Saturday, January 30, 2010

Two Dimensional Thinking and APT

I expect many readers will recognize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image at left as representing part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final space battle in Star Trek II: The Wrath of Khan. During this battle, Kirk and Spock realize Khan's tactics are limited. Khan is treating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 battle like it is occuring on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open seas, not in space. Spock says:

He is intelligent, but not experienced. His pattern indicates two-dimensional thinking.

I though this quote could describe many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advanced persistent threat critics, particularly those who claim "it's just espionage" or "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's nothing new about this." Consider this one last argument to change your mind. (Ha, like that will happen. For everyone else, this is how I arrive at my conclusions.)

I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem is APT critics are thinking in one or two dimensions at most, when really this issue has at least five. When you only consider one or two dimensions, of course cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem looks like nothing new. When you take a more complete look, it's new.

  1. Offender. We know who cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker is, and like many of you, I know this is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir first activity against foreign targets. I visited cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 country as an active duty Air Force intelligence officer in 1999. I got all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 briefings, etc. etc. This is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time I've seen network activity from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Wonderful.

  2. Defender. We know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offender has targeted national governments and militaries, like any nation-state might. What's different about APT is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breadth of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir target base. Some criticize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mandiant report for saying:

    The APT isn't just a government problem; it isn't just a defense contractor problem. The APT is everyone's problem. No target is too small, or too obscure, or too well-defended. No organization is too large, two well-known, or too vulnerable. It's not spy-versus-spy espionage. It's spy-versus-everyone.

    The phrasing here may be misleading (i.e., APT is not attacking my dry cleaner) but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point is valid. Looking over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT target list, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victims cover a broad sweep of organizations. This is certainly new.

  3. Means. Let's talk espionage for a moment. Not everyone has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 means to be a spy. You probably heard how effective cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idiots who tried bugging Senator Landrieu's office were. With computer network exploitation (at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very least), those with sufficient knowledge and connectivity can operate at nearly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same level as a professional spy. You don't have to spend nearly as much time teaching tradecraft for CNE, compared to spycraft. You can often hire someone with private experience as a red teamer/pen tester and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n just introduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to your SOPs. Try hiring someone who has privately learned national-level spycraft.

  4. Motive. Besides "offender," this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two dimensions that APT critics tend to fixate upon. Yes, bad people have tried to spy on ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r people for thousands of years. However, in some respects even this is new, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offender has his hands in so many aspects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim's centers of power. APT doesn't only want military secrets; it wants diplomatic, AND economic, AND cultural, AND...

  5. Opportunity. Connectivity creates opportunity in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital realm. Again, contrast cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital world with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analog world of espionage. It takes a decent amount of work to prepare, insert, handle, and remove human spies. The digital equivalent is unfortunately still trivial in comparison.


To summarize, I think a lot of APT critics are focused on offender and motive, and ignore defender, means, and opportunity. When you expand beyond two-dimensional thinking, you'll see that APT is indeed new, without even considering technical aspects.

13 comments:

Anonymous said...

I've got 15 years experience dealing with nation-state threats for various US gov't entities and various parts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fortune 500. I am familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat agents cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se organizations have faced and continue to face.

That said, I still take issue with: "Looking over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT target list, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victims cover a broad sweep of organizations. This is certainly new."

Reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mandiant Report, we see:

1.) Government
2.) Defense Contractors
3.) Fortune XXX acquiring a Chinese compnay
4.) A Law Firm involved in a Chinese civil litigation case
5.) A non-profit trying to spread "democracy and free enterprise in China" (maybe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could also do that in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USA).

Look, it doesn't take Arthur Conan Doyle to piece togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 storyline here. This clearly isn't "everyone's problem". It's a problem for those that are seen as an enemy of certain nation-states.

Mandiant's technical staff has always done great work. By itself and without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hype, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 M-Trends document is great. But how can you possibly maintain that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a new threat profile here?

hogfly said...

Richard,
On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defender side of things...
The phrasing is not at all misleading. Mandiant is absolutely correct in what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are saying. One thing to remember is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim organization is not always cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target. They use staging servers, jump points and establish C2 at sites not mentioned by Mandiant. Which is to say, not DIB, Finance, etc...The mom and pop shops are just as involved in this, especially with all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sleeper nodes out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.

greylogic said...

Anonymous wrote "This clearly isn't "everyone's problem". It's a problem for those that are seen as an enemy of certain nation-states."

I agree and disagree with that statement. I agree that "everyone's problem" is one of many gross exaggerations made by whoever authored that report. However cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea that only "enemies" are targeted is equally mistaken. For one thing, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PRC doesn't view cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. as its enemy. They are as dependent on our economic engine as we are on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir buying dollars, and hiring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir rapidly growing pool of intellectual talent. Neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RF nor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PRC targets "enemies" for cyber espionage. They target assets from which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical knowledge cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need to accelerate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir respective nations development in everything from weapons to critical infrastructure.

gunnar said...

We need cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $6B (mentioned in your previous post) so we can pay off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $2 trillion that we owe to...wait for it...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese!

Anyway, in all your foreign policy blogging I am surprised you have not mentioned that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese bailed us out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 financial crisis

http://www.ft.com/cms/s/0/ffd950c4-0d0a-11df-a2dc-00144feabdc0.html

It ain't just 5 dimensions its six, you need to factor economics into your analysis for it to be relevant. Economics trumps political/military every time, you can look it up.

Anonymous said...

