web-dev-qa-db-fra.com

Conseillé de bloquer tout le trafic vers / depuis des adresses IP spécifiques

Mon directeur financier a reçu un e-mail d'un directeur d'une institution financière l'informant que tout le trafic (entrant et sortant) de certaines adresses IP devait être bloqué au niveau du pare-feu. Le directeur de l'institution financière a été avisé par son service informatique d'envoyer ce courrier. La liste des adresses (environ 40) était dans un fichier PDF protégé par mot de passe. Le mot de passe a été envoyé à mon directeur financier par SMS.

J'ai d'abord pensé que c'était une tentative malveillante pour amener notre directeur financier à ouvrir un PDF infecté, ou une tentative de phishing/chasse à la baleine, mais cela semble légitime. Nous avons parlé au service informatique de l'IF et ils disent que c'est authentique, mais ils ne peuvent (ne veulent) pas fournir plus d'informations. En raison de la nature de la relation entre mon entreprise et l'IF, refuser n'est pas vraiment une option. D'après ce que je peux voir, la plupart des adresses IP semblent appartenir à des entreprises technologiques.

Cette approche vous paraît-elle suspecte? Y a-t-il une ingénierie sociale en cours ici? Quelle pourrait être la nature de la menace?

67
upsidedowncreature

Si vous avez parlé à l'IF sur un canal séparé, vous avez en fait parlé à l'IF, et ils le savent, alors par définition, ce n'est pas un hameçonnage.

Ce qui me semble étrange, c'est "mais ils ne peuvent (ne veulent) pas fournir plus d'informations", et "refuser n'est pas vraiment une option". Ces 2 faits ne peuvent pas coexister si vous êtes une entité distincte de l'IF.

Votre refoulement est simple: votre politique de pare-feu nécessite un motif légitime ainsi qu'un date de fin pour que la règle soit revue/supprimée. Vous n'ajoutez pas seulement des règles de pare-feu parce que quelqu'un en dehors de l'organisation vous l'a demandé. L'IF n'a aucune idée si le blocage de ces adresses IP peut avoir un impact sur vos opérations.

  • quel effet cette règle est-elle censée avoir?
  • combien de temps la règle doit-elle exister?
  • à qui (personne nommée) appartient cette règle du côté FI?
  • quels remèdes sont attendus si la règle a un effet négatif sur les opérations?
  • quel effet y aura-t-il entre vos entreprises si la règle n'est pas appliquée exactement comme demandé?

Vous n'ajouterez pas la règle de pare-feu sans savoir quel est l'impact, positivement ou négativement. S'ils veulent un meilleur contrôle de vos pare-feu, ils peuvent alors fournir et gérer vos pare-feu pour vous.

D'un autre côté, s'ils vous possèdent et les risques, alors ils prennent les risques de ce changement, alors ajoutez simplement les règles.

Quant à un directeur qui envoie cette demande, ce n'est pas si étrange. Lorsque vous avez besoin de quelqu'un pour faire quelque chose, vous devez demander à la personne la plus influente. Le directeur n'a peut-être aucune idée de ce qu'est un pare-feu, mais la demande est faite au nom de cette personne. Je suis également curieux de savoir pourquoi tant de poids est nécessaire. Il semble qu'ils veulent vous forcer à le faire sans avoir à vous expliquer. Ne les laissez pas dicter votre politique et la meilleure façon de protéger votre entreprise.

117
schroeder

Je préfèrerais que cela ne soit pas une tentative d'ingénierie sociale et davantage une IF homologue extrêmement prudente en ce qui concerne la divulgation d'informations - ils peuvent avoir eu une sorte d'incident impliquant ces IP et ne sont pas au stade où ils veulent divulguer quoi que ce soit.

Regardez-le de cette façon: qu'est-ce qu'un acteur de menace apparent aurait vraiment à gagner de cela?

Vous mentionnez que de nombreuses adresses IP sont liées à des entreprises technologiques.

