Frage:
Es wird empfohlen, den gesamten Datenverkehr zu / von bestimmten IP-Adressen zu blockieren
upsidedowncreature
2018-09-10 19:43:39 UTC
view on stackexchange narkive permalink

Mein CFO erhielt eine E-Mail von einem Direktor eines Finanzinstituts, in der darauf hingewiesen wurde, dass der gesamte Datenverkehr (eingehend und ausgehend) von bestimmten IP-Adressen an der Firewall blockiert werden sollte. Der Direktor des Finanzinstituts wurde von seiner IT-Abteilung angewiesen, diese E-Mail zu senden. Die Liste der Adressen (ca. 40) befand sich in einem angehängten, passwortgeschützten PDF. Das Passwort wurde per SMS an meinen CFO gesendet.

Ich dachte zunächst, dies sei ein böswilliger Versuch, unseren CFO dazu zu bringen, ein infiziertes PDF zu öffnen, oder ein Phishing- / Walfangversuch, aber es scheint legitim zu sein. Wir haben mit der IT-Abteilung des FI gesprochen und sie sagen, dass es echt ist, aber sie können (werden) keine weiteren Informationen liefern. Aufgrund der Art der Beziehung zwischen meinem Unternehmen und dem Finanzministerium ist eine Ablehnung keine Option. Soweit ich sehen kann, scheinen die meisten IP-Adressen Technologieunternehmen zu gehören.

Kommt Ihnen dieser Ansatz verdächtig vor? Gibt es hier Social Engineering? Was könnte die Art der Bedrohung sein?

Ich denke, dieser Frage fehlen genügend Details, um eine gute Antwort zu geben.Was mir besonders fehlt, sind weitere Details zu den betroffenen IP-Adressen, die Gründe für die Sperrung und die ursprüngliche Quelle der Empfehlungen (bei denen es sich wahrscheinlich nicht um ein Verzeichnis eines FI handelt, das normalerweise nicht viel über IT-Sicherheit weiß).Es ist jedoch nicht ungewöhnlich, dass einige Informationen über potenzielle Gefahren nur ausgewählten potenziell betroffenen Unternehmen zur Verfügung gestellt und nicht veröffentlicht werden, um Angreifern nicht zu viele Informationen zur Verfügung zu stellen, die ihnen bekannt sind.Dies könnte das verschlüsselte PDF erklären.
Sie beschreiben auch nicht die Art Ihrer Beziehung zum FI, um zu wissen, ob dies eine vernünftige Anfrage ist (legitim oder nicht).
Es fehlen Details, da ich außer einer Liste von IP-Adressen keine Details habe.Die Tatsache, dass die Anfrage von einem Direktor eines Finanzinstituts kam, finde ich verdächtig.Mir ist klar, dass eine solche Person wahrscheinlich nicht mit IT-Sicherheitsfragen vertraut ist.Ich weiß, es ist eine vage Frage, etwas stimmt einfach nicht.
Wie lautet der Titel des Regisseurs?Wie groß ist der FI?Ist der Regisseur Ihr üblicher Ansprechpartner?
@jcaron letztendlich spielen diese 3 Fakten keine Rolle
@schroeder Letztendlich nein.Aber: Wenn die IT-Abteilung mit allen "Partnern" kommunizieren müsste, weil sie sich eines bestimmten Risikos bewusst waren (z. B. Wannacry ++), hätten sie sich an den "Director of Partnerships" wenden können, der tatsächlich die Liste aller Partner mit dem entsprechenden Kontakt hatdie Info.Dies kann eines der Unsicherheitselemente beseitigen, die OP bei der Art und Weise hat, wie dies kommuniziert wurde.OP, als Sie mit der IT-Abteilung des FI gesprochen haben, haben Sie natürlich die bereits vorhandenen Kontaktinformationen verwendet, natürlich keine in der E-Mail enthaltene Telefonnummer?
Könnte dies etwas mit Compliance zu tun haben, z. B. Sanktionen, Geldwäsche, terroristische schwarze Listen?
Es kann erwähnenswert sein, dass IP-Adressen gefälscht werden können, sodass das Blockieren von 40 Adressen (vorausgesetzt, es handelt sich nicht um IP-Bereichsverbote) relativ klein und willkürlich erscheint.
OK, ich habe es überprüft und dies ist höchstwahrscheinlich ein Compliance-Problem.WICHTIG: Wo auf der Welt sind Sie und wo auf der Welt sind diese Firmen?
Um herauszufinden, um welche Art von Bedrohung es sich handelt, können Sie eine Honeypot- / IP-Protokollierung einrichten.
Angesichts der jüngsten Nachrichten und der Tatsache, dass es sich bei der Liste anscheinend um Technologieunternehmen handelt, frage ich mich, da das OP nicht gesagt hat, ob die Sperrliste für P2P- oder STUN-Dienste gilt, die von Technologieunternehmen betrieben werden, die theoretisch die Verbindung zu CCTV-Diensten ermöglichen könnten, die leider zu viele sindTech's Leave mit Standardbenutzernamen / -kennwörtern und nicht benötigten Diensten installiert?In diesem Fall ist es einfacher, Ihr eigenes Netzwerk und die angeschlossenen Geräte ordnungsgemäß zu verwalten.Ich kann das Design oder den Betrieb solcher P2P-Netzwerke nicht kommentieren, aber es ist denkbar, dass sie, wenn sie auf Geräten aktiviert werden, Technologiefirmen eine große Chance bieten.
Ich vermute, dass dies von der Spionageabwehr des FBI (oder einer ähnlichen Quelle) stammte und als [TLP: AMBER] (https://www.us-cert.gov/tlp) bezeichnet wurde.Das Verteilen des Aktionselements an Partner unter strengen Kontrollen ist alles, was sie tun können.Es ist eine gute Idee, zu fragen, was Sie tun müssen, um Ihr Unternehmen auf die Verteilerliste der Quelle zu setzen, damit Sie in Zukunft weitere Informationen erhalten.
Gibt es eine Möglichkeit, dass der Nichtzugriff auf diese IP-Adressen einem Wettbewerber einen Vorteil verschafft?
ist die IP [Tor Exit Nodes] (https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=1.1.1.1)?
Fünf antworten:
#1
+117
schroeder
2018-09-10 20:24:08 UTC
view on stackexchange narkive permalink

