Monday, December 04, 2017

On "Advanced" Network Security Monitoring

My TaoSecurity News page says I taught 41 classes lasting a day or more, from 2002 to 2014. All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se involved some aspect of network security monitoring (NSM). Many times students would ask me when I would create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "advanced" version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class, usually in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course feedback. I could never answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, so I decided to do so in this blog post.

The short answer is this: at some point, advanced NSM is no longer NSM. If you consider my collection - analysis - escalation - response model, NSM extensions from any of those phases quickly have little or nothing to do with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network.

Here are a few questions I have received concerned "advanced NSM," paired with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answers I could have provided.

Q: "I used NSM to extract a binary from network traffic. What do I do with this binary?"

A: "Learn about reverse engineering and binary analysis."

Or:

Q: "I used NSM to extra Javascript from a malicious Web page. What do I do with this Javascript?"

A: "Learn about Javascript de-obfuscation and programming."

Or:

Q: "I used NSM to capture an exchange between a Windows client and a server. What does it mean?"

A: "Learn about Server Message Block (SMB) or Common Internet File System (CIFS)."

Or:

Q: "I used NSM to capture cryptographic material exchanged between a client and a server. How do I understand it?"

A: "Learn about cryptography."

Or:

Q: "I used NSM to grab shell code passed with an exploit against an Internet-exposed service. How do I tell what it does?"

A: "Learn about programming in assembly."

Or:

Q: "I want to design custom hardware for packet capture. How do I do that?"

A: "Learn about programming ASICs (application specific integrated circuits)."

I realized that I had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 components of all of this "advanced NSM" material in my library. I had books on reverse engineering and binary analysis, Javascript, SMB/CIFS, cryptography, assembly programming, ASICs, etc.

The point is that eventually cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSM road takes you to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r aspects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyber security landscape.

Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re *any* advanced area for NSM? One could argue that protocol analysis, as one finds in tools like Bro, Suricata, Snort, Wireshark, and so on constitute advanced NSM. However, you could just as easily argue that protocol analysis becomes more about understanding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 programming and standards behind each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protocols.

In brief, to learn advanced NSM, expand beyond NSM.

Saturday, October 21, 2017

How to Minimize Leaking

I am hopeful that President Trump will not block release of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remaining classified documents addressing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1963 assassination of President John F. Kennedy. I grew up a Roman Catholic in Massachusetts, so President Kennedy always fascinated me.

The 1991 Oliver Stone movie JFK fueled several years of hobbyist research into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assassination. (It's unfortunate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 movie was so loaded with fictional content!) On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 30th anniversary of JFK's death in 1993, I led a moment of silence from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 balcony of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Academy chow hall during noon meal. While stationed at Goodfellow AFB in Texas, Mrs B and I visited Dealey Plaza in Dallas and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sixth Floor Museum.

Many years later, thanks to a 1992 law partially inspired by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Stone movie, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government has a chance to release cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last classified assassination records. As a historian and former member of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intelligence community, I hope all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documents become public. This would be a small but significant step towards minimizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 culture of information leaking in Washington, DC. If prospective leakers were part of a system that was known for releasing classified information prudently, regularly, and efficiently, it would decrease cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 leakers' motivation to evade cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 formal declassification process.

Many smart people have recommended improvements to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 classification system. Check out this 2012 report for details.

Monday, May 08, 2017

Latest Book Inducted into Cybersecurity Canon

Thursday evening Mrs B and I were pleased to attend an awards seminar for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cybersecurity Canon. This is a project sponsored by Palo Alto Networks and led by Rick Howard. The goal is "identify a list of must-read books for all cybersecurity practitioners."

Rick reviewed my fourth book The Practice of Network Security Monitoring in 2014 and someone nominated it for consideration in 2016. I was unaware earlier this year that my book was part of a 32-title "March Madness" style competition. My book won cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 five rounds, resulting in its conclusion in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2017 inductee list! Thank you to all those that voted for my book.

Ben Rothke awarded me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Canon trophy.
Ben Rothke interviewed me prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 induction ceremony. We discussed some current trends in security and some lessons from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book. I hope to see that interviewed published by Palo Alto Networks and/or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cybersecurity canon project in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 near future.

In my acceptance speech I explained how I wrote cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book because I had not yet dedicated a book to my youngest daughter, since she was born after my third book was published.

A teaching moment at Black Hat Abu Dhabi in December 2012 inspired me to write cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book. While teaching network security monitoring, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 students asked "but where do I install cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .exe on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server?"

I realized this student had no idea of physical access to a wire, or using a system to collect and store network traffic, or any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r fundamental concepts inherent to NSM. He thought NSM was anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r magical software package to install on his domain controller.

