Wednesday, May 28, 2008

Snort Evasion Vulnerability in Frag3

I saw this Snort news item reporting a "potential evasion in Snort." This should have been listed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 release notes for 2.8.1, which is said to fix cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem. I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original iDefense Labs advisory which credits Silvio Cesare, who probably sold cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability to iDefense Labs. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advisory:

Snort does not properly reassemble fragmented IP packets. When receiving incoming fragments, Snort checks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Time To Live (TTL) value of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fragment, and compares it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TTL of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial fragment. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial fragment and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following fragments is more than a configured amount [5], cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fragments will be silently discard[ed]. This results in valid traffic not being examined and/or filtered by Snort...

Exploitation of this vulnerability allows an attacker to bypass all Snort rules. In order to exploit this vulnerability, an attacker would have to fragment IP packets destined for a targeted host, ensuring that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TTL difference is greater than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 configured maximum.


This is a problem in Frag3, as you can see in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spp_frag3.c diff. The change log mentions it too. You can see a change to README.frag3.

The SecurityFocus BID shows 2.8.0 and 2.6.x as being vulnerable.

iDefense is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only place where I've seen a workaround posted:

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 snort.conf file, set cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ttl_limit configuration value to 255 as shown below.

preprocessor frag3_engine: ttl_limit 255

This will set cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 allowable difference to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 maximum possible value, and prevent fragments from being dropped.

This will probably affect performance, but it's worth it until you can update to 2.8.1.

The National Vulnerability Database points to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r relevant advisories.

The good aspect of this issue is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of transparency offered by Snort being an open source product. We can directly inspect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code to see what has changed and how it was documented.

This bad aspect of this issue is it reminds us not to rely on a single tool for network security monitoring purposes. If we only rely on Snort to "tell us what is bad," we could miss a large amount of activity initiated by a smart intruder who understands this vulnerability.

This problem is an example of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most subtle sort of network security evasion. Now that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability is public, how do we tell if we have been evaded in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past? I imagine it could only be detected by reviewing full content data already captured to disk. TTL values are not captured by default in session data, and statistical data is usually not granular enough eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

However, if a site is capturing full content data, two options arise. The first would be to re-process stored full content data through Snort 2.8.1 to see if any alerts appear that were not triggered in Snort 2.8.0 and earlier. The second is to write a custom analyzer to check TTL values for unusual properties.

In addition to reviewing network data, this issue demonstrates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of non-network data. Host-based logs, application logs, DNS records, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sources could all have pointed to problems that might have been ignored by Snort. Also remember that a decrease in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of security events reported per unit time can be just as significant as an increase in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of events. For example, people always worry when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y see a surge in alerts, or bandwidth usage, and so on. It could be just as important when a large decrease in alerts, or bandwidth, or whatever is observed. In this Snort vulnerability, it would have indicated a potential evasion condition being exploited.

Monday, May 26, 2008

Excellent Schneier Article on Selling Security

Bruce Schneier wrote an excellent article titled How to Sell Security. This is my favorite section:

How does Prospect Theory explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difficulty of selling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prevention of a security breach? It's a choice between a small sure loss -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security product -- and a large risky loss: for example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of an attack on one's network... [A]ll things being equal, buyers would racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chance that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack won't happen than suffer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sure loss that comes from purchasing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security product.

Security sellers know this, even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't understand why, and are continually trying to frame cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir products in positive results. That's why you see slogans with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basic message, "We take care of security so you can focus on your business," or carefully crafted ROI models that demonstrate how profitable a security purchase can be. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se never seem to work. Security is fundamentally a negative sell.

One solution is to stoke fear. Fear is a primal emotion, far older than our ability to calculate trade-offs. And when people are truly scared, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're willing to do almost anything to make that feeling go away...

Though effective, fear mongering is not very ethical. The better solution is not to sell security directly, but to include it as part of a more general product or service... Vendors need to build security into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 products and services that customers actually want. CIOs should include security as an integral part of everything cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y budget for...

Security is inherently about avoiding a negative, so you can never ignore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cognitive bias embedded so deeply in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 human brain. But if you understand it, you have a better chance of overcoming it.


That neatly summarizes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greatest challenge facing our industry. This problem is compounded by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thought that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corporate ladder one rises, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more likely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 manager will "take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chance that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack won't happen." How many of you have listened to CEOs and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r business leaders talk about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to "take risks," "take a big swing," and so on?

I would add that many customers assume that security is already integrated, when it's not. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, many customers assume that incidents happen to "someone else," because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are "special," and never to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

I would be interested in knowing what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk literature says about people who don't put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own assets at risk, but who put ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r's assets at risk -- like financial sector traders. Does Bruce's summary -- all things being equal, we tend to be risk-adverse when it comes to gains and risk-seeking when it comes to losses -- apply when ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r people's assets are being put in jeopardy? (Or is that a universal business problem?)

Friday, May 23, 2008

NSM vs Encrypted Traffic, Plus Virtualization

A blog reader sent me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following question, and prequalified me to post it anonymously.

