Sunday, May 31, 2009

Information Security Incident Rating


I've been trying to describe to management how close various individual information assets (primarily computers -- desktops, laptops, etc.) are to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 doomsday scenario of sensitive data exfiltrated by unauthorized parties. This isn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only type of incident that worries me, but it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one I decided to tackle first. I view this situation as a continuum, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than a "risk" rating. I'm trying summarize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of affairs for an individual asset racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than "model risk."

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 far left column I've listed some terms that may be unfamiliar. The first three rows bear "Vuln" ratings. I list cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se because some of my businesses consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discovery of a vulnerability in an asset to be an "incident" by itself. Traditional incident detectors and responders don't think this way, but I wanted to include this aspect of our problem set. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se first three rows, I consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se assets to exist without any discoverable or measurable adversary activity. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, assets of various levels of vulnerability are present, but no intruder is taking interest in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m (as far as we can tell).

The next four rows (Cat 6, 3, 2, 1) should be familiar to those of you with military CIRT background. About 7 or 8 years ago I wrote this Category Descriptions document for Sguil. You'll remember Cat 6 as Reconnaissance, Cat 3 as Attempted Intrusion, Cat 2 as User Intrusion, and Cat 1 as Root/Admin Intrusion. I've mapped those "true incidents" here. These incidents indicate an intruder is taking interest in a system, to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 degree that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder gains user or root level control of it. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder doesn't need to gain control of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset in order to steal data, you can simply jump to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate description of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final three rows.

The final three rows (Breach 3, 2, 1) are what you might consider "post exploitation" activities, or direct exploitation activities if no control of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset is required in order to accomplish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary's data exfiltration mission. They loosely map to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reinforcement, consolidation, and pillage phases of compromise I outlined years ago. I've used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "Breach" here to emphasize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 seriousness of this aspect of an intrusion. (Gunter's recent post Botnet C&C Participation is a Corporate Data Breach reinforced my decision to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "breach" in situations like this.) Clearly Breach 3 is a severe problem. You might still be able to avoid catastrophe if you can contain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident at this phase. However, intruders are likely to quickly move to Breach 2 and 1 phases, when it's Game Over.

If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re has to be an "impact 0" rating, I would consider that to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 absence of an information asset, i.e., it doesn't exist. Any asset whatsoever has value, so I don't see a 0 value for any existing systems.

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spectrum, if we have to "crank it to 11," I would consider an 11 to be publication of incident details in a widely-read public forum like a major newspaper or online news site.

I use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "impact" in this sense: what is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 negative impact of having cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 individual asset in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state described? In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 negative impact of having an asset with impact 1 is very low. We would all like to have assets that require an intruder to apply substantial effort to compromise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset and exfiltrate sensitive data. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spectrum we have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "game over" impact -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder has exfiltrated sensitive data or is suspected of exfiltrating sensitive data based on volume, etc. Even if you can't tell exactly what an intruder exfiltrated, if you see several GBs of data leaving a system that houses or access sensitive data, you can be fairly confident cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder grabbed it.

I listed some sample colors for those who understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world in those terms.

I've reproduced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text below for future copying and pasting.

  1. Vuln 3 / Impact 1 / Intruder must apply substantial effort to compromise asset and exfiltrate sensitive data

  2. Vuln 2 / Impact 2 / Intruder must apply moderate effort to compromise asset and exfiltrate sensitive data

  3. Vuln 1 / Impact 3 / Intruder must apply little effort to compromise asset and exfiltrate sensitive data

  4. Cat 6 / Impact 4 / Intruder is conducting reconnaissance against asset with access to sensitive data

  5. Cat 3 / Impact 5 / Intruder is attempting to exploit asset with access to sensitive data

  6. Cat 2 / Impact 6 / Intruder has compromised asset with access to sensitive data but requires privilege escalation

  7. Cat 1 / Impact 7 / Intruder has compromised asset with ready access to sensitive data

  8. Breach 3 / Impact 8 / Intruder has established command and control channel from asset with ready access to sensitive data

  9. Breach 2 / Impact 9 / Intruder has exfiltrated nonsensitive data or data that will facilitate access to sensitive data

  10. Breach 1 / Impact 10 / Intruder has exfiltrated sensitive data or is suspected of exfiltrating sensitive data based on volume, etc.


What do you think of this rating system? I am curious to hear how ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 seriousness of an incident to management.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Update: Since writing this post, I've realized it is more important to think of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se events as intrusions. The word "incident" applies to a broader set of events, including DDoS, lost or stolen devices, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 like. My use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word "intruder" throughout cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post indicates my real intention.

Saturday, May 30, 2009

President Obama's Real Speech on Cyber Security

I was very surprised to read REMARKS BY THE PRESIDENT ON SECURING OUR NATION'S CYBER INFRASTRUCTURE, delivered yesterday. TaoSecurity Blog had received a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 President's prepared remarks, but about 2/3 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 live version cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 President went off-copy. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sake of my readers I've published cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 President omitted.

...And last year we had a glimpse of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future face of war. As Russian tanks rolled into Georgia, cyber attacks crippled Georgian government websites. The terrorists that sowed so much death and destruction in Mumbai relied not only on guns and grenades but also on GPS and phones using voice-over-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-Internet.

[Here is where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Presidential train left cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tracks.]

When considering cyber security, we must recognize that our problems are multi-dimensional.

The first dimension involves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information assets we are trying to protect. Cyber security requires protecting information inputs, information outputs, and information platforms. Inputs include data that has value before processing, such as personally identifiable information. Outputs include data that has value after proecessing, such as intellectual property. Information platforms are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computing devices that process data, such as computers and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 networks that connect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

The second dimension involves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 custodians of information assets, which we collect into three broad groups. The first group includes Federal, state, and local governments, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir various departments and agencies. The second group includes corporate, nonprofit, university, and related elements of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 private sector. The third group includes individual citizens.

The third dimension involves threats to our information assets, which we collect into three broad groups. The first group includes criminals who attack information assets primarily for financial gain. When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term criminal applies to terrorists we must also consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir desire to achieve political ends as well. The second group includes economic competitors, taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form of companies acting independently or in concert with national governments. The third group includes nation-state actors and countries, who threaten information assets through espionage or direct attack.

These three dimensions -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of information assets, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 varied custodians of information assets, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 many threats to information assets -- prevent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 centralization of cyber security in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 portfolio of any single "cyber czar" or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r government figurehead.

In addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three dimensions of cyber security, we must recognize certain environmental factors that weigh upon possible approaches.

First, traditional cyber security thinking has focused on vulnerabilities in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital world. Many believe that addressing vulnerabilities through better coding or asset management would solve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyber security problem. However, outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital world, vulnerabilities are all around us. Every human is vulnerable to being shot, yet none of us in this room is wearing a bullet-proof vest. Well, almost no one. [laughter] If you leave this building, you still won't wear a bullet-proof vest in public. Why is that? You're exposed, you're vulnerable, but what keeps you safe from threats to your well-being? The answer is that our government and its protective agencies -- police, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military, and so on -- focus more on threats than on vulnerabilities. We deter criminals and prosecute those who do harm us. Cybersecurity is no different. Behind every cyber attack is a human agent acting for personal, organizational, or national gain. However, too much effort is applied to addressing vulnerabilities, when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real problem has always been cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats who seek to exploit vulnerabilities.

Second, cyber security incidents are extremely opaque compared to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir non-digital counterparts. If criminals shoot down an airliner, no one can ignore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disaster. Following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous point, few people turn to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 construction of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aircraft when such a heinous act occurs; racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perpetrators are hunted and brought to justice. However, when personally identifiable information is stolen from a company, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 true victims -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 American citizens now at risk for identity cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft -- may never know what happened. Many states have breach disclosure laws, but those laws do not require an explanation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack. As a result, no ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r organizations can learn how security controls failed at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victimized company.

Third, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 costs of cyber security incidents are often not borne by those who should be protecting information assets from attack. This results in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 misalignment of incentives. If a company processing personally identifiable information is breached, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost is borne by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 citizens whose identities are stolen. The company may pay for credit monitoring services, but that cost is insignificant compared to that borne by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 citizen. If a software company ships a product riddled with bugs, it generally bears no cost whatsoever if intruders exploit that software once deployed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer. The marketplace tends to not punish vendors who sell vulnerable software because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefits of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software are perceived to outweigh cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 costs. This makes sense when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer is a company, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breach results in stolen PII -- with costs again borne by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 citizen, not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company.

These three environmental factors point to a need to change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mindset around cyber security, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for greater transparency and better alignment of incentives and costs with those who receive benefits from information assets.

Given this understanding of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem, my administration will take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following actions regarding cyber security.

  1. We will make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government an example for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs to follow. We cannot expect any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r party to take cyber security seriously if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government doesn't lead by example. We will work to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government a defensible network architecture. We will finally recognize that, while important, controls are not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 solution to our problems. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than being control-compliant, we will identify field-assessed metrics to measure our success.

  2. We will work with Congress to establish a national breach disclosure law, and we will require publicly traded companies to outline digital risks in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir annual 10-K filings. Then, we will create a National Digital Security Board modeled on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Transportation Safety Board. The NDSB will have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authority to investigate information security breaches reported by victim organizations. The NDSB will publish reports on its findings for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefit of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r organizations, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby increasing transparency in two respects. First, intrusions will have real costs beyond those directly associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident, by bringing potentially poor security practices and software to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attention of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public. Second, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r organizations will learn how to avoid cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mistakes made by those who fall victim to intruders. In some circumstances national security interests may limit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audience for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se findings. Those who consider this approach draconian should consider how NTSB reporting improves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 safety of transportation over time.

  3. We will consult with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 law enforcement community to determine what additional resources cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need to deter and prosecute cyber criminals, and fund those requirements. We will be satisfied when a victim of cyber crime has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 option to call cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 police for assistance, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than rely on hiring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own forensic investigators. If cyber crime is a real crime, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n victims should not be forced to outline digital dead bodies without official, expert assistance.

  4. We will vigorously encourage our law enforcement and intelligence services to work with private industry to combat cyber espionage and cyber attack. As with cyber crime, victims should not be expected to defend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves against professional corporate cyber thieves or foreign cyber warfare experts. This will include funding and fast-tracking deployments of secure communications channels like SIPRNET, and granting security clearances to appropriate parties without specific government contracts, so that victimized organizations can securely communicate with our defense and intelligence communities.

  5. We will instruct cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Secretary of Defense to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creation of a Cyber Force as an independent military branch. Just as we fight wars on land, at sea, and in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aerospace domains, we should promote warfighters throroughly steeped in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intricacies of defense and attack in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyberspace domain. We will also make it clear to our national adversaries that a cyber attack upon our national interests is equivalent to an attack in any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r domain, and we will respond with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full range of diplomatic, information, military, and economic power at our disposal.

  6. We will drastically expand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Scholarship for Service or Cyber Corps program to include providing assistance to private sector actors and individual citizens who ask for help. Just as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Peace Corps provides physical assistance to developing countries, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cyber Corps will provide digital assistance to those who apply for it.

  7. We will work with Congress to dramatically increase cyber funding applied research. It is clear that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defensive models we have applied for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last thirty years need, at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very least, a serious review. Funding researchers who can thoughtfully consider different approaches is well worth cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effort. This funding will include support for open source software projects that benefit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyber community at large. We will also aggressively work to deploy more secure protocols to replace those whose threat model has collapsed as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computing environment has changed.


These seven steps are concrete actions that will have more impact than appointing a single person to try to "coordinate" cyber security across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 multiple dimensions and environmental factors I described earlier. Thank you for you time. [applause]


Note: If you read this far I am sure you know this was not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 President's "real speech." This is what I would have liked to have heard.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Saturday, May 23, 2009

Defender's Dilemma vs Intruder's Dilemma

This is a follow-up to my post Response for Daily Dave. I realized I had a similar exchange three years ago, summarized in my post Response to Daily Dave Thread. Since I don't seem to be making much progress in this debate, I decided to render it in two slides.

First, I think everyone is familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Defender's Dilemma.



The intruder only needs to exploit one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victims in order to compromise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise.

You might argue that this isn't true for some networks, but in most places if you gain a foothold it's quickly game over elsewhere.

What Dave and company don't seem to appreciate is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a similar problem for attackers. I call it cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Intruder's Dilemma.



The defender only needs to detect one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 indicators of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder’s presence in order to initiate incident response within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise.

What's interesting about this reality is that it applies to a single system or to a collection of systems. Even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder only compromises a single system, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variety of indicators available make it possible to detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker. Knowing where and when to look, and what to look for, becomes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge. However, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident expands to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r systems, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 probability of discovery increases. So, perversely, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bigger cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more likely someone is going to notice.

Whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r or not you can actually detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder's presence depends on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of visibility you can achieve, and that is often outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 control of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team doesn't own computing assets. However, this point of view can help you argue why you need cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 visibility to detect and respond to intrusions, even though you can't prevent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Publication Notice: The Rootkit Arsenal

Bill Blunden was kind enough to send me a copy of his new book The Rookit Arsenal. I plan to read it in a few months, due to my schedule and reading backlog. According to Bill, readers of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book will learn how to do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

  • Hook kernel structures on multi-processor systems

  • Use a kernel debugger to reverse system internals

  • Inject call gates to create a back door into Ring-0

  • Use detour patches to sidestep group policy

  • Modify privilege levels on Vista by altering kernel objects

  • Utilize bootkit technology

  • Defeat live incident response and post-mortem forensics

  • Implement code armoring to protect your deliverables

  • Establish covert channels using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WSK and NDIS 6.0


I am interested in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 anti-forensics material, as you might imagine.

I first learned about Bill's work when he produced this presentation on rootkits. Slide 34 caught my attention:



That's pretty cool, but I am reminded of my post last summer on getting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job done. I wrote:

I have encountered plenty of roles where I am motivated and technically equipped, but without resources and power. I think that is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard situation for incident responders, i.e., you don't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence needed to determine scope and impact, and you don't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authority to change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation in your favor.

I think that is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main problem with incident detection and response, and probably computer security in general, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se days.

Thanks again to Bill for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, and be sure to check it out at Amazon.com.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Response for Daily Dave

Recently on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Daily Dave mailing list, Dave Aitel posted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

...The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r thing that keeps coming up is memory forensics. You can do a lot with it today to find trojan .sys's that hackers are using - but it has a low ceiling I think. Most rootkits "hide processes", or "hide sockets". But it's an insane thing to do in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kernel. If you're in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kernel, why do you need a process at all? For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GUI? What are we writing here, MFC trojans? There's not a ton of entropy in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kernel, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's enough that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next generation of rootkits is going to be able to avoid memory forensics as a problem cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y even have to think about. The gradient here is against memory forensics tools - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have to do a ton of work to counteract every tiny thing a rootkit writer does.

With exploits it's similar. Conducting memory forensics on userspace in order to find traces of CANVAS shellcode is a losing game in even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 medium run. Anything thorough enough to catch shellcode is going to have too many false positives to be useful. Doesn't mean cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re isn't work to be done here, but it's not a game changer.


Since I'm not 31337 to get my post through Dave's moderation, I'll just publish my reply here:

Dave and everyone,

I'm not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guy to defend memory forensics at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of an Aaron Walters, but I can talk about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 general approach. Dave, I think you're applying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same tunnel vision to this issue that you apply to so-called intrusion detection systems. (We talked about this a few years ago, maybe at lunch at Black Hat?)

Yes, you can get your exploit (and probably your C2) by most detection mechanisms (which means you can bypass cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "prevention" mechanism too). However, are you going to be able to hide your presence on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and network -- perfectly, continuously, perpetually? (Or at least as long as it takes to accomplish your mission?) The answer is no, and this is how professional defenders deal with this problem on operational networks.

Memory forensics is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same. At some point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder is likely to take some action that reveals his presence. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper instrumentation and retention systems are deployed, once you know what to look for you can find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder. I call this retrospective security analysis, and it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only approach that's ever worked against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most advanced threats, analog or digital. [1] The better your visibility, threat intelligence, and security staff resources,
cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 smaller cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exposure window (compromise -> adversary mission completion). Keeping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window small is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best we can do; keeping it closed is impossible against advanced intruders.

Convincing developers and asset owners to support visibility remains a problem though.

Sincerely,

Richard

[1] http://taosecurity.blogspot.com/2009/02/black-hat-briefings-justify-supporting.html


I encounter Dave's attitude fairly often. What do you think?


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Thursday, May 21, 2009

Cheap IT Is Ultimately Expensive

I'm positive many of you are familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are benefits to detecting software security defects early.

[Image reference: Software Security Engineering: A Guide for Project Managers.]

In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, it is ultimately cheaper to design, code, sell, and support a more secure software product than a more insecure software product. Achieving this goal requires recognizing this advantage, investing in developers and processes that work, and dealing with exceptions (defects) as soon as possible through detection and response capabilities, even including customer-facing organizations (like PSIRTs).

I'm not aware of any studies supporting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following assertion, but I would be interested in feedback if you know any. I think it should be obvious that it's also cheaper to design, build, run, and support more secure computing assets than more insecure computing assets. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words:

  • It is not cheaper to run legacy platforms, operating systems, and applications because "updates break things."

  • It is not cheaper to delay patching because of "business impact."

  • It is not cheaper to leave compromised systems operating within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise because of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "productivity hit" taken when a system must be interrupted to enable security analysis.

  • It is not cheaper to try to manually identify and remove individual elements of malware and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r persistence mechanisms, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than rebuild from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground up (and apply proper updates and configuration improvements to resist future compromise).

  • It is not cheaper to watch intellectual property escape cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise in order to prove that intruders are serious about stealing an organization's data.


Security doesn't make money; security is a loss prevention exercise. It's tough to justify security spending. However -- and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 killers:

  • It's easy to show cost savings when experienced, professional system administrators are replaced by outsourced providers who are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lowest bidders.

  • It's easy to show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 financial benefit of continuous availability of a revenue-producing system, or, conversely, easy to show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 financial cost of downtime of a revenue-producing system.


Unfortunately, being seduced by those arguments ignores intrusion debt. One day cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusion debt of poorly-run systems will be claimed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruders already inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise or those who are unleashed like an earthquake. Worse for you and me, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 costs of dealing with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disaster are likely to be borne by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team!

I thought of this vicious cycle when reading about The Sichuan earthquake in last week's Economist magazine:

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 days after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 earthquake, senior officials vowed to investigate whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r shoddy construction was to blame for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 destruction of more than 7,000 classrooms in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disaster. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue was soon played down...

Mr Ai [investigating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disaster] says cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 refusal of central leaders to admit policy failures has exacerbated parents’ frustration. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1990s, he says, shoddy school buildings were erected across China because of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government’s drive to provide enough classrooms for all children to undergo nine years of compulsory education. Building costs were supposed to be shared by central and local authorities, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latter often failed to chip in. This led to quality problems.


