Sunday, June 28, 2009

Simpler IP Range Matching with Tshark Display Filters

In today's SANS ISC journal, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story IP Address Range Search with libpcap wonders how to accomplish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

...how to find SYN packets directed to natted addresses where an attempt was made to connect or scan a service natted to an internal resource. I used this filter for addresses located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 range 192.168.25.6 to 192.168.25.35.

The proposed answer is this:

tcpdump -nr file '((ip[16:2] = 0xc0a8 and ip[18] = 0x19 and ip[19] > 0x06)\
and (ip[16:2] = 0xc0a8 and ip[18] = 0x19 and ip[19] < 0x23) and tcp[13] = 0x02)'

I am sure it's clear to everyone what that means!

Given my low success rate in getting comments posted to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS ISC blog, I figured I would reply here.

Last fall I wrote Using Wireshark and Tshark display filters for troubleshooting. Wireshark display filters make writing such complex Berkeley Packet Filter syntax a thing of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past.

Using Wireshark display filters, a mere mortal could write cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

tshark -nr file 'tcp.flags.syn and (ip.dst > 192.168.25.6 and ip.dst < 192.168.25.35)'

Note that if you want to be inclusive, change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 > to >= and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 < to <= .

To show that my filter works, I ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter against a file with traffic on my own 192.168.2.0/24 network, so I altered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last two octets to match my own traffic.

$ tshark -nr test.pcap 'tcp.flags.syn and (ip.dst > 192.168.2.103 and ip.dst < 192.168.2.106)'

137 2009-06-28 16:21:44.195504 74.125.115.100 -> 192.168.2.104 HTTP Continuation or non-HTTP traffic

You have plenty of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r options, such as ip.src and ip.addr.

Which one do you think is faster to write and easier to understand?


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Effective Digital Security Preserves Long-Term Competitiveness

Yesterday I mentioned a speech by my CEO, Jeff Immelt. Charlie Rose also interviewed Mr Immelt last week. In both scenarios Mr Immelt talked about preserving long-term competitiveness. Two of his cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mes were funding research and development and ensuring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 native capability to perform technical tasks.

It occurred to me that digital security is reflected in both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mes. In Crisis 0: Game Over I asked I'm sure some savvy reader knows of some corporate espionage case that ended badly for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim, i.e., bankruptcy or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 like? I got a few interesting cases, but I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 net result is that it is difficult to find examples where an intrusion or breach was so devastating that it ended up destroying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim organization.

This makes sense once you reflect on it. Why would a mature, thoughtful intruder seek to destroy his victim, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purpose of his mission is to conduct espionage on behalf of a competitor or intelligence service? Destroying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim renders it useless as a source for stealing intellectual property gained by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim's research and development. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 foreign intelligence case, almost all operators prefer to keep a source active, even in wartime when you might think that destruction is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ultimate goal.

Taking this line of reasoning to its natural conclusion, we can see that digital security can be considered a means to preserve long-term competitiveness, particularly for organizations that seek to drive internal growth via investing in research and development. Such an organization is a natural target for competitors who find it immensely cheaper to steal intellectual property, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than fund cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own.

The problem is showing those who make budgetary and management decisions that digital security has a real role in loss prevention. I've written a lot about intellectual property and digital security, but it is exceptionally difficult to tie individual intrusions to real impact. How does pervasive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft of intellectual property (IP) manifest itself? In commercial cases, perhaps it would appear as a loss of sales to rivals who make similar or duplicate products based on stolen IP. Would cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim organization even know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se lost or declining sales were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of IP cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft?

Even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim identified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stolen IP, could it be traced back to one or more intrusions, or would it be considered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consequences of product reverse engineering by competitors? The bottom line could be that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim is still in business, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 double-digit growth and expanding market share it craves are reduced to single-digit growth and eroding market share.

It's a waste of time to use terms like "ROI" or "ROSI" when talking to managers or business people. It is usually impossible to fully explain, from loss to impact, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft cases like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one I described in Intellectual Property: Develop or Steal, i.e., spend $10 million over 10 years on a product, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n watch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese duplicate it for $1.4 million in 6 months after stealing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP. More often than not, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim of IP cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft simple whicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, wondering why its competitive advantage is not what it expected it to be. It's time to get managers and business people to think in terms of long-term competitiveness.

Clearly Mr Immelt has determined that it is not in his company's best interest, nor in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interests of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 country, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US to be underfunding R&D or outsourcing everything overseas. We security professionals need to adopt this line of reasoning to emphasize how effective digital security preserves long-term competitiveness.

By cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way, you might be wondering if I can prove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is an impact to IP cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft. I look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question this way. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were no impact to IP cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft, why would economic and national competitors fund teams to steal IP? You might argue that IP thieves can duplicate and sell products at prices lower than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP owner could afford, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby serving a new market. If that were true, why would IP owners file patents? Clearly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is value in IP, so stealing it lessens cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value available to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP owner.

I use a variant of this argument when I encounter asset owners who claim cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no impact associated with an intrusion. My reply is usually this: If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no impact, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n why operate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset? Retire it.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Saturday, June 27, 2009

Posts to Read Elsewhere

I'm not a big fan of just publishing links to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r people's stories, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a few that I really like this week. Please consider checking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se out:

  • Nate Richmond wrote Building an IR Team: People and Building an IR Team: Organization. These posts are gold for anyone trying to build an IR team on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own, or trying to benchmark against an expert's recommendation. Keep writing Nate!

  • Alec Waters caught my attention with his post Prevention Eventually Fails, part one. Anyone who read my first book recognizes my catchphrase "Prevention eventually fails." Alec's posts look interesting!

  • My CEO delivered a great speech this week, viewable at American Renewal: Immelt addresses Detroit Econ Club and readable at Text of Immelt's Speech. This caught my eye:

    In some areas, we have outsourced too much. We plan to "insource" capabilities like aviation component manufacturing and software development. These are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things we will be working on in Michigan. This will make us faster and more competitive over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 long term.