For reasons of security and compliance, more and more network connections are becoming encrypted. SSL and SSH traffic are on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rise inside our network. As we pat ourselves on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 back for this, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 elephant in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 room stares at me...how are we going to monitor this traffic? It made me wonder if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future of security monitoring will shift to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host. It appears that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host, provided some centrally managed IDS is installed, would inspect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unencrypted traffic and report back to a HSM (host security monitoring) console. Of course, that requires software (ie an agent) on all of our hosts and jeopardizes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trust we have in our NSMs, because "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network doesn't lie".

This is an excellent, common, and difficult question. I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer lies in defining trust boundaries. I've been thinking about this in relation to virtualization. As many of you have probably considered, really nothing about virtualization is new. Once upon a time computers could only run one program at a time for one user. Then programmers added cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to run multiple programs at one time, fooling each application into thinking that it had individual use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer. Soon we had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to log multiple users into one computer, fooling each user into thinking he or she had individual use. Now with virtualization, we're convincing applications or even entire operating systems that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attention of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer.

What does this have to do with NSM? This is where trust boundaries are important. On a single user, multi-application computer, should each app trust cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r? On a multi-user, multi-app computer, should each user trust each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r? On a multi-OS computer, should each OS trust each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r?

If you answer no to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se questions, you assume cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for protection mechanisms. Since prevention eventually fails, you now need mechanisms to monitor for exploitation. The decision where to apply trust boundaries dictates where you place those mechanisms. Do you monitor system calls? Inter-process communication? Traffic between virtual machines on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same physical box? What about traffic in a cluster of systems, or distributed computing in general?

Coming back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 encryption question, you can consider those channels to be like those at any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 earlier levels. If you draw your trust boundary tight enough, you do need a way to monitor encrypted traffic between internal hosts. Your trust boundary has been drawn at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 individual host level, perhaps.

If you loosen your trust boundary, maybe you monitor at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perimeter. If you permit encrypted traffic out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perimeter, you need to man-in-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-middle cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic with a SSL accelerator. If you trust cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 endpoints outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perimeter, you don't need to. People who don't monitor anything implicitly trust everyone, and as a result get and stay owned.

I do think it is important to instrument whatever you can, and that includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host. However, I don't think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host should be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final word on assessing its own integrity. An outside check is required, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network can be a place to do that.

By cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way, this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best method to get an answer from me if you send a question by email. I do not answer questions of a "consulting" nature privately -- I eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r post cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer here or not at all. Thanks for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good question JS.

Response to Is Vulnerability Research Ethical?

One of my favorite sections in Information Security Magazine is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "face-off" between Bruce Schneier and Marcus Ranum. Often cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y agree, but offer different looks at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same issue. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest story, Face-Off: Is vulnerability research ethical?, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are clearly on different sides of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equation.

Bruce sees value in vulnerability research, because he believes that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to break a system is a precondition for designing a more secure system:

[W]hen someone shows me a security design by someone I don't know, my first question is, "What has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 designer broken?" Anyone can design a security system that he cannot break. So when someone announces, "Here's my security system, and I can't break it," your first reaction should be, "Who are you?" If he's someone who has broken dozens of similar systems, his system is worth looking at. If he's never broken anything, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chance is zero that it will be any good.

This is a classic cryptographic mindset. To a certain degree I could agree with it. From my own NSM perspective, a problem I might encounter is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discovery of covert channels. If I don't understand how to evade my own monitoring mechanisms, how am I going to discover when an intruder is taking that action? However, I don't think being a ninja "breaker" makes one a ninja "builder." My "fourth Wise Man," Dr Gene Spafford, agrees in his post What Did You Really Expect?:

[S]omeone with a history of breaking into systems, who had “reformed” and acted as a security consultant, was arrested for new criminal behavior...

Firms that hire “reformed” hackers to audit or guard cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir systems are not acting prudently any more than if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y hired a “reformed” pedophile to babysit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir kids. First of all, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to hack into a system involves a skill set that is not identical to that required to design a secure system or to perform an audit. Considering how weak many systems are, and how many attack tools are available, “hackers” have not necessarily been particularly skilled. (The same is true of “experts” who discover attacks and weaknesses in existing systems and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n publish exploits, by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way — that behavior does not establish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bona fides for real expertise. If anything, it establishes a disregard for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community it endangers.)

More importantly, people who demonstrate a questionable level of trustworthiness and judgement at any point by committing criminal acts present a risk later on...
(emphasis added)

So, in some ways I agree with Bruce, but I think Gene's argument carries more weight. Read his whole post for more.

Marcus' take is different, and I find one of his arguments particularly compelling:

Bruce argues that searching out vulnerabilities and exposing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m is going to help improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quality of software, but it obviously has not--cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last 20 years of software development (don't call it "engineering," please!) absolutely refutes this position...

The biggest mistake people make about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability game is falling for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ideology that "exposing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem will help." I can prove to you how wrong that is, simply by pointing to Web 2.0 as an example.

Has what we've learned about writing software cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last 20 years been expressed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 design of Web 2.0? Of course not! It can't even be said to have a "design." If showing people what vulnerabilities can do were going to somehow encourage software developers to be more careful about programming, Web 2.0 would not be happening...

