Extending Security Event Correlation

Last year at this time I wrote a series of posts on security event correlation. I offered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following definition in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final post:

Security event correlation is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process of applying criteria to data inputs, generally of a conditional ("if-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n") nature, in order to generate actionable data outputs.

Since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n what I have found is that products and people still claim this as a goal, but for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most part achieving it remains elusive.

Please also see that last post for what SEC is not, i.e., SEC is not simply collection (of data sources), normalization (of data sources), prioritization (of events), suppression (via thresholding), accumulation (via simple incrementing counters), centralization (of policies), summarization (via reports), administration (of software), or delegation (of tasks).

So is SEC anything else? Based on some operational uses I have seen, I think I can safely introduce an extension to "true" SEC: applying information from one or more data sources to develop context for anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r data source. What does that mean?

One example I saw recently (and this is not particularly new, but it's definitely useful), involves NetWitness 9.0. Their new NetWitness Identity function adds user names collected from Active Directory to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 meta data available while investigating network traffic. Analysts can choose to review sessions based on user names racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than just using source IP addresses.

This is certainly not an "if-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n" proposition, as sold by SIM vendors, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of this approach is clear. I hope my use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word "context" doesn't apply to much historical security baggage to this conversation. I'm not talking about making IDS alerts more useful by knowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 qualities of a target of server-side attack, for example. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, to take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of a server side attack scenario, imagine replacing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source IP with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 country "Bulgaria" and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target IP with "Web server hosting Application X" or similar. It's a different way for an analyst to think about an investigation.

Embedded Hardware and Software Pen Tester Positions in GE Smart Grid

I was asked to help locate two candidates for positions in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GE Smart Grid initiative.

We're looking for an Embedded Hardware Penetration Tester (1080237) and an Embedded Firmware Penetration Tester (1080236).

If interested, search for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 indicated job numbers at ge.com/careers or go to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job site to get to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 search function a little faster.

I don't have any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r information on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se jobs, so please work through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job site. Thank you.

Update Mon 16 Nov: As noted by Charlene in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comments below, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jobs are no longer posted. If I hear cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are back I will post an update here.

Update Wed 18 Nov: I was just told cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jobs are eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r open or will be soon. Thank you.

Reaction to 60 Minutes Story

I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new 60 Minutes update on information warfare to be interesting. I fear that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 debate over whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r or not "hackers" disabled Brazil's electrical grid will overshadow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real issue presented in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story: advanced persistent threats are here, have been here, and will continue to be here.

Some critics claim APT must be a bogey man invented by agencies arguing over how to gain greater control over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 citizenry. Let's accept agencies are arguing over turf. That doesn't mean cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat is not real. If you refuse to accept cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat exists, you're simply ignorant of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 facts. That might not be your fault, given policymakers' relative unwillingness to speak out.

If you want to get more facts on this issue, I recommend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Northrop Grumman report I mentioned last month.

Notes from Talk by Michael Hayden

I had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 distinct privilege to attend a keynote by retired Air Force General Michael Hayden, most recently CIA director and previously NSA director. NetWitness brought Gen Hayden to its user conference this week, so I was really pleased to attend that event. I worked for Gen Hayden when he was commander of Air Intelligence Agency in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1990s; I served in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information warfare planning division at that time.

Gen Hayden offered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audience four main points in his talk.

1. "Cyber" is difficult to understand, so be charitable with those who don't understand it, as well as those who claim "expertise." Cyber is a domain like ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r warfighting domains (land, sea, air, space), but it also possesses unique characteristics. Cyber is man-made, and operators can alter its geography -- even potentially to destroy it. Also, cyber conflicts are more likely to affect ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r domains, whereas it is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365oretically possible to fight an "all-air" battle, or an "all-sea" battle.


2. The rate of change for technology far exceeds cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rate of change for policy. Operator activities defy our ability to characterize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. "Computer network defense (CND), exploitation (CNE), and attack (CNA) are operationally indistinguishable."
   
   Gen Hayden compared cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rush to develop and deploy technology to consumers and organizations to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 land rushes of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 late 1890s. When "ease of use," "security," and "privacy" are weighed against each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, ease of use has traditionally dominated.
   
   When making policy, what should apply? Title 10 (military), Title 18 (criminal), Title 50 (intelligence), or international law?
   
   Gen Hayden asked what private organizations in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US maintain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own ballistic missile defense systems. None of course -- meaning, why do we expect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 private sector to defend itself against cyber threats, on a "point" basis?


3. Cyber is difficult to discuss. No one wants to talk about it, especially at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 national level. The agency with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most capability to defend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nation suffers because it is both secret and powerful, two characteristics it needs to be effective. The public and policymakers (rightfully) distrust secret and powerful organizations.


4. Think like intelligence officers. I should have expected this, coming from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most distinguished intelligence officer of our age. Gen Hayden says cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first question he asks when visiting private companies to consult on cyber issues is: who is your intelligence officer?
   
