Tuesday, October 11, 2011

Computer Incident Response Team Organizational Survey, 2011

Today at MIRCon I mentioned that one of my colleagues, Jeff Yeutter, had updated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 somewhat famous CERT/CC study of CIRT characteristics as part of his degree program. Jeff posted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 survey online as Computer Incident Response Team Organizational Survey, 2011 with this description:

In 2003, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CERT CSIRT Development Team (www.CERT.org) released a study on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of international computer security incident response teams with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goal of providing "better insight into various CSIRT organizational structures and best practices" for new and existing members of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CSIRT community (Killcrece, Kossakowski, Ruefle, & Zajicek, 2003). The attached survey, a modified form of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original, will be used to update cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2003 study with a greater focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 methods of organization used by American and international CIRTs, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y employ, and how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se vary across organizations of different sizes and industries.

This research is being conducted, and is independently funded, by Jeff Yeutter, Technical Sales Executive at Mandiant, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final project for his Master's in Information Systems with a concentration in Computer Security Management at Strayer University. This survey will also be distributed to members of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Forum of Incident Response and Security Teams (www.FIRST.org) with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assistance of Richard Bejtlich, Chief Security Officer and VP, MCIRT, at Mandiant.

No identifying information is required to complete this survey. Participants may include such information if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are interested in immediately being notified of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 study once it is complete, or if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would like to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves available for follow-up questions. Any and all identifying personal or professional identifying information offered by participants will be held in strict confidence. The results of this study, minus any identifying information, may be included in a future, cost-free whitepaper.

The original CERT study from 2003 can be found at: www.cert.org/archive/pdf/03tr001.pdf

The time to complete this survey is approximately 10-15 minutes.


If you're a CIRT member and want to contribute, please consider completing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 survey at Computer Incident Response Team Organizational Survey, 2011. Thank you!

Friday, October 07, 2011

Interview with One of My Three Wise Men

Tony Sager from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSA is one of my Three Wise Men. (Dan Geer and Ross Anderson are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r two.) Eric Parizo from SearchSecurity.com interviewed Tony this week and posted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 video online.

Tony notes that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 escalation in threat activity during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last few years is real. He is in a position to know, given he has worked at NSA since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1970s. Tony says cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat activity is getting people's attention now, especially at more senior levels of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government and industry. Now targeted organizations are thinking beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question "does this affect my company" to "does this affect my industry?"

Tony explains that a generational effect may account for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 change in awareness. More senior leaders grew up with technology, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y know how to think about it. There is also more public reporting on serious security incidents today.

My favorite quote was:

"If you're not a little concerned, you haven't been paying attention."

Since Tony is Mr Reasonable, I think that's a significant statement!

Eric asked Tony for his opinion on APT, and he replied that APT isn't that useful a concept for his line of work. That's possibly because his agency uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original intrusion set names to manage threat intelligence, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than an unclassified, "umbrella" term for discussing threat actors in private industry. Tony did explain that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "advanced" aspect for him means conducting operations in multiple "domains," e.g., escalating to physical, non-digital attacks when necessary.

Russia v China -- Sound Familiar?

Thanks to a source who wishes to remain anonymous, I read Chinese spy mania sweeps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world, an article not from a Western publication. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, it's from Voice of Russia. Does any of this sound familiar?

[T]his is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most powerful secret service based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 principle of attracting all ethnic Chinese, wherever cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y may live. An adherent of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “total espionage” strategy, Beijing even encourages emigration in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hope that its citizens will remain loyal to and useful for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir historical homeland after moving to anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r country...

"The history of China’s espionage activities on Russian armaments is not only limited to one precedent or one type of weapons. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top Chinese priorities is to produce complete replicas of Russia’s best machines and weapons, from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sukhoi Su-33 fighter jet to missiles, aircraft carriers and so on.

This is a truly purpose-oriented strategy of a large country - snatch anything you can and reproduce it domestically," ["IT expert"] Andrei Masalovich points out.


Cynics will point out that perhaps this article is trying to deflect attention from Russia's own espionage activities. However, you can't deny that even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Russians have issues with Chinese operations.

For an example of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sorts of problems Russia is having, see this ABC News story China Still Spies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Old Fashioned Way, Russia Says:

Russia's secretive spy agency, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal Security Service (FSB), issued a rare statement Wednesday claiming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state had arrested a Chinese citizen who, posing as a translator for official delegations, was working under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 direction of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese government in an attempt to buy state secrets from Russians about Russia's S-300 missile system.

