Tuesday, September 18, 2018

Firewalls and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Need for Speed

I was looking for resources on campus network design and found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se slides (pdf) from a 2011 Network Startup Resource Center presentation. These two caught my attention:



This bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365red me, so I Tweeted about it.

This started some discussion, and prompted me to see what NSRC suggests for architecture cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se days. You can find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest, from April 2018, here. Here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bottom line for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir suggested architecture:






What do you think of this architecture?

My Tweet has attracted some attention from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 high speed network researcher community, some of whom assume I must be a junior security apprentice who equates "firewall" with "security." Long-time blog readers will laugh at that, like I did. So what was my problem with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original recommendation, and what problems do I have (if any) with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2018 version?

First, let's be clear that I have always differentiated between visibility and control. A firewall is a poor visibility tool, but it is a control tool. It controls inbound or outbound activity according to its ability to perform in-line traffic inspection. This inline inspection comes at a cost, which is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 major concern of those responding to my Tweet.

Notice how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation author thinks about firewalls. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slides above, from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2018 version, he says "firewalls don't protect users from getting viruses" because "clicked links while browsing" and "email attachments" are "both encrypted and firewalls won't help." Therefore, "since firewalls don't really protect users from viruses, let's focus on protecting critical server assets," because "some campuses can't develop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 political backing to remove firewalls for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campus."

The author is arguing that firewalls are an inbound control mechanism, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are ill-suited for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most prevalent threat vectors for users, in his opinion: "viruses," delivered via email attachment, or "clicked links."

Mail administrators can protect users from many malicious attachments. Desktop anti-virus can protect users from many malicious downloads delivered via "clicked links." If that is your worldview, of course firewalls are not important.

His argument for firewalls protecting servers is, implicitly, that servers may offer services that should not be exposed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than disabling those services, or limiting access via identity or local address restrictions, he says a firewall can provide that inbound control.

These arguments completely miss cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point that firewalls are, in my opinion, more effective as an outbound control mechanism. For example, a firewall helps restrict adversary access to his victims when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y reach outbound to establish post-exploitation command and control. This relies on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall identifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attempted C2 as being malicious. To cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extent intruders encrypt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir C2 (and sites fail to inspect it) or use covert mechanisms (e.g., C2 over Twitter), firewalls will be less effective.

The previous argument assumes admins rely on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall to identify and block malicious outbound activity. Admins might alternatively identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves, and direct cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall to block outbound activity from designated compromised assets or to designated adversary infrastructure.

As some Twitter responders said, it's possible to do some or all of this without using a stateful firewall. I'm aware of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cool tricks one can play with routing to control traffic. Ken Meyers and I wrote about some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se approaches in 2005 in my book Extrusion Detection. See chapter 5, "Layer 3 Network Access Control."

Implementing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se non-firewall-based security choices requries a high degree of diligence, which requires visibility. I did not see this emphasized in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSRC presentation. For example:


These are fine goals, but I don't equate "manageability" with visibility or security. I don't think "problems and viruses" captures cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 magnitude of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat to research networks.

The core of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reaction to my original Tweet is that I don't appreciate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for speed in research networks. I understand that. However, I can't understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requirement for "full bandwidth, un-filtered access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet." That is a recipe for disaster.

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, if you define partner specific networks, and allow essentially site-to-site connectivity with exquisite network security monitoring methods and operations, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I do not have a problem with eliminating firewalls from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 architecture. I do have a problem with unrestricted access to adversary infrastructure.

I understand that security doesn't exist to serve itself. Security exists to enable an organizational mission. Security must be a partner in network architecture design. It would be better to emphasize enhance monitoring for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 networks discussed above, and think carefully about enabling speed without restrictions. The NSRC resources on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 science DMZ merit consideration in this case.

Tuesday, September 11, 2018

Twenty Years of Network Security Monitoring: From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT to Corelight

I am really fired up to join Corelight. I’ve had to keep my involvement with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team a secret since officially starting on July 20th. Why was I so excited about this company? Let me step backwards to help explain my present situation, and forecast cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future.

Twenty years ago this month I joined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Computer Emergency Response Team (AFCERT) at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n-Kelly Air Force Base, located in hot but lovely San Antonio, Texas. I was a brand new captain who thought he knew about computers and hacking based on experiences from my teenage years and more recent information operations and traditional intelligence work within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Intelligence Agency. I was desperate to join any part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n-five-year-old Information Warfare Center (AFIWC) because I sensed it was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most exciting unit on “Security Hill.”