Ultimate, security is an IT problem, not a "security" problem. The faster asset owners realize this and be held responsible for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir systems, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 less intrusion debt will mount and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greater cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chance that enterprise assets will survive digital earthquakes. Cheap IT is ultimately expensive -- more expensive than proper investment in IT in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Check Out Hakin9

I recently received copies of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last three issues of Hakin9 magazine. There are many good articles being published cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se days. One of my favorites appears in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 3/2009 issue, titled Automating Malware Analysis, by Tyler Hudak. Tyler is our team's reverse engineer and he authors cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 The Security Shoggoth blog. Check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 magazine!


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Harlan Carvey on Talk Forensics

Earlier today I listed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Talk Forensics podcast featuring Harlan Carvey. I thought it was interesting to hear a forensics expert discuss cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sorts of cases he has been working. Harlan mentioned how he witnessed intruders integrate obfuscation techniques into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir SQL injection attacks. These techniques successfully achieved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir goals while introducing a secondary effect: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir anti-forensic nature complicated analysis. Harlan mentioned how previously one could search Web server logs for SQL DECLARE statements, but after obfuscation was introduced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst had to be more diligent.

Harlan also mentioned that TaoSecurity Blog helped inspire him to start his Windows Incident Response blog, which is probably cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best blog on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject. Thanks Harlan! Also, I'm looking forward to Harlan's second edition of Windows Forensic Analysis. If you check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link you'll see that Syngress has introduced a new cover scheme, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir first in probably 10 years. Finally, Harlan and I will be speaking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS WhatWorks Summit in Forensics and Incident Response 2009, which will be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best collection of IR practitioners anywhere. One of my team, Ken Bradley, will also be speaking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

The Real Deal on Kylin

If you want cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real deal on Kylin, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best public discussion is probably taking place at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Dark Visitor Blog. As you might expect of a blog that's run by people who actually speak Chinese and follow that country's scene, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is more believable than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sensationalism posted elsewhere.

I downloaded and tried installing KYLIN-2.1-1A.iso but didn't get far. It seems far newer versions are available if you know where to look.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

PSIRT Equals Getting Serious About Product Security

Last fall I wrote Tips for PSIRTs, pointing to a new CERT document giving advice for Product Security Incident Response Teams. Today I read Adobe shifts to Microsoft patching process, incident response plan by Robert Westervelt. The company maintains an Adobe Secure Software Engineering Team and an Adobe Product Security Incident Response Team. All of this is a sign that Adobe is getting serious about product security. It mirrors Microsoft's evolution, and I am glad to see it happening.

I'd like to be able to do a search for "Oracle PSIRT" or "Apple PSIRT" and get real results. The Google Online Security Blog isn't a real PSIRT, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. Just as you should have a CIRT if you use computers, you should have a PSIRT if you sell software.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Monday, May 18, 2009

24th Air Force to be Headquartered at Lackland AFB

Congratulations to Lackland AFB in San Antonio, Texas for being chosen to host cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 headquarters for 24th Air Force, a "cyber numbered Air Force." Lackland is home to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AF ISR Agency (previously AIA), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AF Information Operations Center (previously AFIWC), and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 33rd Network Warfare Squadron (previously cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 33 IOS, and before that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT).

It's been six years since I visited cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 place, but I think it's a great choice for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 24th.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Sunday, May 10, 2009

Insider Threat Myth Documentation

In my first book The Tao of Network Security Monitoring, published in July 2004, I tried to trace cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 origin of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "80% myth". In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following section reprinted from pages 31-34, and newly annotated now, I document what this means for insider vs outsider threat. (This section is also posted here at Informit.com.)


OUTSIDERS VERSUS INSIDERS: WHAT IS NSM’S FOCUS?

This book is about network security monitoring. I use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term network to emphasize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book’s focus on traffic and incidents that occur over wires, radio waves, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r media. This book does not address intruders who steal data by copying it onto a USB memory stick or burning it to a CD-ROM. Although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus for much of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book is on outsiders gaining unauthorized access, it pertains equally well to insiders who transfer information to remote locations. In fact, once an outsider has local access to an organization, he or she looks very much like an insider. [10]

Should this book (and NSM) pay more attention to insiders? One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 urban myths of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer security field holds that 80% of all attacks originate from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inside. This “statistic” is quoted by anyone trying to sell a product that focuses on detecting attacks by insiders. An analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most respected source of computer security statistics, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Computer Crime and Security Survey conducted annually by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Computer Security Institute (CSI) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI, sheds some light on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source and interpretation of this figure. [11] [Bejtlich: I question saying "most respected" now, but I wrote that in 2004 before we had ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r reporting.]

The 2001 CSI/FBI study quoted a commentary by Dr. Eugene Schultz that first appeared in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Information Security Bulletin. Dr. Schultz was asked:

I keep hearing statistics that say that 80 percent of all attacks are from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inside. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I read about all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se Web defacements and distributed denial of service attacks, and it all doesn’t add up. Do most attacks really originate from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inside?

Dr. Schultz responded:

There is currently considerable confusion concerning where most attacks originate. Unfortunately, a lot of this confusion comes from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that some people keep quoting a 17-year-old FBI statistic that indicated that 80 percent of all attacks originated from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 [inside]...

Should [we] ignore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insider threat in favor of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outsider threat? On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contrary. The insider threat remains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greatest single source of risk to organizations. Insider attacks generally have far greater negative impact to business interests and operations. Many externally initiated attacks can best be described as ankle-biter attacks launched by script kiddies.

But what I am also saying is that it is important to avoid underestimating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 external threat. It is not only growing disproportionately, but is being fueled increasingly by organized crime and motives related to espionage. I urge all security professionals to conduct a first-hand inspection of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir organization’s firewall logs before making a claim that most attacks come from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inside. Perhaps most successful attacks may come from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inside (especially if an organization’s firewalls are well configured and maintained), true, but that is different from saying that most attacks originate from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inside. [12]


Dr. Dorothy Denning, some of whose papers are discussed in Appendix B, confirmed Dr. Shultz’s conclusions. Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat, noted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2001 CSI/FBI study as “likely sources of attack,” Dr. Denning wrote in 2001:

For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time, more respondents said that independent hackers were more likely to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source of an attack than disgruntled or dishonest insiders (81% vs. 76%).

Perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 notion that insiders account for 80% of incidents no longer bears any truth whatsoever. [13]


The 2002 and 2003 CSI/FBI statistics for “likely sources of attack” continued this trend. At this point, remember that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 statistic in play is “likely sources of attack,” namely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 party that embodies a threat. In addition to disgruntled employees and independent hackers, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r “likely sources of attack” counted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CSI/FBI survey include foreign governments (28% in 2003), foreign corporations (25%), and U.S. competitors (40%).

Disgruntled employees are assumed to be insiders (i.e., people who can launch attacks from inside an organization) by definition. Independent hackers are assumed to not be insiders. But from where do attacks actually originate? What is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vector to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target? The CSI/FBI study asks respondents to rate “internal systems,” “remote dial-in,” and “Internet” as “frequent points of attack.” In 2003, 78% cited cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet, while only 30% cited internal systems and 18% cited dial-in attacks. In 1999 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet was cited at 57% while internal systems rated 51%. These figures fly in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 face of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 80% statistic.

A third figure hammers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea that 80% of all attacks originate from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inside. The CSI/FBI study asks for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 origin of incidents involving Web servers. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past five years, incidents caused by insiders accounted for 7% or less of all Web intrusions. In 2003, outsiders accounted for 53%. About one-quarter of respondents said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y “don’t know” cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 origin of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir Web incidents, and 18% said “both” cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inside and outside participated.

At this point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea that insiders are to blame should be losing steam. Still, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 80% crowd can find solace in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r parts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2003 CSI/FBI study. The study asks respondents to rate “types of attack or misuse detected in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last 12 months.” In 2003, 80% of participants cited “insider abuse of net access” as an “attack or misuse,” while only 36% confirmed “system penetration.” “Insider abuse of net access” apparently refers to inappropriate use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet; as a separate statistic, “unauthorized access by insiders” merited a 45% rating.

If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insider advocates want to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y should abandon cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 80% statistic and focus on financial losses. The 2003 CSI/FBI study noted “cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft of proprietary information” cost respondents over $70 million; “system penetration” cost a measly $2.8 million. One could assume that insiders accounted for this cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft, but that might not be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case. The study noted “unauthorized access by insiders” cost respondents only $406,000 in losses. [14]

Regardless of your stance on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outsider versus insider issue, any activity that makes use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network is a suitable focus for analysis using NSM. Any illicit action that generates a packet becomes an indicator for an NSM operation. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keys to devising a suitable NSM strategy for your organization is understanding certain tenets of detection, outlined next.

Footnotes for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se pages:

10. Remember that “local access” does not necessarily equate to “sitting at a keyboard.” Local access usually means having interactive shell access on a target or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim execute commands of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder’s choosing.

11. You can find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CSI/FBI studies in .pdf format via Google searches. The newest edition can be downloaded from http://www.gosci.com.

12. Read Dr. Schultz’s commentary in full at http://www.chi-publishing.com. Look for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 editorial in Information Security Bulletin, volume 6, issue 2 (2001). Adding to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 confusion, Dr. Shultz’s original text used “outside” instead of “inside,” as printed in this book. The wording of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis of Dr. Shultz’s response clearly show he meant to say “inside” in this crucial sentence. [Looking back on this five years later, I am still confused by Dr. Schultz's meaning. If he really meant to say "some people keep quoting a 17-year-old FBI statistic that indicated that 80 percent of all attacks originated from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outside," cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n why not say "this 17-year-old FBI statistic is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opposite of your claim?"]

13. Dr. Dorothy Denning, as quoted in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2001 CSI/FBI Study.

14. Foreshadowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 popularization of “cyberextortion” via denial of service, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2003 CSI/FBI study reported “denial of service” cost over $65 million—second only to “cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft of proprietary information” in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rankings.


My biggest regret reading this section involves trying to interpret Dr. Schultz's comments. If anyone can find a copy of an "FBI study" from approximately 1984 that discusses insider vs outsider threat, please let me know!

Reading this section now, I see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 primary value as finding documentation that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "80% myth" refers to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea that "80 percent of all attacks are from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inside." If you agree that an attack is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same as an "incident," cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you can see how Dr. Denning's comment about "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 notion that insiders account for 80% of incidents" introduces more problems by talking about incidents and not attacks. If someone wants to throw "risk" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, you now have a third meaning.

What I find sad is that so many people carelessly cite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "FBI" or "CSI" studies as supporting whatever "80%" claim cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want, but if asked to point to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual study cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could never do so. In my first book I at least tried to document what was available at that time.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Thursday, May 07, 2009

Highlights from 2009 Verizon Data Breach Report

Last year I posted Verizon Business Report Speaks Volumes, providing excerpts that resonated with me. Verizon released anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r edition last month, with plenty of commentary on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir blog and elsewhere. I wanted to record a few highlights here for my own reference but also to counter arguments I continue to see elsewhere about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 so-called prevalence of insider threats.

This is a polite way of trying to demolish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most deeply entrenched urban myth in security history.



This shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2009 results.



This is an historical way to look at breach source data.



The following chart is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one that insider threat proponents will try to use to justify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir position. It shows that, on average, a breach caused by a single insider will result in many more records being stolen than one caused by an outsider. Incidentally, this is what I have said previously as well!



However, when looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem in aggregate, outsiders cause more damage.



If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 big red dot doesn't say it all, I don't know what will.

Verizon captures this scenario using a "pseudo-risk" calculation.



Pete Lindstrom makes an interesting point about this calculation, but I don't think it is necessarily without merit.

I'd like to briefly turn to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detection and response elements I found interesting.

The following shows someone from Verizon has been to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Best Single Day Class Ever. That big red dot shows "months" from compromise to discovery is dominant.



Detection methods continue to be pacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365tic.



This is probably because, although logs are collected, hardly anyone reviews cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.



This is probably because only a third of companies have an IR team.



Most companies are probably relying on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir anti-virus software to save cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. This is too bad, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 explosion in customized malware means it probably won't.



All of this is why my TCP/IP Weapons School 2.0 class teaches students how to analyze data to detect and respond to intrusions, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than rely on automated tools which fail.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Logs from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cloud

I received an email with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following notice today:

Amazon CloudFront Adds Access Logging Capability:

AWS today released access logs for Amazon CloudFront. Access logs are activity records that show you details about every request delivered through Amazon CloudFront. They contain a comprehensive set of information about requests for your content, including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 object requested, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date and time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 request, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 edge location serving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 request, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client IP address, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 referrer and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user agent. It’s easy to get started using access logs: you just specify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Amazon S3 bucket you want to use to store cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs when you configure your Amazon CloudFront distribution. There are no fees for using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 access logs, beyond normal Amazon S3 charges to write, store and retrieve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs.



