Tuesday, December 06, 2011

Mandiant Webinar Wednesday; Help Us Break a Record!

I'm back for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last Mandiant Webinar of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 year, titled State of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Hack: It's The End of The Year As We Know It - 2011. And you know what? We feel fine! That's right, join Kris Harms and me Wednesday at 2 pm eastern as we discuss our reactions to noteworthy security stories from 2011.

Register now and help Kris and me beat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attendee count from last month's record-setting Webinar.

If you have questions about and during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Webinar, you can always send cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m via Twitter to @mandiant and use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hashtag m_soh.

Tripwire Names Bejtlich #1 of "Top 25 Influencers in Security"

I've been listed in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r "top whatever" security lists a few times in my career, but appearing in Tripwire's Top 25 Influencers in Security You Should Be Following today is pretty cool! Tripwire is one of those technologies and companies that everyone should know. It's almost like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Xerox" of security because so many people equate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of change monitoring with Tripwire. So, I was happy to see my twitter.com/taosecurity feed and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 taosecurity.blogspot.com blog make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir cut.

David Spark asked for my "security tip for 2012," which I listed as:

Improve your incident detection and response program by answering two critical questions:

1. How many systems have been compromised in any given time period; and

2. How much time elapsed between incident identification and containment for each system?

Use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answers to improve and guide your overall security program.


Those of you on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 securitymetrics mailing list, and a few ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r places, have heard me speaking about this topic. I'll probably blog about it in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future, but suffice it to say that those are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key issues you should address in 2012 in my opinion.

Monday, December 05, 2011

Become a Hunter

Earlier this year SearchSecurity and TechTarget published a July-August 2011 issue (.pdf) with a focus on targeted threats. Prior to joining Mandiant as CSO I wrote an article for that issue called "Become a Hunter":

IT’S NATURAL FOR members of a technology-centric industry to see technology as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 solution to security problems. In a field dominated by engineers, one can often perceive engineering methods as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer to threats that try to steal, manipulate, or degrade information resources. Unfortunately, threats do not behave like forces of nature. No equation can govern a threat’s behavior, and threats routinely innovate in order to evade and disrupt defensive measures.

Security and IT managers are slowly realizing that technology-centric defense is too easily defeated by threats of all types. Some modern defensive tools and techniques are effective against a subset of threats, but security pros in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trenches consider
cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “self-defending network” concept to be marketing at best and counter-productive at worst. If technology and engineering aren’t cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer to security’s woes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n what is?


Download and read my article starting on page 19 for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer! July-August 2011 issue (.pdf)

Tuesday, November 29, 2011

National Public Radio Talks Chinese Digital Espionage

When an organization like National Public Radio devotes an eleven minute segment to Chinese digital espionage, even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 doubters have to realize something is happening. Rachel Martin's story China's Cyber Threat A High-Stakes Spy Game is excellent and well worth your listening (.mp3) or reading time.

Rachel interviews three sources: Ken Lieberthal of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Brookings Institution, Congressman Mike Rogers (chairman of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 House Intelligence Committee), and James Lewis from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Center for Strategic and International Studies.

If you listen to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report you'll hear James Lewis mention "a famous letter from three Chinese scientists to Deng Xiaoping in March of 1986 that says we're falling behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Americans. We're never going to catch up unless we make a huge investment in science and technology."

James is referring to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 so-called 863 Program (Wikipedia). You can also read directly from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese government itself here, e.g.:

In 1986, to meet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 global challenges of new technology revolution and competition, four Chinese scientists, WANG Daheng, WANG Ganchang, YANG Jiachi, and CHEN Fangyun, jointly proposed to accelerate China’s high-tech development. With strategic vision and resolution, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 late Chinese leader Mr. DENG Xiaoping personally approved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National High-tech R&D Program, namely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 863 Program.

Implemented during three successive Five-year Plans, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program has boosted China’s overall high-tech development, R&D capacity, socio-economic development, and national security.

In April 2001, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese State Council approved continued implementation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 10th Five-year Plan. As one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 national S&T program trilogy in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 10th Five-year Plan, 863 Program continues to play its important role.

1. Orientation and Objectives

Objectives of this program during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 10th Five-year Plan period are to boost innovation capacity in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 high-tech sectors, particularly in strategic high-tech fields, in order to gain a foothold in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world arena; to strive to achieve breakthroughs in key technical fields that concern cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 national economic lifeline and national security; and to achieve “leap-frog” development in key high-tech fields in which China enjoys relative advantages or should take strategic positions in order to provide high-tech support to fulfill strategic objectives in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 implementation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third step of our modernization process.


There's more to read, but that gives you a sense of what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "letter" involves.

I hope this NPR story helps some of you realize that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 China threat is not "hype." Consider Dr Lieberthal in relation to Chairman Rogers and Jim Lewis. You can decide to try to refute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir positions by saying that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chairman has "an agenda," and Mr Lewis is essentially too distant from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem. I personally think Chairman Rogers is right on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 money, but I sometimes question where Mr Lewis gets his information.

