Sunday, November 25, 2018

The Origin of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Term Indicators of Compromise (IOCs)

I am an historian. I practice digital security, but I earned a bachelor's of science degree in history from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States Air Force Academy. (1)

Historians create products by analyzing artifacts, among which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most significant is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 written word.

In my last post, I talked about IOCs, or indicators of compromise. Do you know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 origin of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term? I thought I did, but I wanted to rely on my historian's methodology to invalidate or confirm my understanding.

I became aware of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "indicator" as an element of indications and warning (I&W), when I attended Air Force Intelligence Officer's school in 1996-1997. I will return to this shortly, but I did not encounter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "indicator" in a digital security context until I encountered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work of Kevin Mandia.

In August 2001, shortly after its publication, I read Incident Response: Investigating Computer Crime, by Kevin Mandia, Chris Prosise, and Matt Pepe (Osborne/McGraw-Hill). I was so impressed by this work that I managed to secure a job with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir company, Foundstone, by April 2002. I joined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Foundstone incident response team, which was led by Kevin and consisted of Matt Pepe, Keith Jones, Julie Darmstadt, and me.

I Tweeted earlier today that Kevin invented cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "indicator" (in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR context) in that 2001 edition, but a quick review of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard copy in my library does not show its usage, at least not prominently. I believe we were using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 office but that it had not appeared in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2001 book. Documentation would seem to confirm that, as Kevin was working on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second edition of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR book (to which I contributed), and that version, published in 2003, features cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "indicator" in multiple locations.

In fact, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 earliest use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "indicators of compromise," appearing in print in a digital security context, appears on page 280 in Incident Response & Computer Forensics, 2nd Edition.


From ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r uses of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "indicators" in that IR book, you can observe that IOC wasn't a formal, independent concept at this point, in 2003. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same excerpt above you see "indicators of attack" mentioned.

The first citation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "indicators" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2003 book shows it is meant as an investigative lead or tip:


Did I just give up my search at this point? Of course not.

If you do time-limited Google searches for "indicators of compromise," after weeding out patent filings that reference later work (from FireEye, in 2013), you might find this document, which concludes with this statement:

Indicators of compromise are from Lynn Fischer, Lynn, "Looking for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Unexpected," Security Awareness Bulletin, 3-96, 1996. Richmond, VA: DoD Security Institute.

Here cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compromise of a person with a security clearance.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same spirit, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 earliest reference to "indicator" in a security-specific, detection-oriented context appears in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patent Method and system for reducing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rate of infection of a communications network by a software worm (6 Dec 2002). Stuart Staniford is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lead author; he was later chief scientist at FireEye, although he left before FireEye acquired Mandiant (and me).

While Kevin, et al were publishing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second edition of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir IR book in 2003, I was writing my first book, The Tao of Network Security Monitoring. I began chapter two with a discussion of indicators, inspired by my Air Force intelligence officer training in I&W and Kevin's use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term at Foundstone.

You can find chapter two in its entirety online. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chapter I also used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "indicators of compromise," in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spirit Kevin used it; but again, it was not yet a formal, independent term.

My book was published in 2004, followed by two more in rapid succession.

The term "indicators" didn't really make a splash until 2009, when Mike Cloppert published a series on threat intelligence and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyber kill chain. The most impactful in my opinion was Security Intelligence: Attacking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cyber Kill Chain. Mike wrote:


I remember very much enjoying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se posts, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cyber Kill Chain was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aspect that had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest impact on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security community. Mike does not say "IOC" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post. Where he does say "compromise," he's using it to describe a victimized computer.

The stage is now set for seeing indicators of compromise in a modern context. Drum roll, please!

The first documented appearance of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term indicators of compromise, or IOCs, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modern context, appears in basically two places simultaneously, with ultimate credit going to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same organziation: Mandiant.

The first Mandiant M-Trends report, published on 25 Jan 2010, provides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following description of IOCs on page 9:


The next day, 26 Jan 2010, Matt Frazier published Combat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT by Sharing Indicators of Compromise to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mandiant blog. Matt wrote to introduce an XML-based instantiation of IOCs, which could be read and created using free Mandiant tools.