If Bruce's argument is that vulnerability "research" helps teach us how to make better software, it would carry some weight if software were getting better racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than more expensive and complex. In fact, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latter is happening--and it scares me.
(emphasis added)

I agree with 95% of this argument. The 5% I would change is that identifying vulnerabilities addresses problems in already shipped code. I think history has demonstrated that products ship with vulnerabilities and always will, and that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vast majority of developers lack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 will, skill, resources, business environment, and/or incentives to learn from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past.

Marcus unintentionally demonstrates that analog security is threat-centric (i.e., cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real world focuses on threats), not vulnerability-centric, because vulnerability-centric security perpetually fails.

Bankers: Welcome to Our World

Did you know that readers of this blog had a warning that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world's financial systems were ready to melt down? If you read my July 2007 (one month before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crisis began) post Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Questions Sound?, you'll remember me disagreeing with a "major Wall Street bank" CISO for calling one of my Three Wise Men (and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security people) "so stupid" for not having cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "five digit accuracy" to assess risk. That degree of arrogance was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 warning that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 financial sector didn't know what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were talking about.

The next month I posted Economist on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Peril of Models and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n Wall Street Clowns and Their Models in September. Now I read a fascinating follow-up in last week's Economist titled Professionally Gloomy. I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se excerpts striking:

[R]isk managers are... aware that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are having to base cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir decisions on imperfect information. The crisis has underlined not just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir importance but also cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir weaknesses.

Take value-at-risk (VAR), a measure of market risk developed by JPMorgan in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1980s, which puts a number on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 maximum amount of money a bank can expect to lose. VAR is a staple of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk-management toolkit and is embedded in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new Basel 2 regime on capital adequacy. The trouble is that it is well-nigh useless at predicting catastrophe.

VAR typically estimates how bad things could get using data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 preceding three or four years, so it gets more sanguine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 longer things go smoothly. Yet common sense suggests that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of a blow-up will increase, not diminish, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 farcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r away one gets from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last one. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, VAR is programmed to instil complacency. Moreover, it acts as yet anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r amplifier when trouble does hit. Episodes of volatility send VAR spiking upwards, which triggers moves to sell, creating furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r volatility.

The second problem is that VAR captures how bad things can get 99% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real trouble is caused by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outlying 1%, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “long tail” of risk. “Risk management is about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stuff you don't know that you don't know,” says Till Guldimann, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original architects of VAR. “VAR leads to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 illusion that you can quantify all risks and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore regulate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.” The degree of dislocation in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDO market has shown how hard it is to quantify risk on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se products.

Models still have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir place: optimists expect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to be greatly improved now that a big crisis has helpfully provided loads of new data on stressed markets. Even so, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is now likely to be more emphasis on non-statistical ways of thinking about risk. That means being more rigorous about imagining what could go wrong and thinking through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effects...

However, stress-testing has imperfections of its own. For example, it can lead to lots of pointless discussions about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plausibility of particular scenarios. Miles Kennedy of PricewaterhouseCoopers, a consultancy, thinks it is better to start from a given loss ($1 billion, say) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n work backwards to think about what events might lead to that kind of hit.

Nor is stress-testing fail-safe. The unexpected, by definition, cannot be anticipated...
(emphasis added)

VAR is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 measures I am sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Wall Street clown was invoking while dressing down Dan Geer. Too bad it failed. (If you disagree, read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole article, and better yet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole special report... cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are just excerpts.)

When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Economist refers to "stress-testing," think "threat modeling," and use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 warped sense of that term instead of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 better phrase "attack modeling." Picture a room full of people imagining what could happen based on assumptions and fantasy instead of spending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time and resources to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ground-truth evidence on assets and historical or ongoing attacks. Sound familiar?

The article continues:

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r big challenge for risk managers lies in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 treatment of innovative products. New products do not just lack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 historic data that feed models. They often also sit outside banks' central risk-management machinery, being run by people on individual spreadsheets until demand for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m is proven. That makes it impossible to get an accurate picture of aggregate risk, even if individual risks are being managed well. “We have all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 leaves on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tree but not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tree,” is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mournful summary of one risk manager. One solution is to keep new lines of business below certain trading limits until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are fully integrated into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk system.

Keeping risks to a size that does not inflict intolerable damage if things go awry is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r fundamental (some might say banal) lesson...“It is not acceptable [for a division] to have a position that wipes out its own earnings, let alone those of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire firm.”

However, working out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 size of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risks is less easy than it used to be. For one thing, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lines between different types of risk have become hopelessly blurred. Risk-management teams at banks have traditionally been divided into watertight compartments, with some people worrying about credit risk (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chances of default on loans, say), ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs about market risk (such as sudden price movements) and yet ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs about operational risks such as IT failures or rogue traders.
(emphasis added)

Ok, stick with me here. References to "innovating products" should be easy enough. Think WLANs in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 early part of this decade, iPhones now, and so on. Think local groups of users deploying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own gear outside of IT or security influence or knowledge.

For "keeping risks to a size," think about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security principle of isolation. For "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lines between different types of risk," think about unexpected or unplanned interactions between new applications. "I didn't think that opening a hole in our firewall to let DMZ servers do backups would allow an intruder to piggyback on that connection, straight into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internal LAN, compromising our entire firm!"