Four foreign language editions.
Thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interpretation assistance of a local Arabic speaker, I was able to get through to him. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 experience convinced me that I needed to write a new book that built NSM from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground up, hence cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 selection of topics and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 order in which I presented cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

While my book has not (yet?) been translated into Arabic, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are two Chinese language editions, a Korean edition, and a Polish edition! I also know of several SOCs who provide a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book to all incoming analysts. The book is also a text in several college courses.

I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book remains relevant for anyone who wants to learn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSM methodology to detect and respond to intrusions. While network traffic is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 example data source used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSM methodology is data source agnostic.

In 2002 Bamm Visscher and I defined NSM as "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection, analysis, and escalation of indications and warnings to detect and respond to intrusions." This definition makes no reference to network traffic.

It is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection-analysis-escalation framework that matters. You could perform NSM using log files, or host-centric data, or whatever else you use for indications and warning.

I have no plans for anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cybersecurity book. I am currently editing a book about combat mindset written by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 head instructor of my Krav Maga style and his colleague.
Thanks for asking for an autograph!

Palo Alto hosted a book signing and offered free books for attendees. I got a chance to speak with Steven Levy, whose book Hackers was also inducted. I sat next to him during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book signing, as shown in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture at right.

Thank you to Palo Alto Networks, Rick Howard, Ben Rothke, and my family for making inclusion in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cybersecurity Canon possible. The awards dinner was a top-notch event. Mrs B and I enjoyed meeting a variety of people, including students in local cybersecurity degree programs.

I closed my acceptance speech with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Old Testament, at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very end of 2nd Maccabees. It captures my goal when writing books:

"So I too will here end my story. If it is well told and to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point, that is what I myself desired; if it is poorly done and mediocre, that was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best I could do."

If you'd like a copy of The Practice of Network Security Monitoring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best deal is to buy print and electronic editions from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publisher's Web site. Use code NSM101 to save 30%. I like having cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 print version for easy review, and I carry cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital copy on my tablet and phone.

Thank you to everyone who voted and who also bought a copy of my book!

Update: I forgot to thank Doug Burks, who created Security Onion, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software used to demonstrate NSM in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book. Doug also contributed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appendix explaining certain SO commands. Thank you Doug! Also thank you to Bill Pollack and his team at No Starch Press, who edited and published cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book!

Thursday, March 23, 2017

Five Reasons I Want China Running Its Own Software

Periodically I read about efforts by China, or Russia, or North Korea, or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r countries to replace American software with indigenous or semi-indigenous alternatives. I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n reply via Twitter that I love cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea, with a short reason why. This post will list cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top five reasons why I want China and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r likely targets of American foreign intelligence collection to run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own software.

1. Many (most?) non-US software companies write lousy code. The US is by no means perfect, but our developers and processes generally appear to be superior to foreign indigenous efforts. Cisco vs Huawei is a good example. Cisco has plenty of problems, but it has processes in place to manage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, plus secure code development practices. Lousy indigenous code means it is easier for American intelligence agencies to penetrate foreign targets. (An example of a foreign country that excels in writing code is Israel, but thankfully it is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same sort of priority target like China, Russia, or North Korea.)

2. Many (most?) non-US enterprises are 5-10 years behind US security practices. Even if a foreign target runs decent native code, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT processes maintaining that code are lagging compared to American counterparts. Again, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US has not solved this problem by any stretch of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 imagination. However, relatively speaking, American inventory management, patch management, and security operations have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 edge over foreign intelligence targets. Because non-US enterprises running indigenous code will not necessarily be able to benefit from American expertise (as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y might if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were running American code), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se deficiencies will make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m easier targets for foreign exploitation.

3. Foreign targets running foreign code is win-win for American intel and enterprises. The current vulnerability equities process (VEP) puts American intelligence agencies in a quandary. The IC develops a zero-day exploit for a vulnerability, say for use against Cisco routers. American and Chinese organizations use Cisco routers. Should cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IC sit on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability in order to maintain access to foreign targets, or should it release cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability to Cisco to enable patching and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby protect American and foreign systems?

This dilemma disappears in a world where foreign targets run indigenous software. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IC identifies a vulnerability in Cisco software, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of its targets run non-Cisco software, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IC is more likely (or should be pushed to be more likely) to assist with patching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerable software. Meanwhile, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IC continues to exploit Huawei or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r products at its leisure.

4. Writing and running indigenous code is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fastest way to improve. When foreign countries essentially outsource cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir IT to vendors, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y become program managers. They lose or never develop any ability to write and run quality software. Writing and running your own code will enroll foreign organizations in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security school of hard knocks. American intel will have a field day for 3-5 years against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se targets, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y flail around in a perpetual state of compromise. However, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y devote cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper native resources and attention, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will learn from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir mistakes. They will write and run better software. Now, this means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will become harder targets for American intel, but American intel will retain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advantage of point 3.