Note how complicated Matt's IOC example is. It's not a file hash (alone), or a file name (alone), or an IP address, etc. It's a Boolean expression of many elements. You can read in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text that this original IOC definition rejects what some commonly consider "IOCs" to be. Matt wrote:

Historically, compromise data has been exchanged in CSV or PDFs laden with tables of "known bad" malware information - name, size, MD5 hash values and paragraphs of imprecise descriptions... (emphasis added)

On a related note, I looked for early citations of work on defining IOCs, and found a paper by Simson Garfinkel, well-respected forensic analyst. He gave credit to Matt Frazier and Mandiant, writing in 2011:

Frazier (2010) of MANDIANT developed Indicators of Compromise (IOCs), an XML-based language designed to express signatures of malware such as files with a particular MD5 hash value, file length, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existence of particular registry entries. There is a free editor for manipulating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 XML. MANDIANT has a tool that can use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se IOCs to scan for malware and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 so-called “Advanced Persistent Threat.”

Starting in 2010, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 debate was initially about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 format for IOCs, and how to produce and consume cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. We can see in this written evidence from 2010, however, a definition of indicators of compromise and IOCs that contains all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 elements that would be recognized in current usage.

tl;dr Mandiant invented cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term indicators of compromise, or IOCs, in 2010, building off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "indicator," introduced widely in a detection context by Kevin Mandia, no later than his 2003 incident response book.

(1) Yes, a BS, not a BA -- thank you USAFA for 14 mandatory STEM classes.

Saturday, November 24, 2018

Even More on Threat Hunting

In response to my post More on Threat Hunting, Rob Lee asked:

[D]o you consider detection through ID’ing/“matching” TTPs not hunting?

To answer this question, we must begin by clarifying "TTPs." Most readers know TTPs to mean tactics, techniques and procedures, defined by David Bianco in his Pyramid of Pain post as:

How cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary goes about accomplishing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir mission, from reconnaissance all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way through data exfiltration and at every step in between.

In case you've forgotten David's pyramid, it looks like this.


It's important to recognize that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pyramid consists of indicators of compromise (IOCs). David uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "indicator" in his original post, but his follow-up post from his time at Sqrrl makes this clear:

There are a wide variety of IoCs ranging from basic file hashes to hacking Tactics, Techniques and Procedures (TTPs). Sqrrl Security Architect, David Bianco, uses a concept called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Pyramid of Pain to categorize IoCs. 

At this point it should be clear that I consider TTPs to be one form of IOC.

In The Practice of Network Security Monitoring, I included cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following workflow:

You can see in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second column that I define hunting as "IOC-free analysis." On page 193 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book I wrote:

Analysis is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process of identifying and validating normal, suspicious, and malicious activity. IOCs expedite this process. Formally, IOCs are manifestations of observable or discernible adversary actions. Informally, IOCs are ways to codify adversary activity so that technical systems can find intruders in digital evidence...

I refer to relying on IOCs to find intruders as IOC-centric analysis, or matching. Analysts match IOCs to evidence to identify suspicious or malicious activity, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n validate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir findings.

Matching is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way to find intruders. More advanced NSM operations also pursue IOC-free analysis, or hunting. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mid-2000s, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Air Force popularized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term hunter-killer in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital world. Security experts performed friendly force projection on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir networks, examining data and sometimes occupying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves in order to find advanced threats. 

Today, NSM professionals like David Bianco and Aaron Wade promote network “hunting trips,” during which a senior investigator with a novel way to detect intruders guides junior analysts through data and systems looking for signs of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary. 

Upon validating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technique (and responding to any enemy actions), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hunters incorporate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new detection method into a CIRT’s IOC-centric operations. (emphasis added)

Let's consider Chris Sanders' blog post titled Threat Hunting for HTTP User Agents as an example of my definition of hunting. 

I will build a "hunting profile" via excerpts (in italics) from his post:

Assumption: "Attackers frequently use HTTP to facilitate malicious network communication."

Hypocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis: If I find an unusual user agent string in HTTP traffic, I may have discovered an attacker.

