Sunday, December 28, 2014

Don't Envy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Offense

Thanks to Leigh Honeywell I noticed a series of Tweets by Microsoft's John Lambert. Aside from affirming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of security team members over tools, I didn't have a strong reaction to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list -- until I read Tweets nine and ten. Nine said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:


9. If you shame attack research, you misjudge its contribution. Offense and defense aren't peers. Defense is offense's child.

I don't have anything to say about "shame," but I strongly disagree with "Offense and defense aren't peers" and "Defense is offense's child." I've blogged about offense over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years, but my 2009 post Offense and Defense Inform Each Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r is particularly relevant. John's statements are a condescending form of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phrase "offense informing defense." They're also a sign of "offense envy."

John's last Tweet said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:



10. Biggest problem with network defense is that defenders think in lists. Attackers think in graphs. As long as this is true, attackers win

This Tweet definitely exhibits offense envy. It plays to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incorrect, yet too-common idea, that defenders are helpless drones, while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offense runs circles around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir advanced thinking.

The reality is that plenty of defenders practice advanced thinking, while even nation-state level attackers work through checklists.

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 high end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offense spectrum, many of us have seen evidence of attackers running playbooks. When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir checklist ends, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game may be up, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y may be able to ask cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir supervisor or mentor for assistance.

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spectrum, you can enjoy watching videos of lower-skilled intruders fumble around in Kippo honeypots. I started showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se videos during breaks in my classes.

I believe several factors produce offense envy.

  1. First, many of those who envy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offense have not had contact with advanced defenders. If you've never seen advanced defenders at work, and have only seen mediocre or nonexistent defense, you're likely to mythologize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 powers of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offense.
  2. Second, many offense envy sufferers do not appreciate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 restrictions placed on defenders, which result in advantages for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offense. I wrote about several of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se in 2007 in Threat Advantages -- namely initiative, flexibility, and asymmetry of interest and knowledge. (Please read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original post if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last two prompt you to think I have offense envy!)
  3. Third, many of those who glorify offense hold false assumptions about how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 black hats operate. This often manifests in platitudes like "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys share -- why don't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good guys?" The reality is that good guys share a lot, and while some bad guys "share," cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y more often steal, back-stab, and inform on each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.


It's time for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offensive community to pay attention to people like Tony Sager, who ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Vulnerability Analysis and Operations (VAO) team at NSA. Initially Tony managed independent blue and red teams. The red team always penetrated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n dumped a report and walked away.

Tony changed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dynamic by telling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red team that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir mission wasn't only to break into a victim's network. He brought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red and blue teams togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r under one manager (Tony). He worked with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red team to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defensive solution, not just a way to demonstrate that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offense can always compromise a target.

Network defenders have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 toughest job in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology world, and increasingly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business and societal worlds. We shouldn't glorify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir opponents.

Note: Thanks to Chris Palmer for his Tweet -- "He [Lambert] reads like a defender with black hat drama envy. Kind of sad." -- which partially inspired this post.

5 comments:

Anonymous said...

In your example, doesn't Tony have 'offense envy'? Given he uses offensive tactics tools and procedures to inform defense...? And wasn't that really cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point ? That attack research shouldn't be squelched as an information source to defense?

Richard Bejtlich said...

I offered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tony Sager story as an example of how red teams can do something more useful than write reports and walk away. I think what some are missing is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 oddity, to put it mildly, of saying "offense and defense aren't peers."

halvar.flake said...

I may be second-guessing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 motivation for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original tweet, but I did not read it as an encouragement that attack teams should "dump reports and walk away".

I think non-offensive organisations are almost constantly at risk to not have enough expertise about how attackers operate to mount a strong defense. Very few organisations employ "realistic" attackers, and not all organisations have access to high-quality intelligence about how actual attacks work (and even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, access to intelligence does not equal understanding).

For me personally, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original tweet resonated - I have often been in discussions where defensive activities of very dubious value were proposed due to an insufficient understanding of how attackers operate / how attacks work.

The attacker gets a relatively quick feedback loop on his actions - normally, he can quickly see if he is successful or not. The defender has to work really hard to see how successful he is, and attackers won't tell a failing defender that he is failing. The way I interpreted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original tweet, it was a reminder that a defender has to be constantly vigilant in trying to understand how an attacker operates.

The graph-vs-lists tweet resonated for a different reason: Transitivity of trust has -for ages- been known to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 silent killer of network security, yet progress on defending better on this front has been slow - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web of dependencies that any organisation has is very depressing, and few organisations make a concerted effort at minimizing and controlling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se dependencies.

So I wouldn't discount cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tweets as "attacker envy" - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are reminders to avoid common mistakes. Twitter, by virtue of extreme brevity, does not lead to very nuanced statements.

Unknown said...

To your third point, Richard, I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 platitudes do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good guys a grave disservice. I think more so now than ever, you see defensive teams sharing more data than ever. The difference is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sharing is not necessarily done in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open as much. They're more in an industry specific ISAC or done behind closed doors. I think those folks that are complaining about lack of sharing are short-sighted.

Or perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y weren't invited to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 party :)

Unknown said...

Hey Richard - this is Tony, now retired from NSA. Thanks for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nice comments!

To cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first commenter, I *promise* I do not have "offense envy". But after a 35 year career as a defender in a primarily offense-minded organization, I *do* have "offense admiration". It's fair to say that I lived with and studied attackers for decades, in hopes of becoming a better defender. And I made sure that we had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker mindset as we planned defenses.

Of course our understanding of (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Guy's) Offense must inform Defense, just as understanding Defense naturally informs Offense. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r reason I brought those teams togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same manager - people who operated Red Teams for us often had *no* experience in running complex networks, and so did not understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 options and processes of defense, leading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to make bad choices as (mock) attackers, and so giving us less-than-useful results.

Richard nailed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right issue from my view - implying that defense is somehow less worthy or exciting than offense. As a life-long Defender (as vulnerability-finder and manager), I refuse to concede equal footing. I think Defense is wonderfully exciting and challenging and important - no less (or more) so than Offense.