Wenn Sie auf einem separaten Kanal mit dem FI gesprochen haben, haben Sie tatsächlich mit dem FI gesprochen, und sie wissen davon. per Definition ist es kein Phish .

Was mir seltsam vorkommt, ist "aber sie können (werden) keine weiteren Informationen liefern" und "Ablehnen ist nicht wirklich eine Option". Diese beiden Fakten können nicht nebeneinander existieren , wenn Sie eine vom FI getrennte Einheit sind.

Ihr Push-Back ist einfach: Ihre Firewall-Richtlinie erfordert einen legitimen Grund sowie ein Enddatum , damit die Regel überprüft / entfernt werden kann. Sie fügen nicht nur Firewall-Regeln hinzu, weil Sie von jemandem außerhalb der Organisation dazu aufgefordert wurden. Der FI hat keine Ahnung, ob das Blockieren dieser IPs Auswirkungen auf Ihren Betrieb haben kann.

  • Welche Auswirkung soll diese Regel haben?
  • Wie lange muss die Regel existieren?
  • Wem (benannte Person) gehört diese Regel auf der FI-Seite?
  • Welche Abhilfemaßnahmen werden erwartet, wenn sich die Regel negativ auf den Betrieb auswirkt?
  • Welche Auswirkungen haben Ihre Unternehmen, wenn die Regel nicht genau wie gewünscht implementiert wird? ?

Sie werden die Firewall-Regel nicht hinzufügen, ohne zu wissen, welche Auswirkungen positiv oder negativ sind. Wenn sie mehr Kontrolle über Ihre Firewalls wünschen, können sie Ihre Firewalls für Sie bereitstellen und verwalten.

Wenn sie Sie und die Risiken besitzen, übernehmen sie die Risiken dieser Änderung. Fügen Sie dann einfach die Regeln hinzu.