I had misjudged my presumed level of “hacking” knowledge, but I was not mistaken about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exciting life of an AFCERT intrusion detector! I quickly learned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tenets of network security monitoring, enabled by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 custom software watching and logging network traffic at every Air Force base. I soon heard cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were three organizations that intruders knew to be wary of in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 late 1990s: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fort, i.e. cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Security Agency; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force, thanks to our Automated Security Incident Measurement (ASIM) operation; and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 University of California, Berkeley, because of a professor named Vern Paxson and his Bro network security monitoring software.

When I wrote my first book in 2003-2004, The Tao of Network Security Monitoring, I enlisted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 help of Christopher Jay Manders to write about Bro 0.8. Bro had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reputation of being very powerful but difficult to stand up. In 2007 I decided to try installing Bro myself, thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 introduction of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “brolite” scripts shipped with Bro 1.2.1. That made Bro easier to use, but I didn’t do much analysis with it until I attended cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2009 Bro hands-on workshop. There I met Vern, Robin Sommer, Seth Hall, Christian Kreibich, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Bro users and developers. I was lost most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class, saved only by my knowledge of standard Unix command line tools like sed, awk, and grep! I was able to integrate Bro traffic analysis and logs into my TCP/IP Weapons School 2.0 class, and subsequent versions, which I taught mainly to Black Hat students. By cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time I wrote my last book, The Practice of Network Security Monitoring, in 2013, I was heavily relying on Bro logs to demonstrate many sorts of network activity, thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 high-fidelity nature of Bro data.

In July of this year, Seth Hall emailed to ask if I might be interested in keynoting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 upcoming Bro users conference in Washington, D.C., on October 10-12. I was in a bad mood due to being unhappy with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job I had at that time, and I told him I was useless as a keynote speaker. I followed up with anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r message shortly after, explained my depressed mindset, and asked how he liked working at Corelight. That led to interviews with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Corelight team and a job offer. The opportunity to work with people who really understood cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for network security monitoring, and were writing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world’s most powerful software to generate NSM data, was so appealing! Now that I’m on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team, I can share how I view Corelight’s contribution to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security challenges we face.

For me, Corelight solves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems I encountered all those years ago when I first looked at Bro. The Corelight embodiment of Bro is ready to go when you deploy it. It’s developed and maintained by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people who write cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, Bro is front and center, not buried behind someone else’s logo. Why buy this amazing capability from anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r company when you can work with those who actually conceptualize, develop, and publish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code?

It’s also not just Bro, but it’s Bro at ridiculous speeds, ingesting and making sense of complex network traffic. We regularly encounter open source Bro users who spend weeks or months struggling to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir open source deployments to run at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speeds cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need, typically in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tens or hundreds of Gbps. Corelight’s offering is optimized at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hardware level to deliver cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 highest performance, and our team works with customers who want to push Bro to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 even greater levels. 

Finally, working at Corelight gives me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chance to take NSM in many exciting new directions. For years we NSM practitioners have worried about challenges to network-centric approaches, such as encryption, cloud environments, and alert fatigue. At Corelight we are working on answers for all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se, beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 usual approaches — SSL termination, cloud gateways, and SIEM/SOAR solutions. We will have more to say about this in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future, I’m happy to say!

What challenges do you hope Corelight can solve? Leave a comment or let me know via Twitter to @corelight_inc or @taosecurity.

Sunday, July 22, 2018

Defining Counterintelligence

I've written about counterintelligence (CI) before, but I realized today that some of my writing, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 writing of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, may be confused as to exactly what CI means.

The authoritative place to find an American definition for CI is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States National Counterintelligence and Security Center. I am more familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old name of this organization, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365  Office of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Counterintelligence Executive (ONCIX).

The 2016 National Counterintelligence Strategy cites Executive Order 12333 (as amended) for its definition of CI:

Counterintelligence – Information gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365red and activities conducted to identify, deceive,
exploit, disrupt, or protect against espionage, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r intelligence activities, sabotage, or assassinations conducted for or on behalf of foreign powers, organizations, or persons, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir agents, or international terrorist organizations or activities. (emphasis added)

The strict interpretation of this definition is countering foreign nation state intelligence activities, such as those conducted by China's Ministry of State Security (MSS), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Foreign Intelligence Service of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Russian Federation (SVR RF), Iran's Ministry of Intelligence, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military intelligence services of those countries and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs.

In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, counterintelligence is countering foreign intelligence. The focus is on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 party doing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad things, and less on what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad thing is.