Finally:

There is an even bigger concern. Everyone is ready to listen to risk managers now, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 message is harder to transmit when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 going is good. “Come cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next boom we will have traders saying, 'that was eight months ago. Why are you dragging me down with all that?',” sighs one risk chief. To improve risk management through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cycle, deeper change is needed.

Oh, I thought security was a "business enabler" with a "positive ROI." On a directly applicable note, during and right after an incident everyone is very concerned with "security." Eight months later hardly anyone cares.

Bankers, welcome to our world.

Wednesday, May 21, 2008

FISMA 2007 Scores

The great annual exercise of control-compliant security, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Federal government 2007 FISMA report card, has been published. Since I've been reporting on this farce since 2003, I don't see a reason to stop doing so now.

If you're cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of sports fan who judges cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 success of your American football team by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 height of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 players, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir 40-yard dash time, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir undergraduate school, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r input metrics, you'll love this report card. If you've got any shred of sanity you'll realize only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scoreboard matters, but unfortunately we don't have a report card on that.

Thanks to Brian Krebs for blogging this news item.

Trying Gigamon

I believe I first learned of Gigamon at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2006 RSA show. I mentioned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir appliance 1 1/2 years ago in my post Pervasive Network Awareness via Interop SpyNet. Today I finally got a chance to cable a GigaVUE 422 in my lab.

Gigamon describes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir appliance as a "data access switch," but I prefer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "traffic access switch." You can think of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GigaVUE as an advanced appliance for tapping, accepting tap or SPAN output, and filtering, combining, separating, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise manipulating copies of that traffic for monitoring purposes.

The device I received contained one fixed panel (far left in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image), plus four configurable daughter cards. This model has fixed fiber ports. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extreme left of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image you'll see two RJ-45 ports. The top one is a copper network management port, while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lower is a console cable.

The first daughter card, to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fixed panel, is a GigaPORT 4 port copper expansion module. That card also has four SFP slots for eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r copper or fiber SFPs; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're empty here. The next daughter card is a GigaTAP-TX copper tap module. The final daughter card is a GigaTAP-SX fiber tap module. You'll notice I have room for one more daughter card, at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 far right.

If I had time to create a pretty network diagram, I would show how everything is cabled. Absent that, I'll describe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 setup. I have three servers and one network tap that are relevant.

  1. 2950iii is a Dell Poweredge 2950iii acting as a network sensor. One of its NICs is directly cabled to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network management port of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GigaVUE via a gray cable, to test remote network access. (I could have also connected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GigaVUE network port to a switch.) The black console cable is connected to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 serial port of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2950iii for console access. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r NIC on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2950iii is connected to a "tool" port on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GigaVUE. This port is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second green Cat 5 cable (from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 left, without a white tag).

  2. r200a is a Dell R200 acting as a network device. It has one copper NIC and one fiber NIC that are usually directly connected to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 r200b server listed below. Instead, each of those ports is connected to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GigaVUE, which is acting as a tap.

  3. r200b is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Dell R200 acting as a network device. It also has one copper NIC and one fiber NIC that are usually directly connected to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 r200a server. Instead, each of those ports is connected to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GigaVUE, which is acting as a tap.

  4. Finally, I have a Net Optics iTap watching a different network segment. The iTap is acting as a traffic source for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GigaVUE, and is cabled via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first green Cat 5 cable on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GigaVUE.


To summarize, I have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GigaVUE acting as an acceptor of network traffic (from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iTap), an interceptor of network traffic (via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fiber and copper tap modules), and as a source of network traffic (being sent to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2950iii). On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GigaVUE this translates into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

  • Port 5 is a "network" port, connected to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iTap.

  • Port 7 is a "tool" port, connected to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2950iii.

  • Ports 9 and 10 are tap ports, connected to copper NICs on r200a and r200b.

  • Ports 13 and 14 are tap ports, connected to fiber NICs on r200a and r200b.


Given this setup, I wanted to configure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GigaVUE so I could get traffic from Ports 5, 9, 10, 13, and 14 sent to port 7.

After logging in via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 console cable, I configured ports 9 and 10 so that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir traffic was available to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ports on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GigaVUE. By default (and when power is lost), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se ports passively pass traffic.

GigaVUE>config port-params 9 taptx active
GigaVUE>config port-pair 9 10 alias copper-tap

Next I told cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 box I wanted port 7 as my "tool" port. This means it will transmit traffic it sees (none yet) to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2950iii acting as a network sensor.

GigaVUE>config port-type 7 tool

I told GigaVUE to send traffic that it sees from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iTap on port 5 to port 7.

GigaVUE>config connect 5 to 7

At this point I could sniff traffic on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2950iii and see packets from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iTap, sent through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GigaVUE.

Finally I configured cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two sets of tap ports to transmit what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y saw to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool port as well.

GigaVUE>config connect 9 to 7
GigaVUE>config connect 10 to 7
GigaVUE>config connect 13 to 7
GigaVUE>config connect 14 to 7

At this point traffic sent between r200a and r200b on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir copper and fiber ports, plus traffic from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iTap, appeared on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sniffing interface of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2950iii sensor -- courtesy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GigaVUE.