Dr Lieberthal, however, is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world's finest minds regarding China (Wikipedia entry), and he served in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Clinton administration. He even wrote a book on how to achieve corporate success in China (Managing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 China Challenge: How to Achieve Corporate Success in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 People's Republic). He is not a "China hawk" trying to start some kind of "war" with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese, yet he takes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat seriously enough to discuss cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 countermeasures he takes when visiting China ten times a year. Do those who doubt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 China threat still believe it's all "hype"?

Saturday, November 26, 2011

Dustin Webber Creates Network Security Monitoring with Siri

Dustin Webber just posted a really cool video called Network Security Monitoring with Siri. He shows how he uses his iPhone 4S and SiriProxy to interact with his Snorby Network Security Monitoring platform.

The following screenshot shows Dustin asking "Can you show me what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last severity medium event was?" and Siri answering.



Later he asks Siri to tell him about "incident 15":



Near cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end Dustin asks Siri if she likes Network Security Monitoring:



This is just about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 coolest thing I've seen all year. Ten years ago I thought it was cool to listen to Festival read Sguil events out loud -- now Dustin shows how to interact with a NSM platform by voice command. Amazing!

Trying NetworkMiner Professional 1.2

Erik Hjelmvik was kind enough to send an evaluation copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest version of his NetworkMiner traffic analysis software. You can download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 free edition from SourceForge as well. I first mentioned NetworkMiner on this blog in September 2008.

NetworkMiner is not a protocol analyzer like Wireshark. It does not take a packet-by-packet approach to representing traffic. Instead, NetworkMiner displays traffic in any one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following ways: as hosts, frames, files, images, messages, credentials, sessions, DNS records, parameters, keywords, or cleartext. To demonstrate a few of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se renderings, I asked NetworkMiner to parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sample pcap from a sample lab from TCP/IP Weapons School 2.0. I did not need to install it; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software starts from a single executable and loads several DLLs in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 associated directory.

The following screen capture shows information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Hosts tab, showing what NetworkMiner knows about 192.168.230.4.



Notice that in addition to summarizing information about traffic to and from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host, in terms of packets or sessions, we also see what NetworkMiner knows about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host, like Queried NetBIOS names, Web Browser User Agents, and so on.

The following screen capture shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Files tab. This displays all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content that NetworkMiner extracted from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis workstation hard drive (or in my case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NetworkMiner USB thumb drive).



I think NetworkMiner is pretty cool, especially given what you can do with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 free version. My primary recommendation for improvement would be an interface that allows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user to easily pivot from one piece of information to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next. With cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current environment, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst seems confined to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tab at hand. I would like to see a way to right click on an element of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 displayed information and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n execute a query based on my selection. It would also be helpful to be able to right click and open associated data in anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r traffic analysis program like Wireshark.

Thank you to Erik Hjelmvik for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opportunity to take anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r look at NetworkMiner!

Wednesday, November 23, 2011

Thoughts on 2011 ONCIX Report

Many of you have probably seen coverage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2011 ONCIX Reports to Congress: Foreign Economic and Industrial Espionage. I recommend every security professional read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest edition (.pdf). I'd like to highlight cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key findings of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2011 version:

Pervasive Threat from Adversaries and Partners

Sensitive US economic information and technology are targeted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intelligence services, private sector companies, academic and research institutions, and citizens of dozens of countries.

• Chinese actors are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world’s most active and persistent perpetrators of economic espionage. US private sector firms and cybersecurity specialists have reported an onslaught of computer network intrusions that have originated in China, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IC cannot confirm who was responsible.

• Russia’s intelligence services are conducting a range of activities to collect economic information and technology from US targets.

• Some US allies and partners use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir broad access to US institutions to acquire sensitive US economic and technology information, primarily through aggressive elicitation and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r human intelligence (HUMINT) tactics. Some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se states have advanced cyber capabilities.


What's so significant about that section? The ONCIX is naming names right from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 start, and concentrating squarely on China and Russia.

Contrast cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2011 approach with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2008 report. If you search for "China" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2008 edition, you'll see only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sections in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main body of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report:


  • China and Russia accounted for a considerable portion of foreign visits to DOE facilities during FY 2008.

  • China continues to be a leading competitor in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 race for clean coal technology.

  • The DNI Open Source Center (OSC) contributes to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CI community’s effort against
    China by monitoring foreign-language publications and Web sites for indications of
    threats and sharing this information with appropriate agencies, including law
    enforcement.



That's very different from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 direct approach taken in 2011. However, if you check "Appendix B: Selected Arrests and Convictions for Economic Collection and Industrial Espionage Cases in FY 2008," in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2008 report, you find China listed as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perpetrator of 7 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 23 cases! So, although China has been an active threat for many years, only now is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ONCIX shining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spotlight on that country (along with Russia) as primary threats to US secrets and intellectual property.