Consigliato per bloccare tutto il traffico verso / da specifici indirizzi IP

Se hai parlato con l'FI su un canale separato, in realtà hai parlato con l'FI, e loro lo sanno, quindi per definizione, non è un phish .

Ciò che mi colpisce è strano "ma non possono (non vogliono) fornire ulteriori informazioni" e "rifiutare non è davvero un'opzione". Questi 2 fatti non possono coesistere se sei un'entità separata dall'IF.

Il tuo push-back è semplice: il tuo criterio firewall richiede un motivo legittimo insieme a una data finale per la regola da rivedere / rimuovere. Non si aggiungono solo le regole del firewall perché qualcuno al di fuori dell'organizzazione ti ha detto di farlo. L'IF non ha idea se il blocco di tali IP possa avere un impatto sulle tue operazioni.

• quale effetto dovrebbe avere questa regola?
• per quanto tempo deve esistere la regola?
• chi (nominato individuo) possiede questa regola sul lato FI?
• quali sono i rimedi previsti se la regola ha un effetto negativo sulle operazioni?
• quale sarà l'effetto tra le tue aziende se la regola non viene implementata esattamente come richiesto?

Non aggiungerai la regola del firewall senza sapere quale sia l'impatto , positivo o negativo. Se desiderano un maggiore controllo sui firewall, possono fornire e gestire i firewall per te.

D'altra parte, se possiedono te e i rischi, allora si assumono i rischi di questo cambiamento, quindi aggiungi solo le regole.

Per quanto riguarda un direttore che invia questa richiesta, non è così strano. Quando hai bisogno di qualcuno per fare qualcosa, devi fare la richiesta con la persona che ha più influenza. Il direttore potrebbe non avere idea di cosa sia un firewall, ma la richiesta viene fatta nel nome di quella persona. Sono anche curioso del perché ci sia bisogno di così tanto peso. Sembra che vogliano spingerti a farlo senza doverti spiegare. Non lasciare che dettino la tua politica e in che modo proteggere al meglio la tua azienda.

Mi piacerebbe che questo sia un tentativo di ingegneria sociale e più che un interlocutore sia estremamente prudente riguardo alla divulgazione delle informazioni - potrebbero aver avuto qualche tipo di incidente che coinvolge questi IP e non sono nella fase in cui vogliono rivelare qualsiasi altra cosa.

Guardalo in questo modo: che cosa dovrebbe davvero guadagnare da un attore della minaccia apparente?

Hai detto che molti degli IP sono legati alle società tecnologiche.

• Queste società forniscono servizi di hosting web che potrebbero essere utilizzati come un'infrastruttura malevola?
• Queste società forniscono servizi proxy che potrebbero essere abusati?
• Queste aziende forniscono software di test di sicurezza che potrebbero essere utilizzati maliziosamente?

Sebbene le organizzazioni stesse possano essere legittime, potrebbero essere sfruttate, tuttavia senza ulteriori informazioni da questo FI, non prenderei provvedimenti: l'onere della prova spetta al mittente di questo elenco.

Questa è in effetti un'intelligence delle minacce di bassa qualità - non fornisce alcuna prova del fatto che gli indicatori siano utili.

Per inciso, c'è un modo per impostare il monitoraggio su questi IP nel frattempo? Alcune indagini sulla tua parte potrebbero fornire le informazioni che ti servono per determinare il motivo per cui queste sono ritenute meritevoli di blocco (anche alcuni scavi di OSINT potrebbero essere fruttuosi, anche).

My CFO received an email from a director at a financial institution advising that all traffic (inbound and outbound) from certain IP addresses should be blocked at the firewall. The director at the financial institution was advised by his IT department to send this mail. The list of addresses (about 40) was in an attached, password-protected PDF. The password was sent to my CFO by text message.

L'unica parte di ciò che trovo strano è che il C F O è coinvolto in questo. CTO (o subordinati) si occupano abitualmente di cyberintelligence e condivisione di informazioni tra istituzioni e agenzie di intelligence nazionali (FBI, CERT, ecc.).

I initially thought this was a malicious attempt to get our CFO to open an infected PDF, or a phishing/whaling attempt, but it seems legit. We have spoken to the IT department at the FI and they say it's genuine, but they can't (won't) provide any more information. Due to the nature of the relationship between my company and the FI, refusing isn't really an option. From what I can see most of the IP addresses appear to belong to tech companies.

La tua diligenza vale la pena di applaudire; quello è un vettore plausibile.