I decided to try a few simple filtering actions to control what traffic was seen by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2950iii sensor.

The first filter told cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GigaVUE to not show traffic with destination port 22. This filter applies at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool port, so traffic to dest port 22 makes it into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GigaVUE but is dropped before it can leave cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 box.

GigaVUE>config filter deny portdst 22 alias ignore-ssh-dst
GigaVUE>config port-filter 7 ignore-ssh-dst

The second filter removes traffic from source port 22.

GigaVUE>config filter deny portsrc 22 alias ignore-ssh-src
GigaVUE>config port-filter 7 ignore-ssh-src

The final two commands remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se filters.

GigaVUE>delete port-filter 7 ignore-ssh-dst
GigaVUE>delete port-filter 7 ignore-ssh-src

This is a really cursory trial, but I wanted to document cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 few commands I did perform. If you have any questions, feel free to post cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m here. I'll ask cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Gigamon team to respond here, or directly to you if you so desire in your comment. Thanks to Gigamon for providing a demo box for me to try. I wanted to get some "hands-on" time with this device so I can decide if I need this sort of flexibility in production monitoring environments.

Here's anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r image, from a higher angle.

"Security": Whose Responsibility?

I assume readers of this blog are familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "CIA" triad of information security: confidentiality, integrity, and availability. Having spent time with many companies in consulting and corporate roles, it occurred to me recently that two or even all three of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se functions are no longer, or may never have been, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responsibility of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "security" team.

The diagram at left depicts this situation, so let's examine each item in turn.

Availability is probably cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defining aspect of IT. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resource isn't available, no one cares about much else. Availability problems are almost exclusively cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responsibility of IT, with "uptime" being cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir primary metric.

One would expect confidentiality to be fairly central to any "security" team's role. Exfiltration of data is partly a confidentiality problem. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest headache in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 confidentiality world has been disclosure of customer personally identifiable information (PII) via loss or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft of physical assets (laptops, backup tapes) or electronic exposure. Companies now employ dedicated Privacy teams, usually staffed predominantly by lawyers, to specifically address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 handling of customer PII. One might have thought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Security" team should have had responsibility for this subject. Instead, a legal problem ("Do we have to disclose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breach to customers and/or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public?") is being addressed by lawyers.

Integrity is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three, and originally I thought it would be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 core "security" task for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Security" team. Then I remembered Sarbanes-Oxley and Section 404. I wondered if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Audit Staff's requirement to assess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "integrity" of records meant cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had a more institutionalized role in this area than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Security" team.

So what does this mean for "Security" teams? Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem in one way, you might think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no need for a Security team. CIA is covered by three groups, so Security is redundant. This is a mistake for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following reasons.

  1. The IT staff is not equipped to resist attacks, especially advanced ones. IT usually does a good job keeping resources functioning when equipment failure, provisioning woes, or misconfiguration causes downtime. IT is usually ill-equipped to stop intelligent adversaries who are three steps ahead of overworking administrators.

  2. If an IT staff can't handle attackers, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's no way lawyers can. Lawyers tasked with security responsibilities usually outsource everything to high-priced consultants. Legal teams have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 budgets for this, but it's not a sustainable situation. Privacy teams focus on salvaging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company brand and market value after a breach; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not positioned to resist or detect incidents.

  3. Auditors look for problems and effect change, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do not implement change. They look for weaknesses in processes and configurations, not intruders who have exploited those vulnerabilities.


I believe this state of affairs leaves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security team as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one group that has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper mindset, subject matter expertise, and ability to implement defensive operations to preserve CIA. This mission is not one cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security team accomplishes by itself, if that ever were possible. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, Security will (if not already) need to pair itself with IT, Audit, and Privacy in order to be effective. One could say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same for and Compliance groups, Governance officers, and/or Physical Security teams, although I'm less worried about those ties right now.

It should be clear at this point that it doesn't make sense for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security team to work for IT, given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 role it must play. A Security team working for IT is likely to be stuck supporting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Availability aspect of "security" at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expense of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r CIA elements. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, it could be difficult for Security to build cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessary bonds with Audit and Privacy if those groups see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security team as "just part of IT," or "technologists."

In this light, it makes sense for Security (CISO) to be next to IT (CTO) in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corporate hierarchy, both working for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIO. Ultimately cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIO is responsible for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company's information, so I don't see a way for [information] Security to be beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIO's reach.

How does this review compare to your own experience?

Saturday, May 17, 2008

MySQL Bug Fix Pace Impresses Me

I just wanted to note that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MySQL bug I mentioned in my post First Issue of BSD Magazine Release will be fixed in MySQL 5.1.25 and 6.0.6, according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bug report. I am really impressed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 developers' speedy reaction and resolution of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem. When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code is available I plan to test it.

Friday, May 16, 2008

Mutually Assured DDoS

Thanks to several of you for asking for my opinion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article Carpet bombing in cyberspace: Why America needs a military botnet by Col. Charles W. Williamson III. I'd like to cite a few excerpts and comment directly.

