Friday, May 16, 2008

Mutually Assured DDoS

Thanks to several of you for asking for my opinion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article Carpet bombing in cyberspace: Why America needs a military botnet by Col. Charles W. Williamson III. I'd like to cite a few excerpts and comment directly.

The world has abandoned a fortress mentality in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real world, and we need to move beyond it in cyberspace. America needs a network that can project power by building an af.mil robot network (botnet) that can direct such massive amounts of traffic to target computers that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can no longer communicate and become no more useful to our adversaries than hunks of metal and plastic. America needs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to carpet bomb in cyberspace to create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deterrent we lack...

This is interesting. Why do we need to project force in cyberspace to deter our enemies? Cyberwar is usually cited as a means of conducting asymmetric warfare, meaning one side is much weaker than ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r in conventional means. Cyberwar is expected to be conducted against US assets (critical infrastructure) because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy lacks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability to destroy or degrade that asset using kinetic weapons. If we can deter enemies using our existing, overwhelming kinetic force, why possess an ability to "carpet bomb in cyberspace?"

Today’s air base defense concept still uses a layered defense in depth, but it starts as far as possible from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 air bases, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n relies on close-in defense only as a last resort. That capability in cyberspace can exist in an af.mil botnet...

The U.S. would not, and need not, infect unwitting computers as zombies. We can build enough power over time from our own resources.

Rob Kaufman, of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Information Operations Center, suggests mounting botnet code on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force’s high-speed intrusion-detection systems. Defensively, that allows a quick response by directly linking our counterattack to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system that detects an incoming attack. The systems also have enough processing speed and communication capacity to handle large amounts of traffic.


Oh, that's a great idea. Let's tie up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 really only useful element of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force's defense -- that which provides some degree of situational awareness -- with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 task of packeting someone.

Next, in what is truly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most inventive part of this concept, Lt. Chris Tollinger of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Intelligence, Surveillance and Reconnaissance Agency envisions continually capturing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thousands of computers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force would normally discard every year for technology refresh, removing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 power-hungry and heat-inducing hard drives, replacing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m with low-power flash drives, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n installing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in any available space every Air Force base can find. Even though those computers may no longer be sufficiently powerful to work for our people, individual machines need not be cutting-edge because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network as a whole can create massive power.

I see... so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very network that is important enough to be deemed a "weapons system," thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logistics, communication, and related traffic it carries, is going to be filled with tons of DDoS traffic from recycled PCs? Do you think QoS is supposed to take care of this problem?

After that, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force could add botnet code to all its desktop computers attached to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Nonsecret Internet Protocol Network (NIPRNet). Once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system reaches a level of maturity, it can add ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r .mil computers, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n .gov machines.

To generate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right amount of power for offense, all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available computers must be under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 control of a single commander, even if he provides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability for multiple cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365aters. While it cannot be segmented like an orange for individual cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ater commanders, it can certainly be placed under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir tactical control.


I am sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 botnet software installed would be super secure. Can you say "biggest latent botnet" in history? Every single .mil and .gov computer under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 control of a single commander -- probably a Russian or Chinese infiltrator? Just who is Col. Williamson working for, anyway?

This is a really dumb idea, at least as presented. I'm all for Taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fight to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Enemy, but building a botnet on operational networks, especially on operational defensive systems and even production equipment, is just wrong. If we want to remove someone from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network, it's far simpler to disable cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right cable using conventional means.

Let's assume cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force did build a botnet, on separate, non-production computers, on dark space, ready to point towards an enemy. Where would that target be? No single, or handful, of computers DDoS'd Estonian infrastructure. (Every military planner loves to cite Estonia cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se days.) If someone decided to DDoS one or more US computers or routers, where would we point our botnet? Where would Estonia have pointed any botnet it owned -- Russia? Back at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computers DDoSing Estonian assets? How is this supposed to work? "Don't DDoS us or we'll DDoS you?" Mutually Assured DDoS?

There are smarter ways to conduct operations in cyberspace, and this is not one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drawing board, sir.