The Amazon Elastic MapReduce team has also built a sample application, CloudFront LogAnalyzer, that will analyze your Amazon CloudFront access logs. This tool lets you use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 power of Amazon Elastic MapReduce to quickly turn Access Logs into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answers to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most commonly asked questions about your business. Additionally, several partners have also built solutions that help you analyze cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se access logs; you can find more information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AWS Solutions Catalog.


Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Developer Guide entry for Access Logs, we see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following sorts of data will be recorded:


The log files use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 W3C extended log file format
(for more information, go to http://www.w3.org/TR/WD-logfile.html).

The files contain information for each record in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following order:

Date of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 request (in UTC)
Time (when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server finished processing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 request; in UTC)
Edge location that served cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 request
(a variable-length string with a minimum of 3 characters)
Bytes served
Client IP address (no hostname lookups occur)
HTTP access method
DNS name (eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CloudFront distribution name or your CNAME,
whichever cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end user specified in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 request)
URI stem (e.g., /images/daily-ad.jpg)
HTTP status code (e.g., 200)
Referrer
User agent

An entry might look like this:

#Version: 1.0
#Fields: date time x-edge-location sc-bytes c-ip cs-method cs(Host) cs-uri-stem sc-status
cs(Referer) cs(User-Agent)

02/01/2009 01:13:11 FRA2 182 10.10.10.10 GET d2819bc28.cloudfront.net /view/my/file.html 200
www.displaymyfiles.com Mozilla/4.0%20(compatible;%20MSIE%205.0b1;%20Mac_PowerPC)

02/01/2009 01:13:12 LAX1 2390282 12.12.12.12 GET www.singalong.com /soundtrack/happy.mp3 304
www.unknownsingers.com Mozilla/4.0%20(compatible;%20MSIE%207.0;%20Windows%20NT%205.1)

I think this is a good start, but I'll leave it to Cloudsecurity.org for expert commentary!


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Thoughts on Cyber Command

I've been blogging about various cyber command proposals for a few years, but right now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is some real movement at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 combatant command level. Ellen Nakashima's article Cyber-Command May Help Protect Civilian Networks offers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest details.

The Pentagon is considering whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r to create a new cyber-command that would oversee government efforts to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military's computer networks and would also assist in protecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 civilian government networks, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 head of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Security Agency said yesterday [Tuesday].

The new command would be headquartered at Fort Meade, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSA's director, Lt. Gen. Keith B. Alexander, told cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 House Armed Services terrorism subcommittee.

Alexander, who is a front-runner to assume control of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command if it is created, said its focus would be to better protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. military's computers by marrying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offensive and defensive capabilities of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSA.

Through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSA would also provide technical support to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Department of Homeland Security, which is in charge of protecting civilian networks and helps safeguard cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 energy grid and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r critical infrastructure from cyber-attack, Alexander said.

He stressed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSA does not want to run or operate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 civilian networks, but help Homeland Security improve its efforts...

As proposed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Pentagon, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command would fall under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. Strategic Command, which is tasked with defending against attacks on vital interests.


The highlighted sections reinforce number 2 of my Predictions for 2008 made in December 2007. A few months prior I argued that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Needs Cyber NORAD.

The written testimonies are posted on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. House of Representatives, House Armed Services Committee Web site.

The new Cyber Command will most likely be a subordinate unified command under US Strategic Command.

I'd like to briefly respond to Robert Graham's post Why Cyber Commands Fail. He says in part:

What cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military wants is a hacker squad that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can give a specific objective, and have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hackers carry out that objective within a specific timeframe. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y might tell hackers to take out Iran's radar at midnight so that fighter jets can enter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir airspace a few minutes later to bomb cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir nuclear plants. That's not going to work.

What you could do is tell hackers to go after Iran and do whatever cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can to disrupt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir nuclear developments. One hacker might find a way to shut down safety controls and cause a nuclear meltdown, anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r might jam cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 centrifuges, anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r might change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firmware on measuring equipment to incorrect measure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concentration of U238.

Or, you could give cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hackers six months to infiltrate Iran's computers, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n come back with a list of options. Maybe disabling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 radar system will be one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, maybe not. But that's not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of thing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military is tasked to do - that's more an intelligence operation cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIA would be doing..

China and Russia understand this. They don't directly employ hackers or tell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hackers to accomplish certain goals. They let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hackers have free range to do whatever cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hackers come across something interesting, such as plans for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Joint Strike Fighter, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government buys it, but no government official ever told cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hackers specifically to steal those plans...

So how can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States get in on this sort of asymmetric warfare action?

The first thing is that you have to stoke some sort of nationalism in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way that Russia and China do. I'm not sure this is in our character (especially under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current president), however, so we'd probably have to find some alternative. Instead of pro-USA nationalism we could instead focus on human rights activism. The government could spend a lot of time talking to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 press about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sorts of human rights abuses that go on in Russia and China. Get our own USA hackers thinking about human rights as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own causus belli.

The second thing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need to do is create a climate where our own hackers can operate. I would gladly hack into Iranian computers, but I'm not sure how this fits into US law...

This would be similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "letters of mark and reprisal" used by governments during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1700s. In those days, national navies were too small to patrol cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire ocean. Therefore, governments licensed privateers to prey upon a hostile nation's shipping. The privateers kept half cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 booty, and gave cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r half to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir respective government. This is essentially what China and Russia have done.

A third thing our military would need to do is train our hackers in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target language. Foreign hackers usually learn English, but American hackers rarely learn foreign languages, especially Russian, Chinese, or Farsi (Iranian). If we want to encourage our hackers to go after those countries in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y come after us, we need to encourage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to learn those languages...

The fourth thing our military would need to do is fix cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir horrid purchasing processes...

Note that I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 individuals who run our military are very, very smart. I've met several generals and colonels who understand this. The problem is that while individuals are smart, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization is dumb as a rock. The organization crushes precisely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of creative thinking need to have a successful "cyber" offensive capability.


Robert has a lot of good ideas here. In Air Force Cyber Panel I talked about a clash of models between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States and places like China. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one hand we have a military-industrial complex supported by a vast contracting force vs a country with a true "people's army," containing uniformed military, semi-military, and pure civilians who work with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs to achieve broadly common goals.

