Wednesday, April 18, 2007

Fight to Your Strengths

Recently I mentioned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 History Channel show Dogfights. One episode described air combat between fast, well-turning, lightly-armored-and-gunned Japanese Zeroes and slower, poor-turning, heavily-armored-and-gunned American F6F Hellcats. The Marine Top Gun instructor/commentator noted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Hellcat could beat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Zero was to fight to its strengths and not fight cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of battle cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Zero would prefer. Often this meant head-to-head confrontations where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Hellcat's superior armor and guns would outlast and pummel cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Zero.

When I studied American Kenpo in San Antonio, TX, my instructor Curtis Abernathy expressed similar sentiments. He said "Make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opponent fight your fight. Don't try to out-punch a boxer. Don't try to out-kick a kicker. Don't try to wrestle a grappler." And so on.

I thought about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se concepts today waiting in anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r airport. I wondered what sorts of strengths network defenders might have, and if we could try forcing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary into fighting our fight and not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365irs.

Here are some preliminary thoughts on strengths network defenders might have, and how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can work against intruders.

  • Knowledge of assets: An intruder pursuing a targeted, server-side attack will often try to locate a poorly-configured asset. The act of conducting reconnaissance to locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se assets results in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opponent fighting your fight -- if you and/or your defensive systems possess situational awareness. It is not normal for remote hosts to sweep address space for active hosts or individual hosts for listening services. Defenders who manually or automatically take defensive actions when observing such actions can implement blocks that will at least frustrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 observed source IP.

  • Knowledge of normal behavior: An intruder who compromises an asset will try to maintain control of that asset. This may take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form of an outbound IRC-based command-and-control channel, an inbound or outbound encrypted channel, or many ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r variations. To cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extend that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder does not use a C&C channel that looks like normal behavior for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder is fighting your fight. Whenever you constrain network traffic by blocking, application-aware proxying, and throttling, you force cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder into using lanes of control that you should architect for maximum policy enforcement and visibility.

  • Diversity: Targets running Windows systems or PHP-enabled Web applications are much more likely to be compromised and manipulated by intruders. Attack tools and exploits for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se platforms are plentiful and well-understood by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy. If you present a different look to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder, you are making him fight your fight. An intruder who discovers a target running an unknown application on an unfamiliar OS is, at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very least, going to spend some time researching and probing that target for vulnerabilities. If you possess situational awareness, diversity buys time for defensive actions.

  • Situational awareness: A well-instrumented network will possess greater knowledge of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 battlespace than an intruder. A network architected and operated with visibility in mind provides greater information on activity than one without access to network traffic. Unless cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder implements his own measures to expand his visibility (compromising a switch to enable a SPAN port, controlling a router, etc.), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defender will know more about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of an attack than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder. Of course, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder will have absolute knowledge of his activities because he is executing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, possibly via an encrypted channel.


These are some initial ideas recorded in an airport. I may augment cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m as time permits.

Notice that if you don't know your assets or normal behavior, if you run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same vanilla systems as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world, and you don't pay attention to network activity, you have zero strengths in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fight beyond (hopefully) properly configured assets. We all have those, right?

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of involving myself in a silly debate, I'd like to briefly mention how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se factors affect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 decision to run OpenSSH on a nonstandard port. Apparently several people with a lot of free time have been vigorously arguing that "security through obscurity" is bad in all its forms, period. I don't think any rational security professional would argue that relying only upon security through obscurity is a sound security policy. However, integrating security through obscurity with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r measures can help force an intruder to fight your fight. Here's an example.

I'm sure you've seen many brute force login attacks against OpenSSH services over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past year or two years. I finally decided I'd seen enough of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se on my systems, so I moved sshd to nonstandard ports. Is that security through obscurity? Probably. Have I seen any more brute force attacks against sshd since changing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 port? Nope. As far as I'm concerned, a defensive maneuver that took literally 5 seconds per server has been well worth it. My logs are not filling with records of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se attacks. I can concentrate on ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r issues.

Now, what happens if someone really takes an interest in one or more of my servers? In order to find sshd, he needs to port scan all 65535 TCP ports. That activity is going to make him fight my fight, because scanning is way outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 normal profile for activity involving my servers. Will he eventually find sshd? Yes, unless my systems automatically detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scan and block it. Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re ways to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder's ability to connect to sshd even more difficult? Sure -- take a look at Mike Rash's Single Packet Authorization implementations. The bottom line is that a defensive action which cost me virtually nothing has increased cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of work cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder must perform to attack sshd.

If I knew my action to change sshd's port could be discovered by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder with minimal effort (perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have visibility of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 change via illicit monitoring) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n obscurity has been lost and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 change is not worthwhile.

As a final thought, it's paramount to consider cost when making security decisions. If altering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sshd port had required buying new software licenses, hardware, personnel training, etc., it would not have been worth cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effort.