Seats Filling for Black Hat and One Week Left for Techno

I just checked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sign-up page for TCP/IP Weapons School (TWS) at Black Hat USA 2008 on 2-3 and 4-5 August 2008, at Caesars Palace, Las Vegas, NV. Apparently (according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 color coding) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are only a few seats left in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weekday class, but more seats in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weekend class. These are my last scheduled training classes in 2008.

The cost for each two-day class is now $2400 until 1 July, $2600 until 31 July, and $2900 starting 1 August. (I don't set cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prices.) Register while seats are still available -- both of my sessions in Las Vegas last year sold out.

Also, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's only one week left to register for my Network Security Operations (NSO) class at Techno Security 2008 on Saturday 31 May 2008 at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Myrtle Beach Marriott Resort at Grande Dunes, a great family vacation spot.

This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only planned offering of NSO in 2008. I'll attend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one day class. I can accommodate 25 students and each seat costs $995 for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one day class. The great news about registering for NSO is that if you sign up for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class, you get a free ticket to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire Techno Security 2008 conference. Early registration for Techno ended 31 March 2008, so registration for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference alone is $1295. Take my class and you get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class plus cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference for $995! In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, if you still want to attend Techno, take my class and it's cheaper. Sounds crazy, but it's true.

If you'd like to register for my NSO class, please check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details here and return cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registration form (.pdf) to me as quickly as you can. The deadline for registration is Friday 23 May 2008, and seats are first-come-first-serve. Thank you.

For those of you who have asked, TWS is an advanced packet analysis class, while NSO teaches how to build network security operations using primarily open source tools in your enterprise.

Answering Reader Questions

Thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patient readers who submitted questions while I've been on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 road for work. I'd like to post a few questions here, along with my answers. Identities of those asking questions have been preserved unless noted ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise, as is my policy.

How does something like Sguil relate to something like OSSIM? I find that I would love to use Sguil for analysis, but it doesn’t deal with HIDS, and I feel if I run both on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same network, I am overlapping a bit of things, as well as using a bit of resources redundantly?

I see Sguil and OSSIM as different products. Sguil is primarily (and currently) an analyst console for network security monitoring. OSSIM (from what I have seen, and from what I have heard speaking directly with developers) is more of an interface to a variety of open source tools. That sounds similar but it is somewhat different. I don't see a reason why you have to choose between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two.

I think it is important to realize that although OSSIM has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "SIM" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name, it's really not a SIM. Most people consider a SIM to be a system that interprets logs from a variety of sources, correlates or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise analyzes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, and presents more intelligence information to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst. OSSIM doesn't really accept that much from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r log sources; it relies on output from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r open source tools. I am sure I am going to hear from a bunch of satisfied OSSIM users who claim I am ignorant, but my group decided not to use OSSIM because it was less SIM than we needed and too much portal to open source applications. If you want that, it's still helpful.

In your book you stated that Sguil is really used for real-time monitoring, but what happens when you are a small company, and don’t employ 24x7 staff? Does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst come in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next morning and work thru alerts that come thru cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous evening?

That is one model. In anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r model, you set Sguil to auto-categorize all alerts, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n query for something of interest. Sguil was originally built for a 24x7 SOC environment, but you don't necessarily have to use it that way.

I have been [in a new job as an analyst at a] MSSP for 3-weeks and have formed an opinion that slightly mirrors your points about MSSP's being ticket-shops; in my opinion, MSSP, and specifically cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 division that I am in is like a glorified and/or specialized help/service desk. We get tickets, we fix things, we close tickets, repeat, etc. This is like a help desk except instead of dealing with say desktops and servers, we are dealing with firewalls and IDS'.