Non specifichi quali siano queste "aziende tecnologiche", ma se sono cose come AWS, DigitalOcean, Linode, Vultr, Choopa, Hetzner, OVH, Velia, et al. allora dovresti sapere che queste aziende tecnologiche (e molte altre più piccole, incluse le torrent seedbox) sono abitualmente implicate in botnet, malware e frodi finanziarie. Qualsiasi cosa offra servizi di hosting condiviso o VPS è una possibile piattaforma per lanciare attacchi. Posso dirti dall'esperienza diretta che molte delle frodi HSA, W2, frode fiscale e altre truffe giornalistiche come i rapporti su Krebs sono lanciate da servizi VPS a basso costo come questi.

Does this approach strike you as suspicious? Is there some social engineering going on here?

Le informazioni sugli incidenti attuali possono essere condivise formalmente (attraverso la pubblicazione di mailing list US-CERT, tra istituzioni su DIBNET, FS-ISAC, ecc.) o tramite strani schemi di condivisione PDF tra dirigenti che provenivano da ciò che si supponeva fosse un suggerimento dell'FBI non divulgabile e non attribuibile. Succede.

Quando l'FBI è la fonte originaria, in genere forniscono pochi dettagli o dettagli e quindi scuotere l'albero e rifiutarsi di agire senza ulteriori informazioni potrebbe non essere ricevuto bene dai superiori. Continua a resistere e finirai come lo schifo di Equifax che ha ritardato il patching degli Struts prima della rottura; fu la prima persona a essere scaraventato sotto l'autobus. Apparentemente avete un accordo commerciale che vi obbliga ad implementare alcuni blocchi IP basati sull'intelligence delle minacce ricevute. Fallo e basta.

Ancora una volta, l'unica cosa che ho di fronte a me è che il CFO era il destinatario. Ma ciò potrebbe essere dovuto alla natura di una relazione esistente tra lui e quel regista.

È del tutto possibile che qualcuno stia cercando di causare il caos bloccando gli IP delle società con cui si fa business, ma ciò sembra inverosimile - richiede un sacco di conoscenze e sforzi interni per portare a termine una piccola interruzione nel peggiore dei casi.

What could the nature of the threat be?

Il direttore dell'istituto finanziario X è stato informato di un incidente. Probabilmente sono stati compromessi da uno o più di quei 40 IP, o resi consapevoli di una minaccia proveniente da una fonte esterna. Possono o non possono aver provato che la vostra azienda potrebbe essere un potenziale bersaglio, sia attraverso le credenziali che hanno visto tentare, gli endpoint richiesti o i dati estrapolati. Hanno ritenuto opportuno condividere queste informazioni con la tua azienda in modo da poter adottare misure proattive.

Tra me e te, non sono confuso da questo scenario. Questo è il genere di cose che vengo a trovare nella mia casella di posta ogni lunedì (e specialmente nei giorni successivi alle feste nazionali) gli attaccanti stranieri amano aspettare fino a quando non sanno che nessuno sarà in ufficio per qualche giorno. settimana ...).

Quello che faccio personalmente con questi elenchi prima di implementare i blocchi è eseguirli attraverso i nostri registri e vedere quale attività gli stessi attori avrebbero potuto fare con i nostri sistemi. Cerca attività da qualsiasi IP all'interno delle stesse sottoreti; gli IP forniti potrebbero non essere gli stessi che potrebbero averti già preso di mira. A volte rivela prove di compromesso che non rientravano nell'ambito dell'intelligenza fornita.

Il fatto che il dipartimento IT non conosca le ragioni per bloccare gli IP e il fatto che i dirigenti di FI stiano contattando il CFO, al contrario di CTO, suggerisce che questo è un problema di conformità.

Potresti trovarti di fronte all'attuazione di sanzioni, AML o liste nere di antiterrorismo. Forse audit PCI.

Ho lavorato nelle banche e le procedure di conformità possono essere piuttosto bizzarre e difficili da implementare. Potresti chiedere la conformità per approvazione sulla misura stessa.

Does this approach strike you as suspicious?

Hai detto " A causa della natura della relazione tra la mia azienda e la FI, il rifiuto non è davvero un'opzione. "

Questa è una dichiarazione molto interessante. In definitiva, senza essere in arrivo sui dettagli di quella relazione, non penso che nessuno possa dire se questo approccio sia sospetto o meno. Sembra certamente che gli accordi contrattuali tra le due società coprissero questo scenario. Se questo è vero, allora questo non è sospetto.

Is there some social engineering going on here?

Non sembra così. Se hai confermato verbalmente che il dipartimento IT dell'azienda ha effettivamente inviato questa richiesta / ordine, allora no, questo non è un problema di ingegneria sociale.

What could the nature of the threat be?

Forse l'altra azienda ha la prova che quelle compagnie tecnologiche sono state infiltrate. Forse l'altra compagnia è semplicemente preoccupata che il loro IP possa essere rubato da quelle aziende. Senza sapere chi è coinvolto è impossibile indovinarlo.