Sunday, October 26, 2008

Comment on New Amazon Reviewer Ranking System

I just happened to notice a change to my Amazon.com reviews page. If you look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 left, you'll see two numbers: "New Reviewer Rank: 481" and "Classic Reviewer Rank: 434". I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following explanation:

You may have noticed that we've recently changed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way top reviewers are ranked. As we've grown our selection at Amazon over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years, more and more customers have come to share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir experiences with a wide variety of products. We want our top reviewer rankings to reflect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best of our growing body of customer reviewers, so we've changed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way our rankings work. Here's what's different:

  • Review helpfulness plays a larger part in determining rank. Writing thousands of reviews that customers don't find helpful won't move a reviewer up in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standings.

  • The more recently a review is written, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greater its impact on rank. This way, as new customers share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir experiences with Amazon's ever-widening selection of products, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'll have a chance to be recognized as top reviewers.

  • We've changed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way we measure review quality to ensure that every customer's vote counts. Stuffing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ballot box won't affect rank. In fact, such votes won't even be counted.


We're proud of all our passionate customer reviewers and grateful for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir investment of time and energy helping ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Amazon customers.


On my overall profile page I found a second statistic, shown at left, which says that 90% of my votes are considered "helpful." That's cool! I appreciate any helpful votes I get. It's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main feedback for reviews I write so I am glad anytime I see someone logged into Amazon.com who votes for my reviews.

Apparently you shouldn't vote too often for me, because under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new system you're considered a fan voter and ignored!

Fan voters are people who consistently appreciate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author's reviews. These votes are not reflected in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 total vote count to provide our customers with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most unbiased and accurate information possible.

Right now I have 131 "fan voters," so that's anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r reason my ranking dropped from 434 to 481.

The proof for me, however, regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new ranking system would be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effect on someone I know writes a dozen or more "reviews" per day, most of which I consider worthless. 4437 "reviews" (i.e., books read) since October 2002? That's two books per day -- no way! As you can see on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right, this person has fallen from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number 11 system using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Classic Ranking, down to 521. Ha ha.

Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 profile statistic, you can see a 75% rating. That's higher than I expected, but it definitely had an effect on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall ranking. I think what really hurt this guy is his "fan voter" count: 892. I have a feeling Amazon.com believes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se fans are fake accounts under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 control of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reviewer, so Amazon.com has decided to just ignore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. For someone like Mr. 521 with "892 fans," I could see how that would affect his rank.

There's a hot debate in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Amazon.com forums about this topic now. Some people are really bent out of shape over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se changes. Take it easy -- it's just Amazon.com.

Saturday, October 25, 2008

Security Event Correlation: Looking Back, Part 3

I'm back with anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r look at security event correlation. This time it's a June 2008 review of SIEM technology by Greg Shipley titled SIEM tools come up short. The majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article talk about non-correlation issues, but I found this section relevant to my ongoing analysis:

"Correlation" has long been cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 buzzword used around event reduction, and all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 products we tested contained a correlation engine of some sort. The engines vary in complexity, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y all allow for basic comparisons: if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 engine sees A and also sees B or C, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it will go do X. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise, file cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event away in storage and move onto cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next. We'd love to see someone attack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event reduction challenge with something creative like Bayesian filtering, but for now correlation-based event reduction appears to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 de facto standard...

Ok, that sounds like "correlation" to me. Let's see an example.

For example, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use cases we tackled was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 monitoring of login attempts from foreign countries. We wanted to keep a particularly close watch on successful logins from countries in which we don't normally have employees in. To do this, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a few things that had to be in place: We had to have aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication logs from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of systems that would receive external logins (IPsec and SSL VPN concentrators, Web sites, any externally exposed *NIX systems); we had to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to extract usernames and IP addresses from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se logs; and, we had to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to map an IP address to a country code. Not rocket science to do without a SIEM, but not entirely trivial, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

That doesn't quite seem to match. This use case says "if any system to which a user could log in registers a login from a foreign country, generate an alert." This is simply putting login records from a variety of sources in one place so that a generic policy ("watch for foreign logins") can be applied, after which an alert is generated. Do you really need a SIEM for that?

