Tuesday, December 30, 2014

Five Reasons Attribution Matters

Attribution is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hottest word in digital security. The term refers to identifying responsibility for an incident. What does it matter, though? Here are five reasons, derived from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 five levels of strategic thought. I've covered those before, namely in The Limits of Tool- and Tactics-Centric Thinking.

Note that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reasons I outline here are not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same as performing attribution based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se characteristics. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, I'm explaining how attribution can assist responsible actors, from defenders through policymakers.

1. Starting from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bottom, at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tools level, attribution matters because identifying an adversary may tell defenders what software cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can expect to encounter during an intrusion or campaign. It's helpful to know if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary uses simple tools that traditional defenses can counter, or if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can write custom code and exploits to evade most any programmatic countermeasures.

Vendors and software engineers tend to focus on this level because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y may need to code different defenses based on attacker tools.

2. The benefits of attribution are similar at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tactics level. Tactics describes how an adversary acts within an engagement or "battle." It describes how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 foe might use tools or techniques to accomplish a goal within an individual encounter.

For example, some intruders may abandon a system as soon as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presence of an administrator or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pushback of a security team. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs might react differently by proliferating elsewhere, or fighting for control of a compromised asset.

Security and incident response teams tend to focus on this level because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have direct contact with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary on a daily basis. They must make defensive choices and prioritize security personnel attention in order to win engagements.

3. The level of Operations or Campaigns describes activities over long periods of time, from days to months, and perhaps years, over a wider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ater of operations, from a department or network segment to an entire organization's environment.

Defenders who can perform attribution will better know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir foe's longer-term patterns of behavior. Does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary prefer to conduct operations around holidays, or certain hours of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day or days of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 week? Do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y pause between tactical engagements, and for how long? Do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y vary intrusion methods? Attribution helps defenders answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se and related questions, perhaps avoiding intrusion fatigue.

CISOs should focus on this level and some advanced IR teams incorporate this tier into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir work. This is also cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level where outside law enforcement and intelligence teams organize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir thinking, using terms like "intrusion sets." All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se groups are trying to cope with long-term engagement with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary, and must balance hiring, organization, training, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r factors over budget and business cycles.

4. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of Strategy, attribution matters to an organization's management and leadership, as well as policymakers. These individuals must decide if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y should adjust how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y conduct business, based on who is attacking and damaging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y might direct technical responses, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are more likely to utilize ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r business methods to deal with problems. For example, strategic decisions could involve legal maneuvering, acquiring or invoking insurance, starting or stopping business lines, public relations, hiring and firing, partnerships and alliances, lobbying, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r moves.

Strategy is different from planning, because strategy is a dynamic discipline derived from recognizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interplay with intelligent, adaptive foes. One cannot think strategically without recognizing and understanding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary.

5. Finally, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of Policy, or "program goals" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 diagram, is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 supreme goal of government officials and top organizational management, such as CEOs and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir corporate boards. These individuals generally do not fixate on technical solutions. Policymakers can apply many government tools to problems, such as law enforcement, legislation, diplomacy, sanctions, and so forth. All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se require attribution. Policymakers may choose to fund programs to reduce vulnerabilities, which in some sense is an "attribution free" approach. However, addressing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat in a comprehensive manner demands knowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat. Attribution is key to any policy decision where one expects ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r parties to act or react to one's own moves.

Remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 five levels of strategic thought and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir associated parties and responsibilities when you hear anyone (especially a techie) claim "attribution doesn't matter" or "don't do attribution."

Also, check out Attributing Cyber Attacks by my KCL professor Thomas Rid, and fellow PhD student Ben Buchanan.

Sunday, December 28, 2014

Don't Envy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Offense

Thanks to Leigh Honeywell I noticed a series of Tweets by Microsoft's John Lambert. Aside from affirming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of security team members over tools, I didn't have a strong reaction to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list -- until I read Tweets nine and ten. Nine said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:


9. If you shame attack research, you misjudge its contribution. Offense and defense aren't peers. Defense is offense's child.

I don't have anything to say about "shame," but I strongly disagree with "Offense and defense aren't peers" and "Defense is offense's child." I've blogged about offense over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years, but my 2009 post Offense and Defense Inform Each Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r is particularly relevant. John's statements are a condescending form of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phrase "offense informing defense." They're also a sign of "offense envy."

John's last Tweet said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:



10. Biggest problem with network defense is that defenders think in lists. Attackers think in graphs. As long as this is true, attackers win

This Tweet definitely exhibits offense envy. It plays to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incorrect, yet too-common idea, that defenders are helpless drones, while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offense runs circles around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir advanced thinking.

The reality is that plenty of defenders practice advanced thinking, while even nation-state level attackers work through checklists.

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 high end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offense spectrum, many of us have seen evidence of attackers running playbooks. When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir checklist ends, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game may be up, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y may be able to ask cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir supervisor or mentor for assistance.

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spectrum, you can enjoy watching videos of lower-skilled intruders fumble around in Kippo honeypots. I started showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se videos during breaks in my classes.

I believe several factors produce offense envy.

  1. First, many of those who envy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offense have not had contact with advanced defenders. If you've never seen advanced defenders at work, and have only seen mediocre or nonexistent defense, you're likely to mythologize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 powers of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offense.
  2. Second, many offense envy sufferers do not appreciate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 restrictions placed on defenders, which result in advantages for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offense. I wrote about several of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se in 2007 in Threat Advantages -- namely initiative, flexibility, and asymmetry of interest and knowledge. (Please read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original post if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last two prompt you to think I have offense envy!)
  3. Third, many of those who glorify offense hold false assumptions about how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 black hats operate. This often manifests in platitudes like "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys share -- why don't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good guys?" The reality is that good guys share a lot, and while some bad guys "share," cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y more often steal, back-stab, and inform on each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.


It's time for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offensive community to pay attention to people like Tony Sager, who ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Vulnerability Analysis and Operations (VAO) team at NSA. Initially Tony managed independent blue and red teams. The red team always penetrated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n dumped a report and walked away.

Tony changed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dynamic by telling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red team that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir mission wasn't only to break into a victim's network. He brought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red and blue teams togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r under one manager (Tony). He worked with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red team to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defensive solution, not just a way to demonstrate that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offense can always compromise a target.

Network defenders have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 toughest job in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology world, and increasingly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business and societal worlds. We shouldn't glorify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir opponents.

Note: Thanks to Chris Palmer for his Tweet -- "He [Lambert] reads like a defender with black hat drama envy. Kind of sad." -- which partially inspired this post.

Monday, December 22, 2014

What Does "Responsibility" Mean for Attribution?

