编者按
数字化浪潮蓬勃衰亡,企业面临的平安挑战亦日益严厉。
腾讯平安近期将复盘 2022 年典型的攻打事件,帮忙企业深刻理解攻打手法和应答措施,欠缺本身平安进攻体系。
本篇是第五期,讲述了某银行突遭 DNS 劫持攻打从而导致信息透露后,和腾讯平安并肩作战,疾速扑火并守护银行互联网资产的故事。
“客服那边电话曾经打爆,用户的情绪很大!”
某大型银行平安运维室里,十几个人围坐在电脑前,氛围非常缓和。
就在几个小时前,该银行 APP 页面忽然呈现一个异样的赌博网站,不少用户点击并且中招被骗导致信息泄露,一时间投诉如潮水般涌来。
经剖析,这显然是蒙受了 DNS 劫持攻打。彼时,间隔某大型重保只剩几天工夫,不容有任何过错。
“尽快解决 DNS 攻打问题!同时全面排查所有网络资产!” 银行大领导下了死命令。
一次不容有失的救火工作
海量涌来的用户投诉还只是一方面,更辣手的是,银行平安运维人员通过腾讯平安威逼情报中心 TIX 攻击面治理发现,在 APP 平台内呈现大量透露的用户账号密码类数据。
“咱们的 APP 被攻打了,潜在影响面很大,须要你们的声援!”
7 月的深圳分外酷热,正在某客户现场驻地办公的腾讯平安根底平安团队的 Lewis,接到银行平安负责人的求援,电话那头的声音比天气更加焦灼。
问完几个问题,Lewis 根本理解状况,立马找来对此类攻打问题解决经验丰富的专家 Archer 和 Anabel。工夫紧迫,两边疾速拉起会议,十几分钟后,他们曾经理解客户的 IT 环境和受攻打状况。
凭借多年的黑灰产反抗教训,同时借助腾讯平安威逼情报中心 TIX 攻击面治理的资产裸露面和敏感服务等相干性能,腾讯平安专家很快剖析出此次黑产攻打的门路:
1、攻击者利用银行 APP 域名系统漏洞发动攻打
2、在 APP 页面中植入病毒赌博网站并诱导用户点击
3、获取用户账号密码等数据及财产
4、浸透银行后盾服务平台获取更多金融资产
事不宜迟是先把本次数据泄密事件裸露进去的安全隐患问题解决,腾讯平安威逼情报团队牵头,疾速联结外部各方平安力量和银行运维人员对接,24 小时内实现了从响应、到剖析研判再到整个安全事件的响应闭环。
然而,所有工作人员并不敢松一口气。
此次信息透露的是账号密码数据, 黑产很有可能利用这些账号密码登录该银行的多个敏感后盾服务和相干测试零碎。 同时,银行后盾治理服务又存在相干敏感数据和数据库权限,从而存在被攻击者利用进行提权、横向浸透等潜在危险。
一旦攻击面铺开,会像火势蔓延,受影响的将不仅仅是 App 端口,而是该银行各个平台上的网络资产。
时值大型重保前夕,而数据透露也是往年新增的重点扣分项,叠加压力扑面而来。
对于客户和腾讯平安团队而言,这都是一场不容有失的救火口头。
不放过任何一个资产破绽
在解决银行 APP 这个单点问题后,更重要的工作来了。
“咱们还有哪些互联网资产?”Lewis 问。
“没有残缺统计过,单是已知的公网 IP、域名、网址 URL 这些就十分多”银行运维人员。
工夫紧工作重,一场互联网资产的全面排查火烧眉毛。
银行所有人员壁垒森严,资产管理人员、攻防反抗人员、业务相干部门都联动来做处理和排查。
腾讯这边,Lewis、Archer 和其余的平安专家兵分几路,进一步接入和跑动腾讯平安威逼情报中心 TIX 的能力。
对于客户已知的互联网资产,如公网 IP、域名 / 子域名、网址 URL 等,在受权的状况下,开展基于网站和破绽的监测,保障不再呈现 DNS 攻打、暴力破解、零日破绽利用、APT 攻打等多种网络攻击,无效避免信息泄露、网站仿冒、黑灰产攻打等安全事件的产生。