5. Trustworthy indigenous code will promote international stability. Countries like China feel especially vulnerable to American exploitation. They have every reason to be scared. They run code written by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r organizations. They don't patch it or manage it well. Their security operations stink. The American intel community could initiate a complete moratorium on hacking China, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese would still be ravaged by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r countries or criminal hackers, all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 while likely blaming American intel. They would not be able to assess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation. This makes for a very unstable situation.

Therefore, countries like China and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs are going down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 indigenous software path. They understand that software, not oil as Daniel Yergen once wrote, is now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "commanding heights" of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 economy. Pursuing this course will subject cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se countries to many years of pain. However, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end I believe it will yield a more stable situation. These countries should begin to perceive that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are less vulnerable. They will experience cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own vulnerability equity process. They will be more aware and less paranoid.

In this respect, indigenous software is a win for global politics. The losers, of course, are global software companies. Foreign countries will continue to make short-term deals to suck intellectual property and expertise from American software companies, before discarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 side of Al Gore's information highway.

One final point -- a way foreign companies could jump-start cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir indigenous efforts would be to leverage open source software. I doubt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would necessarily honor licenses which require sharing improvements with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open source community. However, open source would give foreign organizations cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 visibility cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need and access to expertise that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y lack. Microsoft's shared source and similar programs were a step in this direction, but I suggest foreign organizations adopt open source instead.

Now, widespread open source adoption by foreign intelligence targets would erode cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advantages for American intel that I explained in point 3. I'm betting that foreign leaders are likely similar to Americans in that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y tend to not trust open source, and prefer to roll cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own and hold vendors accountable. Therefore I'm not that worried, from an American intel perspective, about point 3 being vastly eroded by widespread foreign open source adoption.

TeePublic is running a sale until midnight ET Thursday! Get a TaoSecurity Milnet T-shirt for yourself and a friend!


Tuesday, March 21, 2017

Cybersecurity Domains Mind Map

Last month I retweeted an image labelled "The Map of Cybersecurity Domains (v1.0)". I liked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way this graphic divided "security" into various specialties. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time I did not do any research to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 originator of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 graphic.

Last night before my Brazilian Jiu-Jitsu class I heard some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guys talking about certifications. They were all interested in "cybersecurity" but did not know how to break into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field. The domain image came to mind as I mentioned that I had some experience in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field. I also remembered an article Brian Krebs asked me to write titled "How to Break Into Security, Bejtlich Edition," part of a series on that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365me. I wrote:

Providing advice on “getting started in digital security” is similar to providing advice on “getting started in medicine.” If you ask a neurosurgeon he or she may propose some sort of experiment with dead frog legs and batteries. If you ask a dermatologist you might get advice on protection from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sun whenever you go outside. Asking a “security person” will likewise result in many different responses, depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 individual’s background and tastes.

I offered to help cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guys in my BJJ class find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 area of security that interests cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m and get started in that space. I thought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 domains graphic might facilitate that conversation, so I decided to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 originator so as to give proper credit.

It turns out that that CISO at Oppenheimer & Co, Henry Jiang, created cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 domains graphic. Last month at LinkedIn he published an updated Map of Cybersecurity Domains v2.0:

Map of Cybersecurity Domains v2.0 by Henry Jiang
If I could suggest a few changes for an updated version, I would try to put related disciplines closer to each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. For example, I would put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Threat Intelligence section right next to Security Operations. I would also swap cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 locations of Risk Assessment and Governance. Governance is closer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Framework and Standard arena. I would also move User Education to be near Career Development, since both deal with people.

On a more substantive level, I am not comfortable with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Risk Assessment section. Blue Team and Red Team are not derivatives of a Penetration test, for example. I'm not sure how to rebuild that section.

These are minor issues overall. The main reason I like this graphic is that it largely captures cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various disciplines one encounters in "cybersecurity." I could point a newcomer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field at this image and ask "does any of this look interesting?" I could ask someone more experienced "in which areas have your worked?" or "in which areas would you like to work?"

The cropped image at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top of this blog shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Operations and Threat Intelligence areas, where I have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most experience. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security person could easily select a completely different section and still be considered a veteran. Our field is no longer defined by a small set of skills!

What do you think of this diagram? What changes would you make?

Friday, March 17, 2017

Bejtlich Moves On

Exactly six years ago today I announced that I was joining Mandiant to become cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company's first CSO. Today is my last day at FireEye, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company that bought Mandiant at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very end of 2013.