Wie für einen Director, der diese sendet Anfrage, es ist nicht so seltsam. Wenn Sie jemanden brauchen, der etwas tut, muss die Person mit der größten Schlagkraft die Anfrage stellen. Der Director hat möglicherweise keine Ahnung, was eine Firewall ist, aber die Anfrage wird im Namen dieser Person gestellt. Ich bin auch neugierig, warum so viel Einfluss benötigt wird. Es scheint, als wollten sie dich dazu zwingen, ohne sich selbst erklären zu müssen. Lassen Sie sich nicht von ihnen Ihre Richtlinien vorschreiben und wie Sie Ihr Unternehmen am besten schützen.

„Lassen Sie sich nicht von ihnen Ihre Richtlinien diktieren und wie Sie Ihr Unternehmen am besten schützen.“ Es sei denn, aus politischen Gründen ist eine Ablehnung keine Option.
@DonQuiKong Wenn die Politik das richtige Sicherheits- und Risikomanagement übertrifft, dann ist das Ihre Politik
Ich meine, ich mag Ihre Antwort im Allgemeinen, aber op sagt * Ich kann nicht ablehnen, welche Probleme könnte dies bringen? * Und Sie sagen * was auch immer, lehnen Sie einfach ab *.Das ist keine wirkliche Antwort.Man könnte es eine Frame-Herausforderung nennen, aber es klingt eher nach einer völligen Frame-Zerstörung.
Lies meine Antwort noch einmal.Ich sagte nicht "einfach ablehnen", sondern "Zurückschieben mit spezifischen Informationsanfragen".
Ich kann mir unmöglich ein Szenario vorstellen, in dem die Politik die Verbindlichkeiten außer Kraft setzt, denen * beide * Unternehmen ausgesetzt sind, wenn das eine dem anderen die Firewall-Regeln diktiert.Wenn der FI pushen will, muss er auch die Verbindlichkeiten übernehmen, und das muss klargestellt werden.
"Ich werde das nicht tun, wenn ..." ist irgendwie eine Ablehnung.Aber du hast auch Recht, es ist auch ein bedingtes Ja.Mein Punkt ist, ops Frage ist * das riecht fischig, wo könnte der Fisch sein *.Ihre Antwort lautet * Tu das nicht *.Sie haben Recht, aber Sie beantworten die Frage nicht.(Aber Imho ist es nicht verantwortlich, also ...)
Das ist alles in meiner ersten Zeile behandelt.Der Rest wird wahrscheinlich den "Fisch" aufdecken.
Man könnte immer so tun, als würde man ja sagen.Zum Beispiel: "Natürlich können wir diese hinzufügen. Hier ist das Standardformular zum Anfordern neuer Firewall-Regeln. Bitte füllen Sie es aus und senden Sie es bis Donnerstag zurück."Das Formular fragt dann nach den gewünschten Informationen.
@Kevin Wenn das Unternehmen "nicht ablehnen kann", erhöht eine Täuschung nur die Haftung des Unternehmens.Alle Beteiligten sollten professionell mit der Situation umgehen und die gegenseitige Entscheidungsfreiheit und Verantwortung des anderen respektieren.
Ich denke, @Kevin's-Punkt ist nicht so sehr eine Täuschung (obwohl er sich zum Nennwert dafür einsetzt), sondern dass Sie der Nachfrage ein freundliches Gesicht geben können.Anstatt die Anfrage als Informationsanforderung zu formulieren, betonen Sie Ihre Offenheit für die Erfüllung der Anfrage, solange angemessene Richtlinien eingehalten werden: "Vielen Dank für diesen Vorschlag. Gemäß unserer Richtlinie müssen wir einige weitere Informationen aufzeichnen, bevor wir sie einrichten könnenWir müssen auch besser verstehen, welche Auswirkungen beabsichtigt sind, damit wir die Regel im Lichte der übrigen Richtlinien / Regeln bewerten können und ob wir erfolgreich waren oder nicht. "O.ä.
Ich verstehe, dass Sie sich nicht dafür einsetzen, die mürrische, aggressive Person zu sein, die sich nicht mit meinem Netzwerk anlegen will, aber Ihre Antwort lautet hart.Ich denke, das ist völlig gerechtfertigt, aber darauf hinzuweisen, dass Sie taktvoll mit der Nachfrage umgehen können, ist auch keine schlechte Sache.
@jpmc26 Es liest sich hart und ich befürworte nicht, mürrisch zu sein, sondern sehr klare Verantwortungslinien zu ziehen.Jede Anfrage einer externen Partei, die Firewall zu konfigurieren und keine Informationen bereitzustellen, wenn sie gefragt wird ("aber sie können (werden) keine weiteren Informationen bereitstellen"), muss auf den ersten Blick abgelehnt werden.Dies ist nicht die Zeit für ein "freundliches Gesicht".Und wenn einer der Beteiligten hier um Hilfe bitten muss, braucht er die Erlaubnis, eine hartnäckige Haltung einzunehmen.
#2
+39
Doomgoose
2018-09-10 20:55:36 UTC
view on stackexchange narkive permalink

