Saturday, August 30, 2008

General Chilton on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cyber Fight

A friend of mine defending .mil pointed me towards this article by Wyatt Cash: Cyber chief argues for new approaches. The "cyber chief" in question is Air Force General Kevin Chilton, a 1976 USAFA graduate and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first astronaut to achieve four stars. I'd like to share several excerpts:

The military’s commander of U.S. Strategic Command in charge of cyberspace, Air Force Gen. Kevin Chilton, warned that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 underlying challenges and costs of operating in cyberspace often go unrecognized. And he proposed several measures to improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military’s non-classified networks.

“The hardest thing we’re challenged to do in cyberspace,” said Chilton, isn’t defending against cyberattacks. It is “operating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 net under attack...”

“People talk about defending or exploiting cyberspace, but we don’t talk much about operating it if it’s under attack,” Chilton said. “It’s not easy work. And it’s not work to be taken on by amateurs.”

Chilton argued that many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incidents that are billed as cyberattacks are more accurately just old-fashioned espionage — people looking for information who don’t necessarily represent military threats.

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “exfiltration of data is huge” and is cause for concern, he said...

“Every time we have a problem or a virus is loaded, or someone comes in and takes over systems administration of a computer or a server, we have to take that system offline, scrub it, and sometimes throw it away. Guess what: That ain’t free,” said Chilton.

“We’re trying to get our arms around how much this is costing us every time someone breaks into our NIPRNet [unclassified but sensitive Internet protocol router network]. Some estimates are around $100 million a year; some people think that figure is low,” Chilton said...

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r step, which Chilton detailed with reporters after his presentation, would involve investing more heavily on sensor technology to filter and monitor data traffic. That would not only improve awareness and response times but ease cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mounting burden of forensic work, Chilton said.

Chilton also proposed making “cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operation and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defense of our network, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commander’s business,” arguing for commanders to hold people more accountable when network incidents occur.

Looking ahead, Chilton stressed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of increasing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of people who are trained and equipped in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workings of cyberspace to be ready for attacks during a time of war.

“Like in any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r domain, we need to train like we’re going to fight, and we’re in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fight every day already,” he said.


I am very interested in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost question. I devised a "debt" scenario at work to describe this problem. It's common to try to justify a security program (product, process, and/or person) using loss avoidance terminology. However, not all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 losses one seeks to avoid will in fact be avoided. Speaking strictly from a system integrity point of view (to simplify this dicussion), each system that is compromised incurs a future cost. Again radically simplified, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most basic cost involves rebuilding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system from scratch (if one acts conservatively).

General Chilton undoubtedly wants to know how much that one process costs. Imagine that you defer that cost by not detecting and responding to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusion. Perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder is stealthy. Perhaps you detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack but cannot respond for a variety of reasons (see Getting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Job Done). The longer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusion remains active, I would argue, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more debt one builds.

This should be easy to justify in a cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365oretical sense. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 longer an intrusion persists:

  1. The greater cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 likelihood cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder finds and steals, alters or destroys something of value on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system

  2. The greater cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 likelihood cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder will identify a way to compromise ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r systems

  3. The greater cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 likelihood that relevant log files from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusion will expire

  4. The more difficult it could become for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR team to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusion

  5. The more entrenched cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder could become as he learns cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inner workings of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim's security and administration processes


I'm sure you could imagine ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r problems with having persistent intruders. For budget justification purposes, it would be helpful to quantify this financially. Perhaps it would be possible for teams who have spent money on outside IR consulting to reason backwards from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final bill to create a rough estimate of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se costs?

I bet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $100 million figure is for clean-up costs alone. It doesn't factor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 damage caused by an adversary power knowing how to detect American submarines in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Taiwan Strait, or knowing how to fool missiles fired by American jets, or any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r costs in lives and hardware associated with a future battle with an enemy well-versed in American military technology.

Overall, it's great to see this much attention at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 four-star level.

Friday, August 29, 2008

Splunk on Ubuntu 8.04

I've been using Splunk at work, so I decided to try installing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 free version on a personal laptop. Splunk is a log archiving and search product which I recommend security professionals try. Once you've used it you will probably think of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ways to leverage its power. Anyone can use a free version that indexes up to 500 MB per day, so it's perfect for a personal laptop's logs. This machine runs Ubuntu 8.04.