The highlights of my time at Mandiant involved two sets of responsibilities.

First, as CSO, I enjoyed working with my small but superb security team, consisting of Doug Burks, Derek Coulsen, Dani Jackson, and Scott Runnels. They showed that "a small team of A+ players can run circles around a giant team of B and C players."

Second, as a company spokesperson, I survived cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one-of-a-kind ride that was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT1 report. I have to credit our intel and consulting teams for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content, and our marketing and government teams for keeping me pointed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right direction during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weeks of craziness that ensued.

At FireEye I transitioned to a strategist role because I was spending so much time talking to legislators and administration officials. I enjoyed working with anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r small but incredibly effective team: government relations. Back by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 combined FireEye-Mandiant intel team, we helped policy makers better understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital landscape and, more importantly, what steps to take to mitigate various risks.

Where do I go from here?

Twenty years ago last month I started my first role in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information warfare arena, as an Air Force intelligence officer assigned to Air Intelligence Agency at Security Hill in San Antonio, Texas. Since that time I've played a small part in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "cyber wars," trying to stop bad guys while empowering good guys.

I've known for several years that my life was heading in a new direction. It took me a while, but now I understand that I am not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same person who used to post hundreds of blog entries per year, and review 50 security books per year, and write security books and articles, and speak to reporters, and testify before Congress, and train thousands of students worldwide.

That mission is accomplished. I have new missions waiting.

My near-term goal is to identify opportunities in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security space which fit with my current interests. These include:
  • Promoting open source software to protect organizations of all sizes
  • Advising venture capitalists on promising security start-ups
  • Helping companies to write more effective security job descriptions and to interview and select cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best candidates available
My intermediate-term goal is to continue my Krav Maga training, which I started in January 2016. My focus is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 General Instructor Course process required to become a fully certified instructor. I will also continue training in my ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r arts, such as Brazilian Jiu-Jitsu. Krav, though, is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 priority, thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next goal.

My main instructor, Nick Masi (L) and his instructor, Eyal Yanilov (R)
My long-term goal is to open a Krav Maga school in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 norcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rn Virginia area in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fall of 2018. Accomplishing this goal requires completing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GIC process and securing a studio and students to join me on this new journey. I plan to offer private training, plus specialized seminars for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r executives who feel burned out, or who seek self-defense or fitness. I will also offer classes tailored for kids and women, to meet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requirements of those important parts of our human family.

Anyone who has spoken with me about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se changes has sensed my enthusiasm. I've also likely encouraged cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to join me at my current Krav Maga school, First Defense in Herndon, VA. Tell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m Richard sent you!

Change, while often uncomfortable, is a powerful growth accelerator. I am thankful that my family, and my wife Amy in particular, are so supportive of my initiatives.

If you would like to join me in any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se endeavors, please leave a comment here with your email address, or email me via taosecurity at gmail dot com. Best wishes to those remaining at FireEye!

Wednesday, March 15, 2017

The Missing Trends in M-Trends 2017

FireEye released cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2017 edition of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mandiant M-Trends report yesterday. I've been a fan of this report since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2010 edition, before I worked at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company.

Curiously for a report with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name "trends" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 title, this and all ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r editions do not publish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sorts of yearly trends I would expect. This post will address that limitation.

The report is most famous for its "dwell time" metric, which is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 median (not average, or "mean") number of days an intruder spends inside a target company until he is discovered.

Each report lists cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 statistic for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 year in consideration, and compares it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous year. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2017 report, covering incidents from 2016, notes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dwell time has dropped from 146 days in 2015, to 99 days in 2016.

The second most interesting metric (for me) is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 split between internal and external notification. Internal notification means that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target organization found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusion on its own. External notification means that someone else informed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target organization. The external party is often a law enforcement or intelligence agency, or a managed security services provider. The 2016 split was 53% internal vs 47% external.

How do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se numbers look over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 M-Trends report has been published? Inquiring minds want to know.

The 2012 M-Trends report was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first edition to include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se statistics. I have included cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m for that report and all subsequent editions in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 table below.

Year Days Internal External
2011 416 6        94
2012 243 37       63
2013 229 33 67
2014 205 31 69
2015 146 47 53
2016 99 53 47
2017 101  62       38 (added from 2018 report after original blog)

As you can see, all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 numbers are heading in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right direction. We are finally into double digits for dwell time, but over 3 months is still far too long. Internal detection continues to rise as well. This is a proxy for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 maturity of a security organization, in my opinion.

Hopefully future M-Trends reports will include tables like this.


Tuesday, March 14, 2017

The Origin of Threat Hunting

2011 Article "Become a Hunter"
The term "threat hunting" has been popular with marketers from security companies for about five years. Yesterday Anton Chuvakin asked about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 origin of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term.