The world has abandoned a fortress mentality in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real world, and we need to move beyond it in cyberspace. America needs a network that can project power by building an af.mil robot network (botnet) that can direct such massive amounts of traffic to target computers that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can no longer communicate and become no more useful to our adversaries than hunks of metal and plastic. America needs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to carpet bomb in cyberspace to create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deterrent we lack...

This is interesting. Why do we need to project force in cyberspace to deter our enemies? Cyberwar is usually cited as a means of conducting asymmetric warfare, meaning one side is much weaker than ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r in conventional means. Cyberwar is expected to be conducted against US assets (critical infrastructure) because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy lacks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability to destroy or degrade that asset using kinetic weapons. If we can deter enemies using our existing, overwhelming kinetic force, why possess an ability to "carpet bomb in cyberspace?"

Today’s air base defense concept still uses a layered defense in depth, but it starts as far as possible from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 air bases, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n relies on close-in defense only as a last resort. That capability in cyberspace can exist in an af.mil botnet...

The U.S. would not, and need not, infect unwitting computers as zombies. We can build enough power over time from our own resources.

Rob Kaufman, of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Information Operations Center, suggests mounting botnet code on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force’s high-speed intrusion-detection systems. Defensively, that allows a quick response by directly linking our counterattack to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system that detects an incoming attack. The systems also have enough processing speed and communication capacity to handle large amounts of traffic.


Oh, that's a great idea. Let's tie up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 really only useful element of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force's defense -- that which provides some degree of situational awareness -- with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 task of packeting someone.

Next, in what is truly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most inventive part of this concept, Lt. Chris Tollinger of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Intelligence, Surveillance and Reconnaissance Agency envisions continually capturing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thousands of computers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force would normally discard every year for technology refresh, removing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 power-hungry and heat-inducing hard drives, replacing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m with low-power flash drives, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n installing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in any available space every Air Force base can find. Even though those computers may no longer be sufficiently powerful to work for our people, individual machines need not be cutting-edge because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network as a whole can create massive power.

I see... so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very network that is important enough to be deemed a "weapons system," thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logistics, communication, and related traffic it carries, is going to be filled with tons of DDoS traffic from recycled PCs? Do you think QoS is supposed to take care of this problem?

After that, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force could add botnet code to all its desktop computers attached to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Nonsecret Internet Protocol Network (NIPRNet). Once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system reaches a level of maturity, it can add ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r .mil computers, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n .gov machines.

To generate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right amount of power for offense, all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available computers must be under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 control of a single commander, even if he provides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability for multiple cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365aters. While it cannot be segmented like an orange for individual cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ater commanders, it can certainly be placed under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir tactical control.


I am sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 botnet software installed would be super secure. Can you say "biggest latent botnet" in history? Every single .mil and .gov computer under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 control of a single commander -- probably a Russian or Chinese infiltrator? Just who is Col. Williamson working for, anyway?

This is a really dumb idea, at least as presented. I'm all for Taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fight to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Enemy, but building a botnet on operational networks, especially on operational defensive systems and even production equipment, is just wrong. If we want to remove someone from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network, it's far simpler to disable cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right cable using conventional means.

Let's assume cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force did build a botnet, on separate, non-production computers, on dark space, ready to point towards an enemy. Where would that target be? No single, or handful, of computers DDoS'd Estonian infrastructure. (Every military planner loves to cite Estonia cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se days.) If someone decided to DDoS one or more US computers or routers, where would we point our botnet? Where would Estonia have pointed any botnet it owned -- Russia? Back at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computers DDoSing Estonian assets? How is this supposed to work? "Don't DDoS us or we'll DDoS you?" Mutually Assured DDoS?

There are smarter ways to conduct operations in cyberspace, and this is not one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drawing board, sir.

Seats Filling for Black Hat and One Week Left for Techno

I just checked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sign-up page for TCP/IP Weapons School (TWS) at Black Hat USA 2008 on 2-3 and 4-5 August 2008, at Caesars Palace, Las Vegas, NV. Apparently (according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 color coding) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are only a few seats left in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weekday class, but more seats in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weekend class. These are my last scheduled training classes in 2008.

The cost for each two-day class is now $2400 until 1 July, $2600 until 31 July, and $2900 starting 1 August. (I don't set cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prices.) Register while seats are still available -- both of my sessions in Las Vegas last year sold out.

Also, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's only one week left to register for my Network Security Operations (NSO) class at Techno Security 2008 on Saturday 31 May 2008 at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Myrtle Beach Marriott Resort at Grande Dunes, a great family vacation spot.

This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only planned offering of NSO in 2008. I'll attend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one day class. I can accommodate 25 students and each seat costs $995 for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one day class. The great news about registering for NSO is that if you sign up for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class, you get a free ticket to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire Techno Security 2008 conference. Early registration for Techno ended 31 March 2008, so registration for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference alone is $1295. Take my class and you get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class plus cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference for $995! In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, if you still want to attend Techno, take my class and it's cheaper. Sounds crazy, but it's true.

If you'd like to register for my NSO class, please check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details here and return cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registration form (.pdf) to me as quickly as you can. The deadline for registration is Friday 23 May 2008, and seats are first-come-first-serve. Thank you.

For those of you who have asked, TWS is an advanced packet analysis class, while NSO teaches how to build network security operations using primarily open source tools in your enterprise.