By default Splunk installs into /opt. Unfortunately when I built this system, I didn't create a /opt partition, and / is too small. So, I decided to create a symlink in /var/opt and accept cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defaults when installing Splunk.
 
root@neely:/usr/local/src# ls -d /opt
/opt
root@neely:/usr/local/src# rmdir /opt
root@neely:/usr/local/src# ln -s /var/opt /opt

Next I installed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .deb that Splunk provides. I've also used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .rpm on Red Hat Enterprise Linux.

root@neely:/usr/local/src# dpkg -i splunk-3.3.1-39933-linux-2.6-intel.deb
Selecting previously deselected package splunk.
(Reading database ... 142815 files and directories currently installed.)
Unpacking splunk (from splunk-3.3.1-39933-linux-2.6-intel.deb) ...
Setting up splunk (3.3.1-39933) ...
----------------------------------------------------------------------
Splunk has been installed in:
/opt/splunk

To start Splunk, run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command:
/opt/splunk/bin/splunk start

To use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Splunk Web interface, point your browser at:
http://neely:8000

Complete documentation is at http://www.splunk.com/r/docs
----------------------------------------------------------------------

That was easy. Next I start Splunk.

root@neely:/usr/local/src# /opt/splunk/bin/splunk start

Splunk Free Software License Agreement
THIS SPLUNK SOFTWARE LICENSE AGREEMENT (THE "AGREEMENT") GOVERNS ALL SOFTWARE PR
...edited...
ditions of this Agreement will remain in full force and effect.
Do you agree with this license? [y/n]: y
Copying '/var/opt/splunk/etc/myinstall/splunkd.xml.default'
to '/var/opt/splunk/etc/myinstall/splunkd.xml'.
Copying '/var/opt/splunk/etc/modules/distributedSearch/config.xml.default'
to '/var/opt/splunk/etc/modules/distributedSearch/config.xml'.
/var/opt/splunk/etc/auth/audit/private.pem
/var/opt/splunk/etc/auth/audit/public.pem
/var/opt/splunk/etc/auth/audit/private.pem generated.
/var/opt/splunk/etc/auth/audit/public.pem generated.

/var/opt/splunk/etc/auth/audit/private.pem
/var/opt/splunk/etc/auth/audit/public.pem
/var/opt/splunk/etc/auth/audit/private.pem generated.
/var/opt/splunk/etc/auth/audit/public.pem generated.


This appears to be your first time running this version of Splunk.
Validating databases...
Creating /var/opt/splunk/var/lib/splunk/audit/thaweddb
Creating /var/opt/splunk/var/lib/splunk/blockSignature/thaweddb
Creating /var/opt/splunk/var/lib/splunk/_internaldb/thaweddb
Creating /var/opt/splunk/var/lib/splunk/fishbucket/thaweddb
Creating /var/opt/splunk/var/lib/splunk/historydb/thaweddb
Creating /var/opt/splunk/var/lib/splunk/defaultdb/thaweddb
Creating /var/opt/splunk/var/lib/splunk/sampledata/thaweddb
Creating /var/opt/splunk/var/lib/splunk/splunkloggerdb/thaweddb
Creating /var/opt/splunk/var/lib/splunk/summarydb/thaweddb
Validated databases: _audit, _blocksignature, _internal, _cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365fishbucket, history, main,
sampledata, splunklogger, summary

Checking prerequisites...
Checking http port [8000]: open
Checking mgmt port [8089]: open
Verifying configuration. This may take a while...
Finished verifying configuration.
Checking index directory...
Verifying databases...
Verified databases: _audit, _blocksignature, _internal, _cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365fishbucket, history, main,
sampledata, splunklogger, summary

Checking index files
All index checks passed.
All preliminary checks passed.
Starting splunkd...
Starting splunkweb.../var/opt/splunk/share/splunk/certs does not exist. Will create
Generating certs for splunkweb server
Generating a 1024 bit RSA private key
.......++++++
...............................++++++
writing new private key to 'privkeySecure.pem'
-----
Signature ok
subject=/CN=neely/O=SplunkUser
Getting CA Private Key
writing RSA key

Splunk Server started.

The Splunk web interface is at http://neely:8000
If you get stuck, we're here to help. Feel free to email us at 'support@splunk.com'.

Now I point Firefox to port 8000 on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 local machine.



Cool. I need to tell Splunk to log something, so I select Index Files and point it to /var/log.



Returning to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main screen, within seconds Splunk has indexed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 measly 8 MB or so of logs I have in /var/log.