I appear to have written cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first article describing threat hunting in any meaningful way. It was published in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 July-August 2011 issue of Information Security Magazine and was called "Become a Hunter." I wrote it in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spring of 2011, when I was director of incident response for GE-CIRT. Relevant excerpts include:

"To best counter targeted attacks, one must conduct counter-threat operations (CTOps). In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, defenders must actively hunt intruders in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir enterprise. These intruders can take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form of external threats who maintain persistence or internal threats who abuse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir privileges. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than hoping defenses will repel invaders, or that breaches will be caught by passive alerting mechanisms, CTOps practitioners recognize that defeating intruders requires actively detecting and responding to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. CTOps experts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n feed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lessons learned from finding and removing attackers into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software development lifecycle (SDL) and configuration and IT management processes to reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 likelihood of future incidents...

In addition to performing SOC work, CTOps requires more active, unstructured, and creative thoughts and approaches. One way to characterize this more vigorous approach to detecting and responding to threats is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term “hunting.” In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mid-2000s, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force popularized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term “hunter-killer” for a missions whereby teams of security experts performed “friendly force projection” on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir networks. They combed through data from systems and in some cases occupied cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves in order to find advanced threats. The concept of “hunting” (without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slightly more aggressive term “killing”) is now gaining ground in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 civilian world.

2013 Book "The Practice of NSM"
If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SOC is characterized by a group that reviews alerts for signs of intruder action, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIRT is recognized by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 likelihood that senior analysts are taking junior analysts on “hunting trips.” A senior investigator who has discovered a novel or clever way to possibly detect intruders guides one or more junior analysts through data and systems looking for signs of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy. Upon validating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technique (and responding to any enemy actions), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hunting team should work to incorporate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new detection method into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 repeatable processes used by SOC-type analysts. This idea of developing novel methods, testing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wild, and operationalizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key to fighting modern adversaries."

The "hunting trips" I mentioned were activities that our GE-CIRT incident handlers -- David Bianco,  Ken Bradley, Tim Crocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, Tyler Hudak, Bamm Visscher, and Aaron Wade -- were conducting. Aaron in particular was a driving force for hunting methodology.

I also discussed hunting in chapter 9 of my 2013 book The Practice of Network Security Monitoring, contrasting it with "matching" as seen in figure 9-2. (If you want to save 30% off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book at No Starch, use discount code "NSM101.")

The question remains: from where did I get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "hunt"? My 2011 article stated "In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mid-2000s, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force popularized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term “hunter-killer." My friend Doug Steelman, a veteran of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force, NSA, and Cyber Command, provided a piece of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 puzzle on Twitter. He posted a link to a 2009 presentation by former NSA Vulnerability and Analysis Operations (VAO) chief Tony Sager, a friend of this blog.

July 2009 Presentation by Tony Sager
In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mid-2000s I was attending an annual conference held by NSA called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Red Team/Blue Team Symposium, or ReBl for short. ReBl took place over a week's time at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Johns Hopkins University Applied Physics Lab in Laurel, MD. If you Google for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference you will likely find WikiLeaks emails from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HBGary breach.

It was a mix of classified and unclassified presentations on network defense. During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se presentations I heard cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "APT" for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time. I also likely heard about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "hunt" missions cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force was conducting, in addition to probably hearing Tony Sager's presentation mentioning a "hunt" focus.

That is as far back as I can go, but at least we have a decent understanding where I most likely first heard cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "threat hunting" in use by practitioners. Happy hunting!

Monday, February 13, 2017

Does Reliable Real Time Detection Demand Prevention?

Chris Sanders started a poll on Twitter asking "Would you racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r get a real-time alert with partial context immediately, or a full context alert delayed by 30 mins?" I answered by saying I would prefer full context delayed by 30 minutes. I also replied with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text at left, from my first book The Tao of Network Security Monitoring (2004). It's titled "Real Time Isn't Always cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Best Time."

Dustin Webber cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n asked "if you have [indicators of compromise] IOC that merit 'real-time' notification cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you should be in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business of prevention. Right?"

Long ago I decided to not have extended conversations over Twitter, as well as to not try to compress complex thoughts into 140 characters -- hence this post!

There is a difference, in my mind, between high-fidelity matching (using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vernacular from my newest book, The Practice of Network Security Monitoring, 50% off now with code RSAREADING) and prevention.

To Dustin's point, I agree that if it is possible to generate a match (or "alert," etc.) with 100% accuracy (or possibly near 100%, depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 severity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problematic event), i.e., with no chance or almost no chance of a false positive, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it is certainly worth seeking a preventive action for that problematic event. To use a phrase from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last decade, "if you can detect it, why can't you prevent it?"