I've written a few posts here about attribution. I'd like to take a look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word "responsibility," as used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI Update on Sony Investigation posted on 19 December:

As a result of our investigation, and in close collaboration with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r U.S. government departments and agencies, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI now has enough information to conclude that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 North Korean government is responsible for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se actions. While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to protect sensitive sources and methods precludes us from sharing all of this information, our conclusion is based, in part, on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following... (emphasis added)

I'm not in a position to comment on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI's basis for its conclusion, which was confirmed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 President in his year-end news conference. I want to comment on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word "responsibility," which was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic of a February 2012 paper by Jason Healey for The Atlantic Council, titled Beyond Attribution: Seeking National Responsibility in Cyberspace.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper, Jason created cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 excellent table at left. You can read more about it in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original document.

Using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Spectrum of State Responsibility, in my assessment, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US government's statements include a range of possibilities, from State-encouraged to State-integrated.

(Options such as State-Prohibited, State-prohibited-but-inadequate, and State-ignored, are outside of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US government's "responsibility" statement.)

Given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DPRK regime and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r factors, it is probable to conclude that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI's statement indicates State-ordered, State-executed, or State-integrated activity.

For example, if Bureau 121 is responsible, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack would be State-executed.

If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DPRK contracted with third party criminal hackers, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack would be State-ordered.

If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DPRK used both Bureau 121 and third party criminal hackers, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack would be State-integrated.

It is unlikely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack was State-rogue-conducted, meaning "out-of-control elements" attacked a victim. The incredibly restrictive, authoritarian nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DPRK regime and Internet access makes that highly unlikely.

Note that, using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Spectrum, some seemingly contradictory arguments can be resolved. For example, in a State-ordered scenario, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US government could correctly assert DPRK "responsibility," although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack could have been executed by third party criminal hackers.

I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 debate about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of DPRK activity would be more fruitful if concerned parties placed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Spectrum.

I do not know which option from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spectrum cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r elements of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US government would place this DPRK incident, but as I said it is probable to conclude that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI's statement indicates State-orderedState-executed, or State-integrated activity.

On several related notes, I highly recommend reading Did North Korea Hack Sony? by RAND's Bruce Bennett, a true DPRK expert. Bennett explained his role recently on CNN. Also listen to this interview, read this story citing Korean defector Kim Heung Kwang, and read this paper (PDF) by DPRK expert Dr Alexandre Mansourov. I also agree with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis here by Professor Michael Schmitt.

Finally, I suggest that critics of government attribution need to think beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir current positions, towards cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consequences of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir beliefs. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y demand higher standards for attribution, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're essentially asking for less anonymity, and more identification on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. That would likely lead to government identity schemes, which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 critics would also detest. They should be careful what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y ask for, in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words.

Friday, December 05, 2014

Nothing Is Perfectly Secure

Recently a blog reader asked to enlist my help. He said his colleagues have been arguing in favor of building perfectly secure systems. He replied that you still need cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability to detect and respond to intrusions. The reader wanted to know my thoughts.

I believe that building perfectly secure systems is impossible. No one has ever been able to do it, and no one ever will.

Preventing intrusions is a laudable goal, but I think security is only as sound as one's ability to validate that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is trustworthy. Trusted != trustworthy.

Even if you only wanted to make sure your "secure" system remains trustworthy, you need to monitor it.

Since history has shown everything can be compromised, your monitoring will likely reveal an intrusion.

Therefore, you will need a detection and a response capability.

If you reject cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 notion that your "secure" system will be compromised, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby reject cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for incident response, you still need a detection capability to validate trustworthiness.

What do you think?

Tuesday, December 02, 2014

Bejtlich on Fox Business Discussing Recent Hacks

I appeared on Fox Business (video) today to discuss a wide variety of hacking topics. It's been a busy week. Liz Claman and David Asman ask for my perspective on who is responsible, why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI is warning about destructive malware, how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military should respond, what businesses can do about intrusions, and more. All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se subjects deserve attention, but I tried to say what I could in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time available.

For more on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r topics, don't miss cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 annual Mandiant year-in-review Webinar, Wednesday at 2 pm ET. Register here. I look forward to joining Kristen Verderame and Kelly Jackson Higgins, live from Mandiant HQ in Alexandria, Virginia.

Monday, November 17, 2014

Response to "Can a CISO Serve Jail Time?"

I just read a story titled Can a CISO Serve Jail Time? Having been Chief Security Officer (CSO) of Mandiant prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FireEye acquisition, I thought I would share my thoughts on this question.

In brief, being a CISO or CSO is a tough job. Attempts to criminalize CSOs would destroy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 profession.

Security is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 few roles where global, distributed opponents routinely conduct criminal acts against business operations. Depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offenders could be nation state adversaries largely beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reach of any party, to include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nation state hosting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise. Even criminal adversaries can remain largely untouchable.

I cannot think of anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r business function that suffers similar disadvantages. If a commercial competitor took actions against a business using predatory pricing, or via ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r illegal business measures, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state would investigate and possibly prosecute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offending competitor. For actions across national boundaries, one might see issues raised at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 World Trade Organization (WTO), assuming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two hosting countries are WTO members.

These pressures are different from those faced by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r elements of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business. When trying to hire and retain staff, human resources doesn't face off against criminals. When trying to close a deal, sales people don't compete with military hackers. (The exception might be transactions involving Chinese or Russian companies,) When creating a brand campaign, marketing people might have to worry about negative attention from hacktivists, but if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 foe crosses a line cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state might prosecute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offender.

The sad reality is that no organization can prevent all intrusions. The best outcome is to prevent as many intrusions as possible, and react quickly and effectively to those compromises that occur. As long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team contains and removes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder before he can accomplish his mission, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization wins.

We will continue to see organizations fined for poor security practices. The Federal Trade Commission, Securities and Exchange Commission, and Federal Communications Commission are all very active in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital security arena. If prosecutors seek jail time for CSOs who suffer compromises, I would expect CSOs will leave cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir jobs. They already face an unfair fight. We don't need to add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat of jail time to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list of problems confronting security staff.

Monday, November 10, 2014

Thank You for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Review and Inclusion in Cybersecurity Canon

I just read The Cybersecurity Canon: The Practice of Network Security Monitoring at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Palo Alto Networks blog. Rick Howard, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir CSO, wrote cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post, which marks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inclusion of my fourth book in Palo Alto's Cybersecurity Canon. According to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company's description, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Canon is:

a list of must-read books where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content is timeless, genuinely represents an aspect of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community that is true and precise and that, if not read, leaves a hole in a cybersecurity professional’s education that will make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 practitioner incomplete.

The Canon candidates include both fiction and nonfiction, and for a book to make it into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 canon, must accurately depict cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 history of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cybercrime community, characterize key places or significant milestones in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community, or precisely describe technical details that do not exaggerate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 craft.

It looks like my book is only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second technical book to be included. The first appears to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CERT Guide to Insider Threats.

I am incredibly thankful for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 positive and thorough coverage of my newest book, The Practice of Network Security Monitoring (PNSM). It is clear Rick spent a lot of time reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book and digesting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents. Even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post headings, such as "Network Security Monitoring Is More Than Just a Set Of Tools," "Operate Like You Are Compromised: Kill Chain Analysis," "Network Security Monitoring as a Decision Tool, Not a Reaction Process," "Incident Response and Threat Intelligence Go Togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r," and so on communicate key cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mes in my book.

With his background at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Army CERT, Counterpane, and iDefense, it's clear Rick converted his experiences defending significant networks into a worldview that resonates with that in PNSM.

Rick also emphasizes one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goals of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, which is to get anyone started on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 road to network instrumentation. I wrote cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, and teach a class -- Black Hat, 8-9 December, near DC -- for this very purpose.

I wanted to add a bit more detail to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last section of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefit of those who have not yet read PNSM. Rick mentions some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools incorporated in Security Onion, but I wanted to be sure readers understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full spectrum of SO capabilities. I captured that in Figure 6-1, reproduced below.

While I don't cover all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools in PNSM, as Rick wrote, I show how to leverage core SO capabilities to detect and respond to intrusions.

If you would like a copy of PNSM, consider buying from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 No Starch Web site, using discount code NSM101 to save 30%. One benefit over buying from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publisher is getting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital and print editions in a bundle.

Thank you again to Rick Howard and Palo Alto Networks for including PNSM in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cybersecurity Canon.

Tuesday, September 16, 2014

We Need More Than Penetration Testing

Last week I read an article titled  People too trusting when it comes to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir cybersecurity, experts say by Roy Wenzl of The Wichita Eagle. The following caught my eye and prompted this post:

[Connor] Brewer is a 19-year-old sophomore at Butler Community College, a self-described loner and tech geek...

Today he’s what technologists call a white-hat hacker, hacking legally for companies that pay to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own security holes. 

When Bill Young, Butler’s chief information security officer, went looking for a white-hat hacker, he hired Brewer, though Brewer has yet to complete his associate’s degree at Butler...

Butler’s security system comes under attack several times a week, Young said...

Brewer and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs like him are hired by companies to deliberately attack a company’s security network. These companies pay bounties if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 white hackers find security holes. “Pen testing,” cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y call it, for “penetration testing.”

Young has repeatedly assigned Brewer to hack into Butler’s computer system. “He finds security problems,” Young said. “And I patch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.”

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 face of it, this sounds like a win-win story. A young white hat hacker does something he enjoys, and his community college benefits from his expertise to defend itself.

My concern with this article is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final sentence:

Young has repeatedly assigned Brewer to hack into Butler’s computer system. “He finds security problems,” Young said. “And I patch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.”

This article does not mention whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Butler's CISO spends any time looking for intruders who have already compromised his organization. Finding security problems and patching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m is only one step in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security process.

I still believe that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two best words ever uttered by Bruce Schneier were "monitor first," and I worry that organizations like those in this article are patching holes while intruders maneuver around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compromised network.

A Brief History of Network Security Monitoring

Last week I was pleased to deliver cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keynote at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first Security Onion Conference in Augusta, GA, organized and hosted by Doug Burks. This was probably my favorite security event of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 year, attended by many fans of Security Onion and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network security monitoring (NSM) community.

Doug asked me to present cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 history of NSM. To convey some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 milestones in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 development of this operational methodology, I developed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se slides (pdf). They are all images, screen captures, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 like, but I promised to post cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image at left is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first slide from a Webinar that Bamm Visscher and I delivered on 4 December 2002, where we presented cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 formal definition of NSM cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time. We defined network security monitoring as

cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection, analysis, and escalation of indications and warnings to detect and respond to intrusions.

You may recognize similarities with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intelligence cycle and John Boyd's Observe - Orient - Decide Act (OODA) loop. That is not an accident.

During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation I noted a few key years and events:

  • 1986: The Cliff Stoll intrusions scare cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government, military, and universities supporting gov and mil research.
  • 1988: Lawrence Livermore National Lab funds three security projects at UC Davis by supporting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Prof Karl Levitt's computer science lab. They include AV software, a "security profile inspector," and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "network security monitor."
  • 1988-1990: Todd Heberlein and colleagues code and write about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSM platform.
  • 1991: While instrumenting a DISA location suffering from excessive bandwidth usage, NSM discovers 80% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clogged link is caused by intruder activity.
  • 1992: Former FBI Director, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n assistant AG, Robert Mueller writes a letter to NIST warning that NSM might not be legal.
  • 1 October 1992: AFCERT founded.
  • 10 September 1993: AFIWC founded.
  • End of 1995: 26 Air Force sites instrumented by NSM.
  • End of 1996: 55 Air Force sites instrumented by NSM.
  • End of 1997: Over 100 Air Force sites instrumented by NSM.
  • 1999: Melissa worm prompts AFCERT to develop dedicated anti-malware team. This signaled a shift from detection of human adversaries interacting with victims to detection of mindless code interacting with victims.
  • 2001: Bamm Visscher deploys SPREG, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 predecessor to Sguil, at our MSSP at Ball Aerospace.
  • 13 July 2001: Using SPREG, one of our analysts detects Code Red, 6 days prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public outbreak. I send a note to a mailing list on 15 July.
  • February 2003: Bamm Visscher recodes and releases Sguil as an open source NSM console.

As I noted in my presentation,. cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purpose of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talk was to share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that NSM has a long history, some of which happened when many practitioners (including myself) were still in school.

This is not a complete history, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. For more information, please see my 2007 post Network Security Monitoring History and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 foreword, written by Todd Heberlein, of my newest book The Practice of Network Security Monitoring.

Finally, I wanted to emphasize that NSM is not just full packet capture or logging full content data. NSM is a process, although my latest book defines seven types of NSM data. One of those data types is full content. You can read about all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first first chapter of my book at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publisher Web site.

Thursday, September 04, 2014

Bejtlich Teaching at Black Hat Trainings 8-9 Dec 2014

I'm pleased to announce that I will be teaching one class at Black Hat Trainings 2014 in Potomac, MD, near DC, on 8-9 December 2014. The class is Network Security Monitoring 101. I taught this class in Las Vegas in July 2013 and 2014, and Seattle in December 2013. I posted Feedback from Network Security Monitoring 101 Classes last year as a sample of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 student commentary I received.

This class is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perfect jumpstart for anyone who wants to begin a network security monitoring program at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir organization. You may enter with no NSM knowledge, but when you leave you'll be able to understand, deploy, and use NSM to detect and respond to intruders, using open source software and repurposed hardware.

The first discounted registration deadline is 11:59 pm EDT October 31st. The second discounted registration deadline (more expensive than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first but cheaper than later) ends 11:59 pm EST December 5th. You can register here.

I recently topped cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1,000 student count for my cumulative years of teaching my own material at Black Hat. Since starting my current Black Hat teaching run in 2007, I've completely replaced each course every ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r year. In 2007-2008 I taught TCP/IP Weapons School version 1. In 2009-2010 I taught TCP/IP Weapons School version 2. In 2011-2012 I taught TCP/IP Weapons School version 3. In 2013-2014 I taught Network Security Monitoring 101.

I have no plans to design a new course for 2015 and beyond. If you want to see me teach Network Security Monitoring and related subjects, Black Hat is your best option.

Please sign up soon, for two reasons. First, if not enough people sign up early, Black Hat might cancel cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class. Second, if many people sign up, you risk losing a seat. With so many classes taught at this venue, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference lacks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 large rooms necessary to support big classes.

Several students asked for a more complete class outline. So, in addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outline posted currently by Black Hat, I present cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following that shows what sort of material I cover in my new class.

OVERVIEW

Is your network safe from intruders? Do you know how to find out? Do you know what to do when you learn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 truth? If you are a beginner, and need answers to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se questions, Network Security Monitoring 101 (NSM101) is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newest Black Hat course for you. This vendor-neutral, open source software-friendly, reality-driven two-day event will teach students cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigative mindset not found in classes that focus solely on tools. NSM101 is hands-on, lab-centric, and grounded in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest strategies and tactics that work against adversaries like organized criminals, opportunistic intruders, and advanced persistent threats. Best of all, this class is designed *for beginners*: all you need is a desire to learn and a laptop ready to run a virtual machine. Instructor Richard Bejtlich has taught over 1,000 Black Hat students since 2002, and this brand new, 101-level course will guide you into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world of Network Security Monitoring.

CLASS OUTLINE

Day One

0900-1030
·         Introduction
·         Enterprise Security Cycle
·         State of South Carolina case study
·         Difference between NSM and Continuous Monitoring
·         Blocking, filtering, and denying mechanisms
·         Why does NSM work?
·         When NSM won’t work
·         Is NSM legal?
·         How does one protect privacy during NSM operations?
·         NSM data types
·         Where can I buy NSM?

1030-1045
·         Break

1045-1230
·         SPAN ports and taps
·         Making visibility decisions
·         Traffic flow
·         Lab 1: Visibility in ten sample networks
·         Security Onion introduction
·         Stand-alone vs server plus sensors
·         Core Security Onion tools
·         Lab 2: Security Onion installation

1230-1400
·         Lunch

1400-1600
·         Guided review of Capinfos, Tcpdump, Tshark, and Argus
·         Lab 3: Using Capinfos, Tcpdump, Tshark, and Argus

1600-1615
·         Break

1615-1800
·         Guided review of Wireshark, Bro, and Snort
·         Lab 4: Using Wireshark, Bro, and Snort
·         Using Tcpreplay with NSM consoles
·         Guided review of process management, key directories, and disk usage
·         Lab 5: Process management, key directories, and disk usage

Day Two

0900-1030
·         Computer incident detection and response process
·         Intrusion Kill Chain
·         Incident categories
·         CIRT roles
·         Communication
·         Containment techniques
·         Waves and campaigns
·         Remediation
·         Server-side attack pattern
·         Client-side attack pattern

1030-1045
·         Break

1045-1230
·         Guided review of Sguil
·         Lab 6: Using Sguil
·         Guided review of ELSA
·         Lab 7: Using ELSA

1230-1400
·         Lunch

1400-1600
·         Lab 8. Intrusion Part 1 Forensic Analysis
·         Lab 9. Intrusion Part 1 Console Analysis

1600-1615
·         Break

1615-1800
·         Lab 10. Intrusion Part 2 Forensic Analysis
·         Lab 11. Intrusion Part 2 Console Analysis

REQUIREMENTS

Students must be comfortable using command line tools in a non-Windows environment such as Linux or FreeBSD. Basic familiarity with TCP/IP networking and packet analysis is a plus.

WHAT STUDENTS NEED TO BRING

NSM101 is a LAB-DRIVEN course. Students MUST bring a laptop with at least 8 GB RAM and at least 20 GB free on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard drive. The laptop MUST be able to run a virtualization product that can CREATE VMs from an .iso, such as VMware Workstation (minimum version 8, 9 or 10 is preferred); VMware Player (minimum version 5 -- older versions do not support VM creation); VMware Fusion (minimum version 5, for Mac); or Oracle VM VirtualBox (minimum version 4.2). A laptop with access to an internal or external DVD drive is preferred, but not mandatory.

Students SHOULD test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open source Security Onion (http://securityonion.blogspot.com) NSM distro prior to class. The students should try booting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 12.04 64 bit Security Onion distribution into live mode. Students MUST ensure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir laptops can run a 64 bit virtual machine. For help with this requirement, see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VMware knowledgebase article “Ensuring Virtualization Technology is enabled on your VMware host (1003944)” (http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1003944). Students MUST have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BIOS password for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir laptop in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need to enable virtualization support in class. Students MUST also have administrator-level access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir laptop to install software, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need to reconfigure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir laptop in class.

WHAT STUDENTS WILL RECEIVE

Students will receive a paper class handbook with printed slides, a lab workbook, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 teacher’s guide for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lab questions. Students will also receive a DVD with a recent version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Onion NSM distribution.

TRAINERS

Richard Bejtlich is Chief Security Strategist at FireEye, and was Mandiant's Chief Security Officer when FireEye acquired Mandiant in 2013. He is a nonresident senior fellow at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Brookings Institution, a board member at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Open Information Security Foundation, and an advisor to Threat Stack, Sqrrl, and Critical Stack. He is also a Master/Doctor of Philosophy in War Studies Researcher at King's College London. He was previously Director of Incident Response for General Electric, where he built and led cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 40-member GE Computer Incident Response Team (GE-CIRT). Richard began his digital security career as a military intelligence officer in 1997 at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Computer Emergency Response Team (AFCERT), Air Force Information Warfare Center (AFIWC), and Air Intelligence Agency (AIA). Richard is a graduate of Harvard University and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States Air Force Academy. His fourth book is "The Practice of Network Security Monitoring" (nostarch.com/nsm). He also writes for his blog (taosecurity.blogspot.com) and Twitter (@taosecurity), and teaches for Black Hat.

Thursday, August 21, 2014

Air Force Leaders Should Read This Book

I just finished reading The Icarus Syndrome: The Role of Air Power Theory in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Evolution and Fate of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. Air Force by Carl Builder. He published this book in 1994 and I wish I had read it 20 years ago as a new Air Force second lieutenant. Builder makes many interesting points in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, but in this brief post I'd like to emphasize one of his concluding points: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of a mission statement.

Builder offers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following when critiquing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force's mission statement, or lack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reof, around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of his study:

[Previous] Air Force of Staff, General John P. McConnell, reportedly endorsed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 now-familiar slogan

     The mission of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force is to fly and fight. 

Sometime later, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next Chief, General John D. Ryan, took pains to put it more gruffly:

     The job of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force is to fly and to fight, and don't you ever forget it. (p 266)

I remember hearing "Fly, Fight, Win" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1990s as well.

Builder correctly criticizes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se mission statements on multiple grounds, none more compelling than this: how are non-flyers supposed to interpret this statement? It's simply a reminder and reinforcement of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second-class status of non-flyers in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, Builder more or less also notes that "fight" is often eclipsed but non-combat missions, such as airlift or humanitarian relief. Finally, Builder doesn't ask cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question explicitly, but how does one define "winning"? Would wars in Iraq or Afghanistan be a "win"? That's a demoralizing way to think in my opinion.

Builder offers a wonkish, but conceptually more useful, mission statement on p 284:

The mission of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military control and exploitation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aerospace continuum in support of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 national interests.

The author immediately notes that one Air Force officer criticized Builder's mission statement as too "academic," but I think this particular policy wonk is on target.

Curious as to what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current Air Force mission statement says, I checked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Our Mission page and read at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top:

The mission of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States Air Force is to fly, fight and win … in air, space and cyberspace.

Wow. That's even worse than before. Not only does it still insult non-flyers, but now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mission involves "flying" in "cyberspace."

I strongly suggest Air Force leaders read Builder's book. It's as relevant today as it was 20 years ago.

Sunday, June 01, 2014

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Twenty Years Since My USAFA Graduation


Twenty years ago today, on 1 June 1994, 1024 of us graduated from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States Air Force Academy, commissioned as brand new second lieutenants. As of September 2012, over 600 members of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class of 1994 were still in uniform. I expect that number is roughly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same today. Reaching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 20 year mark entitles my classmates still in uniform to retire with lifetime benefits, should cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y choose to do so. I expect some will, but based on patterns from earlier classes I do not expect a massive exodus. The economy is still in rough shape, and transitioning from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 private sector after a lifetime in uniform is a jarring experience.

I remember 1994 being a fairly optimistic year, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 personnel situation was precarious for those who wanted to fly. After graduation we found ourselves in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 middle of a drawdown, with no undergraduate pilot training (UPT) slots available. One jody (marching song) of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time went as follows:

Oh cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are no fighter pilots in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force...(repeat)
Because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no UPT for 94 or 93
Oh cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are no fighter pilots in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force...

I stayed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force until early 2001, at which point I brought my military intelligence and computer network defense skills to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 private sector. I've stayed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 private world since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n.

I do not regret my time in uniform, from 1990 to 2001, although I would not repeat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time I spent at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Academy. Many people are surprised to hear me say that. Upon reflection I believe those four years consisted of a mental, physical, and spiritual endurance test, and I wonder if I could have found a better match for my personality and interests elsewhere.

From an academic perspective, I made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most of my "free" education, graduating 3rd in my class with degrees in history and political science, and minors in French and German. From a leadership perspective I enjoyed my roles as an element leader during my junior year and as a flight commander my senior year. I also met some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 finest young people this nation could have produced, as well as some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most dedicated professors I've ever known.

After 20 years of consideration, however, I've begun to realize that I endured that four year experience because I thought ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs expected it of me. I didn't do it for myself, and coincidentally cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 message cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force ingrained into me -- "Service Before Self" -- did nothing to balance my younger personality. In my 40s, I've managed to realize that it's ok to determine and pursue personal interests, but I wish I had figured that out in my late teens.

In a matter of weeks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class of 2018 will report for basic training. Would I tell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to go home? Of course not. My hope is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir personal goals match cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 needs of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service. I do not believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y should be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re only because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y expect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir country needs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. The Air Force and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nation needs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best this country can provide, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y should not expect those who serve to do so at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expense of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir souls.

This fall is my 20 year reunion, and I plan to attend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event with my family. I hope to see some of my former classmates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, likely with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir families. My wife and I attended cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 10 year reunion in 2004, and it was a powerful and memorable experience. Today though, I would like to thank all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class of 1994, especially those still in uniform, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir service. I also extend my best wishes to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 brave men and women of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inbound class of 2018. You can do it, but do it only if you really want to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.

Fly, fight, win!

Wednesday, May 14, 2014

Video of Bejtlich at Cyber Crime Conference 2014

On Tuesday cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 29th of April I delivered a keynote at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Cyber Crime Conference in Leesburg, VA.

The video is online although getting to it is more complicated than clicking on a link to YouTube.

Here's what I did to access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 video.

First, visit this link for a "SabreCity" account. Fill in your "information" and click Register.

You will cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n see a rude message saying "Registration for this conference is now closed."

That's no problem. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same browser now visit this link to go to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SabreCity "lobby."

Click cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "On Demand" button on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screen. Now you can access all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 videos from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference.

Mine is called "State of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Hack: 2014 M-Trends - Beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Breach." Click cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 green arrow to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 left of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 title to start cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 video.

You may be interested in several of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r interesting speakers listed as well. Thank you to Jim Christy and his team for organizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference, inviting me to speak, and for providing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se videos for free online.

Update: You might want to know what I discuss. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talk I summarize three key findings from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2014 M-Trends Report. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second part I discuss strategic security using a Civil War example cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n turn to a network security monitoring example. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final minutes I answer audience questions.

Saturday, May 03, 2014

Brainwashed by The Cult of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Quick

Faster is better! Those of us with military backgrounds learned that speed is a "weapon" unto itself, a factor which is "inherently decisive" in military conflict. The benefit of speed was so ingrained into my Air Force training that I didn't recognize I had been brainwashed by what Dr. Thomas Hughes rightly identified as The Cult of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Quick.

Dr. Hughes published his article of this title in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Winter 2001 issue of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Aerospace Power Journal. His main point is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

At a time when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 American military has global commitments arrayed at variable threats, both real and potential, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Pentagon’s single-minded view of speed leaves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nation’s defenders poorly prepared for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 range of military opposition and enemies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y may face.

Although Dr. Hughes wrote his article in 2001, his prescription is as accurate as ever. I found his integration of Edward Luttwak's point very telling:

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1990s, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quest for swift war, replete with exit strategies and premature cease-fires, has led to less, not more, decisive war, as Edward Luttwak argues. For him, wars nowadays rarely “run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir natural course” to “burn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves out and establish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 preconditions for a lasting settlement.” Instead, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y “become endemic conflicts that never end because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transformative effects of both decisive victory and exhaustion are blocked.” The present struggle against terrorism may well prove an acid test for Luttwak’s point.

These points resonated with me because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y reflected what I am learning about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Civil War. Scott, Grant and Lincoln knew that a quick, early strike against Richmond, whereby cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Union seized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capital of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Confederacy, would not decisively end cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Civil War and bring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rebels back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Union. Sad as it may seem, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rebels had to believe that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was no furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r point in fighting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 war. If Richmond had fallen in 1861, only months after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack on Fort Sumter, it's likely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Confederacy would have transferred cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir capital and kept fighting. Following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advice of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "cult of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quick" would have been a poor strategy during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Civil War. (That doesn't necessarily justify fighting a four year conflict, but I believe a strategy of quickly capturing Richmond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exclusion of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r objectives would have resulted in Civil War 2, and so on, similar to World War II.)

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyber side, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article reminded me of an area where speed is often paramount: detection and response. However, I remembered that my guidance on "fast" containment has always integrated one exception, as I noted on page 199 of my newest book, The Practice of Network Security Monitoring:

The speed with which a CIRT and constituent take containment actions is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject of hot debate in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security world. Some argue for fast containment in order to limit risk; ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs argue for slower containment, providing more time to learn about an adversary. The best answer is to contain incidents as quickly as possible, as long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIRT can scope cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best of its capability.

Scoping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident means understanding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder’s reach. Is he limited to interacting with only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one computer identified thus far? Does he control more computers, or even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire network by virtue of exploitation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Active Directory domain controllers?

The speed with which a CIRT can make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 containment decision is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 primary ways to measure its maturity. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIRT regularly learns of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presence of advanced (or even routine) threats via notification by external parties, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n rapid containment is less likely to be effective. A CIRT that cannot find intrusions within its own environment is not likely to be able to rapidly scope an incident. “Pulling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plug” on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first identified victim will probably leave dozens, hundreds, or thousands of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r victims online and available to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary.

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIRT develops its own threat intelligence, maintains pervasive visibility, and quickly finds intruders on its own, it is more likely to be able to scope an incident in a minimum amount of time. CIRTs with that sort of capability should establish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder’s reach as rapidly as possible, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n just as quickly contain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim(s) to limit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary’s options. (emphasis added)

I highly recommend reading The Cult of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Quick. You may find you have also been brainwashed!

Gunfight picture credits: Popular Mechanics

Thursday, April 24, 2014

Five Thoughts on New China Article

I just read a thoughtful article by Michael O'Hanlon and James Steinberg, posted at Brookings and Foreign Policy titled Don't Be a Menace to South (China Sea).

It addresses thorny questions regarding China as President Obama visits South Korea, Japan, Malaysia, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Philippines.

I wanted to share five quick thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article, fully appreciating I don't have all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answers to this complex strategic problem.

1. "Many in China see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. rebalance as ill-disguised containment, while many in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States see Chinese military modernization and territorial assertiveness as strong indications that Beijing seeks to undermine Washington's alliances and drive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Western Pacific."

I agree with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se statements as being perceptions by both sides, but I also think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are closer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 truth than what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors believe. I recommend Dr Ashley Tellis' monograph Balancing Without Containment: An American Strategy for Managing China as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best strategy I've seen for handling this aspect of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem.

2. "Compounding this challenge, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 long-term intentions of both sides are inherently unknowable. The inclination in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 face of such uncertainty is to prepare for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worst -- which all too frequently becomes a self-fulfilling prophecy."

I disagree that long-term intentions are inherently unknowable. Building on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first point, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese want to project regional power without US interference, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US wants to maintain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to protect power globally. That means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two sides will be in conflict in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 South China Sea and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r regional Chinese waters.

3. "That does not mean Washington must immediately unsheacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sword if tensions escalate over China's actions near cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Senkakus or disputed islands in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 South China Sea, but it must make clear that it is prepared to impose significant costs if red lines are crossed -- which is why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 response to Russia's actions in Ukraine is so salient to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation in East Asia."

I believe many commentators and policymakers cringe at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "red lines" when applied to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current administration. The President's use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term with respect to Syrian weapons of mass destruction has weakened his position. Perhaps more importantly, just what are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "red lines" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 South China Sea? The authors recommend meeting alliance commitments, but what does that mean?

4. "U.S. allies in Asia worry that China's ability to impose economic costs against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States might deter Washington from acting -- a concern exacerbated by U.S. and European caution in imposing costs on Russia. The late March expansion of sanctions against Russia should help reassure U.S. allies of Washington's willingness to accept cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risks of economic retaliation in order to impose costs on those who cross red lines."

There are few similarities between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US-Russia and US-China economic relationships. The risks of economic retaliation from Russia are far smaller than those that could be applied by China. US allies should worry about China's ability to impose economic costs against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US, but that is tempered somewhat by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effects those sanctions could have against China itself.

5. "The United States and its allies also have an interest in reassuring China that if Beijing acts responsibly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will not seek to thwart its future prosperity and security... These might include "Open Skies" reconnaissance agreements, where both sides allow territorial overflights to reduce concerns about concealment...

Just as important as formal agreements is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 willingness of both sides to exercise restraint in defensive actions that might appear threatening; to enhance transparency to dispel misunderstandings; and to reciprocate positive actions to stimulate a virtuous circle of enhanced confidence. This might mean Chinese willingness to slow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rate of its military buildup racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than race for parity." (emphasis added)

What does "act responsibly" mean? In US eyes, it probably means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese allow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US to project power globally, including in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 South China Sea. As I mentioned above, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese don't want this to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 medium and long term.

"Open skies" agreements and "enhanced transparency" are non-starters for China, just as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were non-starters for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Soviet Union in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1950s. Strategic cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory explains why. China is militarily weaker than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States. They fear that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US learns about Chinese capabilities, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more accurately and effectively cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US will be able to target and neutralize those capabilities. The Chinese follow this approach with nuclear weapons and cyber weapons, as we saw with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latter recently (see Adam Segal's What Briefing Chinese Officials On Cyber Really Accomplishes.)

I see few situations where China would slow its military buildup, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exception of nuclear weapons. With nuclear weapons, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 important feature is a first-strike-survivable retaliation capability. The Chinese don't need to match cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US warhead-for-warhead if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US knows we can't get away with a first strike against China. (To learn more about this dynamic, see Strategic Stability: Contending Interpretations.)

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conventional side, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese are more likely to try to outbuild cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y still lack a qualitative advantage compared to US forces. Given declining US budgets, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese should be able to out-spend and out-build cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Navy and Air Force, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two most critical services for a future US-China conflict.

Overall, this is a very tough problem, but I recommend reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 piece by Dr Tellis for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best answer I've read concerning strategic approaches to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US-China issue in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 South China Sea.

Thursday, March 20, 2014

Are Nation States Responsible for Evil Traffic Leaving Their Networks?

During recent talks to various audiences, I've mentioned discussions within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United Nations. One point from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se discussions involved certain nation states agreeing to modes of behavior in cyber space. I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se recent statements: A/68/98, Group of Governmental Experts on Developments in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Field of Information and Telecommunications in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Context of International Security (pdf). This document is hosted within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United Nations Office for Disarmament Affairs, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 developments in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field of information and telecommunications section.

Fifteen countries were involved in producing this document: Argentina, Australia, Belarus, Canada, China, Egypt, Estonia, France, Germany, India, Indonesia, Japan, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Russian Federation, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United Kingdom of Great Britain and Norcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rn Ireland and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States of America.

Within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 section titled "Recommendations on norms, rules and principles of responsible behaviour by States," I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following noteworthy:

19. International law, and in particular cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Charter of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United Nations, is applicable and is essential to maintaining peace and stability and promoting an open, secure, peaceful and accessible ICT environment...

23. States must meet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir international obligations regarding internationally wrongful acts attributable to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. States must not use proxies to commit internationally wrongful acts. States should seek to ensure that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir territories are not used by non-State actors for unlawful use of ICTs.

The first statement is important because it "imports" a large body of external law and agreements into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyber field, for good or ill.

The second statement is important because, if States obey cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se principles, it has interesting effects upon malicious activity leaving State networks. Collectively cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sentences imply that States are responsible for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir networks. States can't claim that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are only innocent intrusion victims, and that any malicious activity leaving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir State isn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir fault or problem.

Whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r States try to meet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se obligations, and whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs call cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m out for not meeting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r matter.

Sunday, March 16, 2014

Five Thoughts from VADM Rogers Testimony

I had a chance to read Advance Questions for Vice Admiral Michael S. Rogers, USN (pdf) this weekend.

I wanted to share five thoughts based on excerpts from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VADM Rogers' answers to written questions posed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Senate Armed Services Committee.

1. The Committee asked: Can deterrence be an effective strategy in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 absence of reliable attribution?

VADM Rogers responded: Yes, I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re can be effective levels of deterrence despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenges of attribution. Attribution has improved, but is still not timely in many circumstances...

Cyber presence, being forward deployed in cyberspace, and garnering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 indications and warnings of our most likely adversaries can help (as we do with our forces dedicated to Defend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Nation). (emphasis added)

I wonder if "cyber presence" and "being forward deployed in cyberspace" means having access to adversary systems? There's little doubt as to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source of an attack if you are resident on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system launching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack.

2. The Committee asked: Is it advisable to develop cyberspace officers as we do ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r combat arms or line officers? Why or why not?

VADM Rogers responded: ...We must find a way to simultaneously ensure combat arms and line officers are better prepared to contribute, and cyberspace officers are able to enjoy a long, meaningful career with upward mobility. A meaningful career should allow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to fully develop as specialized experts, mentor those around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, and truly influence how we ought to train and fight in this mission space. 

I am especially interested in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 merit of how a visible commitment to valuing cyberspace officers in our ranks will affect recruitment and retention. I believe that many of today’s youth who are uniquely prepared to contribute (e.g. formally educated or self-developed technical expertise) do not feel cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a place for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in our uniformed services

We must find a way to strengcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 message of opportunity and I believe part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer is to do our part to ensure cyberspace officers are viewed as equals in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 eyes of line and combat arms officers; not enablers, but equals. Equals with capabilities no less valued than those delivered by professional aviators, special operators, infantry, or surface warfare. (emphasis added)

In my opinion, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best way to meet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se goals is to create a separate Cyber Force. Please read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article Time for a US Cyber Force by Admiral James Stavridis (ret) and David Weinstein.

3. The Committee asked: The Unified Command Plan (UCP) establishes U.S. Cyber Command as a subunified command reporting to U.S. Strategic Command. We understand that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Administration considered modifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UCP to establish U.S. Cyber Command as a full combatant command.
What are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best arguments for and against taking such action now?

VADM Rogers responded: ...The argument for full Unified Command status is probably best stated in terms of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat. Cyber attacks may occur with little warning, and more than likely will allow only minutes to seconds to mount a defensive action seeking to prevent or deflect potentially significant harm to U.S critical infrastructure. 

Existing department processes and procedures for seeking authorities to act in response to such emergency actions are limited to Unified Combatant Commanders. If confirmed, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Commander of U.S. CYBERCOM, as a Sub-unified Combatant Commander I would be required to coordinate and communicate through Commander, U.S. Strategic Command to seek Secretary of Defense or even Presidential approval to defend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nation in cyberspace. 

In a response cycle of seconds to minutes, this could come with a severe cost and could even obviate any meaningful action. As required in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current Standing Rules of Engagement, as a Combatant Commander, I would have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requisite authorities to directly engage with SECDEF or POTUS as necessary to defend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nation. (emphasis added)

I'm dismayed but not surprised by this argument. I'm dismayed because it sounds like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most important reason to establish a unified cyber command is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perception that "cyber attacks...allow only minutes to seconds to mount a defensive action." This is just not true for any strategically significant attack.

If you only have "minutes to seconds" left for defense, you are way too far down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kill chain. You need to be intercepting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reconnaissance phase, or at least no earlier than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stage whereby cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat explores cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target searching for critical elements. I fear cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "minutes to seconds" camp is a legacy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad old days of Internet worms from 10 years ago.

4. The Committee asked: How could cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet be redesigned to provide greater inherent security?

VADM Rogers responded: Advancements in technology continually change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 architecture of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. Cloud computing, for instance, is a significant change in how industry and individuals use Internet services... 

Several major providers of Internet services are already implementing increased security in email and purchasing services by using encryption for all transmissions from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server. It is possible that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service providers could be given more responsibility to protect end clients connected directly to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir infrastructures. 

They are in a position to stop attacks targeted at consumers and recognize when consumer devices on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir networks have been subverted. The inability of end users to verify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 originator of an email and for hackers to forge email addresses have resulted in serious compromises of end user systems... (emphasis added)

So, we see reference to cloud computing, encrypting client-to-server communications, ISPs protecting end users, and email verification. Think of all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tactical and technology options that were not mentioned here. Also notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack of discussion of better operations/campaigns and strategies. Finally, notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Committee asked about redesigning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet, an engineering-focused approach.

5.  I am glad to live in a country where a candidate to lead important military and intelligence agencies can be questioned in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n open for public benefit. However, I am disappointed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Unified Command Plan (UCP), referenced several times in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Q&A, remains a classified document.

The best we seem to have is The Unified Command Plan and Combatant Commands: Background and Issues for Congress, (pdf) a 2013 Congressional Research Service document hosted by FAS, and History of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Unified Command Plan (pdf), hosted by dtic.mil. The 2012 CRS report is posted on a state.gov Web site. It would be helpful to read an unclassified version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next UCP, which is due anytime it seems.

PHOTO CREDIT: Gary Cameron, Reuters.

Saturday, March 08, 2014

Bejtlich Teaching at Black Hat USA 2014

I'm pleased to announce that I will be teaching one class at Black Hat USA 2014 2-3 and 4-5 August 2014 in Las Vegas, Nevada. The class is Network Security Monitoring 101. I've taught this class in Las Vegas in July 2013 and Seattle in December 2013. I posted Feedback from Network Security Monitoring 101 Classes last year as a sample of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 student commentary I received.

This class is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perfect jumpstart for anyone who wants to begin a network security monitoring program at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir organization. You may enter with no NSM knowledge, but when you leave you'll be able to understand, deploy, and use NSM to detect and respond to intruders, using open source software and repurposed hardware.

The first discounted registration deadline is 11:59 pm EDT June 2nd. The second discounted registration deadline (more expensive than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first but cheaper than later) ends 11:59 pm EDT July 26th. You can register here.

Please note: I have no plans to teach this class again in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States. I haven't decided yet if I will not teach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class at Black Hat Europe 2014 in Amsterdam in October.

Since starting my current Black Hat teaching run in 2007, I've completely replaced each course every ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r year. In 2007-2008 I taught TCP/IP Weapons School version 1. In 2009-2010 I taught TCP/IP Weapons School version 2. In 2011-2012 I taught TCP/IP Weapons School version 3. In 2013-2014 I taught Network Security Monitoring 101. This fall I would need to design a brand new course to continue this trend.

I have no plans to design a new course for 2015 and beyond. If you want to see me teach Network Security Monitoring and related subjects, Black Hat USA is your best option.

Please sign up soon, for two reasons. First, if not enough people sign up early, Black Hat might cancel cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class. Second, if many people sign up, you risk losing a seat. With so many classes taught in Las Vegas, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference lacks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 large rooms necessary to support big classes.

Several students asked for a more complete class outline. So, in addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outline posted currently by Black Hat, I present cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following that shows what sort of material I cover in my new class.

OVERVIEW

Is your network safe from intruders? Do you know how to find out? Do you know what to do when you learn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 truth? If you are a beginner, and need answers to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se questions, Network Security Monitoring 101 (NSM101) is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newest Black Hat course for you. This vendor-neutral, open source software-friendly, reality-driven two-day event will teach students cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigative mindset not found in classes that focus solely on tools. NSM101 is hands-on, lab-centric, and grounded in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest strategies and tactics that work against adversaries like organized criminals, opportunistic intruders, and advanced persistent threats. Best of all, this class is designed *for beginners*: all you need is a desire to learn and a laptop ready to run a virtual machine. Instructor Richard Bejtlich has taught over 1,000 Black Hat students since 2002, and this brand new, 101-level course will guide you into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world of Network Security Monitoring.

CLASS OUTLINE

Day One

0900-1030
·         Introduction
·         Enterprise Security Cycle
·         State of South Carolina case study
·         Difference between NSM and Continuous Monitoring
·         Blocking, filtering, and denying mechanisms
·         Why does NSM work?
·         When NSM won’t work
·         Is NSM legal?
·         How does one protect privacy during NSM operations?
·         NSM data types
·         Where can I buy NSM?

1030-1045
·         Break

1045-1230
·         SPAN ports and taps
·         Making visibility decisions
·         Traffic flow
·         Lab 1: Visibility in ten sample networks
·         Security Onion introduction
·         Stand-alone vs server plus sensors
·         Core Security Onion tools
·         Lab 2: Security Onion installation

1230-1400
·         Lunch

1400-1600
·         Guided review of Capinfos, Tcpdump, Tshark, and Argus
·         Lab 3: Using Capinfos, Tcpdump, Tshark, and Argus

1600-1615
·         Break

1615-1800
·         Guided review of Wireshark, Bro, and Snort
·         Lab 4: Using Wireshark, Bro, and Snort
·         Using Tcpreplay with NSM consoles
·         Guided review of process management, key directories, and disk usage
·         Lab 5: Process management, key directories, and disk usage

Day Two

0900-1030
·         Computer incident detection and response process
·         Intrusion Kill Chain
·         Incident categories
·         CIRT roles
·         Communication
·         Containment techniques
·         Waves and campaigns
·         Remediation
·         Server-side attack pattern
·         Client-side attack pattern

1030-1045
·         Break

1045-1230
·         Guided review of Sguil
·         Lab 6: Using Sguil
·         Guided review of ELSA
·         Lab 7: Using ELSA

1230-1400
·         Lunch

1400-1600
·         Lab 8. Intrusion Part 1 Forensic Analysis
·         Lab 9. Intrusion Part 1 Console Analysis

1600-1615
·         Break

1615-1800
·         Lab 10. Intrusion Part 2 Forensic Analysis
·         Lab 11. Intrusion Part 2 Console Analysis

REQUIREMENTS

Students must be comfortable using command line tools in a non-Windows environment such as Linux or FreeBSD. Basic familiarity with TCP/IP networking and packet analysis is a plus.

WHAT STUDENTS NEED TO BRING

NSM101 is a LAB-DRIVEN course. Students MUST bring a laptop with at least 8 GB RAM and at least 20 GB free on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard drive. The laptop MUST be able to run a virtualization product that can CREATE VMs from an .iso, such as VMware Workstation (minimum version 8, 9 or 10 is preferred); VMware Player (minimum version 5 -- older versions do not support VM creation); VMware Fusion (minimum version 5, for Mac); or Oracle VM VirtualBox (minimum version 4.2). A laptop with access to an internal or external DVD drive is preferred, but not mandatory.

Students SHOULD test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open source Security Onion (http://securityonion.blogspot.com) NSM distro prior to class. The students should try booting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 12.04 64 bit Security Onion distribution into live mode. Students MUST ensure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir laptops can run a 64 bit virtual machine. For help with this requirement, see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VMware knowledgebase article “Ensuring Virtualization Technology is enabled on your VMware host (1003944)” (http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1003944). Students MUST have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BIOS password for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir laptop in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need to enable virtualization support in class. Students MUST also have administrator-level access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir laptop to install software, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need to reconfigure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir laptop in class.

WHAT STUDENTS WILL RECEIVE

Students will receive a paper class handbook with printed slides, a lab workbook, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 teacher’s guide for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lab questions. Students will also receive a DVD with a recent version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Onion NSM distribution.

TRAINERS

Richard Bejtlich is Chief Security Strategist at FireEye, and was Mandiant's Chief Security Officer when FireEye acquired Mandiant in 2013. He is a nonresident senior fellow at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Brookings Institution, a board member at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Open Information Security Foundation, and an advisor to Threat Stack. He was previously Director of Incident Response for General Electric, where he built and led cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 40-member GE Computer Incident Response Team (GE-CIRT). Richard began his digital security career as a military intelligence officer in 1997 at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Computer Emergency Response Team (AFCERT), Air Force Information Warfare Center (AFIWC), and Air Intelligence Agency (AIA). Richard is a graduate of Harvard University and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States Air Force Academy. His fourth book is "The Practice of Network Security Monitoring" (nostarch.com/nsm). He also writes for his blog (taosecurity.blogspot.com) and Twitter (@taosecurity), and teaches for Black Hat.