    I totally agree -- internal security staff matters.




Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Black Hat Budgeting

Earlier this month I wondered How much to spend on digital security. I'd like to put that question in a different light by imagining what a black hat could do with a $1 million budget.

The ideas in this post are rough approximations. They certainly aren't a black hat business plan. I don't recommend anyone follow through on this, although I am sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are shops our cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re who do this work already.

Let's start by defining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mission of this organization, called Project Intrusion (PI). PI is in "business" to steal intellectual property from organizations and sell it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 highest bidders. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course of accomplishing that mission, PI may develop tools and techniques that it could sell down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 food chain, once PI determines cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir utility to PI has sufficiently decreased.

With $1 million in funding, let's allocate some resources.

  • Staff. Without people, this business goes nowhere. We allocate $750,000 of our budget to salaries and benefits to hire cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following people.


    • The team leader should have experience as a vulnerability researcher, exploit developer, penetration tester, enterprise defender, and preferably an intelligence operative. The leader can be very skilled in at least one speciality (say Web apps or Windows services) but should be familiar with all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team's roles. The team leader needs a vision for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team while delivering value to clients. $120,000.

    • The team needs at least one attack tool and technique developer for each target platform or technology that PI intends to exploit. PI hires three. One focuses on Windows OS and client apps, one on Web apps, and one on Unix and network infrastructure. $330,000.

    • The team hires two penetration operators who execute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team leader's mission directives by using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack tools and techniques supplied by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 developers. The operators penetrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target and establish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 persistence required to acquire cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 desired intellectual property. $180,000.

    • The team hires one intelligence operative to direct cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 penetration operators attention toward information of value, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n assess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of exfiltrated data. The intel operative interfaces with clients to make deals. $120,000.


  • Technology. The team will need cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following, for a total of $200,000.


    • Lab computers running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software likely to be attacked during operations.

    • Operations computers from which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 penetration operators run attacks.

    • Network connectivity and hosting for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lab computers and operations computers, dispersed around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world.

    • Software required by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team, since many good attack tools are commercial. MSDN licenses are needed too. There's no need to steal cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se; we have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 budget!


  • Miscellaneous. The last $50,000 could be spent on incidentals, bribes, team awards, travel, or whatever else cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 group might require in start-up mode.


If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack developers manage to make enough extra money by selling original exploits, I would direct cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 funds to additional penetration operators. It would take about six of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to support a sustainable 24x7 operation. With only two cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would need to be careful and operate within certain time windows.

So what is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of this exercise? I submit that for $1 million per year an adversary could fund a Western-salaried black hat team that could penetrate and persist in roughly any target it chose to attack. This team has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 structure and expertise to develop its own attack methods, execute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, and sell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of its efforts to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 highest bidders.

This should be a fairly scary concept to my readers. Why? Think about what $1 million buys in your security organization. If your company is small, $1 million could go a long way. However, when you factor in all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defensive technology you buy, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 salaries of your staff, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of your responsibilities, and so on, quickly you realize you are probably out-gunned by Project Intrusion. PI has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 in-house expertise to develop its own exploits, keep intruders on station, and assess and sell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information it steals.

Worse, PI can reap economies of scale by attacking multiple targets for that same $1 million. Why? Everyone runs Windows. Everyone uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same client software. Everyone's enterprise tends to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same misconfigurations, missing patches, overworked staff, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r problems. The tools and techniques that penetrate company A are likely to work against company B.

This is why I've always considered it folly to praise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force for standardizing its Windows deployment with supposedly secure configurations. If PI looks at its targets and sees Windows, Windows, some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r OS that might be Linux or BSD or who knows what, Windows, Windows, who do you think PI will avoid?

It's all about cost, on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker or defender. Unfortunately for defenders, it's only intruders who can achieve "return on investment" when it comes to exploiting digital security.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Being a Critic Is Easy, So What Would I Do?

After my last post, some of you are probably thinking that it's easy to be a critic, but what would I suggest instead? The answer is simple to name but difficult to implement.

  1. Operate a defensible network architecture. Hardly anyone does. I don't need to explain all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reasons why here; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could occupy a series of posts, or maybe even a book.

  2. Once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DNA is operating, detect and respond to failures. The nice aspect of operating a DNA is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of failures should be lower but of higher complexity. Unfortunately at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moment almost all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world's detection and response teams have to deal with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire spectrum of security incidents. These range from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most mundane to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most complex. Too often cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mundane hide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 complex, or at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very least divert resources and attention.

  3. Use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 knowledge learned from failures (eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r caused by adversaries or adversary simulation) to guide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DNA. Since most enterprises are not operating a DNA, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y never get to work on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next version anyway.

I know ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r people think this way too. Harlan Carvey is one. He is also an incident responder and he finds so many clients that are not doing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basics anywhere remotely right.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Ugly Security

I read Anton Chuvakin's post MUST READ: Best Chapter From “Beautiful Security” Downloadable! with some interest. He linked to a post by Mark Curphey pointing out that Mark's chapter from O'Reilly's new book Beautiful Security was available free for download in .pdf format. O'Reilly had been kind enough to send me a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, so I decided to read Mark's chapter today.

I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following excerpts interesting.

Builders Versus Breakers

Security people fall into two main categories:

  • Builders usually represent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 glass as half full. While recognizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 seriousness of vulnerabilities and dangers in current practice, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are generally optimistic people who believe that by advancing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 better.

  • Breakers usually represent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 glass as half empty, and are often so pessimistic that you wonder, when listening to some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet hasn’t totally collapsed already and why any of us have money left unpilfered in our bank accounts. Their pessimism leads cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to apply cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current state of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 art to exposing weaknesses and failures in current approaches.


