介绍
Solarwinds入侵首先在撰写本文之前的四个月之前首次宣布,其全部范围仍不知道,并且可能已经多年了。虽然活动绝对没有任何好处,或者它可能启用的后续事件,但它确实迫使Infosec世界对供应链恶作剧大大关注,并更加努力地考虑我们需要采取的措施来保护我们自己反对他们。
我们对供应链合作伙伴的信任非常信任,因为我们必须这样做。乐动首页即使有了零信任的理念,一旦我们实际上在生产环境中拥有供应商或合作伙伴提供的服务或基础架构,我们就会事实上信任他们,无论我们是否喜欢它。大多数安全操作中心(SOC)足以保持自己的资产。他们相信合作伙伴在其领乐动首页域(双关键)中也这样做。
然而,任何与我们的生态系统紧密集成的事物,无论是通过自动化过程还是通过人类互动,都必须在威胁建模中考虑到它是我们自己环境的一部分,因为它有效地是我们自己的环境。SolarWinds提供了宝贵的网络监视和管理解决方案,因此将其深入整合到网络的结构中。乐动体育网址以不同的方式,诸如Salesforce和ServiceNow之类的公司具有自己的集成,尽管这些公司与Solarwinds这样的生态系统的不同部分都触及了。也考虑供应链的其他部分。如果您是消费电子产品或其他商品的生产商,则很有可能将合同制造商用于您出售商品的某些或全部组装。您可能会或可能不会与它们的自动化级别进行集成,但是您肯定会交换敏感数据,例如设计文档或其他知识产权。解释所有这些供应链品种的威胁模型都是不同的,它们都很重要。
欺骗领域:超越自己的品牌
许多公司,尤其是较大的公司,都将大量资源投入到监视其品牌欺骗的互联网上。欺骗的性质随组织的类型或创建模仿领域的参与者的意图而变化。奢侈品牌被伪造者所包围,出售仿制商品,削弱了该品牌并造成潜在的声誉危害。金融机构与希望从客户那里收获证书的网络犯罪分子作斗争。每一个垂直的公司都面对用于VPN或公司电子邮件访问的内部,仅员工域的欺骗,犯罪分子希望在公司本身(而不是其客户)中刷卡的凭据。乐动体育官网下载将这些活动包括在威胁建模中只是常识。
但是,如果供应链是我们自己环境的可信赖扩展,那么我们的威胁建模也可以涵盖如果其中一个组织也受到损害会发生什么?这表明对普通品牌保护威胁模型的增强,包括留意值得信赖的合作伙伴的模仿者。乐动首页不难为成功的伴侣欺骗可能导致糟糕的一天而建模。
- 如果攻击者能够劫持自动化流程,从合作伙伴的基础架构指向攻击者控制的基础架构,则他们可能会根据该连接而破坏或停止流程。
- 如果攻击者通过社会工程(无论是电子邮件网络钓鱼,打smishing还是类似)欺骗商业伙伴,他们可以说服受害者向他们传输敏感数据。
- 如果攻击者欺骗了票务系统或其他业务启用平台和凭空凭据,他们可以获得可见性,也许从那里控制受害者组织的各个部分。
您可能已经想到了其他几个模型,就在您阅读了最后几段时。但是,让我们看一个假设的例子。
Acme索环的悲惨警示故事
假设您在Acme索环公司(可以肯定的是世界上最伟大的索仪者)工作。乐动体育官网下载此外,假设您的制造业取决于您的长期合作伙伴合并工具和模具(Amtodco)。每次您开发本季度最新的必备索环时,您都会将CAD文件发送到合并,以创建您出售的杰作。
如果您的品牌保护乐动篮球视频和威胁狩猎行动已经擅长观看品牌的欺骗,那么他们会不时发现各种“ acmegr0mmet”域,并与之处理。但是,如果他们不同样寻找“ AMT0DCO”域,他们可能会错过将您的设计部门传播的域,劫持索格兰特到端到的全程设计的设计,并将其出售给您的大章Supergromco。这是糟糕的一天,为了增加侮辱股票下跌,可以预防,并对您的威胁建模和欺骗监控进行一些调整。
现在是不是那么假设的
以下来自Domaintools Iris于2021年4月服用。其中的域名都在两岁以下,其中许多人不到6个月大。您可以确定他们不只是为了笑而注册。如果这是有关IRIS的博客,我们可以遵循与这些域中的几个连接的各种枢轴,并在使用许多非法域中公开更大的操作。这些领域的高风险分数表明Domaintools风险分数在流行的块列表上找到了这些域与其他已经在流行的块上的相似之处。(如果您不熟悉我们的风险评分,就足以说90年代的分数对域名是恶意的信心。)
Phisheye和供应链
Domaintools Phisheye旨在标记欺骗给定关键字并将其引起用户注意的域。它使用了一套模糊算法,这些算法可以识别恶意演员用来创建相似域名的许多不同技巧,包括一些(称为同叶),即使您仔细寻找它们也可能很难发现。公司倾向于使用Phisheye监视自己的品牌;但是Phisheye不在乎您在其搜索框中投入的品牌。因此,它是确定合作伙伴公司和供应商的欺骗的理想工具。
工作流程可能看起来像这样:
- 确定您与哪些组织具有最敏感的关系,并将其添加到威胁建模中
- 添加他们的名称(包括各种子品牌),以在Phisheye中进行监视
- 回顾Phisheye的每日报告
- 当Phisheye发现欺骗域时,请检查您的DNS,Web代理,SMTP和其他相关日志,以证明从您的环境到这些域的任何流量的证据。或建立检测以标记任何未来的命中。
Phisheye API可用于自动化新发现的域的收集,以简化您的过程。
从您值得信赖的环境到这些欺骗域之一的实际流量将是一件大事,您的IR团队希望全力以赴。在大多数环境中,这将是一个低概率的事件,但其影响可能很高。鉴于威胁建模的扩展以及捕获此类欺骗所必需的检测/狩猎并不过于复杂,因此可以考虑调整。
结论:一盎司预防…
监视对您值得信赖的合作伙伴的欺骗是帮助防止供应链攻击的唯一重要方法,但它只是乐动首页已经熟悉的模式的小幅扩展(监视您自己的品牌)。如果您已经是Phisheye用户,请尝试输入与您的生态系统相关的一些关键字,以查看已经存在的欺骗。如果您使用虹膜但不使用Phisheye,则可以通过使用“域开头”或“域中包含”操作员在高级搜索控件中获得部分结果(减去巧妙的模糊算法),以表彰您的合作伙伴公司的欺骗。这些都不需要很长时间,结果可能令人大开眼界。
在那里安全
蒂姆