividere queste informazioni con la tua azienda in modo da poter adottare misure proattive.

Tra te e me, non sono turbato da questo scenario. Questo è il genere di cose che vengo a trovare nella mia casella di posta ogni lunedì (e specialmente nei giorni che seguono le festività nazionali - gli aggressori stranieri adorano aspettare fino a quando non sanno che nessuno sarà in ufficio per qualche giorno. settimana ...).

Quello che faccio personalmente con questi elenchi prima di implementare i blocchi è eseguirli attraverso i nostri log e vedere quale attività possono aver fatto gli stessi attori con i nostri sistemi. Cerca attività da parte di qualsiasi IP all'interno delle stesse sottoreti; gli IP forniti potrebbero non essere gli stessi che potrebbero averti già preso di mira. A volte scopre prove di compromissione che non rientravano nell'ambito dell'intelligence fornita.

Non consiglierei davvero a nessuno di bloccare un elenco di goccioline DigitalOcean usa e getta su base IP (v4?) Senza creare un processo di mantenimento di tali record nella lista nera.NB: DO da solo ha [centinaia di migliaia se non milioni] (https://bgp.he.net/search?search%5Bsearch%5D=digitalocean&commit=Search) indirizzi IPv4 tra i quali un aggressore è in grado di spostarsi in forse minuti.E, diciamo, AWS distribuisce molto, molto di più.
Inoltre, AWS non è solo un botnet hoster, è un fornitore popolare di comode funzioni any-aaS, spesso utilizzate dalle aziende.E se anche qualcuno dei tuoi clienti o partner utilizza AWS?Cosa succede se migrano occasionalmente a uno di quegli indirizzi IP bloccati una volta che un'applicazione dannosa viene rimossa da quelli dal team di sicurezza di Amazon?No, questo è solo chiedere guai.
Il coinvolgimento del CFO suggerisce che questo potrebbe essere un problema di conformità, non un problema di sicurezza.
Non vedo cosa sia sospetto ... il contatto di un istituto * finanziario * con la tua azienda è molto probabilmente il CFO o qualcuno sotto il suo comando.Se contattassero il CTO, ci sarebbe stato un ritardo più lungo poiché il CTO cercava di confermare l'origine del messaggio.Se il CFO ti ha contattato direttamente e tu fai rapporto al CTO o al CIO, allora sì, ottieni una conferma dal tuo superiore, ma se qualcosa va storto e lo ignori semplicemente perché sembrava strano, sei quello che èsta per essere steso ad asciugare.Potrebbe valere la pena ottenere una politica di cui CxO è "conferma dopo" e "conferma prima".
@ximaera Non fare nulla di fronte a una minaccia dichiarata (CVE) è ciò che ha portato alla violazione di Equifax.Sotto l '(ex) CEO la mentalità prevalente era quella del "waaah non possiamo fare nulla che possa avere un impatto sulla produzione".Guarda dove li ha portati.Il blocco accidentale di un segmento dell'infrastruttura del cliente / partner (* se è applicabile anche in questo caso *) è nel peggiore dei casi un errore tecnico, la cui risoluzione è regolata da contratti e SLA e le cui conseguenze sono significativamente inferiori rispetto a essere pwnati del tutto.
@Ivan Non penserei necessariamente che contattare il CFO debba essere sospetto.Oltre al commento di Joe, ci sono anche aziende Fortune 500 che non hanno un leader C-Suite del reparto IT.In alcune di queste situazioni, il Direttore IT / VP / Manager riporterà direttamente al CFO o COO.Quindi il CFO potrebbe essere il capo ultimo del dipartimento IT.
Sentinel
2018-09-11 09:52:58 UTC
view on stackexchange narkive permalink

Il fatto che il reparto IT non conosca i motivi del blocco degli IP e il fatto che i dirigenti di FI stiano collaborando con il CFO, al contrario del CTO, suggerisce che si tratta di un problema di conformità.

Potresti dover affrontare l'implementazione di sanzioni, AML o liste nere antiterrorismo. Possibilmente audit PCI.

Ho lavorato in banche e le procedure di conformità possono essere piuttosto bizzarre e difficili da implementare. Potresti chiedere alla conformità l'approvazione della misura stessa.

NotMe
2018-09-11 02:11:18 UTC
view on stackexchange narkive permalink

Questo approccio ti sembra sospetto?

Hai detto: " A causa della natura del rapporto tra la mia azienda e FI, rifiutare non è davvero un'opzione. "

Questa è un'affermazione molto interessante. In definitiva, senza essere disponibile sui dettagli di quella relazione, non credo che nessuno possa dire se questo approccio sia sospetto o meno. Sembra certamente che gli accordi contrattuali tra le due società coprissero questo scenario. Se è vero, allora no, non è sospetto.

C'è dell'ingegneria sociale in corso qui?

Non sembra. Se hai confermato verbalmente che il reparto IT dell'altra azienda ha effettivamente inviato questa richiesta / ordine, no, non si tratta di un problema di ingegneria sociale.

Quale potrebbe essere la natura della minaccia?

Forse l'altra azienda ha la prova che quelle aziende tecnologiche sono state infiltrate. Forse l'altra società è semplicemente preoccupata che il loro IP possa essere rubato da quelle società. Senza sapere chi è coinvolto è impossibile indovinare.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...