However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are likely cases where zero- or low-false positive events do not have corresponding preventive actions. Two come to mind.

First, although you can reliably detect a problem, you may not be able to do anything about it. The security team may lack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authority, or technical capability, to implement a preventive action.

Second, although you can reliably detect a problem, you may not want to do anything about it. The security team may desire to instead watch an intruder until such time that containment or incident mitigation is required.

This, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, is my answer to Dustin's question!

Sunday, February 12, 2017

Guest Post: Bamm Visscher on Detection

Yesterday my friend Bamm Visscher published a series of Tweets on detection. I thought readers might like to digest it as a lightly edited blog post. Here, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first ever (as far as I can remember) guest post on TaoSecurity Blog. Enjoy.

When you receive new [threat] intel and apply it in your detection environment, keep in mind all three analysis opportunities: RealTime, Batch, and Hunting.

If your initial intelligence analysis produces high context and quality details, it's a ripe candidate for RealTime detection.

If analysts can quickly and accurately process events generated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 [RealTime] signature, it's a good sign cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 indicator should be part of RealTime detection. If an analyst struggles to determine if a [RealTime alert] has detected malicious activity, it's likely NOT appropriate for RealTime detection.

If [cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat] intelligence contains limited context and/or details, try leveraging Batch Analysis with scheduled data reports as a better detection technique. Use Batch Analysis to develop better context (both positive and negative hits) to identify better signatures for RealTime detection.

Hunting is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 soft science of detection, and best done with a team of diverse skills. Intelligence, content development, and detection should all work togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. Don't fear getting skunked on your hunting trips. Keep investing time. The rewards are accumulative. Be sure to pass Hunting rewards into Batch Analysis and RealTime detection operations in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form of improved context.

The biggest mistake organizations make is not placing emphasis outside of RealTime detection, and "shoe-horning" [threat] intelligence into RealTime operations. So called "Atomic Indicators" tend to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest violator of shoe-horning. Atomic indicators are easy to script into signature driven detection devices, but leave an analyst wondering what he is looking at and for.

Do not underestimate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NEGATIVE impact of GOOD [threat] intelligence inappropriately placed into RealTime operations! Mountains of indiscernible events will lead to analyst fatigue and increase cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of good analyst missing a real incident.

Thursday, February 09, 2017

Bejtlich Books Explained

A reader asked me to explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 differences between two of my books. I decided to write a public response.

If you visit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TaoSecurity Books page, you will see two different types of books. The first type involves books which list me as author or co-author. The second involves books to which I have contributed a chapter, section, or foreword.

This post will only discuss books which list me as author or co-author.

In July 2004 I published The Tao of Network Security Monitoring: Beyond Intrusion Detection. This book was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of everything I had learned since 1997-98 regarding detecting and responding to intruders, primarily using network-centric means. It is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most complete examination of NSM philosophy available. I am particularly happy with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSM history appendix. It cites and summarizes influential computer security papers over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 four decade history of NSM to that point.

The main problem with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tao is that certain details of specific software versions are very outdated. Established software like Tcpdump, Argus, and Sguil function much cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 core NSM data types remain timeless. You would not be able to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bro chapter with modern Bro versions, for example. Still, I recommend anyone serious about NSM read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tao.

The introduction describes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tao using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se words:

Part I offers an introduction to Network Security Monitoring, an operational framework for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection, analysis, and escalation of indications and warnings (I&W) to detect and respond to intrusions.   Part I begins with an analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 terms and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory held by NSM practitioners.  The first chapter discusses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security process and defines words like security, risk, and threat.  It also makes assumptions about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder and his prey that set cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stage for NSM operations.  The second chapter addresses NSM directly, explaining why NSM is not implemented by modern NIDS' alone.  The third chapter focuses on deployment considerations, such as how to access traffic using hubs, taps, SPAN ports, or inline devices.  

Part II begins an exploration of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSM “product, process, people” triad.  Chapter 4 is a case study called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “reference intrusion model.”  This is an incident explained from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of view of an omniscient observer.  During this intrusion, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim collected full content data in two locations.  We will use those two trace files while explaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools discussed in Part II.  Following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reference intrusion model, I devote chapters to each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 four types of data which must be collected to perform network security monitoring – full content, session, statistical, and alert data.  Each chapter describes open source tools tested on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD operating system and available on ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r UNIX derivatives.  Part II also includes a look at tools to manipulate and modify traffic.  Featured in Part II are little-discussed NIDS' like Bro and Prelude, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first true open source NSM suite, Sguil.