Ich würde mich davon abwenden, ein Social-Engineering-Versuch zu sein, und eher dazu, dass ein Peer-FI in Bezug auf die Offenlegung von Informationen übervorsichtig ist. Möglicherweise hatten sie einen Vorfall mit diesen IPs und befinden sich nicht in dem Stadium, in dem sie offenlegen möchten etwas weiter.

Betrachten Sie es so: Was würde ein offensichtlicher Bedrohungsakteur wirklich davon profitieren müssen?

Sie erwähnen, dass viele der IPs sind mit Technologieunternehmen verwandt.

  • Bieten diese Unternehmen Webhosting an, das als schädliche Infrastruktur verwendet werden könnte?
  • Bieten diese Unternehmen Proxy-Dienste an, die missbraucht werden könnten?
  • Bieten diese Unternehmen Sicherheitstestsoftware an, die böswillig verwendet werden könnte?

Die Organisationen selbst sind zwar legitim, können jedoch ohne weitere Vorteile genutzt werden Informationen aus diesem FI würde ich nicht ergreifen: Die Beweislast liegt beim Absender dieser Liste.

Dies ist praktisch niedrig Lity Threat Intelligence - Es gibt keinen Hinweis darauf, dass es sich lohnt, Maßnahmen zu ergreifen.

Gibt es nebenbei eine Möglichkeit, die Überwachung dieser IPs in der Zwischenzeit einzurichten? Einige Untersuchungen an Ihrem Ende können die Informationen liefern, die Sie benötigen, um festzustellen, warum diese angeblich blockiert werden sollten (einige OSINT-Grabungen können ebenfalls fruchtbar sein).

Könnten Anforderungen von diesen IP-Adressen an einen separaten Server (möglicherweise in einem lokalen Verbindungsnetzwerk) gesendet und zur Analyse unter Quarantäne gestellt werden?
Zwei gute Optionen in diesem Bereich;Sie könnten sie weiterleiten (z. B. Link Local) oder "on the fly" zulassen und analysieren, sie aber weiter unten ablegen, wenn noch Bedenken bestehen.
"Was würde ein offensichtlicher Bedrohungsschauspieler wirklich davon profitieren müssen?"Eine Art Denial-of-Service für eine der blockierten Parteien.Die Bedrohung muss nicht unbedingt direkt für das Unternehmen des OP sein, auch wenn es in ihrem Interesse liegt, sicherzustellen, dass die Bedürfnisse seiner Kunden erfüllt werden.
@jpmc26 - Absolut richtig, dass dies eine Möglichkeit ist, aber ich halte dies für höchst unwahrscheinlich: Es ist keine Taktik, auf die ich jemals gestoßen bin oder von der ich gehört habe, dass sie gegen eine Organisation angewendet wird. Angesichts der Tatsache, dass dieser Gegner nicht nur das richtige Team kennen muss, um Kontakt aufzunehmen, und der Absender, um zu fälschen, und dass das Blockieren dieser IPs zu einer Verschlechterung des Dienstes für das Ziel führen würde, denke ich, dass dies in diesem Fall kein wahrscheinlicher Angriffsweg ist.
"Was würde ein offensichtlicher Bedrohungsschauspieler davon profitieren müssen" - sie könnten Vorrang haben.Dieses Mal wird eine IP-Liste in Ihrer Firewall blockiert.Sie werden noch einige Male eine ähnliche Anfrage stellen und es wird immer einfacher, die Bürokratie zu überwinden, bis sie fast normal wird.Dann enthält eine Anfrage einige Whitelist-Regeln, und niemand denkt daran, weil er geschult wurde, sich keine Sorgen zu machen
"Was würde ein offensichtlicher Bedrohungsschauspieler wirklich davon profitieren müssen?"Das Blockieren von Update-Servern, die sich auf Ihren Stack beziehen, entspricht den IP-Werten von Technologieunternehmen und kann nur paranoid (Sie müssen Updates überprüfen) von einem legitimen Akteur oder böswillig von einem illegitimen Akteur (wir brauchen ein paar Tage, um einzusteigen) sein.Nicht zu wissen, ob Sie dies tun, ist fahrlässig.
#3
+13
Ivan
2018-09-11 04:07:41 UTC
view on stackexchange narkive permalink

