Wednesday, April 02, 2008

Detection, Response, and Forensics Article in CSO

I wrote an article for CSO Online titled Computer Incident Detection, Response, and Forensics. It's online now, and it should appear in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next print edition as well. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article:

2008 is a special year for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital security community. Twenty years have passed since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Morris Worm brought computer security to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attention of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wider public, followed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 formation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Computer Emergency Team/Coordination Center (CERT/CC) to help organizations detect, prevent and respond to security incidents. Ten years have passed since members of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 L0pht security research group told Congress cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could disable cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet in 30 minutes. Five years have passed since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SQL Slammer worm, which was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 high point of automated, mindless malware. The Internet, and digital security, have certainly changed during this period.

The only constant, however, is exploitation. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last twenty years intruders have made unauthorized access to corporate, educational, government, and military systems a routine occurrence. During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last ten years structured threats have shifted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir focus from targets of opportunity (any exposed and/or vulnerable asset) to targets of interest (specific high-value assets). The last five years have shown that no one is safe, with attackers exploiting client-side vulnerabilities to construct massive botnets while pillaging servers via business logic flaws.


Read more here.

2 comments:

H. Carvey said...

Excellent article! I fully agree with most of your points, particularly regarding incident response and forensics, albeit for reasons different than those presented in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article.

Case in point...customer calls with regards to an intrusion, and reports that one system in particular was found sending traffic off of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure, to an IP address out "on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet". Prior to calling for assistance, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system was disconnected from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network and rebooted. No volatile data was preserved, nor was any actual network traffic captured.

The customer's question was, "What was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system sending out?"

Anonymous said...

With regard to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data center comment...I share your idealogical view on this, many data centers run VMs for that reason. Redundancy and some type of quasi-security to mention a few reasons. Push cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reset button and drive on - few care about prosecution – it costs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m time and money. I like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of forensic examination of virtual machines and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir “file systems” in this case.

The strategy of “pulling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plug” is not a discredited process in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “forensic” community. With regard to intrusion cases and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 like, yes, you would be correct in my opinion – “memory” is where it's at. With regard to “every day” child pornography cases, no, you would not be correct in my opinion. Unfortunately, attorneys and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 like take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se (your) words literally and like to through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 face of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 average gum shoe forensic investigator. Though what you say may be considered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “best practice” when performing digital forensic investigations (in many cases), your sentiments have been echoed throughout some forensic communities without regard to case specifics. I point this out simply because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re needs to be a bit more responsibility with regard to broad brush classifications within this field, like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 statement within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article. Many interpret this to mean that pulling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plug is not acceptable and should not, could not and never shall be utilized in forensic related investigations, all without distinction.

For many years, security professionals and vendors, such as Technology Pathways (ProDiscover) and Guidance Software (EnCase) have been saying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same thing with regard to live preview and capture of information - not a particularly new view. Forensic imaging should never have been referred to as a "bit for bit copy" since it was never an accurate depiction of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation - technically speaking. This was a term devised due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "dumbing" down of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 matter at hand for juries and specifically judges. This was done in an effort to assist cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m with comprehension, while being used as a sales term to gain confidence with law enforcement. Juries now demand perfection in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se cases and settle for little less - regardless of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insurmountable evidence ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise presented.

Forensics has become a term that must be used racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r carefully in todays digital climate. If we are not specific with our wording and we don't soon accept that judges, prosecutors, district attorneys and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 like - not to mention juries - are NOT tech savvy, forensics will be in serious trouble. Those in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 justice system are only seeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning of what could very well be end of "forensics" as we have been taught – good, bad or indifferent.

The point I am attempting to make here is simply this. You, I and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs within this field need to educate those needing educated with regard to terminology, ideology and accepted practices with a concentration on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “prize” or goal – not necessarily cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 methodology. Most areas within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security field are still considered “black magic” and “Voodoo” by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 average “joe” and need to be addressed accordingly.

With great respect and regards,

MC. Taylor