The definition, however, is loose enough to encompass ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs; "organizations," "persons," and "international terrorist organizations" are in scope, according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 definition. This is just about everyone, although criminals are explicitly not mentioned.

The definition is also slightly unbounded by moving beyond "espionage, or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r intelligence activities," to include "sabotage, or assassinations." In those cases, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assumptions is that foreign intelligence agencies and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir proxies are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parties likely to be conducting sabotage or assassinations. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir CI work, paying attention to foreign intelligence agents, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CI team may encounter plans for activities beyond collection.

The bottom line for this post is a cautionary message. It's not appropriate to call all intelligence activities "counterintelligence." It's more appropriate to call countering adversary intelligence activities counterintelligence.

You may use similar or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same approaches as counterintelligence agents when performing your cyber threat intelligence function. For example, you may recruit a source inside a carding forum, or you may plant your own source in a carding forum. This is similar to turning a foreign intelligence agent, or inserting your own agent in a foreign intelligence service. However, activities directing against a carding forum are not counterintelligence. Activities directing against a foreign intelligence service are counterintelligence.

The nature and target of your intelligence activities are what determine if it is counterintelligence, not necessarily cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 methods you use. Again, this is in keeping with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stricter definition, and not becoming a victim of scope creep.


Thursday, June 28, 2018

Why Do SOCs Look Like This?

When you hear cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word "SOC," or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phrase "security operations center," what image comes to mind? Do you think of analyst sitting at desks, all facing forward, towards giant screens? Why is this?

The following image is from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outstanding movie Apollo 13, a docudrama about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenged 1970 mission to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moon.


It's a screen capture from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 go for launch sequence. It shows mission control in Houston, Texas. If you'd like to see video of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual center from 1970, check out This Is Mission Control.

Mission control looks remarkably like a SOC, doesn't it? When builders of computer security operations centers imagined what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir "mission control" rooms would look like, perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had Houston in mind?

Or perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y thought of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1983 movie War Games?


Reality was way more boring however:


I visited NORAD under Cheyenne Mountain in 1989, I believe, when visiting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Academy as a high school senior. I can confirm it did not look like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 movie depiction!

Let's return to mission control. Look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resources available to personnel manning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mission control room. The big screens depict two main forms of data: telemetry and video of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rocket. What about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 individual screens, where people sit? They are largely customized. Each station presents data or buttons specific to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 role of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person sitting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. Listen to Ed Harris' character calling out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stations: booster, retro, vital, etc. For example:


This is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key differences between mission control and any modern computerized operations center. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1960s and 1970s, workstations (literally, places where people worked) had to be customized. They lacked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology to have generic workstations where customization was done via screen, keyboard, and mouse. They also lacked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to display video on demand, and relied on large television screens. Personnel with specific functions sat at specific locations, because that was literally cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could perform cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir jobs.

With cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advent of modern computing, every workstation is instantly customizable. There is no need to specialize. Anyone can sit anywhere, assuming computers allow one's workspace to follow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir logon. In fact, modern computing allows a user to sit in spaces outside of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir office. A modern mission control could be distributed.

With that in mind, what does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current version of mission control look like? Here is a picture of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modern Johnson Space Center's mission control room.



It looks similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1960s-1970s version, except it's dominated by screens, keyboards, and mice.

What strikes me about every image of a "SOC" that I've ever seen is that no one is looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 big screens. They are almost always deployed for an audience. No one in an operational role looks at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

There are exceptions. Check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Arizona Department of Transportation operations center.


Their "big screen" is a composite of 24 smaller screens showing traffic and roadways. No one is looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screen, but that sort of display is perfect for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 human eye.

It's a variant of Edward Tufte's "small multiple" idea. There is no text. The eye can discern if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a lot of traffic, or little traffic, or an accident pretty easily. It's likely more for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefit of an audience, but it works decently well.

Compare those screens to what one is likely to encounter in a cyber SOC. In addition to a "pew pew" map and a "spinning globe of doom," it will likely look like this, from R3 Cybersecurity:


The big screens are a waste of time. No one is standing near cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. No one sitting at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir workstations can read what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screens show. They are purely for an audience, who can't discern what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y show eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

The bottom line for this post is that if you're going to build a "SOC," don't build it based on what you've seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 movies, or in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r industries, or what a consultancy recommends. Spend some time determining your SOC's purpose, and let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workflow drive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 physical setting. You may determine you don't even need a "SOC," eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r physically or logically, based on maturing understandings of a SOC's mission. That's a topic for a future post!

