Thursday, June 28, 2018

Why Do SOCs Look Like This?

When you hear cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word "SOC," or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phrase "security operations center," what image comes to mind? Do you think of analyst sitting at desks, all facing forward, towards giant screens? Why is this?

The following image is from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outstanding movie Apollo 13, a docudrama about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenged 1970 mission to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moon.


It's a screen capture from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 go for launch sequence. It shows mission control in Houston, Texas. If you'd like to see video of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual center from 1970, check out This Is Mission Control.

Mission control looks remarkably like a SOC, doesn't it? When builders of computer security operations centers imagined what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir "mission control" rooms would look like, perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had Houston in mind?

Or perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y thought of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1983 movie War Games?


Reality was way more boring however:


I visited NORAD under Cheyenne Mountain in 1989, I believe, when visiting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Academy as a high school senior. I can confirm it did not look like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 movie depiction!

Let's return to mission control. Look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resources available to personnel manning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mission control room. The big screens depict two main forms of data: telemetry and video of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rocket. What about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 individual screens, where people sit? They are largely customized. Each station presents data or buttons specific to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 role of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person sitting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. Listen to Ed Harris' character calling out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stations: booster, retro, vital, etc. For example:


This is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key differences between mission control and any modern computerized operations center. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1960s and 1970s, workstations (literally, places where people worked) had to be customized. They lacked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology to have generic workstations where customization was done via screen, keyboard, and mouse. They also lacked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to display video on demand, and relied on large television screens. Personnel with specific functions sat at specific locations, because that was literally cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could perform cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir jobs.

With cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advent of modern computing, every workstation is instantly customizable. There is no need to specialize. Anyone can sit anywhere, assuming computers allow one's workspace to follow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir logon. In fact, modern computing allows a user to sit in spaces outside of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir office. A modern mission control could be distributed.

With that in mind, what does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current version of mission control look like? Here is a picture of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modern Johnson Space Center's mission control room.



It looks similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1960s-1970s version, except it's dominated by screens, keyboards, and mice.

What strikes me about every image of a "SOC" that I've ever seen is that no one is looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 big screens. They are almost always deployed for an audience. No one in an operational role looks at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

There are exceptions. Check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Arizona Department of Transportation operations center.


Their "big screen" is a composite of 24 smaller screens showing traffic and roadways. No one is looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screen, but that sort of display is perfect for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 human eye.

It's a variant of Edward Tufte's "small multiple" idea. There is no text. The eye can discern if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a lot of traffic, or little traffic, or an accident pretty easily. It's likely more for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefit of an audience, but it works decently well.

Compare those screens to what one is likely to encounter in a cyber SOC. In addition to a "pew pew" map and a "spinning globe of doom," it will likely look like this, from R3 Cybersecurity:


The big screens are a waste of time. No one is standing near cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. No one sitting at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir workstations can read what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screens show. They are purely for an audience, who can't discern what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y show eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

The bottom line for this post is that if you're going to build a "SOC," don't build it based on what you've seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 movies, or in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r industries, or what a consultancy recommends. Spend some time determining your SOC's purpose, and let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workflow drive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 physical setting. You may determine you don't even need a "SOC," eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r physically or logically, based on maturing understandings of a SOC's mission. That's a topic for a future post!

Monday, June 25, 2018

Bejtlich on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT1 Report: No Hack Back

Before reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of this post, I suggest reading Mandiant/FireEye's statement Doing Our Part -- Without Hacking Back.

I would like to add my own color to this situation.

First, at no time when I worked for Mandiant or FireEye, or afterwards, was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re ever a notion that we would hack into adversary systems. During my six year tenure, we were publicly and privately a "no hack back" company. I never heard anyone talk about hack back operations. No one ever intimated we had imagery of APT1 actors taken with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own laptop cameras. No one even said that would be a good idea.

Second, I would never have testified or written, repeatedly, about our company's stance on not hacking back if I knew we secretly did ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise. I have quit jobs because I had fundamental disagreements with company policy or practice. I worked for Mandiant from 2011 through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of 2013, when FireEye acquired Mandiant, and stayed until last year (2017). I never considered quitting Mandiant or FireEye due to a disconnect between public statements and private conduct.

Third, I was personally involved with briefings to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 press, in public and in private, concerning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT1 report. I provided cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 voiceover for a 5 minute YouTube video called APT1: Exposing One of China's Cyber Espionage Units. That video was one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most sensitive, if not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most sensitive, aspects of releasing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report. We showed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world how we could intercept adversary communications and reconstruct it. There was internal debate about whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r we should do that. We decided to cover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 practice in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report, as Christopher Glyer Tweeted:


In none of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se briefings to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 press did we show pictures or video from adversary laptops. We did show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 video that we published to YouTube.

Fourth, I privately contacted former Mandiant personnel with whom I worked during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT1 report creation and distribution. Their reaction to Mr Sanger's allegations ranged from "I've never heard of that" to "completely false." I asked former Mandiant colleagues, like myself, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event that current Mandiant or FireEye employees were told not to talk to outsiders about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case.

What do I think happened here? I agree with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory that Mr Sanger misinterpreted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reconstructed RDP sessions for some sort of "camera access." I have no idea about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "bros" or "leacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r jackets" comments!

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spirit of full disclosure, prior to publication, Mr Sanger tried to reach me to discuss his book via email. I was sick and told him I had to pass. Ellen Nakashima also contacted me; I believe she was doing research for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book. She asked a few questions about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 origin of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term APT, which I answered. I do not have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book so I do not know if I am cited, or if my message was included.

The bottom line is that Mandiant and FireEye did not conduct any hack back for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT1 report.

Update: Some of you wondered about Ellen's role. I confirmed last night that she was working on her own project.