Mein CFO erhielt eine E-Mail von einem Direktor eines Finanzinstituts, in der darauf hingewiesen wurde, dass der gesamte Datenverkehr (eingehend und ausgehend) von bestimmten IP-Adressen an der Firewall blockiert werden sollte. Der Direktor des Finanzinstituts wurde von seiner IT-Abteilung angewiesen, diese E-Mail zu senden. Die Liste der Adressen (ca. 40) befand sich in einem angehängten, passwortgeschützten PDF. Das Passwort wurde per SMS an meinen CFO gesendet.

Der einzige Teil, den ich merkwürdig finde, ist, dass das C F O überhaupt daran beteiligt ist . CTOs (oder Untergebene) befassen sich routinemäßig mit Cyberintelligenz und Informationsaustausch zwischen Institutionen und nationalen Geheimdiensten (FBI, CERT usw.).

Ich dachte zunächst, dies sei ein böswilliger Versuch, unseren CFO dazu zu bringen Öffnen Sie ein infiziertes PDF oder einen Phishing- / Walfangversuch, aber es scheint legitim zu sein. Wir haben mit der IT-Abteilung des FI gesprochen und sie sagen, dass es echt ist, aber sie können (werden) keine weiteren Informationen liefern. Aufgrund der Art der Beziehung zwischen meinem Unternehmen und dem Finanzministerium ist eine Ablehnung keine Option. Soweit ich sehen kann, scheinen die meisten IP-Adressen Technologieunternehmen zu gehören.

Ihre Sorgfalt ist Applaus wert. das ist ein plausibler Vektor.

Sie geben nicht an, was diese "Technologieunternehmen" sind, aber wenn es sich um Dinge wie AWS, DigitalOcean, Linode, Vultr, Choopa, Hetzner, OVH, Velia et al. handelt. Dann sollten Sie wissen, dass diese Technologieunternehmen (und viele andere kleinere, einschließlich Torrent-Seedboxes) routinemäßig in Botnets, Malware und Finanzbetrug verwickelt sind. Alles, was Shared Hosting oder VPS-Dienste anbietet, ist eine mögliche Plattform, um Angriffe zu starten. Ich kann Ihnen aus direkter Erfahrung sagen, dass viele der HSA-, W2-, Steuererklärungsbetrugs- und anderen Betrugsjournalisten wie Krebs über billige VPS-Dienste wie diese gestartet werden.

Fällt Ihnen dieser Ansatz auf? als verdächtig? Gibt es hier Social Engineering?

Informationen über aktuelle Vorfälle können formell weitergegeben werden (durch Veröffentlichung in US-CERT-Mailinglisten, zwischen Institutionen auf DIBNET, FS-ISAC usw.) oder über seltsame PDF-Sharing-Schemata zwischen Führungskräften, die von dem stammen, was eigentlich sein sollte ein nicht offenlegbarer, nicht zuordenbarer FBI-Tipp. Es passiert.

