"Protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Data" from Whom?

This is a follow-on from my "Protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Data" Idiot! post. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r question to consider when someone says "protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data" is this: "from whom?" The answer makes all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference.

I remember a conversation I overheard or read involving Marcus Ranum and a private citizen discussing threats from nation-state actors.

Questioner: How do you protect yourself from nation-state actors?

MJR: You don't.

Q: What do you do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n?

MJR: You lose.

In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, private citizens (and most organizations who are not nation-state actors) do not have a chance to win against a sufficiently motivated and resourced high-end threat. The only actors who have a chance of defending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves against high-end threats are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r nation-state actors. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defenders don't necessarily have a defensive advantage over average joes because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nation-state possesses superior people, products, or processes. Many nation-state actors are deficient in all three. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, nation-state actors can draw on ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r instruments of power that are unavailable to average joes.

I outlined this approach in my posts The Best Cyber-Defense..., Digital Situational Awareness Methods and Counterintelligence Options for Digital Security:

[T]he best way to protect a nation's intelligence from enemies is to attack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary's intelligence services. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, conduct aggressive counterintelligence to find out what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy knows about you.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data" scenario, this means knowing how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary can access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 containers holding your data. Nation-states are generally cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only organizations with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discipline, experience, and funding to conduct cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sorts of CI actions. They are not outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 realm of organized crime or certain private groups with CI backgrounds.

To summarize, it makes no sense to ponder how to "protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data" without determining what adversaries want it. If we unify against threats we can direct our resources against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversaries we can possibly counter independently, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n petition ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs (like our governments and law enforcement) to collaborate against threats that outstrip our authority and defenses.

"Protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Data" Idiot!

The 28 September 2009 issue of InformationWeek cited a comment posted to one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir forums. I'd like to cite an excerpt from that comment.

[W]e tend to forget cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most critical asset. yet we spend inordinate time and resources trying to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perimeter... cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 servers etc. I believe and [sic] information-centric security approach of protecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data itself is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only logical approach to keep it secure at rest, in motion and in use. (emphasis added)

I hear this "protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data" argument all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time. I think it is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most misinformed comments that one can make. I think of Chris Farley smacking his head saying "IDIOT!" when I hear "protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data."

"Oh right, that's what we should have been doing for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last 10, 20, 30 years -- protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data! I feel so stupid to have not done that! IDIOT!"

"Protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data" represents a nearly fatal understanding of information security. I'm tired of hearing it, so I'm going to dismantle cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea in this post.

Now that I've surely offended someone, here are my thoughts.

Someone show me "data." What is "data" anyway? Let's assume it takes electronic form, which is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus of digital security measures. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first critical point:

Digital data does not exist independently of a container.

Think of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 many containers which hold data. Imagine looking at a simple text file retrieved from a network share via NFS and viewed with a text editor.

1. Data exists as an image rendered on a screen attached to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NFS client.


2. Data exists as a temporary file on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard drive of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NFS client, and as a file on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard drive of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NFS server.


3. Data exists in memory on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NFS client, and in memory on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NFS server.


4. The NFS client and server are computers sitting in facilities.


5. Network infrastructure carries data between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NFS client and server.


6. Data exists as network traffic exchanged between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NFS client and server.


7. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user prints cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file, it is now contained on paper (in addition to involving a printer with its own memory, hard drive, etc.)


8. The electromagnetic spectrum is a container for data as it is transmitted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screen, carried by network cables and/or wireless media, and so on.

That's eight unique categories of data containers. Some smart blog reader can probably contribute two ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs to round out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list at ten!

So where exactly do we "protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data"? "In motion/transit, and at rest" are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 popular answers. Good luck with that. Seriously. This leads to my second critical point:

If an authorized user can access data, so can an unauthorized user.

Think about it. Any possible countermeasure you can imagine can be defeated by a sufficiently motivated and resourced adversary. One example: "Solution:" Encrypt everything! Attack: Great, wait until an authorized user views a sensitive document, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n screen-scrape every page using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware installed last week.

If you doubt me, consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "final solution" that defeats any security mechanism:

Become an authorized user, e.g., plant a mole/spy/agent. If you think you can limit what he or she can remove from a "secure" site, plant an agent with a photographic memory. This is an extreme example but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no "IDIOT" solution out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.

I can make rational arguments for a variety of security approaches, from defending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network, to defending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 platform, to defending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system, to defending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application, and so on. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day, don't think that wrapping a document in some kind of rights management system or crypto is where "security" should be heading. I don't disagree that adding anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r level of protection can be helpful, but it's not like intruders are going to react by saying "Shucks, we're beat! Time to find anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r job."

Intruders who encounter so-called "protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data" approaches are going to break cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m like every ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r countermeasure deployed so far. It's just a question of how expensive it is for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder to do so. Attackers balance effort against "return" like any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r rational actor, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will likely find cheap ways to evade "protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data" approaches.

Only when relying on human agents is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cheapest way to steal data, or when it's cheaper to research develop one's own data, will digital security be able to declare "victory." I don't see that happening soon; no one in history has ever found a way to defeat crime, espionage, or any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 true names for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 so-called "information security" challenges we face.

NSM in Products

A blog reader recently asked:

I've been tasked with reevaluating our current NSM / SIEM implementation, and I see that you posted about a NetFlow book you are techediting for Lucas.