Part III continues cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSM triad by discussing processes.  If analysts don’t know how to handle events, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y’re likely to ignore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.  I provide best practices in one chapter, and follow with a second chapter explicitly for technical managers.  That material explains how to conduct emergency NSM in an incident response scenario, how to evaluate monitoring vendors, and how to deploy a NSM architecture.

Part IV is intended for analysts and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir supervisors.  Entry level and intermediate analysts frequently wonder how to move to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next level of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir profession.  I offer some guidance for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 five topics with which a security professional should be proficient: weapons and tactics, telecommunications, system administration, scripting and programming, and management and policy.  The next three chapters offer case studies, showing analysts how to apply NSM principles to intrusions and related scenarios.

Part V is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offensive counterpart to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defensive aspects of Parts II, III, and IV.  I discuss how to attack products, processes, and people.  The first chapter examines tools to generate arbitrary packets, manipulate traffic, conduct reconnaissance, and exploit flaws inn Cisco, Solaris, and Microsoft targets.  In a second chapter I rely on my experience performing detection and response to show how intruders attack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mindset and procedures upon which analysts rely.

An epilogue on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future of NSM follows Part V.  The appendices feature several TCP/IP protocol header charts and explanations.   I also wrote an intellectual history of network security, with abstracts of some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most important papers written during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last twenty-five years.  Please take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to at least skim this appendix,  You'll see that many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “revolutionary ideas” heralded in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 press were in some cases proposed decades ago.

The Tao lists as 832 pages. I planned to write 10 more chapters, but my publisher and I realized that we needed to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tao out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 door. ("Real artists ship.") I wanted to address ways to watch traffic leaving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise in order to identify intruders, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than concentrating on inbound traffic, as was popular in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1990s and 2000s. Therefore, I wrote Extrusion Detection: Security Monitoring for Internal Intrusions.

I've called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tao "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Constitution" and Extrusion "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bill of Rights." These two books were written in 2004-2005, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are tightly coupled in terms of language and methodology. Because Extrusion is tied more closely with data types, and less with specific software, I think it has aged better in this respect.

The introduction describes Extrusion using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se words:

Part I mixes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory with architectural considerations.  Chapter 1 is a recap of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 major cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ories, tools, and techniques from The Tao.  It is important for readers to understand that NSM has a specific technical meaning and that NSM is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same process as intrusion detection.  Chapter 2 describes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 architectural requirements for designing a network best suited to control, detect, and respond to intrusions.  Because this chapter is not written with specific tools in mind, security architects can implement cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir desired solutions regardless of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remainder of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book.  Chapter 3 explains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory of extrusion detection and sets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stage for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remainder of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book.  Chapter 4 describes how to gain visibility to internal traffic.  Part I concludes with Chapter 5, original material by Ken Meyers explaining how internal network design can enhance cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 control and detection of internal threats.

Part II is aimed at security analysts and operators; it is traffic-oriented and requires basic understanding of TCP/IP and packet analysis.  Chapter 6 offers a method of dissecting session and full content data to unearth unauthorized activity.  Chapter 7 offers guidance on responding to intrusions, from a network-centric perspective.  Chapter 8 concludes part III by demonstrating principles of network forensics.

Part III collects case studies of interest to all types of security professionals.  Chapter 9 applies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lessons of Chapter 6 and explains how an internal bot net was discovered using Traffic Threat Assessment.  Chapter 10 features analysis of IRC bot nets, contributed by LURHQ analyst Michael Heiser. 

An epilogue points to future developments.  The first appendix, Appendix A, describes how to install Argus and NetFlow collection tools to capture session data.  Appendix B explains how to install a minimal Snort deployment in an emergency.  Appendix C, by Tenable Network Security founder Ron Gula, examines cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variety of host and vulnerability enumeration techniques available in commercial and open source tools.  The book concludes with Appendix D, where Red Cliff Consulting expert Rohyt Belani offers guidance on internal host enumeration using open source tools.

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time I was writing Tao and Extrusion, I was collaborating with my friends and colleagues Keith Jones and Curtis Rose on a third book, Real Digital Forensics: Computer Security and Incident Response. This was a ground-breaking effort, published in October 2005. What made this book so interesting is that Keith, Curtis and I created workstations running live software, compromised each one, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n provided forensic evidence for readers on a companion DVD. 

This had never been done in book form, and after surviving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process we understood why! The legal issues alone were enough to almost make us abandon cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effort. Microsoft did not want us to "distribute" a forensic image of a Windows system, so we had to zero out key Windows binaries to satisfy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir lawyers. 

The primary weakness of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book in 2017 is that operating systems have evolved, and many more forensics books have been written. It continues to be an interesting exercise to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensic practices advocated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book to see how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y apply to more modern situations.