Answering Reader Questions

Thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patient readers who submitted questions while I've been on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 road for work. I'd like to post a few questions here, along with my answers. Identities of those asking questions have been preserved unless noted ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise, as is my policy.

How does something like Sguil relate to something like OSSIM? I find that I would love to use Sguil for analysis, but it doesn’t deal with HIDS, and I feel if I run both on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same network, I am overlapping a bit of things, as well as using a bit of resources redundantly?

I see Sguil and OSSIM as different products. Sguil is primarily (and currently) an analyst console for network security monitoring. OSSIM (from what I have seen, and from what I have heard speaking directly with developers) is more of an interface to a variety of open source tools. That sounds similar but it is somewhat different. I don't see a reason why you have to choose between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two.

I think it is important to realize that although OSSIM has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "SIM" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name, it's really not a SIM. Most people consider a SIM to be a system that interprets logs from a variety of sources, correlates or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise analyzes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, and presents more intelligence information to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst. OSSIM doesn't really accept that much from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r log sources; it relies on output from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r open source tools. I am sure I am going to hear from a bunch of satisfied OSSIM users who claim I am ignorant, but my group decided not to use OSSIM because it was less SIM than we needed and too much portal to open source applications. If you want that, it's still helpful.

In your book you stated that Sguil is really used for real-time monitoring, but what happens when you are a small company, and don’t employ 24x7 staff? Does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst come in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next morning and work thru alerts that come thru cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous evening?

That is one model. In anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r model, you set Sguil to auto-categorize all alerts, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n query for something of interest. Sguil was originally built for a 24x7 SOC environment, but you don't necessarily have to use it that way.

I have been [in a new job as an analyst at a] MSSP for 3-weeks and have formed an opinion that slightly mirrors your points about MSSP's being ticket-shops; in my opinion, MSSP, and specifically cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 division that I am in is like a glorified and/or specialized help/service desk. We get tickets, we fix things, we close tickets, repeat, etc. This is like a help desk except instead of dealing with say desktops and servers, we are dealing with firewalls and IDS'.

I had a conversation with a friend who helped land me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job this afternoon and one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things that he pointed out to me was that I would have to get used to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that our customers (government and commercial) are not interested in situational awareness or tactical traffic analyses, or NSM in general. In fact, to my company NSM is a product by [insert vendor name here]. :)

This is funny, but true. Please don't get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 impression that I am complaining, I willingly chose to work for this company and am happy to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opportunity to learn new technologies (different firewalls, different IDS') from a different perspective and within many disparate networks. It's just that I have come to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conclusion that all Information Security is NOT Information Warfare and am not sure how to cope with this. I am a packet-head and an analyst at heart, but as I have been told, our customer's do not place cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same premium on understanding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir traffic that I do, nor does my company by that extension because it is not a salable service.


Wow, doesn't that question just punch you in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gut? I feel your pain. MSSPs exist to make money, and differentiation by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real issue -- detecting and ejecting intruders -- doesn't appear on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 balance sheet. If anyone disagrees, re-read MSSPs: What Really Matters and read near cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bottom: As Bamm Visscher asks, "Is your MSSP just a 'Security Device Management Provider'?" (SDMP?)

I have anecdotal evidence from a variety of sources that many companies are taking in-house some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security services cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y previously outsourced. Some are doing so because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are getting little to no value for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir MSSP dollar. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs realize that almost all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MSSPs are just SDMPs, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer demands someone who has a better chance understanding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir business and actually improving security. Those who retain MSSPs are usually checking PCI or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r regulatory boxes or not clued in to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact most MSSPs are terrible. A very small minority is happy with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir MSSP, and I can probably name cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company or two providing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service. (Please don't ask for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir names.) Some customers are hoping everything ends up in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud anyway, so security becomes someone else's problem! (Sorry!)

To specifically address your concerns -- I would do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best you can with your situation, but if you decide you really aren't happy, I would look for alternatives. Eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r find a MSSP that operates how you would like it to, or find a company or agency with a good in-house operation. Now that you've seen how a ticket shop operates it's easy to identify one in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future.

Do you know if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re has been any progress with FreeBSD 7.0 in coupling up Snort inline with a bridge-mode FreeBSD machine? I think that this would be a match made in heaven. The last time I did research on this, it wasn't yet possible because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kernel can't handle divert sockets.

Sorry, I have not tried this recently.

Are you handling AV issues? I wanted to know if you had tied that into your IR plan and any lessons learned you might be able to share. Right now our AV is handled by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems team but when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y get an alert "IF" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y look at it cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y typically re-run a scan or maybe some spyware tools and call it good, no traffic monitoring, no application base lining, typically my team will come along after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact when we see traffic that falls out of spec and question what's happened recently on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 box.

I have lobbied to now pull this into my team (Network Ops and Security), increase headcount, and I have an idea on how to handle it but wanted to see if you've already dealt with it.