I remembered I had seen something like this before and wrote On Breakership in response. However, back cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 debate seemed to center around calling people who helped create and defend systems as "builders, while labeling people who exploited or at least tested systems as "breakers." Mark seems to have dismissed people who "break" systems in order to improve security, while praising builders as people who stay "optimistic." I don't think this is fair. My post Response to Is Vulnerability Research Ethical? explains my position, which is essentially that Offense and Defense Inform Each Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

Next, in a section titled Clouds and Web Services to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Rescue, Mark describes how centralized data storage for his 6 home PCs at Amazon S3 is great for security. Unfortunately, all he is really showing is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is value in offsite storage. Storing data at Amazon S3 doesn't help much when those 6 systems are part of Calin's botnet in Romania. This is an example of focusing on one aspect of security (availability) while ignoring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r parts (confidentiality and integrity). Don't get me wrong -- I think cloud storage is great and I use a variety of services myself. However, it only helps with one aspect of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security landscape, and if not properly utilized introduces ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r vulnerabilities and exposures not found in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r models.

Next Mark talks about using cloud services for data analysis.

Event logs can provide an incredible amount of forensic information, allowing us to reconstruct an event. The question may be as simple as which user reset a specific account password or as complex as which system process read a user’s token. Today cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are, of course, log analysis tools and even a whole category of security tools called Security Event Managers (SEMs), but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se don’t even begin to approach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capabilities of supercrunching. Current tools run on standard servers with pretty much standard hardware performing relatively crude analysis...

[T]he power and storage that is now available to us all if we embrace cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new connected computing model will let us store vast amounts of security monitoring data for analysis and use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vast amounts of processing power to perform complex analysis. We will cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n be able to look for patterns and derive meaning from large data sets to predict security events racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than react to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. You read that correctly: we will be able to predict from a certain event cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 probability of a tertiary event taking place. This will allow us to provide context-sensitive security or make informed decisions about measures to head off trouble.


Does Mark mean that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real problem we've had with detecting and responding to security events is a lack of processing power? Good grief. I hear thoughts like this quite often from people who don't actually detect and respond to security incidents. Even academic security researchers in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir ivory towers are probably laughing at Mark's angle. "Oh, you're right -- we've just been waiting for a supercomputer to run our algorithms!"

Mark cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n talks about using Business Process Management (BPM) software to improve security:

When security BPM software (and a global network to support it) emerges, companies will be able to outsource this step not just to a single company, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hope that it has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessary skills to provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate analysis, but to a global network of analysts. The BPM software will be able to route a task to an analyst who has a track record in a specific obscure technology (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best guy in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world at hacking system X or understanding language Y) or a company that can return an analysis within a specific time period. The analysts may be in a shack on a beach in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Maldives or in an office in London; it’s largely irrelevant, unless working hours and time zones are decision criteria...

This same fundamental change to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business process of security research will likely be extended to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intelligence feeds powering security technology, such as anti-virus engines, intrusion detection systems, and code review scanners. BPM software will be able to facilitate new business models, microchunking business processes to deliver cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end solution faster, better, or more cheaply. This is potentially a major paradigm shift in many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security technologies we have come to accept, decoupling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 delivery mechanism. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future, thanks to BPM software security, analysts will be able to select cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best anti-virus engine and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best analysis feed to fuel it — but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will probably not come from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same vendor.


Again, this is so detached from reality, I am curious how anyone could think this is possible. Mark works for Microsoft. Would you ever imagine Microsoft pivoting on a dime to "select cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best anti-virus engine and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best analysis feed" -- or would cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y stick to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own product, because it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own product? What about your company -- have you witnessed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organizational inertia associated with any IT product or system?

How about trust factors? What if "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best guy in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world at hacking system X or understanding language Y" works in a country with a reputation for industrial espionage? What if that guy was just hired by a competitor, or is working for a competitor now? How long does it take outside help to become familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aspects of your business that eventually determine success? There's a reason why companies are not collections of free agents working independently.

Mark's last section talks about social networking for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security industry, talking about how people should share what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y know. There are indeed certain collaborative forums where this works, but you are seldom if ever going to find any serious company telling ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r companies how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security defenses work, how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y fail, and what is lost as a result of that failure. Individual collaboration occurs, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re could be severe consequences for a security staff member who unloads specific technical security information to a social network. The most productive associations that currently exist are found in certain private mailing lists, associations of peer companies that sign mutual nondisclosure agreements, and individual exchanges among peers.

Mark is a smart guy but I think his prognosis for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security industry in his Beautiful Security chapter are largely incomplete and unrealistic.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Thursday, June 25, 2009

SANS Forensics and Incident Response 2009

The agenda for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second SANS WhatWorks Summit in Forensics and Incident Response has been posted. I am really happy to see I am speaking on Tuesday, because I will not be available Wednesday. Day 1 appears mainly technical, and day 2 is mainly legal. Please consider registering for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two-day conference. It's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best incident response event in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US this year!


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Wednesday, June 24, 2009

DoD Creates USCYBERCOM

Today is an historic day for our profession, and for my American readers, our country. As reported in The Washington Post and by several of you, today Secretary Gates ordered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creation of U.S. Cyber Command, a subordinate unified command under U.S. Strategic Command. The NSA Director will be dual-hatted as DIRNSA and CYBERCOM Commander, with Title 10 authority, and will be promoted to a four-star position. Initial Operational Capability for CYBERCOM is October 2009 with Full Operational Capability planned for October 2010. Prior to CYBERCOM achieving FOC, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Joint Task Force - Global Network Operations (JTF-GNO) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Joint Task Force - Network Warfare (JTF-NW) will be "disestablished."

As one of my friends said: "Step one to your Cyber Service -- what will cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 uniforms look like?"


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Tuesday, June 23, 2009

Free .pdf Issue of BSD Magazine Available

Karolina at BSD Magazine wanted me to let you know that she has posted a free .pdf issue online. I mentioned this issue last year and its focus is OpenBSD. Check it out, along with Hakin9!


