Tuesday, July 26, 2005

Human Error Results in Being 0wn3d

Bill Brenner's article in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 July 2005 Information Security magazine clued me in to a press release by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Computing Technology Industry Association (CompTIA). They announced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir third annual CompTIA Study on IT Security and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Workforce. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 press release:

"Human error, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r alone or in combination with a technical malfunction, was blamed for four out of every five IT security breaches (79.3 percent), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 study found. That figure is not statistically different from last year."

This study and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2004 edition appear to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r reports that claim 80% of security breaches are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of human error. Note cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CompTIA study says "Human error, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r alone or in combination with a technical malfunction," is to blame.

Nevercá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365less, I am not surprised by this figure. I rarely perform an incident response for an organization that is beaten by a zero day exploit in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hands of an uber 31337 h@x0r. In most cases someone poorly configures a server, or doesn't patch it, or makes an honest mistake. The fact is many IT systems are complicated, and none are getting simpler. Administrators have too many responsibilities and too few resources. They are often directed by managers who have decided to weigh "business realities" more important than security. The enterprise is not running a defensible network architecture and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of network awareness is marginal or nonexistent. No network security or host integrity monitoring is done.

In such an environment, it is easy to see how a lapse in a firewall rule, a misapplied patch, or an incorrect application setting can provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 foothold a worm or attacker needs.

So what is my answer? No amount of preventative measures will ever stop all intrusions. I recommend applying as much protection as your resources will allow, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n monitor everywhere you can. If your monitoring doesn't help you identify a policy failure and/or intrusion, it will at least provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence needed to remediate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n better prevent and/or detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future.

Update: I found this Infonetics Research press release that stated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

"In Infonetics Research’s latest study, The Costs of Enterprise Downtime, North American Vertical Markets 2005, 230 companies with more than 1,000 employees each from five vertical markets—finance, healthcare, transportation/logistics, manufacturing, and retail—were surveyed about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir network downtime...

'The finance and manufacturing verticals are bleeding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 average financial institution experiencing 1,180 hours of downtime per year, costing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m 16% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir annual revenue, or $222 million, and manufacturers are losing an average of 9% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir annual revenue,' said Jeff Wilson, principal analyst of Infonetics Research and author of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 study...

Human error is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cause of at least a fifth of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 downtime costs for all five verticals, and almost a third for financial institutions; this can only be fixed by adding and improving IT processes...

Security downtime is not a major issue anywhere, though it reaches 8% of costs within financial organizations."

4 comments:

Anonymous said...

Richard,

I rarely perform an incident response for an organization that is beaten by a zero day exploit in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hands of an uber 31337 h@x0r.

Go figure. With all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talk floating around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'Net about things that could happen, it's nice to see someone posting what actually does happen. With too few resources, sometimes system admins will blame issues on rootkits and uberhaxors, simply b/c cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time or skills to determine what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root cause really is.

Administrators have too many responsibilities and too few resources.

Amen to that!

...it will at least provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence needed...

It's too bad that remediation and prevention doesn't seem to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "business reality" that many IT managers are pushing. More often than not, it seems that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT manager is asking why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 box isn't back in production, so sysadmins are left to reinstall cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system from clean media and backup.

I have to say that I'm not sure if throwing protections in place and monitoring everything is really cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way to go. For example, throwing A/V and/or IPS products on systems, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n monitoring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, may sound like a good step to take, but what happens when all of that new code is introduced to a production system? How much more difficult is troubleshooting going to be for a sys admin crew that is already behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 power curve, now that new software is introduced into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mix?

When I was interviewing at a small financial services company, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y asked me what my first question would be on my first day, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y offered me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job. I told cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m that I'd want a network diagram...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se folks were small, about 300 users at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time. Well, on my first day, I asked my question...and was told that it was now my job to make one.

My point with all this is that racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than adding complexity by "applying as much protection as your resources will allow", perhaps a better approach would be to take a well-planned, phased approach toward simplicity. Start by taking an inventory, getting a picture of what you have and where it is. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, map out your services and applications. Yes, I know it's extra work, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are consulting companies out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re that can help.

Ultimately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extra work will be worth it, b/c cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you can put your protections in place, and what you see when you monitor will be meaningful.

H. Carvey
"Windows Forensics and Incident Recovery"
http://www.windows-ir.com
http://windowsir.blogspot.com

Richard Bejtlich said...

Hi Harlan,

I've seen your thread on anti-virus on Web servers over on your blog. I agree with you about that. I should have been more specific, perhaps saying "appropriate protection." Defense-in-depth is more of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea I had, and less running three personal firewalls because three "must be" better than two or one!

Anonymous said...

Harlan -

I am happy to see your comments here, as I am giving a talk on "Security Triage" at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Nebraska Cert Con about this very topic.

Reading your thoughts here, and comparing it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slides I have prepared, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y sync up to a great degree. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talk, I try to cover steps administrators can take to secure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir network when security is just anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r task on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir plate. (Often times, not nearly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most important task from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir manager's POV.)

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talk, one of my main points is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best thing a administrator can do it get to know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir network and systems in as most intimate a way possible. Know and document items like running process, normal network consumption, open ports, services provided, etc. I have ran into many networks that don't have that basic level of knowledge of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir systems.

I want to be able to ask someone "What process run on server X?" and get a known good config. Only with that base line knowledge will we ever know if everything is "OK".

Anonymous said...
This comment has been removed by a blog administrator.