Here's a thought experiment for those who think "prevention" is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer: why aren't foreign logins automatically blocked? "If you can detect it, why can't you prevent it?" The key word in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 example is "usually," meaning "we don't know our enterprise or business well enough to define normality, so we can't identify exceptions which indicate incidents. We can't block cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity, but we'd like to know when it happens, i.e., drop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 P, put back cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 D between I and S.

Back to correlation -- I think a real correlation case would be "if you see a successful login, followed by access to a sensitive file, followed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exfiltration of that file, fire an alert." Hold on, this is where it gets interesting.

There are three contact points here, assuming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 foreign login is by an unauthorized party:

  1. Access via stolen credentials: If it's not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 credentials were stolen. However, you didn't stop it, because you don't know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 credentials are stolen.

  2. Access to a sensitive file: How did you know it was sensitive? Because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder is impersonating a user whose status is assumed to permit access, you don't stop it.

  3. Exfiltration of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file: If this account (under legitimate or illegitimate control) shouldn't be removing this file, why is that allowed to happen? The answer is that you don't know beforehand that it's sensitive, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no real control at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file level for preventing its removal.


If you knew enough to identify that this activity is bad, at each contact point you should have stopped it. If you're not stopping it, why? It's probably because you don't know any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se contact points are bad. You don't know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 credentials are stolen (yet). The impersonated user probably has legitimate access to a file, so you're not going to block that. Legitimate users also probably can move files via authorized channels (such as would be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case via this "login"), so you don't block that.

In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, if you're not smart enough to handle this, why would correlation via a SIEM be any smarter?

Cue my Hawke vs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Machine post from almost two years ago:

Archangel: They haven't built a machine yet that could replace a good pilot, Hawke.

Hawke: Let's hope so.


Back to Greg's case. It turns out that generic policy application against disparate devices appears to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "win" here:

Q1 Labs' QRadar had all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 functionality to do this, and we were able to build a multi-staged rule that essentially said, "If you see a successful login event from any devices whose IP address does not originate from one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following countries, generate an alert". Because of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 normalization and categorization that occurs as events flow into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SIEM, it's possible to specify "successful login event" without getting into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nuances of Linux, Windows, IIS, VPN concentrators. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 convenience that SIEM can offer. (emphasis added)

Is that worth cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 money?

Finally, I'm a little more suspicious about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

Most modern SIEM products also ship with at least a minimum set of bundled correlated rules, too. For example, when we brought a new Snort IDS box online, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was a deluge of alerts, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m considered false-positives. Because of useful reduction logic, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was only one alert out of 6,000 that actually appeared on our console across all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 products tested. That alert was based on a predefined correlation rule that looked for a combination of "attack" activity and a successful set of logins within a set period of time.

It's more likely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SIEMs considered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "deluge" events to be of lower priority, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y never appeared on screen. Think of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 myriad of ICMP, UPnP, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r alerts generated by any stock IDS ruleset being "tuned down" as "informational" so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 front of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dashboard. If I knew this SIEM test correlated vulnerability data with IDS attack indications, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 useful reduction logic would make more sense. I can't be sure but you can guess which way I'm leaning.

Security Event Correlation: Looking Back, Part 2

In my last post Security Event Correlation: Looking Back, Part 1 I discussed a story from November 2000 about security event correlation. I'd like to now look at Intrusion Detection FAQ: What is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Role of Security Event Correlation in Intrusion Detection? by Steven Drew, hosted by SANS. A look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet Archive shows this article present as of August 2003, so we'll use that to date it.

[A]s pointed out by Steven Northcutt of SANS, deploying and analyzing a single device in an effort to maintain situational awareness with respect to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of security within an organization is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "computerized version of tunnel vision" . Security events must be analyzed from as many sources as possible in order to assess threat and formulate appropriate response... This paper will demonstrate to intrusion analysts why correlative analysis must occur in order to understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 complete scope of a security incident.