Thursday, October 06, 2011

It's All About cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Engines

(Photo credit: AINOnline)

I just read Big New Chinese Order for Russian Fighter Engines at China Defense Blog, which quoted AINOnline:

China has placed additional orders for Russian AL-31-series fighter engines. State arms trade agency Rosoboronexport clinched two big contracts earlier this year...

To serve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, Salut has established partnerships with Limin Corp. and Tyan Li company in Chengdu on deliveries and manufacturing of spare parts for both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AL-31F and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AL-31FN. Russia has also agreed to provide all necessary maintenance and repair documentation to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese partners.


To see China treats or will treat Western aircraft and aircraft engine makers, look no furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than Russia.

The comments in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDB post pointed me to this engine comparison for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 J-20, which I sometimes mention in my classes. Essentially cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese appear to be testing two engines on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 J-20, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not sure if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will use a Russian-made engine (or copy) or an "indigenous" engine (which is probably a copy of someone else's technology).

House Cybersecurity Task Force Report Released

The House Cybersecurity Task Force released its report (.pdf) today. NextGov offers a good summary in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir story House GOP Cyber Task Force Touts Industry Leadership by Jessica Herrera-Flanigan.

The report includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following recommendation:

Companies, including Internet Service Providers (ISPs) and security and software vendors, are already conducting active operations to mitigate cybersecurity attacks. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are largely done independently according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir individual business interests and priorities. Congress should facilitate an organization outside of government to act as a clearing house of information and intelligence sharing between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government and critical infrastructure to improve security and disseminate real-time information designed to help target and defeat malicious cyber activity.

I would like something bolder, like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Digital Security Board I proposed in 2006. Still, such a "clearing house" could evolve into an organization with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authority to investigate incidents, or at least contract an organization to conduct investigations, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n publish anonymized lessons and results.

I would find leading that organization to be a great challenge!

C-SPAN Posts Video of Tuesday Hearing

You can now access video of Tuesday's House Select Committee on Intelligence Hearing on Cybersecurity at C-SPAN.

Some people are already asking "what's new" about this. For me, what's new is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chairman of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HPSCI is pointing his finger straight at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat, and letting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world know in an open hearing that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary's actions are unacceptable and will not be tolerated. This is exactly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of attention and action that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat deserves and I applaud cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chairman and HPSCI for pursuing this course.

Remember that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HPSCI is more likely to hold closed hearings than open hearings due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of its classified intelligence oversight work. By conducting an open hearing, Chairman Rogers wanted to send a clear message to victims, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary.

Tuesday, October 04, 2011

Inside a Congressional Hearing on Digital Threats

Today I was fortunate to attend a hearing of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US House Permanent Select Committee on Intelligence (HPSCI). That's me on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 far left of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 photo, seated behind our MANDIANT CEO Kevin Mandia. I'd like to share a few thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 experience.

First, I was impressed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attitudes of all those involved with HPSCI, from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 staffers to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Representatives cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves. They were all courteous and wanted to hear cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opinions of Kevin and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r two witnesses (Art Coviello from RSA and Michael Hayden from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chertoff Group), whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r before, during, or after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hearing.

Second, I thought Reps Mike Rogers (R-MI, HPSCI Chairman) and C.A. Dutch Ruppersberger (D-MD, HPSCI Ranking Member) offered compelling opening statements. Rep Rogers squarely pointed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 finger at our overseas adversaries. As reported by PCWorld in U.S. Lawmakers Point to China as Cause of Cyberattacks, Rep Rogers said:

"I don't believe that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a precedent in history for such a massive and sustained intelligence effort by a government to blatantly steal commercial data and intellectual property...

China's economic espionage has reached an intolerable level and I believe that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States and our allies in Europe and Asia have an obligation to confront Beijing and demand that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y put a stop to this piracy."


You can watch all of Rep Rogers' statement on YouTube as Rep. Mike Rogers criticizes Chinese economic cyber-espionage (currently 21 views -- let's increase that!)

General Hayden reinforced Rep Rogers' sentiment with this quote:

"As a professional intelligence officer, I step back in awe of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breadth, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 depth, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sophistication, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 persistence of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese espionage effort against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States of America."

Third, I was very pleased that this hearing was conducted in an open forum, and not behind closed doors. While I haven't found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole hearing online or on TV yet (aside from Rep Rogers' statement and that of Rep Myrick (R-NC)), I encourage as much discussion as possible about this issue.

One of General Hayden's points was that we are not having a debate about how to address digital threats because no one agrees what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 facts are. If you work counter-intrusion operations every day, or participate in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intelligence community, you know what's happening. Outside that world, you likely think "APT" and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 like are false concepts. We can really only build a national approach to countering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat if enough people know what is happening.

As more information becomes available I will likely publish it via my @taosecurity Twitter account.