Showing posts with label advice. Show all posts
Showing posts with label advice. Show all posts

Tuesday, April 07, 2020

If You Can't Patch Your Email Server, You Should Not Be Running It

CVE-2020-0688 Scan Results, per Rapid7

tl;dr -- it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 title of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post: "If You Can't Patch Your Email Server, You Should Not Be Running It."

I read a disturbing story today with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following news:

"Starting March 24, Rapid7 used its Project Sonar internet-wide survey tool to discover all publicly-facing Exchange servers on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 numbers are grim.

As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y found, 'at least 357,629 (82.5%) of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 433,464 Exchange servers' are still vulnerable to attacks that would exploit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CVE-2020-0688 vulnerability.

To make matters even worse, some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 servers that were tagged by Rapid7 as being safe against attacks might still be vulnerable given that 'cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 related Microsoft update wasn’t always updating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 build number.'

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, 'cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are over 31,000 Exchange 2010 servers that have not been updated since 2012,' as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Rapid7 researchers observed. 'There are nearly 800 Exchange 2010 servers that have never been updated.'

They also found 10,731 Exchange 2007 servers and more than 166,321 Exchange 2010 ones, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 former already running End of Support (EoS) software that hasn't received any security updates since 2017 and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latter reaching EoS in October 2020."

In case you were wondering, threat actors have already been exploiting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se flaws for weeks, if not months.

Email is one of, if not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most, sensitive and important systems upon which organizations of all shapes and sizes rely. The are, by virtue of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir function, inherently exposed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet, meaning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 range of every targeted or opportunistic intruder, worldwide.

In this particular case, unpatched servers are also vulnerable to any actor who can download and update Metasploit, which is virtually 100% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

It is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 height of negligence to run such an important system in an unpatched state, when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are much better alternatives -- namely, outsourcing your email to a competent provider, like Google, Microsoft, or several ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs.

I expect some readers are saying "I would never put my email in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hands of those big companies!" That's fine, and I know several highly competent individuals who run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own email infrastructure. The problem is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y represent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 small fraction of individuals and organizations who can do so. Even being extremely generous with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 numbers, it appears that less than 20%, and probably less than 15% according to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r estimates, can even keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir Exchange servers patched, let alone properly configured.

If you think it's still worth cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk, and your organization isn't able to patch, because you want to avoid megacorp email providers or government access to your email, you've made a critical miscalculation. You've essentially decided that it's more important for you to keep your email out of megacorp or government hands than it is to keep it from targeted or opportunistic intruders across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet.

Incidentally, you've made anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r mistake. Those same governments you fear, at least many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, will just leverage Metasploit to break into your janky email server anyway.

The bottom line is that unless your organization is willing to commit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resources, attention, and expertise to maintaining a properly configured and patched email system, you should outsource it. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise you are being negligent with not only your organization's information, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information of anyone with whom you exchange emails.

Thursday, March 12, 2020

COVID-19 Phishing Tests: WRONG

Malware Jake Tweeted a poll last night which asked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

"I have an interesting ethical quandary. Is it ethically okay to use COVID-19 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365med phishing emails for assessments and user awareness training right now? Please read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thread before responding and RT for visibility. 1/"

Ultimately he decided:

"My gut feeling is to not use COVID-19 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365med emails in assessments/training, but to TELL users to expect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, though I understand even that might discourage consumption of legitimate information, endangering public health. 6/"

I responded by saying this was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right answer.

Thankfully cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were many people who agreed, despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that voting itself was skewed towards cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "yes" answer.

There were an uncomfortable number of responses to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tweet that said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's nothing wrong with red teams phishing users with COVID-19 emails. For example:

"Do criminals abide by ethics? Nope. Neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r should testing."

"Yes. If it's in scope for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 badguys [sic], it's in scope for you."

"Attackers will use it. So I think it is fair game."

Those are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong answers. As a few ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs outlined well in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir responses, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that a criminal or intruder employs a tactic does not mean that it's appropriate for an offensive security team to use it too.

I could imagine several COVID-19 phishing lures that could target school districts and probably cause high double-digit click-through rates. What's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of that? For a "community" that supposedly considers fear, uncertainty, and doubt (FUD) to be anacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ma, why introduce FUD via a phishing test?

I've grown increasingly concerned over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past few years that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a "cult of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offensive" that justifies its activities with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rationale that "intruders do it, so we should too." This is directly observable in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 replies to Jake's Tweet. It's a thin veneer that covers bad behavior, outweighing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 small benefit accrued to high-end, 1% security shops against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 massive costs suffered by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vast majority of networked global organizations.