Great question. Ideally antivirus is integrated into an overall Security Operations Center, since AV is both a detection and containment mechanism. However, AV often seems to be run by separate groups (a dedicated AV team, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end user desktop team, or anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r batch of people). I recommend integrating access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AV console into your own processes. Eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r formally establish a process to involve your incident responders when notified by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AV team of a situation cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y realize is problematic, or offer support when you observe troublesome behavior on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AV console. Preferably cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AV team escalates suspected compromises to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IRT, but you may have to be a little more aggressive if you want to compensate for lack of cooperation between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 teams.

Offense Kills Pirates

I just finished watching a great program on my favorite channel (The History Channel) called True Caribbean Pirates. It traces cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story of piracy in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Caribbean from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 16th through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 early 18th centuries. I was mostly interested in learning how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 great powers of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day dealt with this problem, since I blogged about modern Pirates in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Malacca Strait and 18th and 19th century pirates off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Barbary Coast.

If many modern information security practitioners had been tasked with protecting commerce in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 face of piracy, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would probably have bought ever more elaborate but largely ineffective defensive measures.

Instead, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 royal navies of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 area decided to hunt down pirates and hang cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Sure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pirates continued cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir raids for a long time, but eventually cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main players (England, France, Spain, Holland) stopped warring amongst cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves and directed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir offensives against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pirates.

We're not going to see any fundamental changes in information security until those we elect to protect our rights rise to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 task and go on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offensive. Private companies (especially modern ones) aren't in a position to "strike back" against threats -- that's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 role for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 police and militaries of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world. It's time to kill some pirates, not leave "critical infrastructure protection" to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "private sector."

For related thoughts please see last year's post Taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fight to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Enemy Revisited.

Snort Report 15 Posted

My 15th Snort Report titled Justifying Snort has been posted. I really like this post. The staff (Crystal Ferraro) at SearchSecurity did a great job editing my original submission, cutting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text but enhancing it too. Prospective book authors should judge cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir publishers by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quality of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 editing and copyediting/proofing staffs. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article:

Service provider takeaway: Service providers will learn how to communicate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of Snort to customers.

There's a good chance that as a value-added reseller (VAR) or security service provider, you believe Snort and similar tools are valuable. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are plenty of technical folks that believe Snort is a waste of time. The goal of this Snort Report is to help you communicate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of Snort to those customers whose IT departments are resistant to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open source tool. Although I focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of Snort, you can apply this approach to any similar product.

IDS vs. IPS

I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of objections to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of Snort stem from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that it's called an intrusion detection system (IDS). Looking closely at that label, we should assume that an IDS is a "system" that "detects" "intrusions." The ultimate IDS would be 100% accurate in its ability to perform that role. A simple question flows naturally from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perception that an IDS is supposed to detect intrusions: "If you can detect intrusions, why can't you prevent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m?" At first glance this question makes sense. We should prevent activity that has been 100% identified as being an intrusion.


For more please read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article. It will take 5 mins or less. Debate here is welcome.

Monday, May 05, 2008

Traveling Wilbury Security

Sorry for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 20-year-old song reference, but I couldn't help myself after seeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lines in Greg Shipley's diagram from his recent InformationWeek security article. I like what he shows but I think it can be radically more simple.

The technology world can be boiled down to two camps: those who trust cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir products to operate as expected and those who do not. You can guess into which camp I muster. I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first camp is naive and detached from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real world. (The real world is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 place where intruders constantly violate assumptions, subvert logic, and make a mess of well-intentioned offerings.) The first camp spends more time talking about "enabling business" and "elevating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infosec conversation" while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second camp deals with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mess caused by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first world's ignorance of security problems.

Using this simple and intentionally provocative model I can propose two sets of lines. The first set could be labelled "compute" while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second could be labelled "transport". You could call cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se "host" and "network" if you like.

If you are a first camp person, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compute set is only one line -- that which computes. The transport line is also only one line -- that which transports (like a switch). This makes sense to me from a functionality (not security) standpoint. Anything of value ends up in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "OS" or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "switch". This is happening right now.

If you are a second camp person, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compute set is two lines -- that which computes, and that which verifies or at least observes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computation; call it a hypervisor or supervisor. The transport line is also two lines -- that which transports (again like a switch), and that which verifies or at least observes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transportation; call it a traffic intelligence system (to reuse terms mentioned in this blog).

This might sound suspiciously like trust but verify, i.e., trust cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer/switch but verify its operation. First campers trust, second campers trust when verified.

Reminder: Bejtlich Teaching at Techno Security 2008

As a reminder, I'll be back at Techno Security 2008 teaching Network Security Operations (NSO) on Saturday 31 May 2008 at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Myrtle Beach Marriott Resort at Grande Dunes, a great family vacation spot.

This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only planned offering of NSO in 2008. I'll attend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one day class. I can accommodate 25 students and each seat costs $995 for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one day class. The great news about registering for NSO is that if you sign up for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class, you get a free ticket to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire Techno Security 2008 conference. Early registration for Techno ended 31 March 2008, so registration for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference alone is $1295. Take my class and you get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class plus cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference for $995! In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, if you still want to attend Techno, take my class and it's cheaper. Sounds crazy, but it's true.

If you'd like to register for my NSO class, please check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details here and return cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registration form (.pdf) to me as quickly as you can. The deadline for registration is Friday 23 May 2008, and seats are first-come-first-serve. Thank you.