This review of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book includes a summary of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents:

• Live incident response (collecting and analyzing volatile and nonvolatile data; 72 pp.)
• Collecting and analyzing network-based data (live network surveillance and data analysis; 87 pp.)
• Forensic duplication of various devices using commercial and open source tools (43 pp.)
• Basic media analysis (deleted data recovery, metadata, hash analysis, “carving”/signature analysis, keyword searching, web browsing history, email, and registry analyses; 96 pp.)
• Unknown tool/binary analysis (180 pp.)
• Creating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “ultimate response CD” (response toolkit creation; 31 pp.)
• Mobile device and removable media forensics (79 pp.)
• On-line-based forensics (tracing emails and domain name ownership; 30 pp.)
• Introduction to Perl scripting (12 pp.)

After those three titles, I was done with writing for a while. However, in 2012 I taught a class for Black Hat in Abu Dhabi. I realized many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 students lacked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fundamental understanding of how networks operated and how network security monitoring could help cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m detect and respond to intrusions. I decided to write a book that would explain NSM from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground up. While I assumed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader would have familiarity with computing and some security concepts, I did not try to write cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book for existing security experts.

The result was The Practice of Network Security Monitoring: Understanding Incident Detection and Response. If you are new to NSM, this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first book you should buy and read. It is a very popular title and it distills my philosophy and practice into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most digestible form, in 376 pages.

The main drawback of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 integration of Security Onion coverage. SO is a wonderful open source suite, partly because it is kept so current. That makes it difficult for a print book to track changes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software installation and configuration options. While you can still use PNSM to install and use SO, you are better off relying on Doug Burks' excellent online documentation. 

PNSM is an awesome resource for learning how to use SO and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools to detect and respond to intrusions. I am particularly pleased with chapter 9, on NSM operations. It is a joke that I often tell people to "read chapter 9" when anyone asks me about CIRTs.

The introduction describes PNSM using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se words:

Part I, “Getting Started,” introduces NSM and how to think about sensor placement.

• Chapter 1, “Network Security Monitoring Rationale,” explains why NSM matters, to help you gain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 support needed to deploy NSM in your environment.
• Chapter 2, “Collecting Network Traffic: Access, Storage, and Management,”addresses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenges and solutions surrounding physical access to network traffic.

Part II, “Security Onion Deployment,” focuses on installing SO on hardware and configuring SO effectively.

• Chapter 3, “Stand-alone NSM Deployment and Installation,” introduces SO and explains how to install cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software on spare hardware to gain initial NSM capability at low or no cost.
• Chapter 4, “Distributed Deployment,” extends Chapter 3 to describe how to install a dispersed SO system.
• Chapter 5, “SO Platform Housekeeping,” discusses maintenance activities for keeping your SO installation running smoothly. 

Part III, “Tools,” describes key software shipped with SO and how to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se applications.

• Chapter 6, “Command Line Packet Analysis Tools,” explains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key features of Tcpdump, Tshark, Dumpcap, and Argus in SO.
• Chapter 7, “Graphical Packet Analysis Tools,” adds GUI-based software to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mix, describing Wireshark, Xplico, and NetworkMiner.
• Chapter 8, “NSM Consoles,” shows how NSM suites, like Sguil, Squert, Snorby, and ELSA, enable detection and response workflows.

Part IV, “NSM in Action,” discusses how to use NSM processes and data to detect and respond to intrusions.

• Chapter 9, “NSM Operations,” shares my experience building and leading a global computer incident response team (CIRT).
• Chapter 10, “Server-side Compromise,” is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first NSM case study, wherein you’ll learn how to apply NSM principles to identify and validate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compromise of an Internet-facing application.
• Chapter 11, “Client-side Compromise,” is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second NSM case study, offering an example of a user being victimized by a client-side attack.
• Chapter 12, “Extending SO,” concludes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main text with coverage of tools and techniques to expand SO’s capabilities.
• Chapter 13, “Proxies and Checksums,” concludes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main text by addressing two challenges to conducting NSM.

The Conclusion offers a few thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future of NSM, especially with respect to cloud environments. 

The Appendix, “SO Scripts and Configuration,” includes information from SO developer Doug Burks on core SO configuration files and control scripts.

I hope this post helps explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different books I've written, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir applicability to modern security scenarios.

Tuesday, January 31, 2017

Meeting Cliff Stoll

Today I had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chance to meet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 man who unintentionally invented cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modern digital forensics practice, Cliff Stoll. In 1989 he published a book about his 1986-87 detection and response against KGB-backed spies who hacked his lab and hundreds of government, military, and university computers. I read his book in high school and it later inspired my military and private computer security services. Cliff was kind enough to take a photo with me today at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Institute Cyber Threat Intelligence Summit in Virginia.