Monday, June 25, 2018

Bejtlich on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT1 Report: No Hack Back

Before reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of this post, I suggest reading Mandiant/FireEye's statement Doing Our Part -- Without Hacking Back.

I would like to add my own color to this situation.

First, at no time when I worked for Mandiant or FireEye, or afterwards, was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re ever a notion that we would hack into adversary systems. During my six year tenure, we were publicly and privately a "no hack back" company. I never heard anyone talk about hack back operations. No one ever intimated we had imagery of APT1 actors taken with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own laptop cameras. No one even said that would be a good idea.

Second, I would never have testified or written, repeatedly, about our company's stance on not hacking back if I knew we secretly did ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise. I have quit jobs because I had fundamental disagreements with company policy or practice. I worked for Mandiant from 2011 through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of 2013, when FireEye acquired Mandiant, and stayed until last year (2017). I never considered quitting Mandiant or FireEye due to a disconnect between public statements and private conduct.

Third, I was personally involved with briefings to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 press, in public and in private, concerning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT1 report. I provided cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 voiceover for a 5 minute YouTube video called APT1: Exposing One of China's Cyber Espionage Units. That video was one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most sensitive, if not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most sensitive, aspects of releasing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report. We showed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world how we could intercept adversary communications and reconstruct it. There was internal debate about whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r we should do that. We decided to cover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 practice in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report, as Christopher Glyer Tweeted:


In none of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se briefings to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 press did we show pictures or video from adversary laptops. We did show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 video that we published to YouTube.

Fourth, I privately contacted former Mandiant personnel with whom I worked during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT1 report creation and distribution. Their reaction to Mr Sanger's allegations ranged from "I've never heard of that" to "completely false." I asked former Mandiant colleagues, like myself, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event that current Mandiant or FireEye employees were told not to talk to outsiders about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case.

What do I think happened here? I agree with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory that Mr Sanger misinterpreted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reconstructed RDP sessions for some sort of "camera access." I have no idea about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "bros" or "leacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r jackets" comments!

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spirit of full disclosure, prior to publication, Mr Sanger tried to reach me to discuss his book via email. I was sick and told him I had to pass. Ellen Nakashima also contacted me; I believe she was doing research for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book. She asked a few questions about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 origin of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term APT, which I answered. I do not have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book so I do not know if I am cited, or if my message was included.

The bottom line is that Mandiant and FireEye did not conduct any hack back for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT1 report.

Update: Some of you wondered about Ellen's role. I confirmed last night that she was working on her own project.

Tuesday, May 15, 2018

Bejtlich Joining Splunk


Since posting Bejtlich Moves On I've been rebalancing work, family, and personal life. I invested in my martial arts interests, helped more with home duties, and consulted through TaoSecurity.

Today I'm pleased to announce that, effective Monday May 21st 2018, I'm joining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Splunk team. I will be Senior Director for Security and Intelligence Operations, reporting to our CISO, Joel Fulton. I will help build teams to perform detection and monitoring operations, digital forensics and incident response, and threat intelligence. I remain in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 norcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rn Virginia area and will align with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Splunk presence in Tyson's Corner.

I'm very excited by this opportunity for four reasons. First, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 areas for which I will be responsible are my favorite aspects of security. Long-time blog readers know I'm happiest detecting and responding to intruders! Second, I already know several people at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company, one of whom began this journey by Tweeting about opportunities at Splunk! These colleagues are top notch, and I was similarly impressed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people I met during my interviews in San Francisco and San Jose.

Third, I respect Splunk as a company. I first used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 products over ten years ago, and when I tried cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m again recently cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y worked spectacularly, as I expected. Fourth, my new role allows me to be a leader in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 areas I know well, like enterprise defense and digital operational art, while building understanding in areas I want to learn, like cloud technologies, DevOps, and security outside enterprise constraints.

I'll have more to say about my role and team soon. Right now I can share that this job focuses on defending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Splunk enterprise and its customers. I do not expect to spend a lot of time in sales cycles. I will likely host visitors in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tyson's areas from time to time. I do not plan to speak as much with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 press as I did at Mandiant and FireEye. I'm pleased to return to operational defense, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than advise on geopolitical strategy.

If this news interests you, please check our open job listings in information technology. As a company we continue to grow, and I'm thrilled to see what happens next!

Monday, May 07, 2018

Trying Splunk Cloud

I first used Splunk over ten years ago, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time I blogged about it was in 2008. I described how to install Splunk on Ubuntu 8.04. Today I decided to try cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Splunk Cloud.