I don't think we will ever see any official support for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 privateer concept. China doesn't even recognize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own people's involvement in hacking, since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y frequently repeat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 line that "China doesn't support hacking."

The major benefit I see from a Cyber Command is providing a career path and organizational support for military personnel. Until that exists many people who would want to be in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military doing cyber operations will reach a point where leaving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir service is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir best option.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Wednesday, May 06, 2009

OSVDB on Problems with Identifying Vulnerabilities

This post titled If you can't, how can we? described a problem I had not previously considered regarding identifying vulnerabilities. ("VDB" refers to Vulnerability Database.)

Steve Christey w/ CVE recently posted that trying to keep up with Linux Kernel issues was getting to be a burden. Issues that may or may not be security related, even Kernel devs don’t fully know... Lately, Mozilla advisories are getting worse as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y clump a dozen issues with "evidence of memory corruption" into a single advisory, that gets lumped into a single CVE. Doesn’t matter that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can be exploited separately or that some may not be exploitable at all. Reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bugzilla entries that cover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issues is headache-inducing as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own devs frequently don’t understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extent of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issues. Oh, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bugzilla entry public. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Linux Kernel devs and Mozilla browser wonks cannot figure out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extent of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue, how are VDBs supposed to?...

VDBs deal with thousands of vulnerabilities a year, ranging from PHP applications to Oracle to Windows services to SCADA software to cellular telephones. We’re expected to have a basic understanding of ‘vulnerabilities’, but this isn’t 1995. Software and vulnerabilities have evolved over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years. They have moved from straight-forward overflows (before buffer vs stack vs heap vs underflow) and one type of XSS to a wide variety of issues that are far from trivial to exploit. For fifteen years, it has been a balancing act for VDBs when including Denial of Service (DOS) vulnerabilities because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details are often sparse and it is not clear if an unprivileged user can reasonably affect availability. Jump to today where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software developers cannot, or will not tell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 masses what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real issue is...

It is important that VDBs continue to track cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se issues, and it is great that we have more insight and contact with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 development teams of various projects. However, this insight and contact has paved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way for a new set of problems that over-tax an already burdened effort. MITRE receives almost 5 million dollars a year from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. government to fund cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 C*E effort, including CVE [Based on FOIA information]. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y cannot keep up with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se vulnerabilities, how do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir "competitors", especially free / open source ones [5], have a chance?

Projects like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Linux Kernel are familiar with CVE entries. Many Linux distributions are CVE Numbering Authorities, and can assign a CVE entry to a particular vulnerability. It’s time that you (collectively) properly document and explain vulnerabilities so that VDBs don’t have to do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source code analysis, patch reversals or play 20 questions with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 development team. Provide a clear understanding of what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability is so that we may properly document it, and customers can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n judge cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 severity of issue and act on it accordingly.


I think many of us just take for granted that assigning vulnerability identifiers is easy. Discovering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability is supposed to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard part. This is disturbing, because it means that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most at stake -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset owners -- don't know how to assess risk. If you think about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation, lack of knowledge of vulnerabilities just augments cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems of not knowing what you're protecting (assets) or who wants to exploit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m (threats).

It's really an problem of incentives. The group with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strongest incentive to fully comprehend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 group that seeks to exploit it. Once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have a strong incentive to not tell anyone else so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can financially or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise benefit from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir asymmetric knowledge.

I am not a fan of government regulation or intervention, but it sounds like this incentive misalignment may require one or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r or both.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Lessons from CDX

In my post Thoughts on 2009 CDX I described my initial reaction to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cyber Defense Exercise from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of view of seeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 white and red cells in action. Thanks to this press release I learned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outcome of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event:

The National Security Agency/Central Security Service (NSA/CSS) is pleased to announce that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States Military Academy at West Point has won cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2009 Cyber Defense Exercise (CDX) trophy for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third year in a row.

I found more detail here:

The USMA team won cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exercise for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third year in a row––West Point’s fifth win since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 competition began in 2001. That means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y successfully fended off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSA hackers better than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. Naval Academy, U.S. Air Force Academy, U.S. Coast Guard Academy, U.S. Merchant Marine Academy, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Naval Postgraduate School, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Institute of Technology and Royal Military College of Canada...

"We had large attacks against our e-mail and Web server from multiple (Internet protocol) addresses (all NSA Red Team), Firstie Josh Ewing, cadet public affairs officer for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team, said. "We were able to withstand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir attacks and blocked over 200 IPs that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were using to attack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network."

All cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 while, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cadets were tasked with extra projects such as network forensics. The cadets’ scores from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se extra tasks contributed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir win, Adams said.


Based on my discussions with people from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exercise, it is clear that West Point takes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDX very seriously. As in previous years, West Point dedicated 30-40 cadets to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event. They appear to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDX as a capstone exercise for a computer security class. Based on manpower alone cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y dwarf cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r participants; for example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Coast Guard had a team of less than 10 (6-7?) from what I heard.

Thinking about this exercise caused me to try classifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various stages through which a security team might evolve.

  1. Ignorance. "Security problem? What security problem?" No one at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization realizes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is even an issue to worry about.

  2. Denial. "I hear ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs have security problems, but we don't." The organization thinks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are special enough that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities and exploitation suffered by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs.

  3. Incompetence. "We have to do something!" The organization accepts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a problem but is not equipped to do what is required. They may or may not realize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not equipped to handle cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem.

  4. Heroics. "Stand back! I'll fix it!" The organization develops or hires staff who can make a difference for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time. This is a dangerous phase, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation can improve but it is not sustainable.

  5. Captitalization. "Now I have some resources to address this problem." The heroes receive some funds to advance cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir cause, but funding alone is not sufficient.

  6. Institutionalization. "Our organization is integrating our security measures into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall business operations." This is real progress. The organization is taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security problems seriously and it's not just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team's problem anymore.

  7. Specialization. "We're leveraging our unique expertise in X and Y to defend ourselves and contribute back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security community." The organization has matured enough that it can take advantage of its own environment to defend itself, as well as bring lessons to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community.


Based on what I know of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 West Point team, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y seem to be at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Institutionalization phase. Contrast cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir approach and success with a team that might only be at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Heroics phase. Heroics can produce a win here and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, but Institutionalization will produce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of sustainable advantage we're seeing in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 West Point team.