My question is this, Outside of Sguil, what do you prefer/recommend in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way of NSM products/solutions?

Our current NSM uses a modified version NetFlow and our Networking team also uses Cisco Netflow elsewhere...

While I find it useful to collect header data, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current implementation lacks payload information. So while we may be able to turn back cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clock to look at flows for a given duration, its not always possible to see valuable contents...

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r wall I have hit with NetFlow is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 communication of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protocol takes place in somewhat of a half duplex manner (I.E. it is possible to receive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 response flow before you receive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 request flow) thus making it difficult to assure a particular direction without some processing...

I have yet to see a blog post covering any consolidated comparisons to solutions regarding NSM.

I do have your NSM book on order from Amazon today if it already has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answers I'm looking for...

As always, thank you for your time Richard, I appreciate it greatly.

Thank you for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question. I don't recommend specific products, but I do recommend NSM data types. That way, you can ask cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor which NSM data types cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y support, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n decide if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir answer is 1) correct and 2) sufficient. For reference, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 six NSM data types are:

1. Alert: judgment made by a product ("Port scan!" or "Buffer overflow!"); eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r detect or block


2. Statistical: high-level description of activity (protocol percentages, trending, etc.)


3. Session: conversations between hosts ("A talked to B on Friday for 61 seconds sending 1234 bytes")


4. Full Content: all packets on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wire


5. Extracted Content: rebuild elements of a session and extract metadata


6. Transaction: generate logs based on request-reply traffic (DNS, HTTP, etc.)

2018 note: in 2013 I added "metadata" as an NSM data type, such as WHOIS data about IP addresses or domain names observed in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r NSM data. Also note that in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Extracted Content" column below, Bro has supported file extraction since at least 2013 (possibly earlier).

Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se six types, I can make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following general assessments of products. This is my opinion based on products I have encountered. If you find a product that performs better than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 general categories I describe, excellent!


If you want to learn more about this, I'll be discussing it during my solo presentation at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2009 Information Security Summit, October 29-30, 2009 at Corporate College East in Warrensville Heights, Ohio.

Technical Visibility Levels

It's no secret that I think technical visibility is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key to trustworthy technology. Via Twitter I wrote The trustworthiness of a digital asset is limited by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 owner's capability to detect incidents compromising cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 integrity of that asset. This topic has consumed me recently as relatively closed but IP-enabled systems proliferate. This ranges from handheld computers (iPhone, Blackberry, etc.) all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way to systems hosted in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud. How are we supposed to trust any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m?

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first problems we should address is how to describe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of technical visibility afforded by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se technologies. The following is very rough and subject to modification, but I'm thinking in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se terms right now.

• Level 0. System status available only by observing explicit failure.


• Level 1. Anecdotal status reporting or limited status reporting.


• Level 2. Basic status reporting via portal or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r non-programmatic interface.


• Level 3. Basic logging of system state, performance, and related metrics via defined programmatic interface.


• Level 4. Debug-level logging (extremely granular, revealing inner workings) via defined programmatic interface.


• Level 5. Direct inspection of system state and related information possible via one or more means.

Let me try to provide some examples.

• Level 0. I pick up my POTS line and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no dial tone.


• Level 1. status.twitter.com. Gmail Last account activity.


• Level 2. www.google.com/appsstatus. status.aws.amazon.com


• Level 3. Pick an app that writes to /var/log/messages on Unix. Cisco IOS logging. Amazon S3 Server Access Logging.


• Level 4. Pick an app that writes debug-level messages to /var/log/messages on Unix. Cisco IOS debug logging.


• Level 5. Tcpdump of network traffic. Memory capture and analysis.

There must be dozens of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r examples here. Keep in mind this is more of a half-thought than a finished thought, but I've been sitting on it for too long. Hopefully out in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open someone might comment on it. Thank you.

Hakin9 5/2009 Issue

I just received a review copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 5/2009 issue of Hakin9 magazine. Several articles look interesting, such as Windows Timeline Analysis by Harlan Carvey, The Underworld of CVV Dumping by Julian Evans, and a few ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs on malware analysis and ASLR. Check it out!

Incident Handler, Incident Analyst, Threat Analyst, and Developer Positions in GE-CIRT

My team just opened five more positions. These candidates will report to me in GE-CIRT.

• Information Security Incident Handler (1093498)


• Information Security Incident Analyst (two openings, 1093494)


• Cyber Threat Analyst (1093497)


• Information Security Software Developer (1093499)

These candidates will sit in our new Advanced Manufacturing & Software Technology Center in Van Buren Township, Michigan. We don't have any flexibility regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 location for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se positions, and all five must be US citizens. No security clearance is required however!

If interested, search for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 indicated job numbers at ge.com/careers or go to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job site to get to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 search function a little faster. We are being deluged by applicants for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SIEM role, so your best bet is to apply online and let me find you after reading your resume. Thank you.

Traffic Talk 7 Posted

I just noticed that my 7th edition of Traffic Talk, titled How to deploy NetFlow v5 and v9 probes and analyzers, was posted on 28 September. I submitted it back in mid-August but it's on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web now.

On a related note, I am tech editing a forthcoming book on NetFlow by Michael Lucas titled Network Flow Analysis. Michael is probably my favorite technical author, so keep an eye open for his book in May 2010.