Wednesday, February 06, 2008

NSM at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Endpoint

For many years I've advocated Network Security Monitoring (NSM) as a powerful way to improve digital situational awareness in an independent, self-reliant, and cost-effective manner. NSM relies on watching network traffic to identify suspicious and malicious activity, which prompts incident response and remediation activities. An underlying assumption is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset of interest is using a network you own and have adequately instrumented.

What do you do if you do not own cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network?

Consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following situation. First, a company laptop is connected via wired Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company LAN. Here, traffic from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 laptop out to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet can be assumed to traverse a link monitored by a NSM sensor. No problem.

Second, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user moves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 laptop outdoors, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link switches to using a company WLAN. Here, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 laptop out to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet eventually reaches cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same wired link used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first scenario, and hence is monitored by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same NSM sensor. Again, no problem.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user moves outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reach of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company WLAN. Her laptop transitions to using an EVDO card or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r metropolitan wireless network not operated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company. Suddenly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network traffic generated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 laptop is invisible to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSM sensor.

In a fourth case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user moves home and uses her home network connection to access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same problem as case number 3. If you think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 using a VPN client that prevents split tunnels will solve this problem, what do you when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 laptop is connected to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 home LAN but not yet connected to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company via VPN?

Clearly a large and definitely growing amount of network time is outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reach of network-based sensors. I would personally still find network traffic generated by a compromised host to be extremely useful, regardless of how that host connects to any network. One option I pitched to NetWitness yesterday was to deploy a software agent to a suspected compromised system for purposes of collecting and storing network traffic to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim hard drive.

In this model, once an asset has been identified as requiring additional monitoring, an agent is eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r pushed or activated that begins collection and retention. Periodically cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agent reports summaries (probably session data) to a central server, and an analyst can decide what traffic should be fully retrieved for analysis. This approach has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefit (some would say drawback, but whatever) of intercepting encrypted traffic as well. Remember, this is for an intrusion investigation. I am not a fraud/waste/abuse (FWA) investigator or privacy violator!

Of course you cannot really trust anything an endpoint does or reports once it has been compromised, but I am looking for an improvement over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current situation. The current situation is complete blindness in cases where instrumentation is lacking.

I believe at some point we will see malware that detects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various network access technologies available to a victim, and makes a choice as directed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corporate LAN is too difficult for extrusion purposes, switch to a lesser controlled network -- like an EVDO connection.

If anyone knows of a product which offers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability to remotely capture network traffic via pushing an agent, please let me know via comment. Incidentally, I am aware of Rpcap and similar technologies. Thank you.

4 comments:

Anonymous said...

You might want to look at Vontu's Network DLP solution. It is agent-based and will continue to monitor network traffic even when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device is offline. It will report back up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device is connected to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company network. I actually use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 product to deal with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenarios you described.

Anonymous said...

Richard,

I have heard that Oakley http://www.oakleynetworks.com, now part of Raycá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365on, does this at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS and Application Level and according to at least one source also at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Network Level. Perhaps one of your readers can provide additional context on how this might work in more technical detail.

I have a similar problem I'm trying to solve on very large scale (similar to yours I'm sure) so I'll watch this carefully for responses indicating existing and proposed solutions.

R

Anonymous said...

There is a product called netscout we used for application testing at my last job. It has remote agents that can do captures to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 local disk - that can later be retrieved. We used it for application profiling, but I don't see why it couldn't be used for NSM.

Anonymous said...

If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goal is to identify suspicious and malicious activity, which prompts incident response and remediation activities - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n protecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 laptop with Host Intrusion Defense would be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best option. The Third Brigade Deep Security product enables security profiles to be applied to each network interface in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 laptop /server enabling stricter security postures to be adopted for wireless connections. This is ideal for mobile users access wireless hotspots in hotels, Starbucks, etc.
Host Intrusion Defense solutions typically include Firewall, IDS/IPS capabilities that protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system from attacks. The one ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r recommendation I would offer is full disk encryption of mobile users.

Hope this helps.