Earlier this month I wondered How much to spend on digital security. I'd like to put that question in a different light by imagining what a black hat could do with a $1 million budget. The ideas in this post are rough approximations. They certainly aren't a black hat business plan. I don't recommend anyone follow through on this, although I am sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are shops our cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re who do this work already.
Let's start by defining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mission of this organization, called Project Intrusion (PI). PI is in "business" to steal intellectual property from organizations and sell it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 highest bidders. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course of accomplishing that mission, PI may develop tools and techniques that it could sell down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 food chain, once PI determines cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir utility to PI has sufficiently decreased.
With $1 million in funding, let's allocate some resources.
- Staff. Without people, this business goes nowhere. We allocate $750,000 of our budget to salaries and benefits to hire cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following people.
- The team leader should have experience as a vulnerability researcher, exploit developer, penetration tester, enterprise defender, and preferably an intelligence operative. The leader can be very skilled in at least one speciality (say Web apps or Windows services) but should be familiar with all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team's roles. The team leader needs a vision for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team while delivering value to clients. $120,000.
- The team needs at least one attack tool and technique developer for each target platform or technology that PI intends to exploit. PI hires three. One focuses on Windows OS and client apps, one on Web apps, and one on Unix and network infrastructure. $330,000.
- The team hires two penetration operators who execute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team leader's mission directives by using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack tools and techniques supplied by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 developers. The operators penetrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target and establish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 persistence required to acquire cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 desired intellectual property. $180,000.
- The team hires one intelligence operative to direct cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 penetration operators attention toward information of value, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n assess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of exfiltrated data. The intel operative interfaces with clients to make deals. $120,000.
- Technology. The team will need cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following, for a total of $200,000.
- Lab computers running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software likely to be attacked during operations.
- Operations computers from which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 penetration operators run attacks.
- Network connectivity and hosting for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lab computers and operations computers, dispersed around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world.
- Software required by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team, since many good attack tools are commercial. MSDN licenses are needed too. There's no need to steal cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se; we have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 budget!
- Miscellaneous. The last $50,000 could be spent on incidentals, bribes, team awards, travel, or whatever else cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 group might require in start-up mode.
If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack developers manage to make enough extra money by selling original exploits, I would direct cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 funds to additional penetration operators. It would take about six of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to support a sustainable 24x7 operation. With only two cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would need to be careful and operate within certain time windows.
So what is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of this exercise? I submit that for $1 million per year an adversary could fund a Western-salaried black hat team that could penetrate and persist in roughly any target it chose to attack. This team has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 structure and expertise to develop its own attack methods, execute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, and sell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of its efforts to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 highest bidders.
This should be a fairly scary concept to my readers. Why? Think about what $1 million buys in your security organization. If your company is small, $1 million could go a long way. However, when you factor in all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defensive technology you buy, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 salaries of your staff, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of your responsibilities, and so on, quickly you realize you are probably out-gunned by Project Intrusion. PI has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 in-house expertise to develop its own exploits, keep intruders on station, and assess and sell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information it steals.
Worse, PI can reap economies of scale by attacking multiple targets for that same $1 million. Why? Everyone runs Windows. Everyone uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same client software. Everyone's enterprise tends to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same misconfigurations, missing patches, overworked staff, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r problems. The tools and techniques that penetrate company A are likely to work against company B.
This is why I've always considered it folly to praise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force for standardizing its Windows deployment with supposedly secure configurations. If PI looks at its targets and sees Windows, Windows, some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r OS that might be Linux or BSD or who knows what, Windows, Windows, who do you think PI will avoid?
It's all about cost, on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker or defender. Unfortunately for defenders, it's only intruders who can achieve "return on investment" when it comes to exploiting digital security.
Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.
8 comments:
check this URL:
http://nvd.nist.gov/fdcc/download_fdcc.cfm
Great post. During a red team assessment/threat model of a government system we developed similar numbers. Generally speaking though, we thought as a criminal you'd see ROI within 6 months. If that's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case, you only need cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $500k to get started.
If you're a state actor, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real question is whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r you can find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expertise to fill those positions. There are certainly lots of places where you can do that, but in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r places I think it's less well known.
Also, our opinion was less on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dollar for dollar battle of defender vs attacker. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, we assumed that a team like you describe with 6-12 months of time would leverage sufficient tools and exploits to severely compromise almost any organization.
IMO, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way to protect against that sort of attack is to hire a red team to perform a 6 month assessment. Spend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next six months remediating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recommendations. Repeat until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expected loss from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker is less than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expense of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assessments or until a successful attack takes longer (more money) than your perceived adversaries have.
Am I reading it right? I think if you are a good BH and you have $1m, you can 0wn ANYTHING. Game over.
Speak about ROI :-)
Anton, "ANYTHING" is going a bit far. For $1m, I think you could leverage 2-3 0day attacks against targeted systems, develop custom software to maintain access, stay under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 radar, and stay anonymous. That might not get you everywhere but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's not far it won't get you.
I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 harder part at that point is actualizing your ROI. How do you profitably offload valuables from something so restricted and highly targeted?
Moving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goods would be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 toughest part I think. Seems more likely that someone who wanted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 info in first place (say evil eastern corporation targeting say western router company) would be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one to assemble cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team -- thus moving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goods wouldn't be a problem. ;)
you sure can do a lot of damage with 1m budget.
nice post as usual
Post a Comment