Question: “Did any system on my network communicate over HTTP using a suspicious or unknown user agent?”

Method: "This question can be answered with a simple aggregation wherein cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user agent field in all HTTP traffic for a set time is analyzed. I’ve done this using Sqrrl Query Language here:

SELECT COUNT(*),user_agent FROM HTTPProxy GROUP BY user_agent ORDER BY COUNT(*) ASC LIMIT 20

This query selects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user_agent field from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HTTPProxy data source and groups and counts all unique entries for that field. The results are sorted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 count, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 least frequent occurrences at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top."

Results: Chris offers advice on how to interpret cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various user agent strings produced by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 query.

This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 critical part: Chris did not say "look for *this user agent*. He offered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader an assumption, a hypocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis, a question, and a method. It is up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defender to investigate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results. This, for me, is true hunting.

If Chris had instead referred users to this list of malware user agents (for example) and said look for "Mazilla/4.0", cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I consider that manual (human) matching. If I created a Snort or Suricata rule to look for that user agent, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I consider that automated (machine) matching.

This is where my threat hunting definition likely diverges from modern practice. Analyst Z sees cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of Chris' hunt and thinks "Chris found user agent XXXX to be malicious, so I should go look for it." Analyst Z queries his or her data and does or does not find evidence of user agent XXXX.

I do not consider analyst Z's actions to be hunting. I consider it matching. There is nothing wrong with this. In fact, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purposes of hunting is to provide new inputs to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 matching process, so that future hunting trips can explore new assumptions, hypocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ses, questions, and methods, and let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machines do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 matching on IOCs already found to be suggestive of adversary activity. This is why I wrote in my 2013 book "Upon validating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technique (and responding to any enemy actions), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hunters incorporate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new detection method into a CIRT’s IOC-centric operations."

The term "hunting" is a victim of its own success, with emotional baggage. We defenders have finally found a way to make "blue team" work appealing to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wider security community. Vendors love this new way to market cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir products. "If you're not hunting, are you doing anything useful?" one might ask.

Compared to "I'm threat hunting!" (insert chest beating), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alternative, "I'm matching!" (womp womp), seems sad. 

Nevercá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365less, we must remember that threat hunting methodologies were invented to find adversary activity for which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were no IOCs. Hunting was IOC-free analysis because we didn't know what to look for. Once you know what to look for, you are matching. Both forms of detection require analysis to validate adversary activity, of course. Let's not forget that.

I'm also very thankful, however it's defined or packaged, that people are excited to search for adversary activity in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir environment, whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r via matching or hunting. It's a big step from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mindset of 10 years ago, which had a "prevention works" milieu.

tl;dr Because TTPs are a form of IOC, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n detection via matching IOCs is a form of matching, and not hunting.

Friday, November 23, 2018

More on Threat Hunting

Earlier this week hellor00t asked via Twitter:

Where would you place your security researchers/hunt team?

I replied:

For me, "hunt" is just a form of detection. I don't see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to build a "hunt" team. IR teams detect intruders using two major modes: matching and hunting. Junior people spend more time matching. Senior people spend more time hunting. Both can and should do both functions.

This inspired Rob Lee to blog a response, from which I extract his core argument:

[Hunting] really isn’t, to me, about detecting threats...

Hunting is a hypocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis-led approach to testing your environment for threats. The purpose, to me, is not in finding threats but in determining what gaps you have in your ability to detect and respond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m...

In short, hunting, to me, is a way to assess your security (people, process, and technology) against threats while extending your automation footprint to better be prepared in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future. Or simply stated, it’s incident response without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident that’s done with a purpose and contributes something. 

As background for my answer, I recommend my March 2017 post The Origin of Threat Hunting, which cites my article "Become a Hunter," published in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 July-August 2011 issue of Information Security Magazine. I wrote it in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spring of 2011, when I was director of incident response for GE-CIRT.

For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "hunting," I give credit to briefers from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force and NSA who, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mid-2000s briefed "hunter-killer" missions to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Red Team/Blue Team Symposium at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Johns Hopkins University Applied Physics Lab in Laurel, MD.