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

The Problem with Automated Defenses

Automation is often cited as a way to "do more with less." The cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory is that if you can automate aspects of security, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you can free resources. This is true up to a point. The problem with automation is this:

Automated defenses are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 easiest for an intruder to penetrate, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder can repeatedly and reliably test attacks until he determines cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will be successfully and potentially undetectable.

I hope no one is shocked by this. In a previous life I worked in a lab that tested intrusion detection products. Our tests were successful when an attack passed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detection system with as little fuss as possible.

That's not just an indictment of "IDS"; that approach works for any defensive technology you can buy or deploy off-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-shelf, from anti-malware to host IPS to anything that impedes an intruder's progress. Customization and localization helps make automation more effective, but that tends to cost resources. So, automation by itself isn't bad, but mass-produced automation can provide a false sense of security to a certain point.

In tight economic conditions cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a strong managerial preference for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 so-called self-defending network, which ends up being a self-defeating network for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reason in bold.

A truly mature incident detection and response operation exists because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise is operating a defensible network architecture, and someone has to detect and respond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 failures that happen because prevention eventually fails. CIRTs are ultimately exception handlers that deal with everything that falls through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cracks. The problem happens when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cracks are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 size of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Grand Canyon, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIRT deals with intrusions that should have been stopped by good IT and security practices.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

You Know You're Important When...

You know you're an important when someone announces a "Month of Bugs" project for you. July will be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Month of Twitter Bugs, brought to my attention in this story by Robert Westervelt. The current project is led by a participant in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Month of Browser Bugs from three years ago named Avi Raff.

I don't see projects like that as being irresponsible. What would be more irresponsible is selling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 underground. Would cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 critics prefer that? In many cases, "Month of" projects are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of running into resistance from developers or managers are not taking vulnerabilities seriously. In many cases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities are already being exploited. Sure, packaging all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities into a "Month of" project gains attention, but isn't that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point?


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Sunday, June 21, 2009

The Centrality of Red Teaming

In my last post I described how a Red Team can improve defense. I wanted to expand on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea briefly.

First, I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modern enterprise is too complex for any individual or group to thoroughly understand how it can be compromised. There are so many links in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chain that even knowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y exist, let alone how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y connect, can be impossible.

To flip that on its end, in a complementary way, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modern enterprise is too complex for any individual or group to thoroughly understand how its defenses can fail. The fact that vendors exist to reduce firewall rule sets down to something intelligible by mere mortals is a testament to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 apocalyptic fail exhibited by digital defenses.

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, it is highly likely that hardly anyone cares about attack models until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have been demonstrated. We seen this repeatedly with respect to software vulnerabilities. It can be difficult for someone to take a flaw seriously until a proof of concept is shown to exploit a victim. L0pht's motto "Making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365oretical practical since 1992" is a perfect summarization of this phenomenon.

So why mention Red Teams? They are central to digital defense because Red Teams transform cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365oretical intrusion scenarios into reality in a controlled and responsible manner. It is much more realistic to use your incident detection and response teams to know what adversaries are actually doing. However, if you want to be more proactive, you should deploy your Red Team to find and connect those links in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chain that result in a digital disaster.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Offense and Defense Inform Each Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r

If you've listened to anyone talking about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Top 20 list called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Consensus Audit Guidelines recently, you've probably heard cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phrase "offense informing defense." In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, talk to your Red Team / penetration testers to learn how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can compromise your enterprise in order to better defend yourself from real adversaries.

I think this is a great idea, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re isn't anything revolutionary about it. It's really just one step above cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous pervasive mindset for digital security, namely identifying vulnerabilities. In fact, this neatly maps into my Digital Situational Awareness ranking. However, if you spend most of your time writing policy and legal documents, and not really having to deal with intrusions, this idea probably looks like a bolt of lightning!

And speaking of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Consensus Audit Guidelines: hey CAG! It's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 year 2000 and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Top 20 List wants to talk to you!

The SANS/FBI Top Twenty list is valuable because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of successful attacks on computer systems via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet can be traced to exploitation of security flaws on this list...

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past, system administrators reported that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had not corrected many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se flaws because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y simply did not know which vulnerabilities were most dangerous, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were too busy to correct cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m all...

The Top Twenty list is designed to help alleviate that problem by combining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 knowledge of dozens of leading security experts from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most security-conscious federal agencies, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 leading security software vendors and consulting firms, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top university-based security programs, and CERT/CC and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Institute.


Expect at some point to hear Beltway Bandits talking about how we need to move beyond talking to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Red Team and how we need to see who is actively exploiting us. Guess what -- that's where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detection and response team lives. Perhaps at some point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se "thought leaders" will figure out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best way to defend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise is through counterintelligence operations, like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 police use against organized crime?

For now, I wanted to depict that while it is indeed important for offense to inform defense, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opposite is just as critical. After all, how is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Red Team supposed to simulate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary if it doesn't know how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary operates? A good Red Team can exploit a target using methods known to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Red Team. A great Red Team can exploit a target using methods known to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary. Therefore, I created an image describing how offense and defense inform each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. This assumes a sufficiently mature, resourced, and capable set of security teams.



This post may sound sarcastic but I'm not really bitter about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation. If we keep making progress like this, in 3-5 years cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mindset of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information security community will have evolved to where it needed to be ten years ago. I'll keep my eye on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Beltway Bandits to let you know how things proceed.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Response to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Möbius Defense

One of you asked me to comment on Pete Herzog's "Möbius Defense". I like Lego blocks, but I don't find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation to be especially compelling.

  1. Pete seems to believe that NSA developed "defense in depth" (DiD) as a strategy to defend DoD networks after some sort of catastrophic compromise in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1970s. DiD as a strategy has existed for thousands of years. DiD was applied to military information well before computers existed, and to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computers of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1970s as well.

  2. Pete says DiD is

    "all about delaying racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than preventing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advance of an attacker... buying time and causing additional casualties by yielding space... DiD relies on an attacker to lose momentum over time or spread out and thin its massive numbers as it needs to traverse a large area... All cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 while, various units are positioned to harm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker and eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cause enough losses in resources to force a retreat or capture individual soldiers as a means of thinning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir numbers."

    That's certainly one way to look at DiD, but it certainly isn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way. Unfortunately, Pete stands up this straw man only to knock it down later.

  3. Pete next says

    "Multiple lines of defense are situated to prevent various threats from penetrating by defeating one line of defense. 'Successive layers of defense will cause an adversary who penetrates or breaks down one barrier to promptly encounter anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Defense-In-Depth barrier, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack ends.'"

    It would be nice to know who he is quoting, but I determined it is some NSA document because I found ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r people quoting it. I don't necessarily agree with this statement, because plenty of attacks succeed. This means I agree with Pete's criticism here.

  4. So what's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deal with Möbius? Pete says:

    "The modern network looks like a Moebius strip. Interactions with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outside happen at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 desktop, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 laptop, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disks, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 applications, and somewhere out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CLOUD. So where is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 depth? There is none. A modern network throws all its fight out at once."

    I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first section is party correct. The modern enterprise does have many interactions that occur outside of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack model (if any) imagined by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defenders. The second section is wrong. Although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re may be little to no depth in some sections (say my Blackberry) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is plenty of depth elsewhere (at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 desktop, if properly defended). The third section is partly correct in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sense that any defense that happens generally occurs at Internet speed, at least as far as exploitation goes. Later phases (detection and response) do not happen all at once. That means time is a huge component of enterprise defense; comprehensive defense doesn't happen all at once.

  5. Pete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cites "Guerrilla Warfare and Special Forces Operations" as a new defensive alternative to DiD, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n really doesn't say anything you haven't heard before. He mentions counterintelligence but that isn't new eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.


I've talked about DiD in posts like Mesh vs Chain, Lessons from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Military, and Data Leakage Protection Thoughts.

I think it is good for people to consider different approaches to digital security, but I don't find this approach to be all that clever.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Sunday, June 14, 2009

How Much to Spend on Digital Security

A blog reader recently asked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following question:

I recently accepted a position and was shocked to learn, I know this shouldn't have happened, that Information Security/Warfare is largely an afterthought even though this organization has had numerous break ins. Many of my peers have held cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir position for one or even two decades and are great people yet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not proactively preparing for modern threat/attack vectors. I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main difference is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are satisfied with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 status quo and I am not.

I have written a five-year strategic plan for IT security which I am now following with a tactical plan on how to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. with respect to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tactical plan I was wondering what percentage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT budget you think an organization should allocate for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir InfoSec programs?

It would seem that, using Google, many people advocate somewhere between ten and twenty percent of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT budget. I have no knowledge of our overall IT budget but I do know we aren't anywhere near ten percent.

Additionally, how important is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creation and empowerment of a CISO in as organization? Many places still place security under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIO which I have seen both good and bad examples of. Thank you for your time, it's much appreciated.


Regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost question: I don't think anyone should use a rule of thumb to decide how much an organization should spend on digital security. Some would disagree. If you read Managing Cybersecurity Resources, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors create some fairly specific recommendations, even saying "it is generally uneconomical to invest in cybersecurity activities costing more than 37 percent of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expected lost." (p 80) Of course, one could massage "expected loss" to be whatever figure you like, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 37% part tends to become irrelevant.

When one tries to define digital security spending as a percentage of an IT budget, you face an interesting issue. First you must accept that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization's information is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 upper bound for any security spending. (In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, don't spend more money than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assets are worth.) If you base security spending on IT spending, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire IT budget becomes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365oretical upper bound for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 supposed value of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization's information. If you arbitrarily decide to shrink cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT budget, following this logic, you are also shrinking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization's information. This situation holds even if you don't spend more than "37%" of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization's information on security it. Clearly this doesn't make any sense.

I have not met anyone with a really solid approach for justifying security spending. "Calculating risk" or "measuring ROI/ROSI" are all subjective jokes. All I can really offer are some guidelines that I try to follow.

  1. First, focus on outputs, not inputs. It doesn't matter how much you spend on security (inputs) if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization is horribly compromised (outputs). Determining how compromised cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise is becomes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real priority.

  2. Second, like I said in cheap IT is ultimately expensive, "security is an IT problem, not a 'security' problem. The faster asset owners realize this and be held responsible for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir systems, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 less intrusion debt will mount and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greater cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chance that enterprise assets will survive digital earthquakes." Security teams don't own any assets, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure supporting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir teams. Asset owners are ultimately responsible for security because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y usually make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key decisions over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset value and vulnerabilities in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir assets.

    The best you can do in this situation is to ask asset owners to imagine a scenario where assets A, B, and C are under complete adversary control, and could be rendered useless in an instant by that adversary, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m tell you cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 impact. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no impact, you should report that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset is worthless and should be retired immediately. That will probably get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset owners' attention and start a real conversation.

  3. Third, continue to tell anyone who will listen what you need to do your job, and what is lost as a result of not being able to do your job. Asset owners have a perverse incentive here, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 less cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team observe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 score of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game (i.e., cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security state of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir assets), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 less able cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team is able to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security posture of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise. You've got to find allies who are more interested in speaking truth to power than living in Potemkin villages.


Regarding this CISO question: I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jury is out on where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISO should sit. When reporting to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CTO and/or CIO, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISO is one of many voices competing for attention. When working for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CTO and/or CIO, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 position of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISO probably reinforces cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 notion that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CTO and/or CIO somehow own cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization's information, and hence require security expertise from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISO to secure it.

However, I am developing a sense that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset owners, i.e., cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 profit and loss (P/L) entities in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization, should be formally recognized as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset owners. In that respect, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISO should operate as a peer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CTO and/or CIO. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir roles, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CTO and/or CIO would provide services to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset owners, while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISO advises cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset owners on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost-benefit of security measures.

Note that when I say "asset" I'm referring to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real information asset in most organizations: data. Platforms tend to be worth far less than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y process. So, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CTO and/or CIO might own cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 platform, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 P/L owns cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data. The CISO ensures cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data processed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CTO and/or CIO is kept as secure as possible, serving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset owner's interests first.

I would be interested in hearing ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r opinions on both of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se questions. Thank you.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Monday, June 08, 2009

Counterintelligence Options for Digital Security

As a follow-up to my post Digital Situational Awareness Methods, I wanted to expand on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of conducting counterintelligence operations, strictly within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital security realm. I focus almost exclusively on counter-criminal operations, as opposed to actions against nation-states or individuals.

Those of you who provide security intelligence services (SIS), or subscribe to those services, may recognize some or all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se. By SIS I am not talking about vulnerability notices repackaged from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sources.

Note that some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se approaches can really only be accomplished by law enforcement, or by collaboration with law enforcement. Even taking a step into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 underground can be considered suspicious. Therefore, I warn blog readers to not try implementing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se approaches unless you are an experienced professional with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper associations. The idea behind this post is to explain what could be done to determine what one sort of adversary (primarily cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 criminal underground) knows about your organization. It obviously could be extended elsewhere but that is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus of this post.

  1. See who is selling or offering to sell your information or access to your information. This approach is similar to identifying places where credit cards or personally identifiable information are sold. Stepping into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 underground and seeing where your company is mentioned is one way to estimate how prevalent your data might be outside your control. This is a passive approach.

  2. Solicit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 underground for your organization's data or for access to your organization. By taking this step you ask if anyone would be able to provide stolen data or access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization. This is a dangerous step because it may motivate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 underground to go looking for data. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, if your data is freely available you're simply unearthing it. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 active approaches.

  3. Penetrate adversary infrastructure. By this step I mean gaining entry or control of command-and-control channels or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r mechanisms cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary uses to exploit victim organizations. Security intelligence services do this all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time, but gaining access to a server owned by anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r organization is fairly aggressive.

  4. Infiltrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary group. An underground organization usually functions as a team. It might be possible to infiltrate that group to learn what it knows about your organization. Acting with law enforcement would be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only real way to more or less "safely" accomplish this task.

  5. Pose as an individual underground member. In this capacity, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r criminals with access to your organization's data might come to you. This is exceptionally dangerous too and would only be done in collaboration with law enforcement.


None of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se steps are new; you can review success stories posted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r organizations to know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y work. However, I post cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m here to reinforce that asset-centric mindset and not just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability-centric mindset in digital security.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Sunday, June 07, 2009

Crisis 0: Game Over

A veteran security pro just sent me an email on my post Extending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Information Security Incident Classification with Crisis Levels. He suggested a Crisis beyond Crisis 1 -- "organization collapses." That is a real Game Over -- Crisis 0. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of dealing with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crisis bankrupts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim organization, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization is ordered to shut down, or any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r consequence that removes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization as a "going concern," to use some accountant-speak.

I guess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hunt is on now to discover example organizations which have ceased to exist as a result of information security breaches. The rough part of that exercise is connecting all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dots. Who can say that, as a result of stealing intellectual property, a competitor gained persistent economic advantage over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim and drove it to bankruptcy? These are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sorts of consequences whose timeline is likely to evade just about everyone.

Putting on my historian's hat, I remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 many spies who stole cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 manufacturing methods developed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pioneers of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Industrial Revolution in Great Britain, resulting in technology transfers to developing countries. Great Britain's influence faded in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following century.

I'm sure some savvy reader knows of some corporate espionage case that ended badly for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim, i.e., bankruptcy or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 like?

Incidentally, I should remind everyone (and myself) that my classification system was intended to by applied to a single system. It is possible to imagine a scenario where one system is so key to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise that a breach of its data does result in Crisis 3, 2, 1, or 0, but that's probably a stretch for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worst Crisis levels. Getting to such a severe state probably requires a more comprehensive breach. So, let's not get too carried away by extending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 classification too far.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Extending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Information Security Incident Classification with Crisis Levels

Last week I tweaked my Information Security Incident Classification chart. Given recent events I might consider extending it to include Crisis 3, 2, and 1 levels.

Perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would look like this. I previously alluded to "11" in my original post.

  • Crisis 3. 11 / Intruder has publicized data loss via online or mainstream media.

  • Crisis 2. 12 / Data loss prompts government or regulatory investigation with fines or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r legal consequences.

  • Crisis 1. 13 / Data loss results in physical harm or loss of life.


I thought about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se situations because of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest Crisis 3, now affecting T-Mobile, as posted to Full-disclosure yesterday:

From: pwnmobile_at_Safe-mail.net
Date: Sat, 6 Jun 2009 15:18:06 -0400

Hello world,

The U.S. T-Mobile network predominately uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GSM/GPRS/EDGE 1900 MHz frequency-band, making it cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 largest 1900 MHz network in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States. Service is available in 98 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 100 largest markets and 268 million potential customers.

Like Checkpoint[,] Tmobile [sic] has been owned for some time. We have everything, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir databases, confidental documents, scripts and programs from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir servers, financial documents up to 2009.

We already contacted with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir competitors and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y didn't show interest in buying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir data -probably because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mails got to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong people- so now we are offering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 highest bidder.

Please only serious offers, don't waste our time.

Contact: pwnmobile_at_safe-mail.net

Name Type Team Application Name ApplicationID Application Operating System IP Address Facility Blank Blank Blank Tier 1 Apps Tier 2 Apps ? Prod
protun03 Prod IHAP Caller Tunes 64 CallerTunes 10.1.16.185 HP-UX 11.11 BOTHELL_7 #N/A 64 1
protun04 Prod IHAP Caller Tunes 64 CallerTunes 10.1.16.186 HP-UX 11.11 BOTHELL_7 #N/A 64 1
protun05 Prod IHAP Caller Tunes 64 CallerTunes 10.1.16.187 HP-UX 11.11 BOTHELL_7 #N/A 64 1
protun06 Prod IHAP Caller Tunes 64 CallerTunes 10.1.16.188 HP-UX 11.11 BOTHELL_7 #N/A 64 1
...edited out 505 more server entries...
proxfr03 Prod Infra Connect Direct 106 Connect Direct 10.133.33.130 HP-UX 11.11 NEXUS #N/A #N/A 1
proxfr04 Prod Infra Connect Direct 106 Connect Direct 10.133.65.37 HP-UX 11.23 NEXUS #N/A #N/A 1

Talk about monetizing an intrusion. Can you imagine your company's data posted to a public forum like this?

This sort of incident is becoming more common. Remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 8 million Virginian patient records from April?

ATTENTION VIRGINIA

I have your shit! In *my* possession, right now, are 8,257,378 patient records and a total of 35,548,087 prescriptions. Also, I made an encrypted backup and deleted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original. Unfortunately for Virginia, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir backups seem to have gone missing, too. Uhoh :(

For $10 million, I will gladly send along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 password. You have 7 days to decide. If by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of 7 days, you decide not to pony up, I'll go ahead and put this baby out on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 market and accept cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 highest bid. Now I don't know what all this shit is worth or who would pay for it, but I'm bettin' someone will. Hell, if I can't move cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prescription data at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very least I can find a buyer for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 personal data (name,age,address,social security #, driver's license #).
...truncated...


Something similar happened to Express Scripts last year.

If this isn't enough to convince management that every active remote command and control channel presents clear and present danger to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise, I don't know what is. All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se incidents started with an intruder gaining access to at least one system. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization doesn't take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se incidents seriously, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next step could be public humiliation. You might say "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Feds will grab cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se guys." True, but what is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reputation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim organization?


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Department of Defense Digital Security Job Opportunities

A friend of mine from DoD is trying to hire clueful digital security practitioners. He is looking for people to accept positions with DoD-wide and/or service-specific responsibilities. Skillsets needed include reverse engineering, incident response and analysis, penetration testing, and security engineering. The most important characteristic of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 candidate is a desire to see DoD achieve its missions successfully. The next requirement is intense interest in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sorts of subjects discussed in this blog. A SECRET clearance is a minimum requirement but TS is preferred. Please email cyberjobs2009 [at] hotmail [dot] com if interested. I have no ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r information -- email cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of contact with all questions. Thank you.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Saturday, June 06, 2009

Digital Situational Awareness Methods

I've written about digital situational awareness before, but I wanted to expand on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic as I continue my series of posts on various aspects of incident detection and response.

Here I would like to describe ways that an enterprise can achieve digital situational awareness, or a better understanding of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security posture. What is interesting about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se methods is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do not exclude each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. In fact, a mature enterprise should pursue all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extent possible allowed by technical and legal factors.

  1. External notification is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most primitive means of learning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise's security posture. If all you do is wait until law enforcement or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military knock at your door, you're basically neglecting your responsibilities to your organization and customers.

  2. Vulnerability assessment identifies vulnerabilities and exposures in assets. This is necessary but not sufficient, because VA (done by a blue team) typically cannot unearth cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 complicated linkages and relationships among assets and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir protection mechanisms. You have to do it however, and knowing your vulnerabilities and exposures is better than waiting for a knock on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 door.

  3. Adversary simulation or penetration testing identifies at least one way that an adversary could exploit vulnerabilities and exposures to compromise a target or satisfy a related objective. AS (done by a red team) shows what can be done, moving beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365oretical aspects of VA. Many times this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way to really understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise and prove to management that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a problem.

  4. Incident detection and response shows that real intruders have compromised cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise. If you think it's bad to see your red team exfiltrate data, it's worse when a real bad guy does it. Knowing that intruders are actively exploiting you is almost cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best way to achieve digital situational awareness, and it's usually cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 highest form an enterprise can practice since it's closest to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground truth of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise.

  5. Counterintelligence operations are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ultimate way to achieve digital situational awareness. As I wrote in The Best Cyber Defense, this means finding out what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy knows about you. I covered this extensively in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 referenced post, but now you can see where counterintelligence fits in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall digital situational awareness hierarchy.




Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Incident Detection Paradigms

This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second in a series of "mindset" posts where I'd like to outline how I've been thinking of various aspects of incident detection and response. My primary focus for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se discussions will be intrusions.

I'd like to discuss incident detection paradigms. These are ways that security people tend to think when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are trying to identify intrusions. I'm going to list cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three attitudes I've encountered.

  1. Detection is futile. This school of thought says that some intruders are so crafty that it is not possible to detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. I consider this paradigm short-sighted and defeatist. If you read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder's dilemma you'll know that it is generally not possible for intruders to hide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves perfectly, continuously, perpetually. True, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder's persistence time decreases, and as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of data exfiltrated decreases, it becomes more difficult to detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder. However, both conditions are good for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defense. The question for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder is how persistent and successful he can be without alerting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defender to his presence.

  2. Sufficient knowledge. This school of thought says that it is possible for a defender to know so much about an intruder's actions that one can apply that understanding to automated systems to detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder. This is essentially cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opposite of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 futility school. Unfortunately, this paradigm is unrealistic too. As I mentioned in Security Event Correlation: Looking Back, Part 3, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 natural question to ask if one believes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sufficient knowledge paradigm is this: if you can detect it, why can't you prevent it?

    As I explained in Why is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort IDS still alive and thriving?, that question supposedly made "IDS dead" at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expense of IPS. Users and vendors who believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sufficient knowledge school expect security people to be satisfied when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y receive an alert that something bad happened, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst is not given sufficient evidence to validate that claim.

