Se recomienda bloquear todo el tráfico hacia / desde direcciones IP específicas

Si habló con la FI en un canal separado, realmente habló con la FI, y ellos lo saben, y luego por definición, no es un phish .

Lo que me parece extraño es "pero no pueden (no) proporcionar más información" y "rechazar no es realmente una opción". Estos 2 hechos no pueden coexistir si eres una entidad separada de la FI.

Su retroceso es simple: su política de firewall requiere una razón legítima junto con una fecha de finalización para que la regla sea revisada / eliminada. No solo agrega reglas de firewall porque alguien de fuera de la organización le dijo que lo hiciera. La FI no tiene idea si el bloqueo de esas IP puede afectar sus operaciones.

• ¿Qué efecto se supone que tiene esta regla?
• ¿Cuánto tiempo debe existir la regla?
• ¿Quién (el individuo nombrado) posee esta regla en el lado de FI?
• ¿Qué soluciones se esperan si la regla tiene un efecto negativo en las operaciones?
• ¿Qué efecto habrá entre sus compañías si la regla no se implementa exactamente como se solicita?

No agregará la regla de firewall sin saber cuál es el impacto , ya sea de manera positiva o negativa. Si quieren un mayor control sobre sus firewalls, entonces pueden suministrarle y administrar sus firewalls.

Por otra parte, si son de tu propiedad y de los riesgos, entonces asumen los riesgos de este cambio, entonces solo agrega las reglas.

En cuanto a un Director que envía esta solicitud, no es tan extraño. Cuando necesita que alguien haga algo, tiene a la persona con más poder para hacer la solicitud. El Director puede no tener idea de lo que es un firewall, pero la solicitud se realiza en nombre de esa persona. Sin embargo, también siento curiosidad por la necesidad de tanta influencia. Parece que quieren presionarte para que lo hagas sin tener que explicarse. No permita que dicten su política y cómo proteger mejor a su empresa.

Me gustaría alejarme de esto por ser un intento de ingeniería social y más por una IF entre pares que sea sumamente precavida con respecto a la divulgación de información: pueden haber tenido algún tipo de incidente relacionado con estas IP y no están en la etapa en la que desean divulgar cualquier cosa más.

Míralo de esta manera: ¿qué ganaría realmente un actor de amenaza aparente con esto?

Usted menciona que muchas de las IP están relacionadas con compañías de tecnología.

• ¿Estas compañías proporcionan algún alojamiento web que pueda usarse como infraestructura maliciosa?
• ¿Estas compañías proporcionan algún servicio proxy que pueda ser abusado?
• ¿Estas compañías proporcionan algún software de prueba de seguridad que pueda usarse de manera maliciosa?

Si bien las propias organizaciones pueden ser legítimas, podrían aprovecharse, sin embargo, sin más información de este FI, no tomaría ninguna medida: la carga de la prueba recae en el remitente de esta lista.

Esto es efectivamente inteligencia de amenazas de baja calidad, no proporciona evidencia de que valga la pena actuar sobre los indicadores.

Como nota aparte, ¿hay alguna forma de configurar la supervisión de estas IP mientras tanto? Alguna investigación sobre su fin puede proporcionar la información que necesita para determinar por qué estos supuestamente son dignos de bloqueo (algunas excavaciones OSINT también pueden ser fructíferas).

  

Mi CFO recibió un correo electrónico de un director de una institución financiera que informa que todo el tráfico (entrante y saliente) de ciertas direcciones IP debe estar bloqueado en el firewall. El director de la institución financiera fue asesorado por su departamento de TI para enviar este correo. La lista de direcciones (aproximadamente 40) estaba en un PDF adjunto, protegido por contraseña. La contraseña fue enviada a mi CFO por mensaje de texto.

La única parte de esto que me parece extraña es que la C F O está involucrada en todo esto. Los CTO (o subordinados) tratan habitualmente con la ciberinteligencia y el intercambio de información entre instituciones y agencias nacionales de inteligencia (FBI, CERT, etc.).

  

Inicialmente, pensé que era un intento malicioso de lograr que nuestro CFO abra un PDF infectado, o un intento de phishing / caza de ballenas, pero parece legítimo. Hemos hablado con el departamento de TI en la FI y dicen que es genuino, pero no pueden (no) proporcionar más información. Debido a la naturaleza de la relación entre mi empresa y la IF, el rechazo no es realmente una opción. Por lo que puedo ver, la mayoría de las direcciones IP parecen pertenecer a compañías de tecnología.

Su diligencia merece un aplauso; Ese es un vector plausible.