As a comment to that post, Tony Sager, who ran NSA VAO at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time I was briefed at ReBl, described hunting thus:

[Hunting] was an active and sustained search for Attackers...

For us, "Hunt" meant a very planned and sustained search, taking advantage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existing infrastructure of Red/Blue Teams and COMSEC Monitoring, as well as intelligence information to guide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 search. 

For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 practice of hunting, as I experienced it, I give credit to our GE-CIRT incident handlers -- David Bianco,  Ken Bradley, Tim Crocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, Tyler Hudak, Bamm Visscher, and Aaron Wade -- who took junior analysts on "hunting trips," starting in 2008-2009.

It is very clear, to me, that hunting has always been associated with detecting an adversary, not "determining what gaps you have in your ability to detect and respond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m," as characterized by Rob.

For me, Rob is describing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job of an enterprise visibility architect, which I described in a 2007 post:

[W]e are stuck with numerous platforms, operating systems, applications, and data (POAD) for which we have zero visibility. 

I suggest that enterprises consider hiring or assigning a new role -- Enterprise Visibility Architect. The role of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EVA is to identify visibility deficiencies in existing and future POAD and design solutions to instrument cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se resources.

A primary reason to hire an enterprise visibility architect is to build visibility in, which I described in several posts, including this one from 2009 titled Build Visibility In. As a proponent of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "monitor first" school, I will always agree that it is important to identify and address visibility gaps.

So where do we go from here?

Tony Sager, as one of my wise men, offers sage advice at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conclusion of his comment:

"Hunt" emerged as part of a unifying mission model for my Group in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Information Assurance Directorate at NSA (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defensive mission) in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mid-late 2000's. But it was also a way to unify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relationship between IA and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SIGINT mission - intelligence as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 driver for Hunting. The marketplace, of course, has now brought its own meaning to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term, but I just wanted to share some history. 

In my younger days I might have expressed much more energy and emotion when encountering a different viewpoint. At this point in my career, I'm more comfortable with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r points of view, so long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do not result in harm, or a waste of my taxpayer dollars, or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r clearly negative consequences. I also appreciate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kind words Rob offered toward my point of view.

tl;dr I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 definition and practice of hunting has always been tied to adversaries, and that Rob describes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work of an enterprise visibility architect when he focuses on visibility gaps racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than adversary activity.

Update 1: If in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course of conducting a hunt you identify a visibility or resistance deficiency, that is indeed beneficial. The benefit, however, is derivative. You hunt to find adversaries. Identifying gaps is secondary although welcome.

The same would be true of hunting and discovering misconfigured systems, or previously unidentified assets, or unpatched software, or any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r myriad facts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground that manifest when one applies Clausewitz's directed telescope towards cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir computing environment.

Friday, November 02, 2018

Cybersecurity and Class M Planets

I was considering anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r debate about appropriate cybersecurity measures and I had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following thought: not all networks are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same. Profound, right? This is so obvious, yet so obviously forgotten.

Too often when confronting a proposed defensive measure, an audience approaches cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own preconceived notion of what assets need to be protected.

Some think about an information technology enterprise organization with endpoints, servers, and infrastructure. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs think about an industrial organization with manufacturing equipment. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs imagine an environment with no network at all, where constituents access cloud-hosted resources. Still ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs think in terms of being that cloud hosting environment itself.

Beyond those elements, we need to consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of assets, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir geographic diversity, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir relative value, and many ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r aspects that you can no doubt imagine.

This made me wonder if we need some sort of easy reference term to capture cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 essential nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sorts of diverse environments. I thought immediately of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "class M planet," from Star Trek. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Wikipedia entry:

[An] Earth-like planet, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Class M designation is similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real-world astronomical cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory of life-supporting planets within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 habitable zone... Class M planets are said to possess an atmosphere composed of nitrogen and oxygen as well as an abundance of liquid water necessary for carbon-based life to exist. Extensive plant and animal life often flourishes; often, a sentient race is also present. 