  • Ces sociétés fournissent-elles un hébergement Web qui pourrait être utilisé comme infrastructure malveillante?
  • Ces sociétés fournissent-elles des services de proxy qui pourraient être abusés?
  • Ces entreprises fournissent-elles un logiciel de test de sécurité qui pourrait être utilisé à des fins malveillantes?

Bien que les organisations elles-mêmes puissent être légitimes, elles pourraient être mises à profit, mais sans plus d'informations de la part de cette IF, je ne prendrais aucune mesure: la charge de la preuve incombe à l'expéditeur de cette liste.

Il s'agit effectivement de renseignements sur les menaces de faible qualité - ils ne fournissent aucune preuve que les indicateurs valent la peine d'être mis en œuvre.

En passant, existe-t-il un moyen de configurer la surveillance sur ces IP en attendant? Une enquête de votre part peut fournir les informations dont vous avez besoin pour déterminer pourquoi elles sont dignes d'être bloquées (certaines fouilles OSINT peuvent également être utiles).

39
Doomgoose

Mon directeur financier a reçu un e-mail d'un directeur d'une institution financière l'informant que tout le trafic (entrant et sortant) de certaines adresses IP devait être bloqué au niveau du pare-feu. Le directeur de l'institution financière a été avisé par son service informatique d'envoyer ce courrier. La liste des adresses (environ 40) était dans un fichier PDF protégé par mot de passe. Le mot de passe a été envoyé à mon directeur financier par SMS.

La seule partie à ce sujet que je trouve étrange est que le C F O est impliqué dans tout cela. Les CTO (ou subordonnés) traitent régulièrement la cyberintelligence et le partage d'informations entre les institutions et les agences nationales de renseignement (FBI, CERT, etc.).

J'ai d'abord pensé que c'était une tentative malveillante pour amener notre directeur financier à ouvrir un PDF infecté, ou une tentative de phishing/chasse à la baleine, mais cela semble légitime. Nous avons parlé au service informatique de l'IF et ils disent que c'est authentique, mais ils ne peuvent (ne veulent) pas fournir plus d'informations. En raison de la nature de la relation entre mon entreprise et l'IF, refuser n'est pas vraiment une option. D'après ce que je peux voir, la plupart des adresses IP semblent appartenir à des entreprises technologiques.

Votre diligence vaut applaudissements; c'est un vecteur plausible.

Vous ne spécifiez pas ce que sont ces "entreprises technologiques", mais s'il s'agit de choses comme AWS, DigitalOcean, Linode, Vultr, Choopa, Hetzner, OVH, Velia, et al. alors vous devez savoir que ces sociétés technologiques (et de nombreuses autres plus petites, y compris les semences de torrent) sont régulièrement impliquées dans les botnets, les logiciels malveillants et la fraude financière. Tout ce qui offre un hébergement mutualisé ou des services VPS est une plate-forme possible pour lancer des attaques. Je peux vous dire par expérience directe que la plupart des journalistes HSA, W2, des déclarations de revenus frauduleuses et autres arnaques comme les rapports Krebs sont lancés à partir de services VPS bon marché comme ceux-ci.

Cette approche vous paraît-elle suspecte? Y a-t-il une ingénierie sociale en cours ici?

Les informations sur les incidents actuels peuvent être partagées de manière formelle (par le biais de la publication sur des listes de diffusion US-CERT, entre les institutions sur DIBNET, FS-ISAC, etc.) ou via des schémas de partage PDF étranges entre des cadres provenant de ce qui était censé être un non conseil du FBI à divulguer et non attribuable. Ça arrive.

Lorsque le FBI est la source d'origine, ils fournissent généralement peu ou pas de détails ni de contexte. Par conséquent, secouer l'arbre et refuser d'agir sans autre information peut ne pas être bien reçu par vos supérieurs. Continuez à tenir le coup et vous vous retrouverez comme le shmuck d'Equifax qui a retardé la correction des Struts avant la brèche; il a été le premier à être jeté sous le bus. Vous avez apparemment un accord commercial vous obligeant à mettre en œuvre certains blocs IP sur la base des informations sur les menaces reçues. Simplement fais-le.