No especifica qué son estas "compañías tecnológicas", pero si son cosas como AWS, DigitalOcean, Linode, Vultr, Choopa, Hetzner, OVH, Velia, et al. entonces debe saber que estas empresas de tecnología (y muchas otras más pequeñas, incluidas las seedboxes de torrent) están implicadas de forma rutinaria en redes de bots, malware y fraude financiero. Cualquier cosa que ofrezca servicios de alojamiento compartido o VPS es una posible plataforma para lanzar ataques. Puedo decirle por experiencia directa que muchos de los informes de HSA, W2, fraude de impuestos y otras estafas como Krebs informes se lanzan desde servicios de VPS baratos como estos.

  

¿Este enfoque te parece sospechoso? ¿Hay alguna ingeniería social aquí?

La información sobre incidentes actuales puede compartirse formalmente (mediante publicación en las listas de correo de US-CERT, entre instituciones en DIBNET, FS-ISAC, etc.) o mediante extraños esquemas de intercambio de PDF entre ejecutivos que se originaron de lo que se suponía que era una punta del FBI no revelable, no atribuible. Sucede.

Cuando el FBI es la fuente de origen, generalmente proporcionan poco o ningún detalle o contexto y, por lo tanto, los superiores no pueden recibir bien la sacudida del árbol y se niegan a tomar medidas sin más información. Sigue aguantando y terminarás como la mierda en Equifax que retrasó el parcheo de Struts antes de la violación; Fue la primera persona en ser lanzada debajo del autobús. Al parecer, tiene un acuerdo comercial que le obliga a implementar algunos bloques de IP basados en la inteligencia de amenazas recibida. Solo hazlo.

Una vez más, la única parte sospechosa para mí es que el CFO fue el destinatario. Pero eso podría deberse a la naturaleza de una relación existente entre él y ese director.

Es completamente posible que alguien esté tratando de causar el caos al hacer que bloquee las direcciones IP de las compañías con las que hace negocios, pero parece irreal: requiere mucho conocimiento interno y esfuerzo para lograr una pequeña interrupción en el peor de los casos.

  

¿Cuál podría ser la naturaleza de la amenaza?

El director de la institución financiera X fue informado de un incidente. Probablemente fueron comprometidos por una o más de esas 40 IP o se les informó de una amenaza de una fuente externa. Pueden o no haber observado evidencia de que su compañía también puede ser un objetivo potencial, ya sea a través de las credenciales que vieron intentadas, los puntos finales solicitados o los datos exfiltrados. Consideraron adecuado compartir esta información con su empresa para que pueda tomar medidas proactivas.

Entre tú y yo, no estoy desconcertado por este escenario. Este es el tipo de cosas que vengo a encontrar en mi buzón de correo todos los lunes (y especialmente en los días posteriores a días festivos nacionales: a los atacantes extranjeros les encanta esperar hasta que sepan que nadie estará en la oficina por unos días. semana ...).

Lo que hago personalmente con estas listas antes de implementar bloques es ejecutarlos a través de nuestros propios registros y ver qué actividad pueden haber realizado los mismos actores con nuestros propios sistemas. Busque actividad por cualquier IP dentro de las mismas subredes; Es posible que las direcciones IP suministradas no sean las mismas que podrían haberle dirigido ya. A veces, se descubre evidencia de compromiso que no estaba dentro del alcance de la inteligencia suministrada.

El hecho de que el departamento de TI no conozca las razones para bloquear las IP y el hecho de que los ejecutivos de las IF estén en contacto con el CFO, a diferencia del CTO, sugiere que este es un problema de cumplimiento.

Es posible que esté enfrentando la implementación de sanciones, AML o listas negras antiterroristas. Posiblemente la auditoría de PCI.

He trabajado en bancos y los procedimientos de cumplimiento pueden ser bastante extraños y difíciles de implementar. Puede solicitar la aprobación de Cumplimiento en la propia medida.

  

¿Este enfoque te parece sospechoso?

Usted dijo, " Debido a la naturaleza de la relación entre mi empresa y la FI, el rechazo no es realmente una opción. "

Esa es una declaración muy interesante. En última instancia, sin darnos a conocer los detalles de esa relación, no creo que nadie pueda decir si este enfoque es sospechoso o no. Ciertamente suena como los acuerdos contractuales entre las dos compañías cubrieron este escenario. Si eso es verdad, entonces no, esto no es sospechoso.

  

¿Hay alguna ingeniería social aquí?

No suena así. Si ha confirmado verbalmente que el departamento de TI de la otra empresa ha enviado esta solicitud / pedido, entonces no, esto no es un problema de ingeniería social.

  

¿Cuál podría ser la naturaleza de la amenaza?

Tal vez la otra compañía tenga pruebas de que esas compañías tecnológicas se han infiltrado. Tal vez a la otra compañía simplemente le preocupa que su IP pueda ser robada por esas compañías. Sin saber quién está involucrado, es imposible adivinar.