In contrast, consider a class Y planet:

Class Y planets are referred to as "demon" worlds, where surface conditions do not fall into any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r recognized category. Such worlds are usually hostile and lethal to humanoid life. If life forms develop on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se worlds cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y usually take on many bizarre forms, like living crystal or rock, liquid or gaseous physical states, or incorporeal, dimensional, or energy-based states. 

Given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir work providing names for various offensive security activities in ATT&CK, I wonder if MITRE might consider creating a naming scheme to capture this idea? For example, a "class M" network might be an enterprise organization with endpoints, servers, and infrastructure, of a certain size. Or perhaps M1 might be "small," M2 "medium," and M3 "large," where each is associated with a user count.

Perhaps an environment with no network at all, where constituents access cloud-hosted resources, would be a class C network. (I'm not sure "network" is even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right term, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no "network" for which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization is responsible.)

With such a scheme in place, we could begin a cybersecurity discussion by asking, "given a class M network, what defensive processes, people, or technology are appropriate," versus "given a class C network, what defensive processes, people, or technology are appropriate."

This is only an idea, and I'd be happy if something was already created to address this problem. Comments below are welcome (pending moderation to repel trolls and spammers.) Alternatively, reply to my announcement of this post via @taosecurity on Twitter.

Thursday, October 25, 2018

Have Network, Need Network Security Monitoring

I have been associated with network security monitoring my entire cybersecurity career, so I am obviously biased towards network-centric security strategies and technologies. I also work for a network security monitoring company (Corelight), but I am not writing this post in any corporate capacity.

There is a tendency in many aspects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security operations community to shy away from network-centric approaches. The rise of encryption and cloud platforms, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 argument goes, makes methodologies like NSM less relevant. The natural response seems to be migration towards cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 endpoint, because it is still possible to deploy agents on general purpose computing devices in order to instrument and interdict on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 endpoint itself.

It occurred to me this morning that this tendency ignores cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trend in computing is toward closed computing devices. Mobile platforms, especially those running Apple's iOS, are not friendly to introducing third party code for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purpose of "security." In fact, one could argue that iOS is one of, if not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365, most security platform, thanks to this architectural decision. (Timely and regular updates, a policed applications store, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r choices are undoubtedly part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security success of iOS, to be sure.)

How is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 endpoint-centric security strategy going to work when security teams are no longer able to install third party endpoint agents? The answer is -- it will not. What will security teams be left with?

The answer is probably application logging, i.e., usage and activity reports from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software with which users interact. Most of this will likely be hosted in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud. Therefore, security teams responsible for protecting work-anywhere-but-remote-intensive users, accessing cloud-hosted assets, will have really only cloud-provided data to analyze and escalate.

It's possible that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 endpoint providers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves might assume a greater security role. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, Apple and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r manufacturers provide security information directly to users. This could be like Chase asking if I really made a purchase. This model tends to break down when one is using a potentially compromised asset to ask cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user if that asset is compromised.

In any case, this vision of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future ignores cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that someone will still be providing network services. My contention is that if you are responsible for a network, you are responsible for monitoring it.

It is negligent to provide network services but ignore abuse of that service.

If you disagree and cite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "common carrier" exception, I would agree to a certain extent. However, one cannot easily fall back on that defense in an age where Facebook, Twitter, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r platforms are being told to police cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir infrastructure or face ever more government regulation.

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day, using modern Internet services means, by definition, using someone's network. Whoever is providing that network will need to instrument it, if only to avoid cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 liability associated with misuse. Therefore, anyone operating a network would do well to continue to deploy and operate network security monitoring capabilities.

We may be in a golden age of endpoint visibility, but closure of those platforms will end cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 endpoint's viability as a source of security logging. So long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are networks, we will need network security monitoring.

Friday, October 05, 2018

Network Security Monitoring vs Supply Chain Backdoors

On October 4, 2018, Bloomberg published a story titled “The Big Hack: How China Used a Tiny Chip to Infiltrate U.S. Companies,” with a subtitle “The attack by Chinese spies reached almost 30 U.S. companies, including Amazon and Apple, by compromising America’s technology supply chain, according to extensive interviews with government and corporate sources.” From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article:

Since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 implants were small, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of code cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y contained was small as well. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were capable of doing two very important things: telling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device to communicate with one of several anonymous computers elsewhere on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internet that were loaded with more complex code; and preparing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device’s operating system to accept this new code. The illicit chips could do all this because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were connected to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 baseboard management controller, a kind of superchip that administrators use to remotely log in to problematic servers, giving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most sensitive code even on machines that have crashed or are turned off.

