Saturday, April 18, 2009

Speaking of Incident Response

In my last post I mentioned I will be speaking at anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r SANS IR event this summer. I just noticed a post on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISC site titled Incident Response vs. Incident Handling. It states:

Incident Response is all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical components required in order to analyze and contain an incident.

Incident Handling is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logistics, communications, coordination, and planning functions needed in order to resolve an incident in a calm and efficient manner.


That's not right, and never was. I tried pointing that out via a comment on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISC post, but apparently cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moderators aren't willing to accept contradictory comments.

Incident response and incident handling are synonyms. If you need to differentiate between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 role that does technical work and one which does leadership work, you can use incident response/handling for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 former and incident management for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latter.

Ten years ago I took a course at CERT called Advanced Computer Security Incident Handling for Technical Staff. The class covered technical methodologies for responding to and handling incidents. The successor to that class is Advanced Incident Handling. Notice that CERT also offers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CERT®-Certified Computer Security Incident Handler certification. To CERT, incident response and incident handling are synonyms. If anyone should understand incidents, it's CERT.

I think SANS is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization that needs to examine how it uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term incident handler or incident handling. The GIAC Certified Incident Handler (GCIH) designation is 83% inappropriate. How do I arrive at that figure? If you review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day-by-day course overview you'll see that only one day, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first, involves Incident Handling Step-by-Step and Computer Crime Investigation. The next four days are Computer and Network Hacker Exploits, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sixth day being an open lab. So, 5/6 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class has little to nothing to do with incident response/handling.

This is a problem for three reasons. First, I have met people and heard of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs who think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y know how to "handle incidents" because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GCIH certification. "I'm certified," cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y say. This is dangerous. Second, respondents to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest SANS 2008 Salary Survey considered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir GCIH certification to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir most important certification. If you hold cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GCIH and think it's important because you know how to "handle incidents," that is also dangerous. Third, SANS offers courses with far more IR relevance that that associated with GCIH, namely courses designed by Rob Lee. It's an historical oddity that keeps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name GCIH in play; it really should be retired, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's too much "brand recognition" associated with it at this point. If you want to learn IR from SANS, see Rob.

To be fair, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 title for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course which prepares students for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GCIH is Hacker Techniques, Exploits & Incident Handling. Putting IH at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end does list cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper context. I will also not deny that one should understand hacker techniques and exploits in order to do incident response/handling, but that knowledge should be its own material -- something to know in addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 skills required for IR. Also, track 504 is really good; I remember it fondly, before it had that label. The material is kept fresh and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 instructors are excellent.

The bottom line is that incident handling and response are synonyms, and those who think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are certified to do incident handling and response via GCIH are kidding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Early Las Vegas registration ends 1 May.

16 comments:

Russ McRee said...

Richard,
As one who has taken both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GCIH track & Rob's GCFA track, and lives, eats, breacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365s incident response, I fervently agree with you on all fronts:
1) Incident response & handling are indeed one and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same.
2) While one of my favorite tracks, GCIH is a hacker tools class under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shroud of incident handling. I believe SANS should split incident handling and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hacking techniques into distinct tracks.
3) Rob's GCFA course is, in fact, a much closer match to best-of-breed incident response methodology.
4) I'm disappointed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISC has chosen to not post your comment, and hope cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'll reconsider.
Well stated, Richard.

Zeth said...

I agree with both Richard and Russ. Rob's course and CERT/CC courses are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best, but why aren't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re any courses for incident coordination? I mean if you have an incident affecting several different business areas (or subsidairies) or even your branch offices in different countries, where can I find a descent course that tackle this - focusing on gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ring information, assessment, prioritization, correlation, cooperation, coordination, communications, calling in people and get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thing, etc?
For now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real life is my training and (lucky me) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are several cases each year.

Any ideas anyone?

H. Carvey said...

Zeth,

I would suggest that what you're looking for falls under what Richard is referring to as incident management. In a great many cases, what I've found during CSIRP development is that internal political issues, etc., will obviate courseware.

The short story is, simply take your incident response material and determine whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r you're going to decentralize it with a small trained, knowledgeable staff at each location, or if you going to do it remotely...or some combination cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reof. The political stuff is going to come into play for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 calling in people and get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thing stuff.

