Wednesday, May 06, 2009

Lessons from CDX

In my post Thoughts on 2009 CDX I described my initial reaction to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cyber Defense Exercise from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of view of seeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 white and red cells in action. Thanks to this press release I learned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outcome of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event:

The National Security Agency/Central Security Service (NSA/CSS) is pleased to announce that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States Military Academy at West Point has won cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2009 Cyber Defense Exercise (CDX) trophy for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third year in a row.

I found more detail here:

The USMA team won cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exercise for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third year in a row––West Point’s fifth win since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 competition began in 2001. That means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y successfully fended off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSA hackers better than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. Naval Academy, U.S. Air Force Academy, U.S. Coast Guard Academy, U.S. Merchant Marine Academy, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Naval Postgraduate School, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Institute of Technology and Royal Military College of Canada...

"We had large attacks against our e-mail and Web server from multiple (Internet protocol) addresses (all NSA Red Team), Firstie Josh Ewing, cadet public affairs officer for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team, said. "We were able to withstand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir attacks and blocked over 200 IPs that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were using to attack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network."

All cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 while, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cadets were tasked with extra projects such as network forensics. The cadets’ scores from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se extra tasks contributed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir win, Adams said.


Based on my discussions with people from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exercise, it is clear that West Point takes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDX very seriously. As in previous years, West Point dedicated 30-40 cadets to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event. They appear to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDX as a capstone exercise for a computer security class. Based on manpower alone cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y dwarf cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r participants; for example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Coast Guard had a team of less than 10 (6-7?) from what I heard.

Thinking about this exercise caused me to try classifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various stages through which a security team might evolve.

  1. Ignorance. "Security problem? What security problem?" No one at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization realizes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is even an issue to worry about.

  2. Denial. "I hear ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs have security problems, but we don't." The organization thinks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are special enough that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities and exploitation suffered by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs.

  3. Incompetence. "We have to do something!" The organization accepts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a problem but is not equipped to do what is required. They may or may not realize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not equipped to handle cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem.

  4. Heroics. "Stand back! I'll fix it!" The organization develops or hires staff who can make a difference for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time. This is a dangerous phase, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation can improve but it is not sustainable.

  5. Captitalization. "Now I have some resources to address this problem." The heroes receive some funds to advance cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir cause, but funding alone is not sufficient.

  6. Institutionalization. "Our organization is integrating our security measures into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall business operations." This is real progress. The organization is taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security problems seriously and it's not just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team's problem anymore.

  7. Specialization. "We're leveraging our unique expertise in X and Y to defend ourselves and contribute back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security community." The organization has matured enough that it can take advantage of its own environment to defend itself, as well as bring lessons to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community.


Based on what I know of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 West Point team, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y seem to be at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Institutionalization phase. Contrast cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir approach and success with a team that might only be at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Heroics phase. Heroics can produce a win here and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, but Institutionalization will produce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of sustainable advantage we're seeing in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 West Point team.

You may find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se labels apply to your security teams too.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

No comments: