Tuesday, October 18, 2016

Five Ways That Good Guys Share More Than Bad Guys

It takes a lot for me to write a cybersecurity blog post cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se days. I spend most of my writing time working on my PhD. Articles like Nothing Brings Banks Togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Like A Good Hack drive me up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wall, however, and a Tweet rant is insufficient. What fired me up, you might ask? Please read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following excerpt:

[Troels] Oerting, with no small dose of grudging admiration, says his adversaries excel at something that can’t be addressed with deep pockets or killer software: They’re superb networkers. “The organized crime groups in cyber are sharing much better than we are at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moment,” says Oerting, a Dane with a square jaw and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 watchful eyes of a cop who’s investigated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 underworld for 35 years. “They are sharing methodologies, knowledge, tools, practices—what works and what doesn’t.”

Statements like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are regularly submitted without evidence. In response, I provide five sources of evidence why organized crime groups do not share more than defenders.

1. Solution providers share. Both commercial and not-for-profit solution providers share enormous amounts of information on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security landscape. Some of it is free, and some of it is sold as products or consulting. Thousands of security companies and not-for-profit providers compete for your attention, producing white papers, Webinars, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r resources. You might argue that all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m claim to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer to your problem. However, this situation is infinitely better than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1980s and early 1990s. Back cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, hardly any solutions, or even security companies and organizations, existed at all.

Criminal solution providers share, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do so by selling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir wares. This is true for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open world as well, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 volume of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open world is orders of magnitude greater.

2. Government agencies share. My fellow Americans, has your organization you been visited by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI? Federal agents notified more than 3,000 U.S. companies [in 2013] that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir computer systems had been hacked. The agents didn't just walk in, drop a letter, and leave. If a relationship did not exist previously, it will now be developed.

Beyond third party breach notifications, agencies such as NIST, DHS, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs regularly share information with organizations. They may not share as much as we would like, but again, historical perspective reveals great progress.

3. Books, articles, and social media share. The amount of readable material on security is astounding. Again, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 late 1980s and early 1990s hardly any books or articles were available. Now, thousands of resources exist, with new material from publishers like No Starch arriving monthly. Where are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 books written by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 underground?

4. Security conferences share. You could spend every week of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 year at a security conference. If you happen to miss a talk, it's likely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incomparable Iron Geek recorded it. Does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 underground offer similar opportunities?

5. Private groups and limited information exchange groups share. A final category of defender sharing takes place in more controlled settings. These involve well-established Information Sharing and Analysis Centers (ISACs), developing Information Sharing and Analysis Organizations (ISAOs), and private mailing lists and forums with limited membership. These could possibly be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 closest analogue to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 much-esteemed underground. Even if you disregard points 1-4 above, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quality of information shared in this final category absolutely equals, if not exceeds, anything you would find in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 criminal world.

If you disagree with this analysis, and continue to lament that bad guys share more than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good guys, what evidence can you provide?

2 comments:

dre said...

This begs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question, though, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 underbelly elements share less (in terms of volumes of data, centralized locations, more-often, et al) -- is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quality of what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y share more-focused and more-effective cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n what infosec professionals and LE/Intel/Gov agencies share?

John Lambert of Microsoft said, Defenders think in lists. Attackers think in graphs. As long as this is true, attackers win.

What if attackers are just providing basic relationships, e.g., Dridex here equals exfil here; RIG EK here equals 20 initial-entry points one-third each here, here, and here? Attackers don't need to worry about ever-changing observables, IOCs, or anomalies. What cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y focus towards are entry points and expansion-related offensive capabilities. From that point, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need to balance eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r precaution (more persistence) or stealth.

Doesn't really seem like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have to share much, and when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do share what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need to share -- it goes a lot furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r to accomplish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir goals.

jcavery said...

I agree cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good guys share more than bad guys, but I don't think that should be a point of pride. Keep in mind, when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good guys share, it's usually with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire world, including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys. When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys share, it's usually behind closed doors, with a select few. So yes, you are correct, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good guys are out-sharing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys, but sometimes I wonder why so publicly?