Thursday, March 28, 2019

Thoughts on OSSEC Con 2019

Last week I attended my first OSSEC conference. I first blogged about OSSEC in 2007, and wrote ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r posts about it in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following years.

OSSEC is a host-based intrusion detection and log analysis system with correlation and active response features. It is cross-platform, such that I can run it on my Windows and Linux systems. The moving force behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference was a company local to me called Atomicorp.

In brief, I really enjoyed this one-day event. (I had planned to attend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workshop on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second day but my schedule did not cooperate.) The talks were almost uniformly excellent and informative. I even had a chance to talk jiu-jitsu with OSSEC creator Daniel Cid, who despite hurting his leg managed to travel across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 country to deliver cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keynote.

I'd like to share a few highlights from my notes.

First, I had been worried that OSSEC was in some ways dead. I saw that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Onion project had replaced OSSEC with a fork called Wazuh, which I learned is apparently pronounced "wazoo." To my delight, I learned OSSEC is decidedly not dead, and that Wazuh has been suffering stability problems. OSSEC has a lot of interesting development ahead of it, which you can track on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir Github repo.

For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 development roadmap includes eliminating Logstash from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pipeline used by many OSSEC users. OSSEC would feed directly into Elasticsearch. One speaker noted that Logstash has a 1.7 GB memory footprint, which astounded me.

On a related note, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OSSEC team is planning to create a new Web console, with a design goal to have it run in an "AWS t2.micro" instance. The team noted that instance offers 2 GB memory, which doesn't match what AWS says. Perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y meant t2.micro and 1 GB memory, or t2.small with 2 GB memory. I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y mean t2.micro with 1 GB RAM, as that is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 free tier. Eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way, I'm excited to see this later in 2019.

Second, I thought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation by security personnel from USA Today offered an interesting insight. One design goal cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had for monitoring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir Google Cloud Platform (GCP) was to not install OSSEC on every container or on Kubernetes worker nodes. Several times during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference, speakers noted that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transient nature of cloud infrastructure is directly anticá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365tical to standard OSSEC usage, whereby OSSEC is installed on servers with long uptime and years of service. Instead, USA Today used OSSEC to monitor HTTP logs from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GCP load balancer, logs from Google Kubernetes Engine, and monitored processes by watching output from successive kubectl invocations.

Third, a speaker from Red Hat brought my attention to an aspect of containers that I had not considered. Docker and containers had made software testing and deployment a lot easier for everyone. However, those who provide containers have effectively become Linux distribution maintainers. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, who is responsible when a security or configuration vulnerability in a Linux component is discovered? Will cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 container maintainers be responsive?

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r speaker emphasized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference between "security of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud," offered by cloud providers, and "security in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud," which is supposed to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer's responsibility. This makes sense from a technical point of view, but I expect that in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 long term this differentiation will no longer be tenable from a business or legal point of view.

Customers are not going to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 skills or interest to secure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir software in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y outsource ever more technical talent to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud providers and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir infrastructure. I expect cloud providers to continue to develop, acquire, and offer more security services, and accelerate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir competition on a "complete security environment."

I look forward to more OSSEC development and future conferences.

Wednesday, March 13, 2019

Thoughts on Cloud Security

Recently I've been reading about cloud security and security with respect to DevOps. I'll say more about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 excellent book I'm reading, but I had a moment of déjà vu during one section.

The book described how cloud security is a big change from enterprise security because it relies less on IP-address-centric controls and more on users and groups. The book talked about creating security groups, and adding users to those groups in order to control cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir access and capabilities.

As I read that passage, it reminded me of a time long ago, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 late 1990s, when I was studying for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MCSE, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Microsoft Certified Systems Engineer. I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book at left, Windows NT Security Handbook, published in 1996 by Tom Sheldon. It described cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact same security process of creating security groups and adding users. This was core to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new NT 4 role based access control (RBAC) implementation.

Now, fast forward a few years, or all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way to today, and consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security challenges facing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of legacy enterprises: securing Windows assets and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y store and access. How could this wonderful security model, based on decades of experience (from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1960s and 1970s no less), have failed to work in operational environments?

There are many reasons one could cite, but I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following are at least worthy of mention.

The systems enforcing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security model are exposed to intruders.

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore:

Intruders are generally able to gain code execution on systems participating in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security model.

Finally:

Intruders have access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network traffic which partially contains elements of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security model.

From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se weaknesses, a large portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security countermeasures of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last two decades have been derived as compensating controls and visibility requirements.

The question cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n becomes:

Does this change with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud?

In brief, I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer is largely "yes," thankfully. Generally, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems upon which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security model is being enforced are not able to access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enforcement mechanism, thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wonders of virtualization.

Should an intruder find a way to escape from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir restricted cloud platform and gain hypervisor or management network access, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves in a situation similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 average Windows domain network.

This realization puts a heavy burden on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud infrastructure operators. They major players are likely able to acquire and apply cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expertise and resources to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir infrastructure far more resilient and survivable than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir enterprise counterparts.

The weakness will likely be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir personnel.

Once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compute and network components are sufficiently robust from externally sourced compromise, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n internal threats become cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next most cost-effective and return-producing vectors for dedicated intruders.

Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re anything users can do as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y hand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir compute and data assets to cloud operators?

I suggest four moves.

First, small- to mid-sized cloud infrastructure users will likely have to piggyback or free-ride on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initiatives and influence of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 largest cloud customers, who have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clout and hopefully cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expertise to hold cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud operators responsible for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of everyone's data.

Second, lawmakers may also need improved whistleblower protection for cloud employees who feel threatened by revealing material weaknesses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y encounter while doing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir jobs.

Third, government regulators will have to ensure no cloud provider assumes a monopoly, or no two providers assume a duopoloy. We may end up with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three major players and a smattering of smaller ones, as is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case with many mature industries.

Fourth, users should use every means at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir disposal to select cloud operators not only on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir compute features, but on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security and visibility features. The more logging and visibility exposed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud provider, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 better. I am excited by new features like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Azure network tap and hope to see equivalent features in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cloud infrastructure.

Remember that security has two main functions: planning/resistance, to try to stop bad things from happening, and detection/respond, to handle cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 failures that inevitably happen. "Prevention eventually fails" is one of my long-time mantras. We don't want prevention to fail silently in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud. We need ways to know that failure is happening so that we can plan and implement new resistance mechanisms, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n validate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir effectiveness via detection and response.

Update: I forgot to mention that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material above assumed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud users and operators made no unintentional configuration mistakes. If users or operators introduce exposures or vulnerabilities, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n those will be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weaknesses that intruders exploit. We've already seen a lot of this happening and it appears to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most common problem. Procedures and tools which constantly assess cloud configurations for exposures and vulnerabilities due to misconfiguration or poor practices are a fifth move which all involved should make.

A corollary is that complexity can drive problems. When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud infrastructure offers too many knobs to turn, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it's likely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 users and operators will believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are taking one action when in reality cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are implementing anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.