Wenn das FBI die Ursprungsquelle ist, liefern sie im Allgemeinen wenig bis gar keine Details oder Zusammenhänge. Wenn Sie den Baum schütteln und sich weigern, ohne weitere Informationen Maßnahmen zu ergreifen, werden Ihre Vorgesetzten möglicherweise nicht gut aufgenommen. Halten Sie weiter durch und Sie werden wie der Mistkerl bei Equifax enden, der das Patchen von Struts vor der Verletzung verzögert hat. Er war der erste, der unter den Bus geworfen wurde. Sie haben anscheinend eine Geschäftsvereinbarung, die Sie verpflichtet, einige IP-Blöcke basierend auf den erhaltenen Bedrohungsinformationen zu implementieren. Mach es einfach.

Wiederum ist der einzige fischige Teil für mich, dass der CFO der Empfänger war. Dies könnte jedoch nur auf die Art einer bestehenden Beziehung zwischen ihm und diesem Direktor zurückzuführen sein.

Es ist durchaus möglich, dass jemand versucht, Chaos zu verursachen, indem Sie IPs von Unternehmen blockieren, mit denen Sie Geschäfte machen, aber das scheint weit hergeholt - es erfordert viel Insiderwissen und Mühe, um im schlimmsten Fall eine kleine Unterbrechung zu erreichen.

Wie könnte die Art der Bedrohung aussehen?

Der Direktor des Finanzinstituts X wurde auf einen Vorfall aufmerksam gemacht. Sie wurden wahrscheinlich durch eine oder mehrere dieser 40 IPs kompromittiert oder auf eine Bedrohung durch eine externe Quelle aufmerksam gemacht. Sie haben möglicherweise Beweise dafür beobachtet, dass Ihr Unternehmen möglicherweise auch ein potenzielles Ziel ist, entweder durch Anmeldeinformationen, die sie versucht haben, angeforderte Endpunkte oder durch Datenfiltration. Sie hielten es für angebracht, diese Informationen mit Ihrem Unternehmen zu teilen, damit Sie proaktive Maßnahmen ergreifen können.

Zwischen Ihnen und mir ist dieses Szenario nicht beeindruckend. So etwas finde ich jeden Montag in meinem Briefkasten (und besonders in den Tagen nach den Nationalfeiertagen - ausländische Angreifer warten gerne, bis sie wissen, dass niemand ein paar Tage im Büro sein wird. Der Tag der Arbeit war der letzte Woche ...).

Was ich persönlich mit diesen Listen mache, bevor ich Blöcke implementiere, ist, sie durch unsere eigenen Protokolle zu führen und zu sehen, welche Aktivitäten dieselben Akteure möglicherweise mit unseren eigenen Systemen gemacht haben. Suchen Sie nach Aktivitäten von IPs in denselben Subnetzen. Die angegebenen IPs waren möglicherweise nicht die gleichen, die Sie möglicherweise bereits angesprochen haben. Manchmal werden Hinweise auf Kompromisse aufgedeckt, die nicht im Rahmen der bereitgestellten Informationen lagen.