Encore une fois, la seule partie louche pour moi est que le directeur financier était le destinataire. Mais cela pourrait simplement être dû à la nature d'une relation existante entre lui et ce réalisateur.

Il est tout à fait possible que quelqu'un essaie de provoquer le chaos en vous bloquant les adresses IP des entreprises avec lesquelles vous faites affaire, mais cela semble farfelu - cela nécessite beaucoup de connaissances et d'efforts internes pour accomplir une petite interruption au pire.

Quelle pourrait être la nature de la menace?

Le directeur de l'institution financière X a été informé d'un incident. Ils étaient probablement compromis par une ou plusieurs de ces 40 adresses IP, ou mis au courant d'une menace provenant d'une source externe. Ils peuvent ou non avoir observé des preuves que votre entreprise peut également être une cible potentielle, soit par le biais des informations d'identification qu'ils ont vues tentées, des points finaux demandés ou des données exfiltrées. Ils ont jugé bon de partager ces informations avec votre entreprise afin que vous puissiez prendre des mesures proactives.

Entre vous et moi, je ne suis pas dérouté par ce scénario. C'est le genre de chose que j'entre dans ma boîte aux lettres tous les lundis (et surtout dans les jours qui suivent les jours fériés nationaux - les attaquants étrangers aiment attendre jusqu'à ce qu'ils sachent que personne ne sera au bureau pendant quelques jours. La fête du Travail était la dernière la semaine...).

Ce que je fais personnellement avec ces listes avant d'implémenter des blocs, c'est de les exécuter dans nos propres journaux et de voir quelle activité les mêmes acteurs ont pu mener avec nos propres systèmes. Recherchez l'activité de n'importe quelle adresse IP dans les mêmes sous-réseaux; les adresses IP fournies peuvent ne pas être les mêmes que celles qui vous ont peut-être déjà ciblées. Parfois, il découvre des preuves de compromis qui n'étaient pas dans le champ d'application des renseignements fournis.

13
Ivan

Le fait que le service informatique ne connaisse pas les raisons du blocage des adresses IP et le fait que les cadres de FI assurent la liaison avec le CFO, par opposition au CTO, suggèrent qu'il s'agit d'un problème de conformité.

Vous pourriez être confronté à la mise en œuvre de sanctions, de LBC ou de listes noires antiterroristes. Audit PCI possible.

J'ai travaillé dans des banques et les procédures de conformité peuvent être assez bizarres et difficiles à mettre en œuvre. Vous pouvez demander à la Conformité d'approuver la mesure elle-même.

7
Sentinel

Cette approche vous paraît-elle suspecte?

Vous avez dit: "En raison de la nature de la relation entre mon entreprise et l'IF, refuser n'est pas vraiment une option."

C'est une déclaration très intéressante. En fin de compte, sans être sur les détails de cette relation, je ne pense pas que quiconque puisse dire si cette approche est suspecte ou non. Il semble certainement que les accords contractuels entre les deux sociétés couvrent ce scénario. Si c'est vrai, non, ce n'est pas suspect.

Y a-t-il une ingénierie sociale en cours ici?

Ça ne ressemble pas à ça. Si vous avez confirmé verbalement que le service informatique de l'autre société a effectivement envoyé cette demande/commande, alors non, ce n'est pas un problème d'ingénierie sociale.

Quelle pourrait être la nature de la menace?

Peut-être que l'autre entreprise a la preuve que ces entreprises technologiques ont été infiltrées. Peut-être que l'autre société craint simplement que leur propriété intellectuelle ne soit volée par ces sociétés. Sans savoir qui est impliqué, il est impossible de deviner.

6
NotMe