Unknown said...
This comment has been removed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author.
Michael Cloppert said...

Richard, et. al.,

I'm glad to see concurrence here. I started typing a comment to this ISC blog entry myself but ran out of patience. I have a great frustration, as you heard last fall at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first SANS Forensics Summit, on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current state of thought on incident response. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sake of brevity, I'll leave it at "IR processes are more fundamentally broken than terminology can fix," and third your view that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se words are synonyms.

Keep an eye on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Forensics & IR Blog. I'm planning a post soon elaborating on my thoughts, once I can articulate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m clearly and concisely.

Armorguy said...

I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point is well made and well taken...

I am not a fan of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "incident handling" term... Adding new terms to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lexicon that are merely synonyms doesn't do much for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 profession, does it?

Quick answer for Josh - what's dangerous about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GCIH? It's dangerous if someone who has a GCIH thinks that, purely based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 training cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've received, is fully qualified to run a incident response. Fact is, you aren't. It takes deeper training and/or much more experience to run a incident response.

Doesn't mean you won't ever be... It means that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS training for GCIH doesn't cut it, IMHO. (Full dislosure: I send my engineers to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r SANS training that is fantastic and worthwhile.)

Mark Stingley said...

Richard;

I'm sorry, but this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worst post you've ever made, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time that I simply disagree.

First of all, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world of computer 'incident handling' is in its infancy compared to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military history of such things as Navy damage control, aircraft mishap, and so on. Then, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 well honed incident response practices of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 emergency services outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military. Sadly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 civilian and government world regarding computers have chosen to reinvent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wheel.

I propose that 'incident response' is a subset of 'incident handling'. They are not synonyms, no more than putting out a fire is a synonym for an arson investigation.

Some definitions:

incident; an occurrence

response; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 act of responding, as to a call for help

handle; manage

So, to my way of thinking, any course that concentrates more on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 administrative form of incident handling is a management course. Training that concentrates more on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 skills needed by a responder is a tactical one.

My impression of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GCIH thus far is it gives cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basic IH skills to a responder, while offering a wealth of hacker techniques training so that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responder can accurately assess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat and risk. I appreciate that, since network security analysis is by far cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weakest skill set of much of this modern 'non-sysadmin' trained information security profession.

I haven't had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CERT training. They don't seem to offer mentoring or on-demand training, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 considerable discount SANS gave my racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r large organization. But, I do think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GCIH bashing is juvenile.

In short, anyone who takes any course from anyone who cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n thinks that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y 'know' what to do is 'dangerous'. Walking out of any course on this planet, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attendee is a 'rookie', plain and simple. The course is only a map of a course to steer. The certification simply means that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user was able to pass a test on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course. It cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n takes much experience to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m 'expert'.

I personally think that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GCIH could always be improved. But, I would much racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r have first responders to a server compromise know as much about cyberwarfare tactics as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can in order to contain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat as soon as possible without going overboard.

Lastly, I am totally confused by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 preference of forensics over attack recognition. On one hand, a course that concentrates on forensics is great. But, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 504 that favors hacker tactics and attacks is bad? One is favored at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning of an incident response, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r later.

So, all of you GCIH bashers.. thanks much for trashing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 money and time I've spent on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course. It reminds me of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows bashers in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Linux forums, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Linux bashers in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows forums.

BTW... I'm a GCIA and GPEN, and I've been doing this since 1994. And, I'll still be proud of my GCIH in a few weeks.

Russ McRee said...

@Mark: I don't think anyone is bashing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GCIH, I loved that track. Yet, in all fairness, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class is 1/6th incident handling, and 5/6th hacker tools.
I loved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GPEN too, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GCFA track. I'll always be proud of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m all.

@Zeth: The GCFA is a great track to follow up your GCIH with to gain furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r applicable knowledge in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IH/IR realm.
Beyond that, even if IR/IH is not part of your current job duties, you can do a lot to teach yourself in a virtual environment. Build yourself a response VM and victim VM and practice scenarios. It really can pay off. I can offer a lot more in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way of suggestions via email, if you wish.

Mark Stingley said...

Zeth; I appreciate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advice, but I've been doing 'incident handling' since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 70's in my first US Navy tour. I ran a legal office, a duty office, and helped investigate many mishaps. I've been doing computer incident handling since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 early 90's. In my current (over 10K hosts) environment, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 average time from detection to containment is much less than an hour. And, we discover almost all of our own compromises.

