简介
太阳风的入侵是在写这篇文章的四个月前首次宣布的,它的全面程度仍然不清楚,可能在几年内都不会。虽然这次事件或它可能引发的后续事件绝对没有什么好处,但它确实迫使信息安全界对供应链骗局给予了大量关注,并更加认真地思考我们需要做些什么来保护自己免受它们的侵害。
我们非常信任供应链合作伙伴,因为我们必须这样做。乐动首页即使采用零信任的理念,一旦我们的生产环境中实际上有了供应商或合作伙伴提供的服务或基础设施,无论我们喜欢与否,我们实际上都信任它们。大多数安全运营中心(soc)在监视自己的资产方面有足够多的工作要做;他们相信合作伙伴会在自乐动首页己的领域内做同样的事情(半故意的双关语)。
然而,任何与我们的生态系统紧密结合的东西,无论是通过自动化流程还是通过人类互动,都必须在威胁建模中被考虑,就像它是我们自己环境的一部分一样,因为它实际上是。SolarWinds提供有价值的网络监控和管理解决方案,因此被深度集成到网络结构中。乐动体育网址以不同的方式,Salesforce和ServiceNow等公司有自己的集成,尽管这些集成涉及的生态系统的不同部分,而不是像SolarWinds这样的公司。还要考虑供应链的其他部分。如果你是消费电子产品或其他产品的生产商,你很有可能使用合同制造商来完成部分或全部的组装工作。您可能与他们在自动化级别上进行集成,也可能没有,但是您肯定会交换敏感数据,例如设计文档或其他知识产权。所有这些供应链的威胁模型都是不同的,但它们都很重要。
恶搞域名:超越你自己的品牌
许多公司,尤其是大公司,投入大量资源监控互联网上对其品牌的恶搞。恶搞的性质因组织类型或参与者创建模拟域的意图而异。奢侈品牌被销售仿冒商品的造假者包围,削弱了品牌,并造成了潜在的声誉损害。金融机构打击试图从客户那里获取凭证的网络犯罪分子。每个垂直行业的公司都面临着用于vpn或公司电子邮件访问的内部员工专用域名的恶搞,犯罪分子希望在这些域名中窃取公司内部工作人员(而不是其客户)的凭据。乐动体育官网下载将此类活动包括在威胁建模中只是常识。
但是,如果供应链是我们自身环境的可信扩展,那么我们的威胁建模是否有意义,包括如果其中一个组织受到威胁会发生什么?这表明,通用的品牌保护威胁模型需要加强,包括密切关注可信赖合作伙伴的模仿者。乐动首页我们不难模拟出,一个成功的恶搞搭档可能会导致糟糕的一天。
- 如果攻击者能够劫持自动化进程,将其从合作伙伴的基础设施指向攻击者控制的基础设施,他们就可以根据该连接中断或停止这些进程。
- 如果攻击者通过社交工程欺骗业务合作伙伴,无论是电子邮件网络钓鱼、诈骗还是类似的方式,他们都可以说服受害者将敏感数据传输给他们。
- 如果攻击者欺骗了票务系统或其他业务支持平台并伪造了凭据,他们就可以获得可见性,并可能从那里控制受害组织操作的各个部分。
在阅读最后几段的时候,你可能已经想到了一些其他的模型。但是让我们看一个假设的例子。
艾克米·格罗姆特的悲伤警世故事
假设你在Acme Grommet公司(世界上最伟大的Grommet公乐动体育官网下载司)工作。进一步假设,您的制造依赖于您的长期合作伙伴AmTodCo。每次你开发当季最新的必备环扣时,你都会将CAD文件发送给Amalgamated,他们会使用这些文件来制作你出售的杰作。
如果您的品牌保护乐动篮球视频和威胁搜索操作已经熟练地监视您的品牌的恶搞,他们将捕捉到不时出现的各种“acmegr0mmet”域名,并处理它们。但是,如果他们没有同样地寻找“amt0dco”域名,他们可能会错过这个域名,这个域名欺骗了你的设计部门,从所有的环到所有的环,并把它们卖给了你的死对头SuperGromCo。这是糟糕的一天,而且对股票下跌的侮辱是,这是可以避免的,只要对威胁建模和欺骗监控进行一些调整。
现在是不那么假设的
以下截图来自DomainTools虹膜拍摄于2021年4月。这些域名的历史都不超过两年,其中很多还不到6个月。可以肯定的是,他们注册不是为了笑。如果这是一个关于Iris的博客,我们可以跟踪连接到其中几个域的各种枢轴,并暴露使用许多非法域的大型操作。这些领域的高风险得分表明DomainTools风险评分发现这些域名和其他已经在流行的屏蔽列表之间的相似性或联系。(如果你不熟悉我们的风险评分,只要说得分在90分就足以证明该域名是恶意的。)
菲氏眼与供应链
DomainTools PhishEye用于标记欺骗给定关键字的域名,并将它们引起用户的注意。它使用了一套模糊算法,可以识别恶意行为者用来创建相似域的许多不同技巧,包括一些即使你仔细寻找也很难发现的(称为同质文字)。公司倾向于使用PhishEye来监控自己的品牌;但PhishEye并不关心你在搜索框中输入什么品牌。因此,它是识别您的合作伙伴公司和供应商的恶搞的理想工具。
工作流可能看起来像这样:
- 确定哪些组织与您有最敏感的关系,并将这些组织添加到威胁建模中
- 添加它们的名称(包括它们的各种子品牌),以便在phiisheye中进行监视
- 检查菲氏的每日报告
- 当PhishEye发现欺骗域时,请检查您的DNS、web代理、SMTP和其他相关日志,以找到从您的环境到这些域的任何流量的证据。或者建立检测来标记未来的攻击。
phiheye API可用于自动收集新发现的域,以简化您的流程。
从您受信任的环境到这些欺骗域之一的实际流量将是一个大问题,您的IR团队将希望全面了解它。在大多数环境中,这是一个低概率事件,但其影响可能很大。考虑到威胁建模的扩展,以及捕捉这种欺骗所必需的检测/狩猎并不过于复杂,这些调整可能非常值得考虑。
结论:一盎司预防…
监视您信任的合作伙伴的恶搞远不是帮助防范供应链攻击的唯一重要方法,但它只是一乐动首页个已经熟悉的模式(监视您自己的品牌)的微小扩展。如果你已经是一个phiheye用户,试着输入一些与你的生态系统相关的关键字,看看已经有哪些恶搞。如果你使用Iris而不是PhishEye,你可以通过在高级搜索控件中使用“域名开头”或“域名包含”操作符来获得部分结果(减去聪明的模糊算法),以寻找你的合作伙伴公司的恶搞。这两种方法都不需要很长时间,结果可能会让人大开眼界。
在外面要安全
蒂姆