   Gen Hayden offered advice for those with an intelligence mindset who provide advice to policymakers. He said intel officers are traditional inductive thinkers, starting with indicators and developing facts, from which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y derive general cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ories. Intel officers are often pessimistic and realistic because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y deal with operational realities, "as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world is."
   
   Policymakers, on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, are often deductive thinkers, starting with a "vison," with facts at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir thinking. "No one elects a politician for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir command of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 facts. We elect politicians who have a vision of where we should be, not where we are." Policymakers are often optimistic and idealistic, looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir end goal, "as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 would should be."
   
   When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se two world views meet, say when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intel officer briefs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 policymaker, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result can be jarring. It's up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intel officer to figure out how to present findings in a way that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 policymaker can relate to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 facts.

After cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prepared remarks I asked Gen Hayden what he thought of threat-centric defenses. He said it is not outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 realm of possibility to support giving private organizations cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right to more aggressively defend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves. Private forces already perform guard duties; police forces don't carry cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole burden for preventing crime, for example.

Gen Hayden also discussed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 developments which led from military use of air power to a separate Air Force in 1947. He said "no one in cyber has sunk cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ostfriesland yet," which was a great analogy. He also says cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are no intellectual equivalents to Herman Kahn or Paul Nitze in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyber thought landscape.

Bejtlich on Security Justice Podcast

After I spoke at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Information Security Summit in Ohio last month, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guys at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Justice podcast interviewed me and Tyler Hudak.

You can listen to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 archive here. It was fairly loud in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 room but you'd never know it listening to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audio. Great work guys.

We discuss open source software, vulnerability research and disclosure, product security incident response teams (PSIRTs), input vs output metrics, insourcing vs outsourcing, and building an incident response team.

DojoCon Videos Online

Props to Marcus Carey for live streaming talks from DojoCon. I appeared in my keynote, plus panels on incident response and cloud security. I thought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference was excellent and many people posted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir thoughts to #dojocon on Twitter.

Tentative Speaker List for SANS Incident Detection Summit

Thanks to everyone who attended cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bejtlich and Bradley Webcast for SANS yesterday.

We recorded that Webcast (audio is now available) to start a discussion concerning professional incident detection.

I'm pleased to publish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following tentative speaker list for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS WhatWorks in Incident Detection Summit 2009 on 9-10 Dec in Washington, DC.

We'll publish all of this information, plus cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biographies for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speakers, on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agenda site, but I wanted to share what I have with you.

Day One (9 Dec)

• Keynote: Ron Gula


• Briefing: Network Security Monitoring dev+user: Bamm Visscher, David Bianco


• Panel: CIRTs and MSSPs, moderate by Rocky DeStefano: Michael Cloppert, Nate Richmond, Jerry Dixon, Tyler Hudak, Matt Richard, Jon Ramsey


• Cyberspeak Podcast live during lunch with Bret Padres and Ovie Carroll


• Briefing: Bro introduction: Seth Hall


• Panel: Enterprise network detection tools and tactics, potentially with a guest moderator: Ron Shaffer, Matt Olney, Nate Richmond, Matt Jonkman, Michael Rash, Andre Ludwig, Tim Belcher


• Briefing: Snort update: Martin Roesch


• Panel: Global network detection tools and tactics: Stephen Windsor, Earl Zmijewski, Andre' M. Di Mino, Matt Olney, Jose Nazario, Joe Levy


• Panel: Commercial security intelligence service providers, moderated by Mike Cloppert: Gunter Ollmann, Rick Howard, Dave Harlow, Jon Ramsey, Wade Baker


• Evening clas: Advanced Analysis with Matt Richard

Day Two (10 Dec)

• Keynote: Tony Sager


• Briefing: Memory analysis dev+user: Aaron Walters, Brendan Dolan-Gavitt


• Panel: Detection using logs: Jesus Torres, Nate Richmond, Michael Rash, Matt Richard, Ron Gula, J. Andrew Valentine, Alex Raitz


• Panel: Network Forensics: Tim Belcher, Joe Levy, Martin Roesch, Ken Bradley


• Briefing: Honeynet Project: Brian Hay, Michael Davis


• Panel: Unix and Windows tools and techniques: Michael Cloppert, Patrick Mullen, Kris Harms


• Panel: Noncommercial security intelligence service providers, moderated by Mike Cloppert: Andre' M. Di Mino, Jerry Dixon, Ken Dunham, Andre Ludwig, Jose Nazario


• Panel: Commercial host-centric detection and analysis tools: Dave Merkel, Ron Gula, Alex Raitz

I'm thankful to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se excellent speakers and panel participants on board for this event. If you register and pay tuition by next Wednesday, 11 Nov, you'll save $250. Thank you.