Ich würde niemandem wirklich raten, eine Liste der verfügbaren DigitalOcean-Tröpfchen pro IP (v4?) Zu blockieren, ohne einen Prozess zur Pflege dieser Blacklist-Datensätze zu erstellen.NB: DO allein verfügt über [Hunderttausende, wenn nicht Millionen] (https://bgp.he.net/search?search%5Bsearch%5D=digitalocean&commit=Search) IPv4-Adressen, zwischen denen ein Angreifer in möglicherweise wenigen Minuten wechseln kann.Und beispielsweise setzt AWS viel, viel mehr ein.
Außerdem ist AWS nicht nur ein Botnet-Hoster, sondern ein beliebter Anbieter von praktischen Funktionen, die häufig von Unternehmen verwendet werden.Was ist, wenn einer Ihrer Kunden oder Partner auch AWS verwendet?Was ist, wenn sie gelegentlich auf eine dieser blockierten IP-Adressen migrieren, sobald eine schädliche Anwendung vom Amazon-Sicherheitsteam aus diesen entfernt wurde?Nein, das ist nur ein Problem.
Die Beteiligung des CFO deutet darauf hin, dass dies möglicherweise ein Compliance-Problem und kein Sicherheitsproblem ist.
Ich verstehe nicht, was verdächtig ist ... Der Kontakt eines * Finanzinstituts * mit Ihrem Unternehmen ist höchstwahrscheinlich der CFO oder jemand unter seinem Kommando.Wenn sie den CTO kontaktierten, gab es eine längere Verzögerung, da der CTO versuchte, den Ursprung der Nachricht zu bestätigen.Wenn der CFO Sie direkt kontaktiert hat und Sie dem CTO oder CIO Bericht erstatten, erhalten Sie eine Bestätigung von Ihrem Vorgesetzten. Wenn jedoch etwas schief geht und Sie es einfach ablehnen, weil es seltsam schien, sind Sie derjenige, der es istzum Trocknen aufgehängt werden.Es könnte sich lohnen, eine Richtlinie zu erhalten, deren CxO "später bestätigen" oder "zuerst bestätigen" lautet.
@ximaera Angesichts einer festgestellten Bedrohung (CVE) nichts zu tun, führte zum Verstoß gegen Equifax.Unter dem (ehemaligen) CEO herrschte die vorherrschende Mentalität: "Waaah, wir können nichts tun, was die Produktion beeinflusst."Schau, woher das sie hat.Das versehentliche Blockieren eines Segments der Kunden- / Partnerinfrastruktur (* falls dies in diesem Fall überhaupt zutrifft *) ist im schlimmsten Fall ein technischer Fehler, dessen Lösung durch Verträge und SLAs geregelt wird und dessen Folgen erheblich geringer sind, als wenn sie insgesamt pwned werden.
@Ivan Ich würde nicht unbedingt denken, dass die Kontaktaufnahme mit dem CFO verdächtig sein muss.Neben dem Kommentar von Joe gibt es auch Fortune 500-Unternehmen, die keinen C-Suite-Leiter der IT-Abteilung haben.In einigen dieser Situationen berichtet der IT-Direktor / VP / Manager direkt an den CFO oder COO.Der CFO kann also der ultimative Leiter der IT-Abteilung sein.
#4
+7
Sentinel
2018-09-11 09:52:58 UTC
view on stackexchange narkive permalink

Die Tatsache, dass die IT-Abteilung die Gründe für das Blockieren der IPs nicht kennt und dass die FI-Manager im Gegensatz zum CTO mit dem CFO in Verbindung stehen, legt nahe, dass dies ein Compliance-Problem ist.

Möglicherweise stehen Ihnen die Umsetzung von Sanktions-, AML- oder Anti-Terror-Blacklists bevor. Möglicherweise PCI-Audit.

Ich habe in Banken gearbeitet, und Compliance-Verfahren können ziemlich bizarr und schwierig zu implementieren sein. Sie können Compliance um Genehmigung für die Maßnahme selbst bitten.

#5
+6
NotMe
2018-09-11 02:11:18 UTC
view on stackexchange narkive permalink

Kommt Ihnen dieser Ansatz verdächtig vor?

Sie sagten: " Aufgrund der Art der Beziehung zwischen meinem Unternehmen und dem Finanzministerium ist eine Ablehnung nicht der Fall wirklich eine Option. "

Das ist eine sehr interessante Aussage. Letztendlich glaube ich nicht, dass jemand sagen kann, ob dieser Ansatz verdächtig ist oder nicht, ohne auf die Details dieser Beziehung einzugehen. Es klingt sicherlich so, als ob die vertraglichen Vereinbarungen zwischen den beiden Unternehmen dieses Szenario abdeckten. Wenn das stimmt, dann ist dies nicht verdächtig.

Gibt es hier Social Engineering?

Klingt nicht so. Wenn Sie mündlich bestätigt haben, dass die IT-Abteilung des anderen Unternehmens diese Anfrage / Bestellung tatsächlich gesendet hat, ist dies kein Social-Engineering-Problem.

Wie könnte die Bedrohung aussehen?

Vielleicht hat das andere Unternehmen Beweise dafür, dass diese Technologieunternehmen infiltriert wurden. Vielleicht ist das andere Unternehmen einfach besorgt, dass diese Unternehmen ihr geistiges Eigentum stehlen könnten. Ohne zu wissen, wer beteiligt ist, ist es unmöglich zu erraten.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...