04 June, 2012

A Practical Example of Non-technical Indicators and Incident Response

Once upon a time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was a network security analyst slash NSM engineer who, like any sane person, ran full packet capture, IDS/IPS, session capture, and passive fingerprinting inline at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ingress/egress of his home network. His setup was most similar to diagram two in IDS/IPS Placement on Home Network.

This security analyst was casually going about his business one day when he opened cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basement door of his house and found a tennis ball wedged between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 door frame and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 storm door. “That’s odd!” he thought. “Who would do that?”

After removing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tennis ball, he thought, “Well, this storm door is really loud when it closes those last few inches. Maybe someone did it to quietly enter or exit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 house.” It just so happens that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 daughter of said analyst was in high school and her bedroom was down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hall from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basement door. He promptly entered her room and took a quick look around. Lo and behold, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screen from her window was under her bed and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window itself was unlocked. Since this room was on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground floor, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst immediately had some good ideas about what was happening with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basement door. Someone was sneaking in or out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 house!

The analyst confronted his teenage daughter when she got home from school and received denial after denial about any possible wrongdoing. The denials did not sound sincere.

Enter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network security monitoring. He stated, “I told you I would respect your privacy with your email and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r electronic communications unless you gave me a reason not to. I consider you in violation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se Terms of Service and I’m going to see what you’ve been up to lately.”

At this point it was late in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evening and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst had to get up early for work. This was some years back when AIM was quite common, so he briefly used Sguil to look at recent sessions of AOL Instant Messenger traffic. He decided to get some sleep for work cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next day and put off additional investigation. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 meantime, his daughter's privileges were highly restricted.

A day or two later, after trying to manually sift through some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ASCII transcripts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet captures cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst quickly decided cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was a better way. He whipped up a short shell script to loop through all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet captures, run Dug Song’s msgsnarf, and pipe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output into an HTML file for later examination. This required a little tweaking to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HTML easily readable, but it was fairly quick to write and test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script.
The next morning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were many hundreds of lines of AIM conversations to examine. He started working from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most recent and reading backwards. After a few minutes he quickly confirmed that his daughter had been sneaking out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 house to go to parties and get into ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r mischief.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r conversation with his daughter finally led to her confession, a long discussion, and suitable punishment. Despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 severity of her actions, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HTML file containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chat transcripts also contained a few endearing nuggets.

Daughter: OMG cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y know everything!
Accomplice: what do u mean everything
Daughter: my dad can read all my chats
Daughter: he does computer security for [company redacted]
Daughter: he’s a computer genius
Daughter: DAD I’M INNOCENT!

Upon telling this story to a current colleague, he mentioned that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last few lines are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best facá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r’s day gift cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst would ever receive.

I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a few obvious lessons here that can translate to network monitoring.

First, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial indicator of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem was in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 physical world. Network security monitoring or any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r type of technical monitoring and prevention will fail. I have experienced many times when phone calls from users have been one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 earliest indicators of malicious activity. Particularly in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of insider threats, it's important to note that many initial indicators of malicious activity are non-technical, like a person's behavior, personnel action, or in this case a physical indicator of a security problem.

Second, sometimes you need to be flexible to solve a problem quickly and with minimal effort. The analyst could have manually looked at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AIM traffic, but because he judged that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat of anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r incident was already mitigated by talking to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 daughter, digging up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic wasn’t urgent. Instead, The analyst decided to write cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script that would pull all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic and convert it to a readable format. The analyst also had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 luxury of knowing that all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet captures would still be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re since his home bandwidth at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time meant well more than 30 days of pcap storage.

Third, network monitoring is a means to an end. In this case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was a security problem that could be addressed with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 help of technical means. In many obvious cases you are trying to protect data. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cases, you can be trying to protect people or things in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 physical world that could be harmed if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong information is revealed. It is important to stay focused on what really matters and not get caught worrying about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong things because your instrumentation or technologies push you towards priorities that don’t make sense.

Last, attackers are not static. The daughter definitely learned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of encryption and even using out-of-band communication in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form of SMS over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phone network if she did not want cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network sensor recording her conversations in plain text. Technology advancement also makes attackers evolve, for instance with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 move to Facebook chat or SMS from older forms of IM.

No comments:

Post a Comment