对客户的未知的互联网资产,发展基于攻击者视角的裸露面测绘,发现客户裸露在内部的 IP、域名、端口、组件、服务、APP、API 等资产,研判出其中存在的敏感服务、违规资产、影子资产、仿冒资产等脆弱性资产,进行处理修复,收敛攻击面。
(腾讯平安威逼情报中心 TIX- 攻击面治理性能场景)
两边的工作人员打起了传切配合,像一支球队疾速奔袭全场,同时一直填补防守破绽。
72 小时内,银行的互联网资产实现全面排查。腾讯平安团队帮忙客户发现互联网裸露资产共 15 万左右,其中包含域名资产和 IP 资产 11 万左右、影子资产 2000 多、小程序和公众号 3 万多等等。
这么短时间梳理出如此多资产类型和数量,银行客户也示意惊叹。
随即,一份详实的互联网裸露面资产测绘报告被传送到客户背后,针对其中发现的数千个敏感服务、影子资产、仿冒资产,制订了修复和相干处理倡议 50 余个。
“咱们的自研测绘引擎会 7×24 小时进行资产的深度探测,当然要比手动排查更快更精准。”Anabel 说。
预则立,不预则废,对现有问题的填补修复并非全副。腾讯平安还帮助制订了适宜该客户的互联网资产清单规范和常态化查看机制;同时后续将持续实现攻击面相干情报反对服务,继续发现各类裸露在内部的客户互联网资产和利用,造成零碎的关联资产及未知资产清单,补全网络安全防护体系。
“咱们守护客户的财产和资产,你们也在帮咱们守护重要资产。” 忙完间歇,银行业务负责人李工在会议群里发了这段话。
黑产情报战火永不熄
在平安专家采访沟通的过程中,小编问到这次事件的攻打发起者是怎么的人。
“精确地说,是成熟的黑产团队,他们设定无差别攻打,重点针对各种金融机构和公司”Anabel 认真解释到。
“这次攻击者利用跳板机和 Tor 匿名网络暗藏身份进行撞库攻打,同时,混在失常流量中传输敏感数据到境外网站,使得数据透露起源难以被追究,这给咱们带来了肯定的破解难度。当然,这类黑产的把戏还有更多。”
黑产的偷袭不会进行,而抗击黑产的战火也永不会熄。
从需要响应,到剖析研判、处理修复、再到资产全面排查、对接资产治理和平安经营,两边团队前后只用时三四天,高质量保障在大型重保前做好问题排查和资产梳理。这既得益于团队多年的黑灰产反抗教训,以及以及和国有大行、股份制商业银行、头部券商等金融行业大客户服务的教训根底,腾讯平安威逼情报中心 TIX 也在这次事件中施展了至关重要的作用。
作为企业平安进攻“化被动为被动”的利器,威逼情报能够帮忙企业及时调整进攻策略,提前预知攻打的产生,从而实现较为精准的动静进攻。金融行业始终以来面临着较为重大的钓鱼欺诈、数据透露等网络安全威逼,并且存在着威逼发现及处理能力有余,平安经营工作智能化、可视化水平较低等问题,亟需检测、剖析、响应三位一体的威逼情报产品,以构建更加欠缺的平安进攻体系。
腾讯平安威逼情报中心 TIX 集成根底情报、攻击面治理、业务情报三大情报能力,为客户打造“三位一体”一站式情报服务; 并通过独创的标签体系贯通所有情报主体(IOC、安全事件、APT、证书等),提供清晰的关联关系与标签字典,晋升客户对于情报的信息获取效率;并提供全面的资产探测和精准破绽测绘,从攻击者视角梳理企业资产并收敛攻击面。为银行、保险、基金、金融互联网等金融机构,以及科技、平安等外围要害产业客户提供能力服务。
在咱们刚刚做完这场救火口头的同时,网络世界里的彩色攻打已从新暗潮涌动。
腾讯平安专家们和威逼情报中心 TIX 正如情报员与雷达,肃立探测着战火里的情报信息。
对“攻击面治理”感兴趣的企业和敌人,欢送扫码征询腾讯平安专家: