Wednesday, December 30, 2009

Difference Between Bejtlich Class and SANS Class

A comment on my last post, Reminder: Bejtlich Teaching at Black Hat DC 2010, a reader asked:

I am trying to get my company sponsorship for your class at Black Hat. However, I was ask to justify between your class and SANS 503, Intrusion Detection In-Depth.

Would you be able to provide some advice?


That's a good question, but it's easy enough to answer. The overall point to keep in mind is that TCP/IP Weapons School 2.0 is a new class, and when I create a new class I design it to be different from everything that's currently on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 market. It doesn't make sense to me to teach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same topics, or use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same teaching techniques, found in classes already being offered. Therefore, when I first taught TWS2 at Black Hat DC last year, I made sure it was unlike anything provided by SANS or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r trainers.

Beyond being unique, here are some specific points to consider. I'm sure I'll get some howls of protest from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS folks, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own platform to justify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir approach. The two classes are very different, each with a unique focus. It's up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 student to decide what sort of material he or she wants to learn, in what environment, using whatever methods he or she prefers. I don't see anything specifically "wrong" with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS approach, but I maintain that a student will learn skills more appropriate for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir environment in my class.

  • TWS2 is a case-driven, hands-on, lab-centric class. SANS is largely a slide-driven class.

    When you attend my class you get three handouts: 1) a workbook explaining how to analyze digital evidence; 2) a workbook with questions for 15 cases; and 3) a teacher's guide answering all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 15 cases. There are no slides aside from a few housekeeping items and a diagram or two to explain how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class is set up.

    When you attend SANS you will receive several sets of slide decks that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 instructor will show during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class. You will also have labs but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class.

  • I designed TWS2 to meet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 needs of a wide range of students, from beginners to advanced practitioners. TWS2 attendees typically finish 5-7 cases per class, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remainder suitable for "homework." Students can work at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own pace, although we cover certain cases at checkpoints during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class. A few students have completed all 15 cases, and I often ask if those students are looking for a new opportunity with my team!

  • TWS2 is about investigating digital evidence, primarily in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form of network traffic, logs, and some memory captures. The focus is overwhelmingly on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content and not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 container. SANS spends more time on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 container and less on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content.

    For example, if you look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS course overview, you'll see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y spend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first three days on TCP/IP headers and analysis with Tcpdump. Again, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's nothing wrong with that, but I don't care so much about what bit in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TCP header corresponds to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RST flag. That was mildly interesting in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 late 1990s when that part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS course was written, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content of a network conversation has been more important this decade. Therefore, my class focuses on what is being said and less on how it was transmitted.

  • TWS2 is not about Snort. While students do have access to a fully-functional Sguil instance with Snort alerts, SANCP session data, and full content libpcap network traffic, I do not spend time explaining how to write Snort alerts. SANS spends at least one day talking about Snort.

  • TWS is not about SIM/SEM/SIEM. Any "correlation" between various forms of evidence takes place in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 student's mind, or using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 free Splunk instance containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs collected from each case. If you consider dumping evidence into a system like Splunk, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n querying that evidence, to be "correlation," cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n we have "correlation." (Please see Defining Security Event Correlation for my thoughts on that subject.) SANS spends two days on fairly simple open source options for "correlation" and "traffic analysis."

  • TWS cases cover a wide variety of activity, while SANS is narrowly focused on suspicious and malicious network traffic. I decided to write cases that cover many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sorts of activities I expect an enterprise incident detector and responder to encounter during his or her professional duties.

    I also do not dictate any single approach to investigating each case. Just like real life, I want cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 student to produce an answer. I care less about how he or she analyzed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data to produce that answer, as long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chain of reasoning is sound and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 student can justify and repeat his or her methodology.


I hope that helps prospective students make a choice. I'll note that I don't send any of my analysts to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS "intrusion detection" class. We provide in-house training that includes my material but also focuses on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sorts of decision-making and evidence sources we find to be most effective in my company. Also please note this post concentrated on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 differences between my class and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS "intrusion detection" class, and does not apply to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r SANS classes.

8 comments:

Anonymous said...

How does this compare to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new SANS classes for Network Forensics?

http://www.sans.org/security-training/network-forensics-1227-mid

They have been putting up some pretty cool contests at http://forensicscontest.com/

What is your opinion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contests?

Anonymous said...

Great summary of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 differences between both. Now...if you could only make it available in a medium and/or forum ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than physical attendance to an event. It's great that you can differentiate your product, however, it's not much use to folks that need it and cannot attend. Let's face it...companies are looking for any reason not to pay for most training requests cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se days. Online, snail mail, any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r options in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 near future?

Anonymous said...

Does your course cover Advanced Persistent Threat case studies as well?

Richard Bejtlich said...

Anonymous 1: In December 2008, Elizabeth Estabrooks from SANS contacted me to review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS network forensics class by April 2009. I declined, citing a conflict of interest. Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network forensics class description, it looks like it covers a lot of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basic skills I would expect a pcap- and log-literate analyst to be able to accomplish. I would say my cases are more advanced and wholistic; for example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus of a case won't be "examining and extracting" "ICMP and DNS tunnels." That could be part of one of my cases, but not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus.

Regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contests, I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are a good way for junior analysts to become familiar with pcap and log review. In some ways I am surprised contestants are writing so many tools to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenges. There are tools already written that can do a lot of that work, but I imagine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contestants do not know about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ways I am not surprised cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are writing tools, since writing a tool that does just what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigator wants is sometimes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best way to analyze a case.

Regarding ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ways to deliver content, I am considering working with Pearson to create "Video Mentor" modules. However, I would probably write a new book before I would create Video Mentor classes.

Regarding APT, I don't have a case called "APT". However, I have APT-like elements spread across some cases, and I estimate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class' interest in knowing more about APT. I decide to be careful about APT because you never know who is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audience.

My classes always spend time on enterprise incident detection and response operations, and I focus on answering student questions. That is one reason why I don't aggressively pursue canned material, since it doesn't match cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class at hand.

Anonymous said...

Hi Richard,

Several months ago I think I read on here a discussion where someone had asked you if you would ever consider releasing some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 older versions of your classes. I can't remember exactly what you said in response to those questions, but somehow I think you said that you were considering releasing something. But I also remember that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was someone who made a very presumptuous post, suggesting that your readers were "entitled" to your IP, and you rightly put that person in his place. So I was wondering - ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sample case that you released a while back, have you released any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, or do you have any plans to?

Thanks! BTW I really enjoy reading your blog.

Richard Bejtlich said...

Hi Anonymous,

I have no plans to release anything. Thank you.

MPayette said...

I will definitely try to take TWS2 course in Vegas. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way I want for this type of course: labs, labs, labs.

I hope to see you in Vegas

Anonymous said...

I took SANS 503 and I really found waste of time and money. Unlike ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r SANS classes, this class looks and is OLD.

It spends TWO days on tcpdump and only 2 slides on tshark. Correlation is two days, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefit from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m was really minimum.

You don't coverage of new attacks, examples etc.

I was really disappointed.