Companies mentioned in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story deny cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details, so this post does not debate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 merit of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bloomberg reporters’ claims. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, I prefer to discuss how a computer incident response team (CIRT) and a chief information security officer (CISO) should handle such a possibility. What should be done when hardware-level attacks enabling remote access via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network are possible?

This is not a new question. I have addressed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 architecture and practices needed to mitigate this attack model in previous writings. This scenario is a driving force behind my recommendation for network security monitoring (NSM) for any organization running a network, of any kind. This does not mean endpoint-centric security, or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security models, should be abandoned. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, my argument shows why NSM offers unique benefits when facing hardware supply chain attacks.

The problem is one of trust and detectability. The problem here is that one loses trust in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 integrity of a computing platform when one suspects a compromised hardware environment. One way to validate whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a computing platform is trustworthy is to monitor outside of it, at places where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hardware cannot know it is being monitored, and cannot interfere with that monitoring. Software installed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hardware is by definition untrustworthy because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hardware backdoor may have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability to obscure or degrade cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 visibility and control provided by an endpoint agent.

Network security monitoring applied outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hardware platform does not suffer this limitation, if certain safeguards are implemented. NSM suffers limitations unique to its deployment, of course, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will be outlined shortly. By watching traffic to and from a suspected computing platform, CIRTs have a chance to identify suspicious and malicious activity, such as contact with remote command and control (C2) infrastructure. NSM data on this C2 activity can be collected and stored in many forms, such as any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 seven NSM data types: 1) full content; 2) extracted content; 3) session data; 4) transaction data; 5) statistical data; 6) metadata; and 7) alert data.

Most likely session and transaction data would have been most useful for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case at hand. Once intelligence agencies identified that command and control infrastructure used by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alleged Chinese agents in this example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could provide that information to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIRT, who could cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n query historical NSM data for connectivity between enterprise assets and C2 servers. The results of those queries would help determine if and when an enterprise was victimized by compromised hardware.

The limitations of this approach are worth noting. First, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruders never activated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir backdoors, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re would be no evidence of communications with C2 servers. Hardware inspection would be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main way to deal with this problem. Second, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruders may leverage popular Internet services for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir C2. Historical examples include command and control via Twitter, domain fronting via Google or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Web sites, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r covert channels. Depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 communication, it would be difficult, though not impossible, to deal with this situation, mainly through careful analysis. Third, traditional network-centric monitoring would be challenging if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruders employed an out-of-band C2 channel, such as a cellular or radio network. This has been seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wild but does not appear to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case in this incident. Technical countermeasures, whereby rooms are swept for unauthorized signals, would have to be employed. Fourth, it’s possible, albeit unlikely, that NSM sensors tasked with watching for suspicious and malicious activity are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves hosted on compromised hardware, making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir reporting also untrustworthy.

The remedy for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last instance is easier than that for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous three. Proper architecture and deployment can radically improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trust one can place in NSM sensors. First, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sensors should not be able to connect to arbitrary systems on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. The most security conscious administrators apply patches and modifications using direct access to trusted local sources, and do not allow access for any reason ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than data retrieval and system maintenance. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, no one browses Web sites or checks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir email from NSM sensors! Second, this moratorium on arbitrary connections should be enforced by firewalls outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSM sensors, and any connection attempts that violate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall policy should generate a high-priority alert. It is again cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365oretically possible for an extremely advanced intruder to circumvent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se controls, but this approach increases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 likelihood of an adversary tripping a wire at some point, revealing his or her presence.