Splunk Cloud is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company's hosted Splunk offering, residing in Amazon Web Services (AWS). You can register for a 15 day free trial of Splunk Cloud that will index 5 GB per day.

If you would like to follow along, you will need a computer with a Web browser to interact with Splunk Cloud. (There may be ways to interact via API, but I do not cover that here.)

I will collect logs from a virtual machine running Debian 9, inside Oracle VirtualBox.

First I registered for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 free Splunk Cloud trial online.

After I had a Splunk Cloud instance running, I consulted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documentation for Forward data to Splunk Cloud from Linux. I am running a "self-serviced" instance and not a "managed instance," i.e., I am cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 administrator in this situation.

I learned that I needed to install a software package called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Splunk Universal Forwarder on my Linux VM.

I downloaded a 64 bit Linux 2.6+ kernel .deb file to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 /home/Downloads directory on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Linux VM.

richard@debian:~$ cd Downloads/

richard@debian:~/Downloads$ ls

splunkforwarder-7.1.0-2e75b3406c5b-linux-2.6-amd64.deb

With elevation permissions I created a directory for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .deb, changed into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 directory, and installed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .deb using dpkg.

richard@debian:~/Downloads$ sudo bash
[sudo] password for richard: 

root@debian:/home/richard/Downloads# mkdir /opt/splunkforwarder

root@debian:/home/richard/Downloads# mv splunkforwarder-7.1.0-2e75b3406c5b-linux-2.6-amd64.deb /opt/splunkforwarder/

root@debian:/home/richard/Downloads# cd /opt/splunkforwarder/

root@debian:/opt/splunkforwarder# ls

splunkforwarder-7.1.0-2e75b3406c5b-linux-2.6-amd64.deb

root@debian:/opt/splunkforwarder# dpkg -i splunkforwarder-7.1.0-2e75b3406c5b-linux-2.6-amd64.deb 

Selecting previously unselected package splunkforwarder.
(Reading database ... 141030 files and directories currently installed.)
Preparing to unpack splunkforwarder-7.1.0-2e75b3406c5b-linux-2.6-amd64.deb ...
Unpacking splunkforwarder (7.1.0) ...
Setting up splunkforwarder (7.1.0) ...
complete

root@debian:/opt/splunkforwarder# ls
bin        license-eula.txt
copyright.txt  openssl
etc        README-splunk.txt
ftr        share
include        splunkforwarder-7.1.0-2e75b3406c5b-linux-2.6-amd64.deb
lib        splunkforwarder-7.1.0-2e75b3406c5b-linux-2.6-x86_64-manifest

Next I changed into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bin directory, ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 splunk binary, and accepted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EULA.

root@debian:/opt/splunkforwarder# cd bin/

root@debian:/opt/splunkforwarder/bin# ls

btool   copyright.txt   openssl slim   splunkmon
btprobe   genRootCA.sh   pid_check.sh splunk   srm
bzip2   genSignedServerCert.sh  scripts splunkd
classify  genWebCert.sh   setSplunkEnv splunkdj

root@debian:/opt/splunkforwarder/bin# ./splunk start

SPLUNK SOFTWARE LICENSE AGREEMENT

THIS SPLUNK SOFTWARE LICENSE AGREEMENT ("AGREEMENT") GOVERNS THE LICENSING,
INSTALLATION AND USE OF SPLUNK SOFTWARE. BY DOWNLOADING AND/OR INSTALLING SPLUNK
SOFTWARE: (A) YOU ARE INDICATING THAT YOU HAVE READ AND UNDERSTAND THIS

...

Splunk Software License Agreement 04.24.2018

Do you agree with this license? [y/n]: y

Now I had to set an administrator password for this Universal Forwarder instance. I will refer to it as "mypassword" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examples that follow although Splunk does not echo it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screen below.

This appears to be your first time running this version of Splunk.

An Admin password must be set before installation proceeds.
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password: 

Splunk> Map. Reduce. Recycle.