Maybe you should try getting your information from somewere ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 left if you think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was an attempted bugging of Senator Landrieu's office.

Le Dutch said...

I am on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fence with "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem looks like nothing new".

Offender: Agreed, enough said.

Defender: If you're suddenly on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT list of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Offender, that doesn't mean you're under a new breed of attack. It might be new to you, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Offender is exercising cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir techniques, tactics and procedures (TTP) on a new target; your systems. Just because Google, Adobe, et al are targets, not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Army and Navy, doesn't mean it's a new breed of attacks. I admit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 coordination involved is impressive. But I wonder to myself if this is new TTP, or just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir TTP turned to (please forgive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Spinal Tap reference) 11.

Means: Computer network exploitation (CNE) is, in relative terms, cheap. This opens cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opportunity to have non-state actors to get in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business and attempt to sell information to interested parties (which doesn't always go so well [1] [2] ).

Motive: Again with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Spinal Tap reference. Just because we're seeing pervasive attacks, is it something new, or just "something" cranked up to 11? I agree cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pervasiveness creates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for new solutions to old problems, (sarcasm)but hey, that's what vendors are for, right?(/sarcasm) ;)

Opportunity: If you have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 means to run Metasploit, you're now a small fish in a big pond, but you have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opportunity to be in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pond. Or if you're an insider ([1] [2]), you're just looking for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 buyer...

In my opinion, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 persistence of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Offender can't be overstated. It's not one big flood that made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Grand Canyon, but many smaller persistent ones.

All that said: Are we seeing something new or is it just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same as it ever was? I, for one, am still chewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fat..

Good post, Richard. It's great dialogue.

[1] http://www.darkreading.com/insiderthreat/security/government/showArticle.jhtml?articleID=212902962

[2] http://www.msnbc.msn.com/id/16038691/%5Benter%20URL%5D

Alex said...

@jeffery - quickly - so someone who breaks into your network and steals from you (in this case information to use against you) isn't an enemy? What are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n? Your friend?

greylogic said...

Alex, it depends. Russia doesn't consider Germany it's enemy, but it is engaging in exactly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same CNE that China is doing. In fact, I can build a pretty good circumstantial case supporting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 position that Russia was behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google hack and not China at all. Every country engages in espionage, often against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own allies if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need arises.

Bill, Chinese hackers were inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 California Independent System Operator's network for at least 3 weeks, maybe longer, before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were discovered and that was back in April-May, 2001. China decided to switch to a netcentric model of warfare in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 early 90's. In my opinion, and with all due respect to Richard, this is not a new method of conducting network exploitation.

Le Dutch said...

Jeffery makes an important point, just because you're not sworn enemies with a country, doesn't mean you're not willing to perform some nefarious activity to gain some kind of advantage (Holy triple negative, Batman!). For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 competition between Boeing and Airbus is extremely fierce. I can imagine country boundaries dissolving if corporate espionage ensues to gain a competitive advantage.

I have yet to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detailed analysis on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Aurora Attacks", so until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I reserve definitive statements. Could it be "Attack B" turned up to 11? Or a new TTP named "Attack C"? I'm very interested to find out. . .

Porter said...

Have you seen this Rich?

http://www.damballa.com/solutions/advanced-persistent-threats.php

Andrew Jaquith said...

Richard, what's so hard about just saying The Chinese People's Liberation Army (or whatever)? It's what you mean.

Or if that's too touchy to say in public, why not just say "nation-states"?

Really, my issue with "APT" is that it's a euphemism, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 grand tradition of obfuscated military jargon. It's like "entrenching tool" (shovel) and "high/low boundary" (firewall). It's better to say what you mean. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise, civilians are going to project whatever cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want onto it.

Michael Cloppert said...

The more I see debate over whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issues raised by advanced persistent threats are new or not, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more I realize that it really is a red herring. Such an assessment is also subjective, and has far too many dimensions to be reduced to a binary attribute.

The bottom line is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are going to be some tactics that have worked against "classic" espionage that are also applicable to CNE, and some that are not. In a tactical sense, effective CND needs to be built from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground up, but informed by knowledge of traditional espionage. If we accept this, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old/new argument is immaterial.

If anyone was at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent DoD Cybercrime Convention, we spoke about this at some length on Thursday afternoon. If anyone reading was unable to make it, and is interested in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material, most of it is available on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS 4n6 & IR blog (1, 2, 3). The rest will be posted soon. Richard's MMO above corresponds to our "IOC" (intent, opportunity, capability) with a little different lens. Nevercá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365less, I think thought leadership on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject by those who've been involved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past number of years is beginning to converge. Exactly how we can reach true consensus I have yet to see, however.

Orthogonally, I want to briefly state that CND is bigger than incident response. Many have talked about responding to incidents involving APT, but I see few discussing how to defend against it. Proper APT CND is, in my opinion, encompassing of IR but balances focus with preventing incidents in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place through leveraging intelligence; something incompatible with classic IR approaches. Mandiant's much-discussed report, to give but one example, is good but neglects this point.

Anonymous said...

It seems to me what you advocate is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inclusion of additional factors into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat equasion such as what industry you might be in vs. what industry an attacker might be interested in.

Finance, oil, and telecommunications fits cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interest of any espionage related attacks while Universities make a great place to test attack code. Very small organizations are pivot points and card merchants are good for organized crime.

A multifaceted equation would help you understand how likely you are to an APT vs. cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 run of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mill attacks.