You may find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se labels apply to your security teams too.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Risk Assessment, Physics Envy, and False Precision

In my last post I mentioned physics. Longtime blog readers might remember a thread from 2007 which ended with Final Question on FAIR, where I was debating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of numerical outputs from so-called "risk assessments." Last weekend I attended cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2009 Berkshire Hathaway Shareholder meeting courtesy of Gunnar Peterson. He mentioned two terms used by Berkshire's Charlie Munger that now explains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole numerical risk assessment approach perfectly:

Physics Envy, resulting in false precision:

In October of 2003 Charlie Munger gave a lecture to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 economics students at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 University of California at Santa Barbara in which he discussed problems with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way that economics is taught in universities.One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems he described was based on what he called "Physics Envy." This, Charlie says, is "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 craving for a false precision. The wanting of formula..."

The problem, Charley goes on, is, "that it's not going to happen by and large in economics. It's too complex a system. And cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 craving for that physics-style precision does nothing but get you in terrible trouble..."

When you combine Physics Envy with Charley's "man with a hammer syndrome," cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tendency for people to overweight things that can be counted.

"This is terrible not only in economics, but practically everywhere else, including business; it's really terrible in business -- and that is you've got a complex system and it spews out a lot of wonderful numbers [that] enable you to measure some factors. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r factors that are terribly important. There's no precise numbering where you can put to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se factors. You know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're important, you don't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 numbers. Well practically everybody just overweighs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stuff that can be numbered, because it yields to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 statistical techniques cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're taught in places like this, and doesn't mix in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard-to-measure stuff that may be more important...

As Charley says, this problem not only applies to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field of economics, but is huge consideration in security analysis. Here it can give rise to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "man with a spread sheet syndrome" which is loosely defined as, "Since I have this really neat spread sheet it must mean something..."

To cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 man with a spread sheet this looks like a macá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365matical (hard science) problem, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 calculation of future cash flows is more art than it is hard science. It involves a lot analysis that has nothing to do with numbers. In a great many cases (for me, probably most cases) involves a lot of guessing. It is my opinion that most cash flow spread sheets are a waste of time because most companies do not really have a predictable future cash flow.


You could literally remove any references to financial issues and replace cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m with risk assessments to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same exact meaning. What's worse, people who do so-called "risk assessments" are usually not even using real numbers, as would be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case with cash flow analysis!

Physics envy, leading to false precision, are two powerful ideas I intend to carry forward.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Dan Geer on Marcus Ranum's 5th Rearguard Security Podcast

Last week while flying home from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 midwest I listened to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fifth Rearguard Security podcast, featuring Dan Geer. If you like my blog you will enjoy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire podcast. This was my favorite quote, from Dan:

"Internet security is quite possibly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most intellectually challenging profession on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 planet... for two reasons... complexity... and rate of change [are] your enemy.

Take that, quantum physics!!

You might also like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 line used to introduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 podcast:

The Rearguard Security podcast: where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 elite meet to share a sense of defeat.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Thoughts on 2009 CDX

Last month Tony Sager was kind enough to invite me to visit NSA's Cyber Defense Exercise (CDX), an annual computer defense drill where cadets from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nation's military service academies defend training networks from red teams. I first mentioned CDX in 2003 and attended a great briefing on CDX summarized by my 2006 post Comments on SANS CDX Briefing.

For this event I drove to Elkridge, MD and visited cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defense contractor hosting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDX white and red cells. The red team conducts adversary simulation against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cadet teams while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 white cell runs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exercise and keeps score. NSA did a great job hosting visitors, ranging from lowly bloggers like yours truly, all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way up to multi-star generals and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir staffs. I'd like to mention a few points which caught my attention.

  • This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second year that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 participants were given a budget. This means that making changes to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 architecture cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were defending, such as installing software and taking ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r actions, inflicted costs. To me this makes enterprise defense much more realistic.

  • Three weeks prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exercise, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 students receive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 images cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will be running during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event. This gives cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m three weeks to essentially conduct forensics against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems to determine what is wrong with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. The NSA red team "taints" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems prior to delivery, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y typically contain malware and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r persistent backdoors that permit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red team to access and pillage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cadets deploy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exercise. This really tests cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 teams's forensic abilities but it seems highly unrealistic.

  • The room I visited held approximately 30 red teamers. They were focusing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir efforts against 9 or 10 target teams. That level of effort helps you understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of real adversary forces arrayed against real targets.

  • Points are lost when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 teams fail to keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir services operational. The main services are Web/database, DNS, instant messaging, and email. While services are clearly important, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exercise doesn't test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of real-world scenarios we see, such as data exfiltration. Good threat agents don't disable any services. They steal while keeping everything running, like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good parasites cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are.


I'll save comments on who won and why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y might have won for a future post. Thanks to Tony and those who kindly hosted me and took time from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 schedules to do so!


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Black Hat Class Outline Posted

The registration process for my TCP/IP Weapons School 2.0 class at Black Hat USA 2009 continues to be active. Several people have asked for something cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir managers to explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course in one page, so I created a class outline in .pdf format. No, this is not a malicious .pdf!

I am also available to answer questions on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class, so please feel free to ask here. Based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 feedback from my DC and Amsterdam sessions earlier this year, students are enjoying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new lab-centric format which focuses on teaching hands-on skills and an investigative mindset. In Amsterdam I also used a new question-and-answer approach where I "batched" questions asked by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 students during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 labs, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n set aside separate time to just answer questions on whatever security topic cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 students wanted to discuss.

Remember I also posted a Sample Lab a few months ago to give one example of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 format used by this new class.

After Black Hat USA I will not be training again until 2010. If you want to attend my class your best bet is to sign up before 1 July. "Late" and "Onsite" registration is a possibility after that, but it's more expensive and seats are not as easy to get as earlier in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process. Last year I trained almost 140 students in two classes. Thank you.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Review of Chained Exploits Posted

Amazon.com just posted my four star review of Chained Exploits by Andrew Whitaker, Keatron Evans, and Jack B. Voth. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review:

I agree with some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commentary by previous reviewers, but I think some of it is unduly harsh. I don't think it's strictly necessary for a book to contain brand new security techniques in order to qualify for publication. Book publishing is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same as releasing a white paper or briefing at Black Hat. However, books should strive to *not* cover ground published in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r books, or even in well-written white papers. In that respect I think Chained Exploits strikes a good balance. The book's novelty relies on presenting complete, technical examples of a variety of "intrusion missions." While not necessarily groundbreaking for experienced offensive security people, Chained Exploits will be informative for broader technical audiences.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Early Las Vegas registration ends 1 June.