I had a conversation with a friend who helped land me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job this afternoon and one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things that he pointed out to me was that I would have to get used to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that our customers (government and commercial) are not interested in situational awareness or tactical traffic analyses, or NSM in general. In fact, to my company NSM is a product by [insert vendor name here]. :)

This is funny, but true. Please don't get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 impression that I am complaining, I willingly chose to work for this company and am happy to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opportunity to learn new technologies (different firewalls, different IDS') from a different perspective and within many disparate networks. It's just that I have come to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conclusion that all Information Security is NOT Information Warfare and am not sure how to cope with this. I am a packet-head and an analyst at heart, but as I have been told, our customer's do not place cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same premium on understanding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir traffic that I do, nor does my company by that extension because it is not a salable service.


Wow, doesn't that question just punch you in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gut? I feel your pain. MSSPs exist to make money, and differentiation by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real issue -- detecting and ejecting intruders -- doesn't appear on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 balance sheet. If anyone disagrees, re-read MSSPs: What Really Matters and read near cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bottom: As Bamm Visscher asks, "Is your MSSP just a 'Security Device Management Provider'?" (SDMP?)

I have anecdotal evidence from a variety of sources that many companies are taking in-house some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security services cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y previously outsourced. Some are doing so because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are getting little to no value for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir MSSP dollar. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs realize that almost all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MSSPs are just SDMPs, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer demands someone who has a better chance understanding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir business and actually improving security. Those who retain MSSPs are usually checking PCI or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r regulatory boxes or not clued in to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact most MSSPs are terrible. A very small minority is happy with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir MSSP, and I can probably name cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company or two providing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service. (Please don't ask for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir names.) Some customers are hoping everything ends up in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud anyway, so security becomes someone else's problem! (Sorry!)

To specifically address your concerns -- I would do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best you can with your situation, but if you decide you really aren't happy, I would look for alternatives. Eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r find a MSSP that operates how you would like it to, or find a company or agency with a good in-house operation. Now that you've seen how a ticket shop operates it's easy to identify one in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future.

Do you know if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re has been any progress with FreeBSD 7.0 in coupling up Snort inline with a bridge-mode FreeBSD machine? I think that this would be a match made in heaven. The last time I did research on this, it wasn't yet possible because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kernel can't handle divert sockets.

Sorry, I have not tried this recently.

Are you handling AV issues? I wanted to know if you had tied that into your IR plan and any lessons learned you might be able to share. Right now our AV is handled by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems team but when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y get an alert "IF" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y look at it cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y typically re-run a scan or maybe some spyware tools and call it good, no traffic monitoring, no application base lining, typically my team will come along after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact when we see traffic that falls out of spec and question what's happened recently on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 box.

I have lobbied to now pull this into my team (Network Ops and Security), increase headcount, and I have an idea on how to handle it but wanted to see if you've already dealt with it.


Great question. Ideally antivirus is integrated into an overall Security Operations Center, since AV is both a detection and containment mechanism. However, AV often seems to be run by separate groups (a dedicated AV team, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end user desktop team, or anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r batch of people). I recommend integrating access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AV console into your own processes. Eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r formally establish a process to involve your incident responders when notified by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AV team of a situation cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y realize is problematic, or offer support when you observe troublesome behavior on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AV console. Preferably cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AV team escalates suspected compromises to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IRT, but you may have to be a little more aggressive if you want to compensate for lack of cooperation between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 teams.

Offense Kills Pirates

I just finished watching a great program on my favorite channel (The History Channel) called True Caribbean Pirates. It traces cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story of piracy in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Caribbean from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 16th through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 early 18th centuries. I was mostly interested in learning how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 great powers of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day dealt with this problem, since I blogged about modern Pirates in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Malacca Strait and 18th and 19th century pirates off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Barbary Coast.

If many modern information security practitioners had been tasked with protecting commerce in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 face of piracy, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would probably have bought ever more elaborate but largely ineffective defensive measures.

Instead, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 royal navies of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 area decided to hunt down pirates and hang cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Sure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pirates continued cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir raids for a long time, but eventually cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main players (England, France, Spain, Holland) stopped warring amongst cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves and directed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir offensives against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pirates.