Ok, let's go. I'll summarize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than post clips here because I can make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point in a few sentences. The article shows how an adversary scans for CGI scripts phf, formmail, and survey.cgi, and how four data sources -- a router, a firewall, an IDS, and a Web server -- see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reconnaissance events. First cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 view of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "incident" from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perspective of each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 four data sources. Next he describes how looking at all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r results in a better overall understanding of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident. He provides this "Ven" (sic) diagram and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following text:



The diagram shows that removing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis of even just one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device's log data, our understanding of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident can drop dramatically. For example, if we remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web server error_log, we would not have known that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script access attempt failed. If we had not analyzed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 router, we would not have known cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 probing host scanned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire class C of addresses for web servers. If we had not analyzed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 www access_log, we would not have known that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 probing host was likely using Lynx as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web browser to check for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scripts. If we had not analyzed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network IDS logs, we may not have known that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity was related to well known exploit attempts. (emphasis added)

Do you see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same problems with this that I do? This is my overall reaction: aside from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 access failed ("404") messages from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web server error logs, who cares? Port scans: who cares. Using Lynx: who cares. Snort saw it: who cares. All that matters is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity failed. In fact, since it was only reconnaissance, who could care at all? People who spend time on this sort of activity should be doing something more productive.

It appears that getting to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 heart of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 matter, i.e., looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target application logs (i.e., Apache) yields cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information one really needs for this sort of incident. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, correlation isn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 governing principle; access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right sort of evidence dominates. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst in this case didn't have access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web server logs, we'd be much more concerned (or maybe not).

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is zero mention of whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target of this incident matters, or what compensating controls might exist, or a dozen ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r lacking contextual issues. As I mentioned in my last post, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sorts of problems are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 true obstacle to security event correlation.

Security Event Correlation: Looking Back, Part 1

I've been thinking about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "correlation" recently. I decided to take a look back to determine just what this term was supposed to mean when it first appeared on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security scene.

I found Thinking about Security Monitoring and Event Correlation by Billy Smith of LURHQ, written in November 2000. He wrote:

Security device logging can be extensive and difficult to interpret... Along with lack of time and vendor independent tools, false positives are anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r reason why enterprise security monitoring in not easy...

The next advance in enterprise security monitoring will be to capture cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 knowledge and analytical capabilities of human security experts for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 development of an intelligent system that performs event correlation from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs and alerts of multiple security technologies.


Ok, so far so good.

For example Company A has a screening router outside of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir firewall that protects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir corporate network and a security event monitoring system with reliable artificial intelligence. The monitoring system would start detecting logs where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 access control lists or packet screens on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screening router were denying communications from a certain IP address. Because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intelligent system is intelligent it begins detailed monitoring of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall logs and logs of any publicly accessible servers for any communications destined for or originating from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP address. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intelligent system determined that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was malicious communication, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system would have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability to modify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 router access control lists or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall configuration to deny any communication destined for or originating from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP address. (emphasis added)

Ok, you lost me. The enterprise is already "denying communications," implying an administrator already knew to configure defensive measures. Because denied traffic is logged, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 correlation system looks for traffic somewhere else in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n modifies access control lists it finds that currently allow said traffic? What is this, a mistake detection mechanism?

Let's look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next example.

What if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intelligent system began detecting multiple failed logins to an NT server by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 president of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company? It would be useful for this technology to determine where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se failed logins were originating from and "look for" suspicious activity from this IP and/or user for some designated timeframe. If this system determined that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 failed logins originated from a user ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 president of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company, it could begin to closely monitor for a period of time all actions by this user and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company president (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user could be impersonating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 president). This monitoring could include card readers, PBXs or voice mail access, security alarms from secured doors and gates and access to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r servers. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 monitoring system were not correlating events cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user impersonating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company president would probably bypass all access control and security monitoring devices because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user's actions appear as "normal" activity. (emphasis added)

This example is a little better, until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end. Failed logins happen every day, but an excessive number of failed logins can indicate an attack. I'm not exactly sure how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inclusion of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r log sources is supposed to make a difference here, however. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "user's actions appear as 'normal' activity," just how is it supposed to be identified as suspicious?

The correlation argument fails to pieces in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 penultimate paragraph of this article:

Today cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is one major obstacle to intelligent event correlation enterprise-wide. There is no standard for logging security related information or alerts. Every vendor uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own logging or alerting methodology on security related events. In many cases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are inconsistent formats among products from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same vendor. These issues make enterprise security monitoring difficult and event correlation almost impossible with artificial intelligence. The industry will need to impose a standard method or protocol for logging and alerting security related events before an intelligent system can be developed and successfully implemented enterprise-wide. (emphasis added)

Wow, that is absolutely off-target. Lack of a logging standard is problematic, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 absolute worst problems involve having no idea 1) what assets exist; 2) what assets matter; 3) what activity is normal; 4) who owns what assets; 5) what to do about an incident.