I personally believe that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 InfoSec industry is primarily staffed with (1) auditors, (2) appliance operators, and (3) compliance people. In a such an environment, an 'IR' course such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GCIH is doing a service by concentrating 5/6 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course on hacker tactics. Too many so-called InfoSec 'analysts' desperately need that skill set, along with GCIA skills. And, too many InfoSec managers are incredibly weak with 'hard' skills.

In addition, GCIH is typical of a SANS course, wherein one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course books is usually worth two to three of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alternative. Book 1, day 1 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GCIH is a concentrated guide, chock full of critical references and checklists.

Perhaps, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re wouldn't be a problem if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course were entitled "Giac Certified Incident Responder".

I get hot when respected, industry leading figures bash something that is actually a good thing. Such irresponsible actions do damage to people.

Richard Bejtlich said...

Mark, I wonder if you would find it interesting if I published cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 names of people who privately agree with this post but don't want SANS to see it? There's more than one "respected industry leading figure" who shares my point of view.

StephenRayNorthcutt said...

Well for what it is worth, if I am not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guilty party, I am "a" guilty party. It was a decision Ed Skoudis and I made jointly in London, sorry can't remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 year.

Background, and hope this is not too much info. My first book was Incident Handling, some of you may still have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .pdf version.

The hottest two selling courses in 2001 were both hacking, one was Hacking Exposed ( perhaps you remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 all black costumes, nehru collars and dry ice smoke) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a hacking course put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r by Ed Skoudis and Eric Cole. Skoudis/Cole was outscoring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r by about 1/10th of a point and we were more comfortable with it.

We felt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were two directions we could take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course if we expanded it, one down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 response path, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pen test path. We chose response and did not add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pen test course until 2008.

I feel that incident response is largely a process that can be taught in a day, but that to be effective you need a number of skills. A large number of those skills involve malware and exploits, because success with those tools is often why you are responding.

I also feel incident responders are akin to EMTs "first response" and this is why forensics should be a separate discipline. We have an obligation not to make it hard for digital forensics examiners to do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir job by mucking up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence, but those are separate skills in my view.

I would be happy to open a dialog as to what we should do or say, but don't expect radical changes. There are about 4k certified folks and many more have taken cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course and seem to enjoy it. It is fine to tell us we are wrong, but we have spent years tuning both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept. Still, always happy to be schooled, feel free to drop me a note stephen@sans.edu and when we get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 messaging tuned, I am happy to forward to Ed for consideration.

I am sorry that your comment did not get posted, but in all fairness you have said some pretty mean things over time and if it is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISC blog you are talking about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did just win cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RSA Social Security technical blog award so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y must be doing something right. I look forward to an open dialog with any or all, but please use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email I posted, I only check gmail once every quarter or so *grin*

Richard Bejtlich said...

In case anyone is wondering, here's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comment I tried to post to ISC that was censored.

You're introducing an unnecessary distinction by trying to assign different definitions to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 terms incident handler and incident responder. What does SANS mean by GCIH, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n? Is that supposed to be GCIH or really GCIR? You can avoid this confusion by using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term Incident Manager for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person who assumes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 leadership role you describe. Incident handler and responder are defined to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same role by most respectable IR organizations -- check out CERT's description of Certified Computer Security Incident Handler at http://www.cert.org/certification/ .

Joel Esler said...

I wonder if it was auto censored because it has a link in it. The system may have thought it was comment spam. Try putting your comment without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link.

Richard Bejtlich said...

Joel, somehow I doubt it. The two comments by "Josh" included a link.

J said...

Richard,

Bravo for saying something about GCIH! I mostly agree that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 certification and course topics are off balance. As a very active incident responder - I was on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 road about 80% of last year responding to a variety of incidents for a number of organizations - I can say that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GCIH program would likely not have helped me. That's not to say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content is bad material - I just believe it's not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 correct focus for IR. What I would like to see is a class that can show me how to find evil and solve crime, not lecture on how to run John cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ripper and nmap.

Adrien de Beaupré said...

http://isc.sans.org/diary.html?storyid=6313

Cheers,
Adrien