Now I'm ready to start searching. For fun I start typing 'samba' in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 search box, and decide to look at 'sambashare' as Splunk shows me what's been indexed.



That's it. The big caveat here is that you need to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web and administration ports (8000 and 8089 TCP) yourself -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 free Splunk doesn't even have aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication. There are several tutorials on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web about that, mainly about firewalling those ports and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n using a Web proxy or similar to access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ports locally.

Sunday, August 17, 2008

SecureWorks on Building and Sustaining a Security Operations Center

I received an email notifying me of a Webcast by SecureWorks titled Building and Sustaining a Security Operations Center. I'd like to highlight a few aspects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Webcast that caught my attention.

First, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slide below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 functions that SecureWorks considers to be in scope for a SOC. I noticed it includes device management. I think that function is mostly integrated with regular "IT" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se days, so your SOC might not have to worry about keeping security devices running. Configuration is probably best handled by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SOC however.



Second, I liked seeing a slide with numbers of events being distilled into incidents.



Third, I thought this slide made a good point. You want to automate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 early stages of security operations as much as possible (90% tech), but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 response processes tend to be very skill-intensive (which translates into higher overall salary costs, i.e., you may have fewer IR handlers, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could cost more than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event analysts). The "Adapt" section on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right seems to depict that mature operations end up spending about half of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir budget on tech and half on people. Mature operations realize that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir people must keep up-to-date with attacks and vulnerabilities, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y fail to "adapt" and become dated and ineffective.



Finally, SecureWorks spent a lot of time talking about "co-sourcing," or having an in-house team meeting its core security competencies, while an outside group (like SecureWorks, hey!) fills in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gaps. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MSSP industry response to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent trend for companies to move cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security function back in-house. I think it makes sense, however. Using outside vendors for security intelligence and high-end attack and artifact analysis is a smart way to spend your money.

Renesys on Threats to Internet Routing and Global Connectivity

When I attended cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FIRST 2008 conference in Vancouver, BC in June, one of my favorite talks was Threats to Internet Routing and Global Connectivity by Earl Zmijewski from Renesys. I've always liked learning about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Big Internet, where 250,000+ routes are exchanged over BGP and 45,000 updates per minute is considered a "quiet" load! I was This was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time I heard of Pretty Good BGP, summarized by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subtitle of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 linked .pdf paper: Improving BGP by Cautiously Adopting Routes.

Thoughts on OMFW and DFRWS 2008

Last week I was very happy to attend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2008 Open Memory Forensics Workshop (OMFW) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Digital Forensic Research Workshop. Aaron Walters of Volatile Systems organized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OMFW, which consisted of about 40 attendees and a mix of panels and talks in 10 quick afternoon sessions. My first impression of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event was that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 underground could have set digital forensics back 3-5 years if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had attacked our small conference room. Where else do you have Eoghan Casey, Brian Carrier, Harlan Carvey, Michael Cohen, Brendan Dolan-Gavitt, George Garner Jr., Jesse Kornblum, Andreas Schuster, Aaron Walters, et al, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same room? I thought Brian Dykstra framed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation properly when asking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following: "I know this is an easy question for all you 'beautiful minds,' but..."

Following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OMFW, I attended cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first two days of DFRWS. I thought Secret Service Special Agent Ryan Moore started cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference well by describing his investigations of point-of-sale compromises (announced by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI as a retail hacking ring) (.pdf). This was probably cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best .gov presentation I've seen in a while. I was impressed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 degree to which SA Moore used open source, because he wanted to show retailers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could vastly improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security using low-cost methods.

The remainder of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DFRWS presentations were a mix of academic-style presentations, tool development updates, and reports on practical issues faced in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field. The academic presentations made an impression on me; I noticed that those sorts of talks are some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 closest we have to "computer science." For example, you develop a new algorithm or technique (perhaps to carve memory), and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 method against a range of samples.

In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cases, researchers "simply" seek to understand how a system works. I say "simply," because you might think "Hey, it's a computer. It must be easy to figure out." Instead, researchers find that systems (OS, applications, whatever) don't do what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir developers claim cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internals are more complicated than at first glance, or any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r number of permutations make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reality diverge sharply from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory.

In terms of technical notes, OMFW and DFRWS contained many little tidbits. For example, I was reminded that one can alter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 run-time configuration of any Windows system by writing directly to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry in memory. Normally cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se changes are synced to disk every 5 seconds, but those can be avoided because direct memory access avoids cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows APIs which would result in changes being saved. It was cool to hear about matching packets in memory with similar packets captured outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system (via network sniffer) in order to improve attribution. (Those packets in memory can be associated with a user logged in at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory was captured.)