So far cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's nothing compelling about "correlation" here. The article hints that one might learn more about failed login attempts if an analyst could check physical access logs to verify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 in-office presence of a person, but couldn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source IP for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 failed logins roughly indicate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same? Even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company president is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 building, it doesn't mean he/she is at his/her computer.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next part of this article we'll move forward in time to look at more correlation history.

Thoughts on Security Engineering, 2nd Ed

One of my favorite all-time security books is Security Engineering by Prof Ross Anderson, which I read and reviewed in 2002. Earlier this year Wiley published Security Engineering, 2nd Ed. The first edition was a 612 page soft cover; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second edition is a massive 1040 page hard cover.

To learn more about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new edition, I recommend visiting Ross' book page. This title should be included in every academic security program. Cambridge University uses each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three parts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tome in three separate computer security classes, as noted on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book page. If you're in a formal security program and you've never heard of this book, ask your professors why it's not included. If your professors have never heard of this book, ask yourself why you are studying in that program.

Three years ago I posted What cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP Should Be, offering NIST SP 800-27, Rev. A, Engineering Principles for Information Technology Security (A Baseline for Achieving Security) as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basis for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP. The CISSP should use Prof Anderson's book as an historical application and practical expansion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 core ideas of 800-27.

Security Engineering would make a great text for a year-long, meet every-ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r-week program, where participants read one chapter each week. (The book is 27 chapters, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last is only a three page conclusion that could be wrapped into week 26.) Those taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to read, discuss, and understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material in this book would know far more about security than anyone wasting time in a series of CISSP CBK cram sessions.

If you read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first edition, I still recommend buying and reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second edition. As you'll see on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book page, Wiley allowed Ross to post 6 chapters in .pdf format, along with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 table of contents, preface, acknowledgements, bibliography, and index. The entire first edition is also still online if you want to start cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.

Security Book Publishing Woes

Practical UNIX and Internet Security, 2nd Ed (pub Apr 96) by Simson Garfinkel and Gene Spafford was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first computer security book I ever read. I bought it in late 1997 after hearing about it in a "UNIX and Solaris Fundamentals" class I took while on temporary assignment to JAC Molesworth. Although I never formally listed it in my Amazon.com reviews, I did list it first in my Favorite 10 Books of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Last 10 years in 2007.

Since reading that book, I've read and reviewed over 270 technical books, mostly security but some networking and programming titles. In 2008 I've only read 15 so far, but I'm getting serious again with plans to read 16 more by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 year. (We'll see how well I do. I only read 25 last year, but my yearly low was 17 in 2000. My yearly high was 52 in 2006, when I flew all over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world for TaoSecurity LLC and read on each flight.)

Security books are on my mind because I had a conversation with a book publisher this week. She told me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry has been in serious decline for a while, meaning people aren't buying books. Apparently this decrease in sales is industry-wide, punishing both good books (those recognized as being noteworthy) and bad (which you would expect to sell poorly anyway).

Some people blame cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book Hacking Exposed (6th edition due in Feb 09) for creating unrealistic expectations in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 minds of book publishers. McGraw-Hill claims HE is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best-selling security book of all time. I've heard numbers between 500,000 and 1,000,000 copies across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 editions (not counting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r titles in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HE line.) That blows away any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security book.

I've got about 50 titles on my reading list for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remainder of 2008 and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first half of 2009. About 1/3 are programming books, 1/4 are related to vulnerability discovery, 1/5 could be called "hacking" books, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remainder deal with general security topics. I only plan to read what I would call "good books," so from my perspective cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's plenty of good new-ish books around. However, thus far this year I've only read two five-star books, Applied Security Visualization and Virtual Honeypots.

What do you think of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security book publishing space? Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re too many books? Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re too few good books? Are books too expensive? What books would you like to see published?

Review of Applied Security Visualization Posted

Amazon.com just posted my five star review of Applied Security Visualization by Raffy Marty. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review:

Last year I rated Greg Conti's Security Data Visualization as a five star book. I said that five star books 1) change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way I look at a problem, or properly introduce me to thinking about a problem for which I have little or no frame of reference; 2) have few or no technical errors; 3) make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material actionable; 4) include current research and reference outside sources; and 5) are enjoyable reads. Raffy Marty's Applied Security Visualization (ASV) scores well using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se measures, and I recommend reading it.