如果您是通過單獨的渠道與FI對話的，那麼您實際上是與FI對話的，他們知道這一點，因此根據定義，它不是網絡釣魚。

讓我感到奇怪的是“但是他們不能（不會）提供更多信息”和“拒絕實際上不是一種選擇”。 這兩個事實不能共存，如果您是金融機構以外的實體。

您的推回操作很簡單：您的防火牆策略需要正當理由和結束日期才能檢查/刪除規則。您不只是添加防火牆規則，因為組織外部的人告訴您這樣做。 FI不知道阻止這些IP是否會影響您的操作。

• 該規則應該有什麼作用？
• 該規則需要存在多長時間？
• 誰（命名為個人）擁有該規則在金融方面？
• 如果該規則對運營產生負面影響，期望採取什麼補救措施？
• 如果未完全按照要求實施規則，貴公司之間會有什麼影響？ ？

您將不會添加防火牆規則，而不管其正面或負面影響。如果他們想更好地控制您的防火牆，那麼他們可以為您提供和管理您的防火牆。

另一方面，如果他們擁有您和風險，那麼他們會承擔此更改的風險，因此只需添加規則。

對於發送此內容的董事要求，這並不奇怪。當您需要某人做某事時，您將擁有最有影響力的人提出請求。主任可能不知道什麼是防火牆，但是請求是以該人的名義提出的。我也很好奇為什麼需要這麼大的影響力。似乎他們想向您施加壓力，而不必自己解釋。不要讓他們決定您的政策以及您如何最好地保護公司。

我會傾向於這不是一種社會工程學的嘗試，而更多地傾向於同行FI在信息披露方面過於謹慎-他們可能發生了涉及這些IP的某種事件，並且不在他們想要披露的階段

以這種方式看待它：明顯的威脅行為者真正將從中獲得什麼？

您提到許多IP與科技公司有關。

• 這些公司是否提供任何可用作惡意基礎結構的虛擬主機？
• 這些公司是否提供任何可能被濫用的代理服務？
• 這些公司是否提供任何可以惡意使用的安全測試軟件？

儘管組織本身可能是合法的，但可以利用它們，但是沒有進一步的利用來自該FI的信息，我將不採取行動：舉證責任由該列表的發送者承擔。

輕度威脅情報-它沒有提供證據表明這些指標值得採取行動。

順便說一句，您有什麼辦法同時設置對這些IP的監視？您端的一些調查可能會提供您需要的信息，以確定為什麼這些信息據稱值得阻止（某些OSINT挖掘也可能會富有成果）。

我的CFO從一家金融機構的一位董事處收到一封電子郵件，建議在防火牆處阻止來自某些IP地址的所有流量（入站和出站）。他的IT部門建議該金融機構的主管發送此郵件。地址列表（約40個）位於隨附的受密碼保護的PDF中。密碼是通過短信發送給我的CFO的。

唯一令我感到奇怪的是，C F O完全參與了此操作。 。 CTO（或下屬）通常處理機構和國家情報機構（FBI，CERT等）之間的網絡情報和信息共享。

我最初認為這是使我們的CFO陷入惡意的嘗試。打開受感染的PDF或網絡釣魚/捕鯨嘗試，但這似乎是合法的。我們已經與FI的IT部門進行了交談，他們說這是真實的，但他們不能（不會）提供更多信息。由於我公司與金融中介機構之間關係的性質，拒絕實際上不是一種選擇。從我可以看到，大多數IP地址似乎都屬於科技公司。

您的勤奮值得掌聲。那是一個合理的載體。

您沒有指定這些“科技公司”是什麼，但是如果它們是AWS，DigitalOcean，Linode，Vultr，Choopa，Hetzner，OVH，Velia等，則它們是什麼。那麼您應該知道這些科技公司（以及許多其他較小的公司，包括torrent種子箱）通常與殭屍網絡，惡意軟件和財務欺詐有關。任何提供共享託管或VPS服務的東西都是發動攻擊的可能平台。我可以從直接的經驗中告訴你，許多HSA，W2，納稅申報欺詐和諸如Krebs報告之類的其他騙局都是從這類廉價VPS服務中發起的。

一樣可疑？這裡有一些社會工程嗎？

有關當前事件的信息可以正式共享（通過發佈到US-CERT郵件列表中，DIBNET，FS-ISAC等機構之間）或通過高管之間的奇怪的PDF共享方案來共享，這些方案源自原本應該是不可披露，不可歸屬的FBI提示。

當FBI是原始來源時，它們通常提供很少甚至沒有細節或背景信息，因此上級可能不會很好地接受搖搖樹並拒絕採取行動而沒有更多信息的情況。繼續堅持下去，您最終會像Equifax一樣，在違規之前延遲對Struts的修補。他是第一個被扔下公共汽車的人。您顯然已經簽訂了業務協議，有義務根據收到的威脅情報實施一些IP塊。

再次，對我來說，唯一令人困擾的是CFO是接收者。但這可能僅僅是由於他與該董事之間現有關係的性質。

完全有可能有人試圖通過讓您阻止與您有業務往來的公司的IP來造成混亂，但這似乎牽強-它需要大量的內在知識和努力才能在最壞的情況下完成小的中斷。

威脅的本質是什麼？

金融機構X的主管被告知事件。他們可能會受到這40個IP中的一個或多個IP的危害，或者意識到外部來源的威脅。他們可能會或可能不會觀察到證據，證明他們通過嘗試使用的憑據，請求的端點或洩露的數據也可能將您的公司作為目標。他們認為可以與您的公司共享此信息，因此您可以採取積極措施。

在你我之間，我對這種情況並不感到困惑。我每個星期一（尤其是在國定假日之後的幾天）都會在我的郵箱中找到這種東西，外國攻擊者喜歡等待，直到他們知道沒人會在辦公室待幾天。一周...）。

在實現塊之前，我個人對這些列表的處理方式是通過我們自己的日誌運行它們，並查看同一行為者可能對我們自己的系統進行了哪些活動。查找同一子網內任何IP的活動；提供的IP可能與您已經定位的IP不同。有時，它會發現所提供的情報不在所提供情報範圍內的證據。

IT部門不知道阻止IP的原因，以及FI主管與CFO（而不是CTO）保持聯繫的事實表明，這是合規性問題。

您可能面臨制裁，反洗錢或反恐黑名單的實施。可能進行PCI審核。

我在銀行工作過，合規程序可能很奇怪，並且實施起來很困難。您可以要求Compliance批准措施本身。

這種方法會讓您感到可疑嗎？

您說，“ 由於我公司與金融機構之間的關係性質，拒絕不是“

這是一個非常有趣的聲明。歸根結底，在不討論這種關係的細節的情況下，我認為沒有人能說出這種方法是否可疑。聽起來好像兩家公司之間的合同安排涵蓋了這種情況。如果是這樣，那麼這不是可疑的。

這裡有一些社會工程嗎？

聽起來不像。如果您已口頭確認另一家公司的IT部門實際上已發送了此請求/命令，則否，這不是社會工程問題。

威脅的本質是什麼？

也許其他公司已經證明這些技術公司已經滲透。也許其他公司只是擔心這些公司可能盜用了他們的IP。不知道是誰參與其中，就不可能猜測。