Integrating evidence via framework tools is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365me. PyFlag looks great for this. I must congratulate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Volatility/PyFlag team for winning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2008 DFRWS Challenge, a sort of CTF for defenders. (Notice this gets zero press. Defense is not glamourous.) Reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir team submission is a learning experience. Indeed, I was very impressed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of expertise applied to each challenge. I'd like to review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 archives to see how previous events have been investigated.

Getting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Job Done

As an Air Force Academy cadet I was taught a training philosophy for developing subordinates. It used a framework of Expectations - Skills - Feedback - Consequences - Growth. This model appears in documents like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFOATS Training Guide. In that material, and in my training, I was taught that any problem a team member might encounter could be summarized as a skill problem or a will problem. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years since I learned those terms, and especially while working in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corporate sector, I've learned those two limitations are definitely not enough to describe challenges to getting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job done. I'd like to flesh out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 model here.

The four challenges to getting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job done can be summarized thus:

  1. Will problem. The party doesn't want to accomplish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 task. This is a motivation problem.

  2. Skill problem. The party doesn't know how to accomplish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 task. This is a methods problem.

  3. Bill problem. The party doesn't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resources to accomplish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 task. This is a money problem.

  4. Nil problem. The party doesn't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authority to accomplish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 task. This is a mojo problem.


I have encountered plenty of roles where I am motivated and technically equipped, but without resources and power. I think that is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard situation for incident responders, i.e., you don't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence needed to determine scope and impact, and you don't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authority to change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation in your favor. What do you think?

Friday, August 15, 2008

Microsecurity vs Macrosecurity

I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following insight by Ravila Helen White in
Information Security and Business Integration
to be fascinating:

Economists figured out long ago that in order to understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 economy, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would have to employ a double-pronged approach. The first approach would look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 economy by gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ring data from individuals and firms on a small scale. The second approach would tackle analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 economy as a whole. Thus was born micro and macro economics.

We can make information security more consumable by taking a page from economics. If we divide information security in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same manner as economics (its analytical form), we get micro information security and macro information security.

Micro information security is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nuts and bolts that support an organization's information security practice. It's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology, controls, countermeasures and tactical solutions that are employed day-to-day to defend against cyber threats. It's a step-by-step examination of information security for educational purposes and to facilitate discussion with our peers.

Macro information security is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 big picture and can be utilized to keep management in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 loop. It's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blueprint, framework, strategic plan, road map, governance and policies designed to influence and protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise. It's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bottom line.

Macro information security also extends externally to support partners and customers as well as ensure compliance with regulations. Internal organization extension includes support of convergence programs and includes alignment to business goals and objectives.

Macro information security enables security leaders to align cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program(s) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y oversee with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business. It bridges information security vernacular with traditional business acumen. When used correctly, macro information security can be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool that equals success. And, success is being invited back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 table again and again.


I like this separation, although I am not as comfortable with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact definitions. If you're fuzzy about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference between microeconomics and macroeconomics, Wikipedia is helpful:

Microeconomics is a branch of economics that studies how individuals, households and firms make decisions to allocate limited resources, typically in markets where goods or services are being bought and sold.

Microeconomics examines how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se decisions and behaviours affect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 supply and demand for goods and services, which determines prices; and how prices, in turn, determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 supply and demand of goods and services.


Macroeconomics is a branch of economics that deals with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 performance, structure, and behavior of a national or regional economy as a whole... Macroeconomists study aggregated indicators such as GDP, unemployment rates, and price indices to understand how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole economy functions. Macroeconomists develop models that explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relationship between such factors as national income, output, consumption, unemployment, inflation, savings, investment, international trade and international finance.

The differences are striking and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 distinction helpful. I don't think anyone thinks of a microeconomist in a negative light because he or she doesn't dwell on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "big picture" macroeconomic view. It's simply two different ways to contemplate and explain economic activity.

We have a separation of sorts in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security world. Macrosecurity types like to think about aggregate risk, capturing metrics, and enterprise-wide security postures. Microsecurity types prefer to focus on individual networks, hosts, applications, operating systems, and hardware, along with specific attack and defense options.

I think I prefer microsecurity issues but spend time on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 macro side when I have to justify my work to management.