I would be interested in hearing your thoughts on ways to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder to fight your fight. These are all strictly defensive measures, since offense is usually beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rules for most of us.

9 comments:

Anonymous said...

I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re might be some typos in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last couple sentences in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last bullet point, "Situational awareness".

"Unless cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder implements his own measures to expand his visibility (compromising a switch to enable a SPAN port, controlling a router, etc.), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defender will know more about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of an attack than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defender. Of course, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defender will have absolute knowledge of his activities because he is executing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, possibly via an encrypted channel."

Is this what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were supposed to say?

"Unless cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder implements his own measures to expand his visibility (compromising a switch to enable a SPAN port, controlling a router, etc.), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defender will know more about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of an attack than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 INTRUDER. Of course, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 INTRUDER will have absolute knowledge of his activities because he is executing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, possibly via an encrypted channel."

David said...

All four of your strengths come back to a single central concept: good design. A well designed network, security, and systems architecture will give you knowledge of your assets, knowledge of what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y should and should not be doing, diversity, and situational awareness. It will also give you cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools to best use those strengths.

Design also gives you a fifth strength - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people who work with, build, and maintain those systems will also better understand how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y interoperate and why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security design is laid out as it is. That gives a second line of defense beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security analyst, and that depth can detect attacks and exceptions that an analyst misses. Perhaps more importantly, if means that your entire IT organization is part of your security effort.

As for changing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 port for SSH - my belief is that at times we get so hung up on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tags - "security by obscurity" that we cease to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 valid strategies that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can cover. Simply because we denigrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people who rely solely on it doesn't mean that it isn't part of a valid defensive scheme.

Moving a known, often attacked or exploited service to a non-standard port isn't just security by obscurity though. It is a useful defense against simple minded, automated exploits. That's a valid strategic decision in my book, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy who only strikes at known assets can't hit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m if he doesn't know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. Until automated brute force utilities advance to include full range port scans and service finger printing, it makes sense. I consistently recommend moving any well known service that is frequently attacked, and which can be shifted within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization. Oracle, MySQL, and SSH are all good places to start - low hanging fruit, to say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 least. This move often stops worms from spreading inside of organizations.

As you pointed out, once you cut out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 noise, you can focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks that actually have some intelligence behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. That gives you more power - you can focus your resources and you're more likely to recognize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real threats.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past, I've also done things as simple as change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 response from a web server to defeat automated scanners. Why look like an attractive vulnerable IIS server when you can look like something a lot more obscure when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 automated probe looks at you? A simple change can cause some automated probes to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong exploits on your server, or to ignore it entirely - you're just exploiting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir vulnerability to being told a simple mistruth. You usually can't change your web services port for public exposure, but you can change how your attackers see you!

Unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re isn't a way to make your systems look scary enough to make attackers run away...

Anonymous said...

Regarding taking action based on reconnaissance, what if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target of constant reconnaissance? Large companies like MS and IBM, along with .mil and .gov, all come to mind. Is it realistic to take action once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 volume of reconnaissance gets above some threshold? I'm not sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefits are worth cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effort, but I'm certainly willing to be convinced ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise.

Tomas said...

Would it be possible to let a firewall or inline IDS automatically block incoming ssh traffic to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default port and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n make ssh communication going out using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default port appear to be using a different port?

http://deeptrust.blogspot.com

Anonymous said...

I think moving SSH to a different port is an excellent approach! This will help eliminate 99% of attacks because most attacks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se days are eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r automated, or someone looking for a quick hack. This helps to profile attackers by categorizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m into eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Bot Herders/Spammers or hackers who want some specific data that is stored on your server. Bot Herders aren't going to take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extra time/effort to compromise a box unless it's an easy hack.

Richard Bejtlich said...

Nitpicker -- thanks a LOT. I exchanged cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 terms like you said.

Unknown said...

Just as a possible additional source for this train of thought, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Art of War in multiple places talks about playing to your strengths as much as possible and not advancing into formations or territory favorable to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy...

And yes, that particular silly argument you mention makes kittens cry...I think people just have very fundamental differences in how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y view, define, and *need* security in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir orgs. It's not wrong until someone won't accept only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own view and nothing else... Security and IT are so varied that even as logical as our field is, it is still full of creativity and subjectivity in solving problems in a myriad different ways.

Richard Bejtlich said...

Note Mike Rash's post.

H. Carvey said...

Richard,

Notice that if you don't know your assets or normal behavior, if you run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same vanilla systems as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world, and you don't pay attention to network activity, you have zero strengths in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fight beyond (hopefully) properly configured assets.

Since I've worked in infosec consulting (starting with vulnerability assessments and pen tests, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n moving into IR/CF investigations), most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 folks I've encountered DO NOT have any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se strenghts.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 words of Metallica..."sad, but true". Wait...is that copyrighted? ;-)