The is a selfish, insular mindset that is reinforced by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 echo chamber of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 so-called "infosec community." This "tribe" is detached from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concerns and ethics of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 larger society. It tells itself that what it is doing is right, oblivious or unconcerned with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 costs imposed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organizations cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are supposedly "protecting" with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir backwards actions.

We need people with feet in both worlds to tell this group that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir approach is not welcome in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 broader human community, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 costs it imposes vastly outweigh cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefits.

I've written here about ethics before, usually in connection with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only real value I saw in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP -- its code of ethics. Reviewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "code," as it appears now, shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

"There are only four mandatory canons in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Code. By necessity, such high-level guidance is not intended to be a substitute for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ethical judgment of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 professional.

Code of Ethics Preamble:

The safety and welfare of society and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 common good, duty to our principals, and to each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, requires that we adhere, and be seen to adhere, to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 highest ethical standards of behavior.
Therefore, strict adherence to this Code is a condition of certification.

Code of Ethics Canons:

Protect society, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 common good, necessary public trust and confidence, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure.
Act honorably, honestly, justly, responsibly, and legally.
Provide diligent and competent service to principals.
Advance and protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 profession."

This is almost worthless. The only actionable item in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "code" is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word "legally," implying that if a CISSP holder was convicted of a crime, he or she could lose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir certification. Everything else is subject to interpretation.

Contrast that with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USAFA Code of Conduct:

"We will not lie, steal, or cheat, nor tolerate among us anyone who does."

While it still requires an Honor Board to determine if a cadet has lied, stolen, cheated, or tolerated, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's much less gray in this statement of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Academy's ethics. Is it perfect? No. Is it more actionable than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP's version? Absolutely.

I don't have "solutions" to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ethical bankruptcy manifesting in some people practicing what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y consider to be "information security." However, this post is a step towards creating red lines that those who are not already hardened in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir ways can observe and integrate.

Perhaps at some point we will have an actionable code of ethics that helps newcomers to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field understand how to properly act for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefit of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 human community.

Wednesday, May 29, 2019

Know Your Limitations

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1973 Clint Eastwood movie Magnum Force, after Dirty Harry watches his corrupt police captain explode in a car, he says "a man's got to know his limitations."

I thought of this quote today as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 debate rages about compromising municipalities and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r information technology-constrained yet personal information-rich organizations.

Several years ago I wrote If You Can't Protect It, Don't Collect It. I argued that if you are unable to defend personal information, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you should not gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r and store it.

In a similar spirit, here I argue that if you are unable to securely operate information technology that matters, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you should not be supporting that IT.

You should outsource it to a trustworthy cloud provider, and concentrate on managing secure access to those services.

If you cannot outsource it, and you remain incapable of defending it natively, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you should integrate a capable managed security provider.

It's clear to me that a large portion of those running PI-processing IT are simply not capable of doing so in secure manner, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do not bear cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full cost of PI breaches.

They have too many assets, with too many vulnerabilities, and are targeted by too many threat actors.

These organizations lack sufficient people, processes, and technologies to mitigate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk.

They have successes, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are generally due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 heroics of individual IT and security professionals, who often feel out-gunned by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir adversaries.

If you can't patch a two-year-old vulnerability prior to exploitation, or detect an intrusion and respond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary before he completes his mission, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you are demonstrating that you need to change your entire approach to information technology.

The security industry seems to think that throwing more people at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer, yet year after year we read about several million job openings that remain unfilled. This is a sign that we need to change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way we are doing business. The fact is that those organziations that cannot defend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves need to recognize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir limitations and change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir game.

I recognize that outsourcing is not a panacea. Note that I emphasized "IT" in my recommendation. I do not see how one could outsource cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 critical technology running on-premise in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industrial control system (ICS) world, for example. Those operations may need to rely more on outsourced security providers, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y cannot sufficiently detect and respond to intrusions using in-house capabilities.

Remember that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vast majority of organizations do not exist to run IT. They run IT to support cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir lines of business. Many older organizations have indeed been migrating legacy applications to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud, and most new organizations are cloud-native. These are hopeful signs, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 older organizations could potentially  "age-out" over time.

This puts a burden on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud providers, who fall into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "managed service provider" category that I wrote about in my recent Corelight blog. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more trustworthy providers have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people, processes, and technology in place to handle cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir responsibilities in a more secure way than many organziations who are struggling with on-premise legacy IT.

Everyone's got to know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir limitations.