Wednesday, March 19, 2008

Ten Themes from Recent Conferences

I blogged recently about various conferences I've attended. I considered what I had seen and found ten cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mes to describe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of affairs and some general strategies for digital defense. Your enterprise has to be of a certain size and complexity for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se items to hold true. For example, I do not expect item one to hold true for my lab network since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user base, number of assets, and nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assets is so small. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, I heavily instrument cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lab (that's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purpose of it) so I am less likely to suffer item one. Still, organizations that use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir network for business purposes (i.e., cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network is not an end unto itself) will probably find common ground in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mes.

  1. Permanent compromise is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 norm, so accept it. I used to think digital defense was a cycle involving resist -> detect -> respond -> recover. Between recover and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next attack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re would be a period where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise could be considered "clean." I've learned now that all enterprises remain "dirty" to some degree, unless massive and cost-prohibitive resources are directed at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem.

  2. We can not stop intruders, only raise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir costs. Enterprises stay dirty because we can not stop intruders, but we can make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir lives more difficult. I've heard of some organizations trying to raise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $ per MB that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary must spend in order to exfiltrate/degrade/deny information.‏

  3. Anyone of sufficient size and asset value is being targeted. If you are sufficiently "interesting" but you don't think you are being attacked and compromised, you're not looking closely enough.

  4. Less Enterprise Protection, more Enterprise Defense. We need to think less in terms of raising our arms to block our face while digitally boxing, and more in terms of side-stepping, ducking and weaving, counter-punching, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r dynamic defenses.

  5. Less Prevention, more Detection, Response, Disruption. One of my laws from my books is Prevention eventually fails. Your best bet is to identify intrusions and rapidly contain and frustrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder. You have to balance information gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ring against active responses, but most organizations cannot justify what are essentially intel gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ring operations against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary.

  6. Less Vulnerability Management, more System Integrity Analysis. Vulnerability management is still important, but it's an input metric. We need more output metrics, like SIA. Are all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defenses we institute doing anything useful? SIA can provide some answers.

  7. Less Totality, more Sampling. In security, something is better than nothing. Instead of worrying about determining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trustworthiness of every machine in production, devise statistically valid sample sizes and conduct SIA, tactial traffic assessment, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r evaluation techniques and extrapolate to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 general population.

  8. Less Blacklisting, more Whitelisting. Organizations are waking up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no way to enumerate bad and allow everything else, but it is possible to enumerate good and deny everything else.

  9. Use Infrequency/Rarity to our advantage. If your organization adopts something like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FDCC on your PCs and whitelists applications, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 environment will be fairly homogenous. Many organizations are deciding to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trade-off between diversity/survivability and homogeneity/susceptibility in favor of homogeneity. If you're going down that path, why not spend extra attention on anything that deviates from your core load? Chances are it's unauthorized and potentially malicious.

  10. Use Blue and Red Teams to measure and validate. I've written about this a lot in my blog but I'm seeing ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r organizations adopt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same stance.


Have you adopted any cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mes based on your work or conference attendance?

14 comments:

Anonymous said...

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject of Blacklist/Whitelist, I agree 100%. I have been saying for a while that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is more bad cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n good in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world, so if we are going to enumerate something, lets go with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 smaller item.

There is a reason firewalls are default deny. That needs to be applied to everything.

H. Carvey said...

Great stuff - now we just need someplace where a Dir, InfoSec or CISO can go and translate this into something cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can use.

Also, Less Enterprise Protection, more Enterprise Defense. I have to say, right now I'm not seeing it. Based on incidents I've responded to over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past, say, 2 yrs, my feeling on this is that you can't say that something isn't working and we have to do something else, when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first thing isn't being done right. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 boxer is to tired or clueless to raise his hands to block his face, how are you going to get him to side-step, duck and weave and use dynamic defenses?

Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past year, I've seen more than a couple of intrusions that were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of SQL injection attacks. The intrusions went on for some time before anyone was aware that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was someone else "in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 room". When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim was notified that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue might be SQL injection, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had no idea where to start looking for logs.

If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 boxer's basic instinct isn't going to kick in, how are you going to teach him dynamic defense?

Anonymous said...

Whitelist cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approved apps. That will go a long way -- basically cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first line of defense.

Anonymous said...

Richard,

Do you know of any examples of effective "System Integrity Analysis"?

Richard Bejtlich said...

Joe,

I haven't seen anything formal in this area... it is being done right now by USAF hunter-killer teams though.

Cee said...

Any idea whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FDCC has begun to spill over into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 private sector or is it primarily restricted at this time to federal organizations?

On a related note, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more I learn about what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US government is doing with respect to common desktop configurations and standardizing server security, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more I feel my own organization (a manufacturing company) is really just reinventing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wheel (and not always very effectively).

Richard Bejtlich said...

Chris L, I have heard of some .com's looking at FDCC for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very reason you cite -- why duplicate effort?

Anonymous said...

English, guys, English. Have mercy on us poor everyday web professionals (developers, street level system admin's, etc.) and hold a conference somewhere that ties everything in a package we can take home at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 week, and implement on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spot!

Vic Fichman
http://www.securityevent.net

Anonymous said...

@keydet89 - This looks like a pretty usable list to me! I think a pretty big company could pick those up and use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m as guiding principles for a security strategy, don't you?

@vic - Good site...would be nice to see it expanded to include as many InfoSec events as, say, Homeland Security, etc.

Anonymous said...

@Jim, @Km,

We whitelist at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 datafile level on a per user basis. This provides an effective solution for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 endpoint device issue as device usage is allowable only in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data access request.

Anonymous said...

"Less Totality, more Sampling. In security, something is better than nothing. Instead of worrying about determining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trustworthiness of every machine in production,"

I disagree. Most major breaches have occurred because of oversight involving one machine. The one machine you do not worry about is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one a late night cleaning crew person or security guard will plug a keylogger into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 back of or use to browse infected pornography sites.

Anonymous said...

Nice list. But I think you left cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most important aspect of security out - Personnel. I worked in a health care facility. It was one of 20 nationwide. The IT Director could not tell you what a byte was or what RAM stood for. My co-worker a LAN admin cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re for 10 years was worried about job security. Anyone cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y hired to work with her had "mysterious" issues with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir computer. I got tired of repairing mine so I simply made an image and reimaged it every week or two when she purposely corrupted it. My predecessor suggested installing cameras over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computers! Like that would help. This IT Director and LAN Admin were at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top in charge of network security. In this environment your list would be meaningless. Sad to say but this is not isolated.

Anonymous said...

Hey Richard!

I like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list, esp. #9. Question for you - do you feel like your #10 "Use Blue and Red Teams to measure and validate." is eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r distinctly different or in opposition to MJR saying that "Penetrate and Patch" is a dumb idea?

Anonymous said...
This comment has been removed by a blog administrator.