The bottom line is that NSM must be a part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detection and response strategy for any organization that runs a network. Collecting and analyzing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 core NSM data types, in concert with host-based security, integration with third party intelligence, and infrastructure logging, provides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best chance for CIRTs to detect and respond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sorts of adversaries who escalate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir activities to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of hardware hacking via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 supply chain. Whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r or not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bloomberg story is true, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investment in NSM merits cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 peace of mind a CISO will enjoy when his or her CIRT is equipped with robust network visibility.

This post first appeared on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Corelight blog.

Tuesday, September 18, 2018

Firewalls and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Need for Speed

I was looking for resources on campus network design and found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se slides (pdf) from a 2011 Network Startup Resource Center presentation. These two caught my attention:



This bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365red me, so I Tweeted about it.

This started some discussion, and prompted me to see what NSRC suggests for architecture cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se days. You can find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest, from April 2018, here. Here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bottom line for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir suggested architecture:






What do you think of this architecture?

My Tweet has attracted some attention from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 high speed network researcher community, some of whom assume I must be a junior security apprentice who equates "firewall" with "security." Long-time blog readers will laugh at that, like I did. So what was my problem with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original recommendation, and what problems do I have (if any) with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2018 version?

First, let's be clear that I have always differentiated between visibility and control. A firewall is a poor visibility tool, but it is a control tool. It controls inbound or outbound activity according to its ability to perform in-line traffic inspection. This inline inspection comes at a cost, which is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 major concern of those responding to my Tweet.

Notice how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation author thinks about firewalls. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slides above, from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2018 version, he says "firewalls don't protect users from getting viruses" because "clicked links while browsing" and "email attachments" are "both encrypted and firewalls won't help." Therefore, "since firewalls don't really protect users from viruses, let's focus on protecting critical server assets," because "some campuses can't develop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 political backing to remove firewalls for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campus."

The author is arguing that firewalls are an inbound control mechanism, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are ill-suited for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most prevalent threat vectors for users, in his opinion: "viruses," delivered via email attachment, or "clicked links."

Mail administrators can protect users from many malicious attachments. Desktop anti-virus can protect users from many malicious downloads delivered via "clicked links." If that is your worldview, of course firewalls are not important.

His argument for firewalls protecting servers is, implicitly, that servers may offer services that should not be exposed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than disabling those services, or limiting access via identity or local address restrictions, he says a firewall can provide that inbound control.

These arguments completely miss cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point that firewalls are, in my opinion, more effective as an outbound control mechanism. For example, a firewall helps restrict adversary access to his victims when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y reach outbound to establish post-exploitation command and control. This relies on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall identifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attempted C2 as being malicious. To cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extent intruders encrypt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir C2 (and sites fail to inspect it) or use covert mechanisms (e.g., C2 over Twitter), firewalls will be less effective.

The previous argument assumes admins rely on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall to identify and block malicious outbound activity. Admins might alternatively identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves, and direct cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall to block outbound activity from designated compromised assets or to designated adversary infrastructure.

As some Twitter responders said, it's possible to do some or all of this without using a stateful firewall. I'm aware of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cool tricks one can play with routing to control traffic. Ken Meyers and I wrote about some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se approaches in 2005 in my book Extrusion Detection. See chapter 5, "Layer 3 Network Access Control."

Implementing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se non-firewall-based security choices requries a high degree of diligence, which requires visibility. I did not see this emphasized in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSRC presentation. For example:


These are fine goals, but I don't equate "manageability" with visibility or security. I don't think "problems and viruses" captures cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 magnitude of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat to research networks.

The core of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reaction to my original Tweet is that I don't appreciate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for speed in research networks. I understand that. However, I can't understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requirement for "full bandwidth, un-filtered access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet." That is a recipe for disaster.

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, if you define partner specific networks, and allow essentially site-to-site connectivity with exquisite network security monitoring methods and operations, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I do not have a problem with eliminating firewalls from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 architecture. I do have a problem with unrestricted access to adversary infrastructure.

I understand that security doesn't exist to serve itself. Security exists to enable an organizational mission. Security must be a partner in network architecture design. It would be better to emphasize enhance monitoring for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 networks discussed above, and think carefully about enabling speed without restrictions. The NSRC resources on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 science DMZ merit consideration in this case.