We're not going to see any fundamental changes in information security until those we elect to protect our rights rise to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 task and go on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offensive. Private companies (especially modern ones) aren't in a position to "strike back" against threats -- that's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 role for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 police and militaries of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world. It's time to kill some pirates, not leave "critical infrastructure protection" to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "private sector."

For related thoughts please see last year's post Taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fight to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Enemy Revisited.

Snort Report 15 Posted

My 15th Snort Report titled Justifying Snort has been posted. I really like this post. The staff (Crystal Ferraro) at SearchSecurity did a great job editing my original submission, cutting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text but enhancing it too. Prospective book authors should judge cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir publishers by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quality of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 editing and copyediting/proofing staffs. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article:

Service provider takeaway: Service providers will learn how to communicate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of Snort to customers.

There's a good chance that as a value-added reseller (VAR) or security service provider, you believe Snort and similar tools are valuable. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are plenty of technical folks that believe Snort is a waste of time. The goal of this Snort Report is to help you communicate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of Snort to those customers whose IT departments are resistant to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open source tool. Although I focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of Snort, you can apply this approach to any similar product.

IDS vs. IPS

I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of objections to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of Snort stem from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that it's called an intrusion detection system (IDS). Looking closely at that label, we should assume that an IDS is a "system" that "detects" "intrusions." The ultimate IDS would be 100% accurate in its ability to perform that role. A simple question flows naturally from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perception that an IDS is supposed to detect intrusions: "If you can detect intrusions, why can't you prevent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m?" At first glance this question makes sense. We should prevent activity that has been 100% identified as being an intrusion.


For more please read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article. It will take 5 mins or less. Debate here is welcome.

Monday, May 05, 2008

Traveling Wilbury Security

Sorry for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 20-year-old song reference, but I couldn't help myself after seeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lines in Greg Shipley's diagram from his recent InformationWeek security article. I like what he shows but I think it can be radically more simple.

The technology world can be boiled down to two camps: those who trust cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir products to operate as expected and those who do not. You can guess into which camp I muster. I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first camp is naive and detached from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real world. (The real world is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 place where intruders constantly violate assumptions, subvert logic, and make a mess of well-intentioned offerings.) The first camp spends more time talking about "enabling business" and "elevating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infosec conversation" while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second camp deals with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mess caused by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first world's ignorance of security problems.

Using this simple and intentionally provocative model I can propose two sets of lines. The first set could be labelled "compute" while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second could be labelled "transport". You could call cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se "host" and "network" if you like.

If you are a first camp person, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compute set is only one line -- that which computes. The transport line is also only one line -- that which transports (like a switch). This makes sense to me from a functionality (not security) standpoint. Anything of value ends up in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "OS" or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "switch". This is happening right now.

If you are a second camp person, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compute set is two lines -- that which computes, and that which verifies or at least observes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computation; call it a hypervisor or supervisor. The transport line is also two lines -- that which transports (again like a switch), and that which verifies or at least observes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transportation; call it a traffic intelligence system (to reuse terms mentioned in this blog).

This might sound suspiciously like trust but verify, i.e., trust cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer/switch but verify its operation. First campers trust, second campers trust when verified.

Reminder: Bejtlich Teaching at Techno Security 2008

As a reminder, I'll be back at Techno Security 2008 teaching Network Security Operations (NSO) on Saturday 31 May 2008 at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Myrtle Beach Marriott Resort at Grande Dunes, a great family vacation spot.

This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only planned offering of NSO in 2008. I'll attend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one day class. I can accommodate 25 students and each seat costs $995 for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one day class. The great news about registering for NSO is that if you sign up for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class, you get a free ticket to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire Techno Security 2008 conference. Early registration for Techno ended 31 March 2008, so registration for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference alone is $1295. Take my class and you get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class plus cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference for $995! In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, if you still want to attend Techno, take my class and it's cheaper. Sounds crazy, but it's true.

If you'd like to register for my NSO class, please check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details here and return cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registration form (.pdf) to me as quickly as you can. The deadline for registration is Friday 23 May 2008, and seats are first-come-first-serve. Thank you.