Checking prerequisites...
Checking mgmt port [8089]: open
Creating: /opt/splunkforwarder/var/lib/splunk
Creating: /opt/splunkforwarder/var/run/splunk
Creating: /opt/splunkforwarder/var/run/splunk/appserver/i18n
Creating: /opt/splunkforwarder/var/run/splunk/appserver/modules/static/css
Creating: /opt/splunkforwarder/var/run/splunk/upload
Creating: /opt/splunkforwarder/var/spool/splunk
Creating: /opt/splunkforwarder/var/spool/dirmoncache
Creating: /opt/splunkforwarder/var/lib/splunk/authDb
Creating: /opt/splunkforwarder/var/lib/splunk/hashDb
New certs have been generated in '/opt/splunkforwarder/etc/auth'.
Checking conf files for problems...
Done
Checking default conf files for edits...
Validating installed files against hashes from '/opt/splunkforwarder/splunkforwarder-7.1.0-2e75b3406c5b-linux-2.6-x86_64-manifest'
All installed files intact.
Done
All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Done

With that done, I had to return to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Splunk Cloud Web site, and click cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link to "Download Universal Forwarder Credentials" to download a splunkclouduf.spl file. As noted in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documentation, splunkclouduf.spl is a "credentials file, which contains a custom certificate for your Splunk Cloud deployment. The universal forwarder credentials are different from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 credentials that you use to log into Splunk Cloud."

After downloading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 splunkclouduf.spl file, I installed it. Note I pass "admin" as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user and "mypassword" as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 password here. After installing I restart cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 universal forwarder.

root@debian:/opt/splunkforwarder/bin# ./splunk install app /home/richard/Downloads/splunkclouduf.spl -auth admin:mypassword

App '/home/richard/Downloads/splunkclouduf.spl' installed 

root@debian:/opt/splunkforwarder/bin# ./splunk restart
Stopping splunkd...
Shutting down.  Please wait, as this may take a few minutes.
.......
Stopping splunk helpers...

Done.

Splunk> Map. Reduce. Recycle.

Checking prerequisites...
Checking mgmt port [8089]: open
Checking conf files for problems...
Done
Checking default conf files for edits...
Validating installed files against hashes from '/opt/splunkforwarder/splunkforwarder-7.1.0-2e75b3406c5b-linux-2.6-x86_64-manifest'
All installed files intact.
Done
All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Done

It's time to take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final steps to get data into Splunk Cloud. I need to forwarder management in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Splunk Cloud Web site. Observe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 input-prd-p-XXXX.cloud.splunk.com in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command. You obtain this (mine is masked with XXXX) from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 URL for your Splunk Cloud deployment, e.g., https://prd-p-XXXX.cloud.splunk.com. Note that you have to add "input-" before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fully qualified domain name used by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Splunk Cloud instance.

root@debian:/opt/splunkforwarder/bin# ./splunk set deploy-poll input-prd-p-XXXX.cloud.splunk.com:8089

Your session is invalid.  Please login.
Splunk username: admin
Password: 
Configuration updated.

Once again I restart cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 universal forwarder. I'm not sure if I could have done all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se restarts at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end.

root@debian:/opt/splunkforwarder/bin# ./splunk restart
Stopping splunkd...
Shutting down.  Please wait, as this may take a few minutes.
.......
Stopping splunk helpers...

Done.

Splunk> Map. Reduce. Recycle.

Checking prerequisites...
Checking mgmt port [8089]: open
Checking conf files for problems...
Done
Checking default conf files for edits...
Validating installed files against hashes from '/opt/splunkforwarder/splunkforwarder-7.1.0-2e75b3406c5b-linux-2.6-x86_64-manifest'
All installed files intact.
Done
All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Done

Finally I need to tell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 universal forwarder to watch some logs on this Linux system. I tell it to monitor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 /var/log directory and restart one more time.

root@debian:/opt/splunkforwarder/bin# ./splunk add monitor /var/log
Your session is invalid.  Please login.
Splunk username: admin
Password: 
Added monitor of '/var/log'.

root@debian:/opt/splunkforwarder/bin# ./splunk restart

Stopping splunkd...
Shutting down.  Please wait, as this may take a few minutes.
...............
Stopping splunk helpers...

Done.

Splunk> Map. Reduce. Recycle.

Checking prerequisites...
Checking mgmt port [8089]: open
Checking conf files for problems...
Done
Checking default conf files for edits...
Validating installed files against hashes from '/opt/splunkforwarder/splunkforwarder-7.1.0-2e75b3406c5b-linux-2.6-x86_64-manifest'
All installed files intact.
Done
All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Done

At this point I return to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Splunk Cloud Web interface and click cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "search" feature. I see Splunk is indexing some data.


I run a search for "host=debian" and find my logs.


Not too bad! Have you tried Splunk Cloud? What do you think? Leave me a comment below.

Update: I installed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Universal Forwarder on FreeBSD 11.1 using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 method above (except with a FreeBSD .tgz) and everything seems to be working!