银行网络惊魂“大劫案”

编者按

数字化浪潮蓬勃兴起，企业面临的安全挑战亦日益严峻。

腾讯安全近期将复盘2022年典型的攻击事件，帮助企业深入了解攻击手法和应对措施，完善自身安全防御体系。

本篇是第五期，讲述了某银行突遭DNS劫持攻击从而导致信息泄漏后，和腾讯安全并肩作战，快速扑火并守护银行互联网资产的故事。

在解决银行APP这个单点问题后，更重要的任务来了。

“咱们还有哪些互联网资产？”Lewis问。

“没有完整统计过，单是已知的公网IP、域名、网址URL这些就非常多”银行运维人员。

时间紧任务重，一场互联网资产的全面排查迫在眉睫。

银行所有人员严阵以待，资产管理人员、攻防对抗人员、业务相关部门都联动来做处置和排查。

腾讯这边，Lewis、Archer和其他的安全专家兵分几路，进一步接入和跑动腾讯安全威胁情报中心TIX的能力。

对于客户已知的互联网资产，如公网IP、域名/子域名、网址URL等，在授权的情况下，展开基于网站和漏洞的监测，保障不再出现DNS攻击、暴力破解、零日漏洞利用、APT攻击等多种网络攻击，有效防止信息泄露、网站仿冒、黑灰产攻击等安全事件的发生。

对客户的未知的互联网资产，开展基于攻击者视角的暴露面测绘，发现客户暴露在外部的IP、域名、端口、组件、服务、APP、API等资产，研判出其中存在的敏感服务、违规资产、影子资产、仿冒资产等脆弱性资产，进行处置修复，收敛攻击面。

                                                                                                  （腾讯安全威胁情报中心TIX-攻击面管理功能场景）

在安全专家采访沟通的过程中，小编问到这次事件的攻击发起者是怎样的人。

“准确地说，是成熟的黑产团队，他们设定无差别攻击，重点针对各种金融机构和公司”Anabel认真解释到。

“这次攻击者利用跳板机和Tor匿名网络隐藏身份进行撞库攻击，同时，混在正常流量中传输敏感数据到境外网站，使得数据泄漏来源难以被追查，这给我们带来了一定的破解难度。当然，这类黑产的花招还有更多。”

黑产的偷袭不会停止，而抗击黑产的战火也永不会熄。

从需求响应，到分析研判、处置修复、再到资产全面排查、对接资产管理和安全运营，两边团队前后只用时三四天，高质量保障在大型重保前做好问题排查和资产梳理。这既得益于团队多年的黑灰产对抗经验，以及以及和国有大行、股份制商业银行、头部券商等金融行业大客户服务的经验基础，腾讯安全威胁情报中心TIX也在这次事件中发挥了至关重要的作用。

作为企业安全防御“化被动为主动”的利器，威胁情报可以帮助企业及时调整防御策略，提前预知攻击的发生，从而实现较为精准的动态防御。金融行业一直以来面临着较为严重的钓鱼欺诈、数据泄漏等网络安全威胁，并且存在着威胁发现及处置能力不足，安全运营工作智能化、可视化程度较低等问题，亟需检测、分析、响应三位一体的威胁情报产品，以构建更加完善的安全防御体系。

腾讯安全威胁情报中心TIX集成基础情报、攻击面管理、业务情报三大情报能力，为客户打造“三位一体”一站式情报服务；并通过独创的标签体系贯穿所有情报主体（IOC、安全事件、APT、证书等），提供清晰的关联关系与标签字典，提升客户对于情报的信息获取效率；并提供全面的资产探测和精准漏洞测绘，从攻击者视角梳理企业资产并收敛攻击面。为银行、保险、基金、金融互联网等金融机构，以及科技、安全等核心关键产业客户提供能力服务。

在我们刚刚做完这场救火行动的同时，网络世界里的黑色攻击已重新暗潮涌动。

腾讯安全专家们和威胁情报中心TIX正如情报员与雷达，肃立探测着战火里的情报信息。

对“攻击面管理”感兴趣的企业和朋友，欢迎扫码咨询腾讯安全专家：