  3. Indicators plus retrospective security analysis. In good debating style I save cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best approach for last. I wish I had a better name but this phrase captures cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 essence of this paradigm. Here cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst recognizes that any alert or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r input one collects and analyzes is simply an indicator. Indicators may have various levels of confidence associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of an indicator is that it should signal cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 start of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis process. Validating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 indicator to produce a warning that can be escalated to perform incident response is accomplished by analyzing sufficient evidence. This evidence can be network traffic or data about network traffic, system logs, host information, and so on.

    As I discussed in Black Hat Briefings Justify Retrospective Security Analysis, once an analyst has learned of new indicators to detect advanced intruders, he can apply cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to stored evidence. Retrospective security analyst finds cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crafty intruders missed by traditional approaches, but it requires sufficient digital situational awareness to know how to proceed.


I'll discuss different digital situational awareness paradigms in a later post.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Incident Phases of Compromise

This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first in a series of "mindset" posts where I'd like to outline how I've been thinking of various aspects of incident detection and response. My primary focus for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se discussions will be intrusions.

First I'd like to discuss phases of compromise, again primarily designed for intrusions. They can be extended to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r scenarios, but as with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r recent posts I'm focusing on advanced persistent threats who operate beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 norms of regular intruders. I've listed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phases elsewhere but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are relevant here; I've also expanded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last phase. I list cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information security incident classification for each where appropriate.

  1. Reconnaissance. Identify target assets and vulnerabilities, indirectly or directly. Cat 6.

  2. Exploitation. Abuse, subvert, or break a system by attacking vulnerabilities or exposures. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder does not seek to maintain persistence, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n this could be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compromise. Cat 2 or 1.

  3. Reinforcement. The intruder deploys his persistence and stealth techniques to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target. Still Cat 2 or 1, leading to Breach 3.

  4. Consolidation. The intruder ensures continued access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target by establishing remote command-and-control. Breach 3.

  5. Pillage. The intruder executes his mission. Here we assume data cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft and persistence are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goals.


    • Propagation. Intruders usually expand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir influence before stealing data, but this is not strictly necessary. At this point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident classifications should be applied to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new victims.

    • Exfiltration. The intruder steals data. Depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 type of data, Breach 2 or 1.

    • Maintenance. The intruder ensures continued access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim until deciding to execute anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r mission.



With cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se phases of compromise outlined I'll have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m ready for later reference.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Friday, June 05, 2009

Information Security Incident Classification


Thank you to those who commented on my previous post on this subject. I've had a few people ask to use this chart, but I wanted to clarify a few items now that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re has been some good public and private discussion about it.

My intention with this chart is to help classify an incident involving compromise of an individual system. There are plenty of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sorts of information security incidents, but at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moment this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest problem I deal with on a daily basis. I need a way to talk about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of an individual compromised asset. I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traditional DoD Category system wasn't sufficient, especially in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post-Cat 1 world. I still like those Categories but I needed to go furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r (post-exploitation) and for one of my constituents, backwards (to when a system is just vulnerable, but no one is yet interested in it -- as far as we can tell).

I decided to call this updated chart a "classification" racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than a "rating," and to remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 label "impact." The words rating and impact imply "risk" and asset value to some degree, and I'm not talking about eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r here. This is a little bit like assigning a CVE number; it says nothing about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 seriousness of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability, but at least we can all reference cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same vulnerability. With my chart I can now build service expectation timelines around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident type. I can also quickly understand where we are with any incident when one of our team says "we have a Cat 1, but our perimeter defenses appear to have contained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident so it has not reached Breach 3 status."

I think it is important to keep in mind that having anything remotely approaching a valid understanding of "risk" requires a great deal of understanding about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assets in question. Not only must you understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compromised asset (its function, normal usage patterns, its inputs, its processes, its outputs), but you must understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 means by which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset interacts with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network, any trust relationships, and many ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r factors. In most cases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way to gain a real appreciation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se real-world conditions is to eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r 1) observe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder in action, seeing what he can do or get, or 2) red-team cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system yourself to see what you can do or get. Modern systems and enterprises are far too complex for anyone to sit back like Mycroft Holmes and truly understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "risk" of a compromise.

I should also say that I would never expect to tell a manager that we have discovered a Breach 2 and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n walk away. The natural next question involves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issues of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous paragraph, and answering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m takes far longer than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process of detecting and validating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident. If you doubt me, try talking to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 office in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DoD that does nothing but computer incident damage assessment all day long.

Incidentally, please feel free to use this diagram, providing you cite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source. I am encouraged when ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs seek to adopt this sort of language for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own programs, because it moves us closer to having common ways to discuss operational problems. Thank you.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Wednesday, June 03, 2009

Cyber Security Coordinator

The article Obama's likely pick for cybersecurity head remains murky by Doug Beizer and Alice Lipowicz in FCW caught me off guard:

There is surprisingly little buzz circulating about who President Barack Obama might choose to lead cybersecurity policy. Although a number of analysts have ideas about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 qualities cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person filling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 position might need, no one is naming names of likely contenders yet — partly because it remains unclear what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 eventual appointee will actually do...

Rohyt Belani, co-founder and managing partner of computer security firm Intrepidus Group, said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ideal candidate would combine qualities from three people: security consultant Bruce Schneier; Richard Bejtlich, director of incident response at General Electric; and Chris Eagle, a senior lecturer and associate chairman of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Computer Science Department at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Naval Postgraduate School.

Belani said Schneier has “an ability to focus on what matters and call out silly bureaucratic processes that do little to help security.” Bejtlich’s strength is a passion for digital security, and Eagle knows where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 needs are for offensive capabilities, Belani added.


I have not received any phone calls, but if need be I am sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right people can find me. :)


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.