检测与响应的实战——百度事件8小时

背景：

2月28日夜，火绒安全实验室收到大量用户反映从百度旗下两个网站skycn.net和 soft.hao123.com下载的软件被植入了恶意代码。火绒随后发布报告称，在该网站上下载任何软件时，都会被植入恶意代码。该恶意代码进入电脑后，会通过加载驱动等各种手段防止被卸载，进而长期潜伏，并随时可以被“云端”远程操控，用来劫持导航站、电商网站、广告联盟等各种流量。此事件一出，瞬间吸引了各大企业信息安全团队反思：

1. 我们的信息系统是否也受到了影响？

2. 我们应该怎样进行响应？

新时代的安全痛点与变革：

从全球安全实践来看，建立和维护一个以防护为核心，将100%防护，即零失陷作为终极目标的安全体系，在网络攻击高度组织化、定向化的今天，已被证明是不适应外部威胁形势发展的安全目标。管理企业网络安全的理念正在发生变革。

Gartner在报告中预测，到2020年，企业系统将处于持续被攻陷的状态，无法有效的防止高级针对性攻击在信息系统中的持续存在。为了有效地应对挑战，首席信息安全官们（CISO）就需要快速适应信息安全管理理念的变革，那就是将传统安全投入只注重防护”Prevent”，不断向检测、响应、预测和持续监控转移，实现动态适应。只有化被动安全为主动安全，才能及时检测正在发生的威胁，甚至预测即将发生的威胁，快速地响应将成为安全团队新的聚焦点。再从我国十三五网络信息安全规划上来看，网络安全监测预警和应急处置已经成为信息安全的重要发展方向之一。所以，新形式下的信息安全解决方案，将围绕检测与响应这两个关键维度来展开。

从被攻陷到处置的耗时，是衡量最高级别威胁处置效率的指标

平均检测时间（MTTD）和平均响应时间（MTTR）作为两个衡量企业安全能力的关键指标，已经被更多企业采纳。 MTTD是企业识别出影响公司的威胁所需的平均时间。这些威胁表现出实际的风险，需要进一步的分析和响应工作来验证。 MTTR是企业完全分析威胁并控制和解除威胁所需的平均时间。

那么这两个指标如何计算？MTTD可被计为企业信息环境中第一次证明（收集到的）的威胁到其真正被安全团队发现的这段时间。MTTR可被计为从威胁被检测确认到最终锁定存在风险或解除风险的这段时间。根据2016年FireEye（火眼）公司发布的报告，企业从被攻陷到发现的平均时间（MTTD）是146天。而平均MTTR是30天。

有了新的标准后，如何实施呢？不难看出，降低MTTD和MTTR必须建立有效的威胁检测和响应生命周期。 而在这个检测与响应的每个阶段，能够以威胁情报驱动，并不断优化每个阶段的安全操作流程有效性的公司可以实现MTTD和MTTR的显着改进。

图：LogRhythm; Surfacing CriticalCyber ThreatsThrough SecurityIntelligence

落地实践案例：应对本次百度事件8小时响应过程

以下事件发生于2017年3月1日8:00AM至5:30PM。这不是沙盘演练，而是威胁情报驱动的真实安全事件应急响应……

2017年3月1日

· 8:00AM：微步在线的某行业客户信息安全团队启动了对此安全事件的应急响应流程。

· 9:00AM: 客户在办公网防护设备验证，发现与该事件相关的阻断告警和未阻断告警。

· 9:15AM：客户联合微步在线高级威胁分析师团队，提取针对性的威胁攻陷指标（IOC）更新。

· 10:30AM：客户将微步在线情报与现有下一代防火墙(NGFW)日志发现，NGFW自身的威胁情报漏报关键远控服务器(C&C)，需要找出漏报的部分并更新策略拦截。

· 11:00AM：客户授权微步在线高级分析师介入进行专项调查、评估攻陷范围和进行影响性分析。

· 12:35PM：微步在线第一批威胁攻陷指标（IOC）生成，并推送至客户进行高级应急响应。具体IOC请见附录。

· 1:00PM：客户评估命中微步第一批威胁攻陷指标（IOC）与NGFW自身告警的比例和影响大小。

· 2:00:PM：微步在线第一批威胁攻陷指标（IOC）在客户使用的新一代防火墙（NGFW）设备中开启自动阻断。

· 3:35PM：微步在线第二批威胁攻陷指标（IOC）生成并推送至客户，推送后客户继续进行漏报和影响分析。

· 4:00PM：微步在线第二批威胁攻陷指标（IOC）在客户NGFW设备中开启自动阻断。

· 4:00PM后，客户陆续在分支机构上网行为管理设备上添加了基于微步情报的策略，完成了全网的自动阻断。

· 5:30PM：客户邀请微步在线高级分析师进行攻击目的判断，并确认本次攻击是否具备定向攻击属性，并将不同的IOC域名映射到Cyber Kill Chain的阶段。微步在线高级威胁分析师结合自动化溯源分析判定本次事件中的IOC对应攻击投放和远程控制阶段的攻击行为。

总结：在本次事件中，客户企业借助微步在线IOC，在爆发后全面清查漏报的威胁，威胁响应时间(MTTR)：8个小时。对比全球的MTTD—146天，MTTR—30天。该企业本次检测和响应速度远超业内平均水平。

后续

2017年，威胁情报已经进入落地应用的高峰期，威胁情报中心，SIEM/SOC，下一代防火墙等都是能够与之结合的有效方式。以情报驱动的安全解决方案正是网络安全的大势所趋，未来一定能帮助更多客户解决以更高的效率解决安全问题。

附录：百度事件IOC

ccbaeaabae.dl.123juzi.net

log.123juzi.net

dgbaedgahhd.update.123juzi.net

edcchegfehd.update.123juzi.net

www.123juzi.net

dl.123juzi.net

update.123juzi.net

efbghfedchb.update.123juzi.net

upload.123juzi.net

log.qyllq.com

upload.qyllq.com

soft.qyllq.com

api.qyllq.com

dl.qyllq.com

update.qyllq.com

www.qyllq.com

qyllq.net

dl.qyllq.net

d.qyllq.net

update.qyllq.net

www.qyllq.net

upload.qyllq.net

log.qyllq.net

api.qyllq.net

tongji.juzi1234567.com

countly.123juzi.com

monitor.m.123juzi.com

service.123juzi.com

soft.123juzi.com

api. mybrowser360.com

update. mybrowser360.com

log. mybrowser360.com

参考文献：

1. LogRhythm; Surfacing CriticalCyber Threats Through SecurityIntelligence

2. M-trends 2016:

https://www.fireeye.com/current-threats/annual-threat-report/mtrends.html

3. 本案例已经过客户授权发布。