Showing posts with label history. Show all posts
Showing posts with label history. Show all posts

Tuesday, December 18, 2018

The Origin of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Quote "There Are Two Types of Companies"

While listening to a webcast this morning, I heard cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speaker mention

There are two types of companies: those who have been hacked, and those who don’t yet know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have been hacked.

He credited Cisco CEO John Chambers but didn't provide any source.

That didn't sound right to me. I could think of two possible antecedents. so I did some research. I confirmed my memory and would like to present what I found here.

John Chambers did indeed offer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous quote, in a January 2015 post for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 World Economic Forum titled What does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet of Everything mean for security? Unfortunately, neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Mr Chambers nor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person who likely wrote cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article for him decided to credit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author of this quote.

Before providing proper credit for this quote, we need to decide what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quote actually says. As noted in this October 2015 article by Frank Johnson titled Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re really only “two kinds of enterprises”?, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are really (at least) two versions of this quote:

A popular meme in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information security industry is, “There are only two types of companies: those that know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y’ve been compromised, and those that don’t know.”

And cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second is like unto it: “There are only two kinds of companies: those that have been hacked, and those that will be.”

We see that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first is a version of what Mr Chambers said. Let's call that 2-KNOW. The second is different. Let's call that 2-BE.

The first version, 2-KNOW, can be easily traced and credited to Dmitri Alperovitch. He stated this proposition as part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publicity around his Shady RAT report, written while he worked at McAfee. For example, this 3 August 2011 story by Ars Technica, Operation Shady RAT: five-year hack attack hit 14 countries, quotes Dmitri in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

So widespread are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks that Dmitri Alperovitch, McAfee Vice President of Threat Research, said that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only companies not at risk are those who have nothing worth taking, and that of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world's biggest firms, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are just two kinds: those that know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've been compromised, and those that still haven't realized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've been compromised.

Dmitri used slightly different language in this popular Vanity Fair article from September 2011, titled Enter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cyber-Dragon:

Dmitri Alperovitch, who discovered Operation Shady rat, draws a stark lesson: “There are only two types of companies—those that know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y’ve been compromised, and those that don’t know. If you have anything that may be valuable to a competitor, you will be targeted, and almost certainly compromised.”

No doubt former FBI Director Mueller read this report (and probably spoke with Dmitri). He delivered a speech at RSA on 1 March 2012 that introduced question 2-BE into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lexicon, plus a little more:

For it is no longer a question of “if,” but “when” and “how often.”

I am convinced that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are only two types of companies: those that have been hacked and those that will be. 

And even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are converging into one category: companies that have been hacked and will be hacked again.  

Here we see Mr Mueller morphing Dmitri's quote, 2-KNOW, into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second, 2-BE. He also introduced a third variant -- "companies that have been hacked and will be hacked again." Let's call this version 2-AGAIN.

The very beginning of Mr Mueller's quote is surely a play on Kevin Mandia's long-term commitment to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inevitability of compromise. However, as far as I could find, Kevin did not use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "two companies" language.

One article that mentions version 2-KNOW and Kevin is this December 2014 Ars Technica article titled “Unprecedented” cyberattack no excuse for Sony breach, pros say. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article is merely citing ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r statements by Kevin along with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aphorism of version 2-KNOW.

Finally, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a fourth version introduced by Mr Mueller's successor, James Comey, as well! In a 6 October 2014 story, FBI Director: China Has Hacked Every Big US Company Mr Comey said:

Speaking to CBS' 60 Minutes, James Comey had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following to say on Chinese hackers: 

There are two kinds of big companies in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States. There are those who've been hacked by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese and those who don't know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've been hacked by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese.

Let's call this last variant 2-CHINA.

To summarize, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are four versions of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "two companies" quote:

  • 2-KNOW, credited to Dmitri Alperovitch in 2011, says "There are only two types of companies—those that know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y’ve been compromised, and those that don’t know."
  • 2-BE, credited to Robert Mueller in 2012, says "[T]here are only two types of companies: those that have been hacked and those that will be."
  • 2-AGAIN, credited to Robert Mueller in 2012, says "[There are only two types of companies:] companies that have been hacked and will be hacked again."
  • 2-CHINA, credited to James Comey in 2014, says "There are two kinds of big companies in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States. There are those who've been hacked by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese and those who don't know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've been hacked by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese."
Now you know!


Sunday, November 25, 2018

The Origin of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Term Indicators of Compromise (IOCs)

I am an historian. I practice digital security, but I earned a bachelor's of science degree in history from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States Air Force Academy. (1)

Historians create products by analyzing artifacts, among which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most significant is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 written word.

In my last post, I talked about IOCs, or indicators of compromise. Do you know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 origin of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term? I thought I did, but I wanted to rely on my historian's methodology to invalidate or confirm my understanding.

I became aware of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "indicator" as an element of indications and warning (I&W), when I attended Air Force Intelligence Officer's school in 1996-1997. I will return to this shortly, but I did not encounter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "indicator" in a digital security context until I encountered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work of Kevin Mandia.

In August 2001, shortly after its publication, I read Incident Response: Investigating Computer Crime, by Kevin Mandia, Chris Prosise, and Matt Pepe (Osborne/McGraw-Hill). I was so impressed by this work that I managed to secure a job with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir company, Foundstone, by April 2002. I joined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Foundstone incident response team, which was led by Kevin and consisted of Matt Pepe, Keith Jones, Julie Darmstadt, and me.

I Tweeted earlier today that Kevin invented cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "indicator" (in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR context) in that 2001 edition, but a quick review of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard copy in my library does not show its usage, at least not prominently. I believe we were using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 office but that it had not appeared in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2001 book. Documentation would seem to confirm that, as Kevin was working on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second edition of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR book (to which I contributed), and that version, published in 2003, features cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "indicator" in multiple locations.

In fact, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 earliest use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "indicators of compromise," appearing in print in a digital security context, appears on page 280 in Incident Response & Computer Forensics, 2nd Edition.


From ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r uses of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "indicators" in that IR book, you can observe that IOC wasn't a formal, independent concept at this point, in 2003. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same excerpt above you see "indicators of attack" mentioned.

The first citation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "indicators" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2003 book shows it is meant as an investigative lead or tip:


Did I just give up my search at this point? Of course not.

If you do time-limited Google searches for "indicators of compromise," after weeding out patent filings that reference later work (from FireEye, in 2013), you might find this document, which concludes with this statement:

Indicators of compromise are from Lynn Fischer, Lynn, "Looking for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Unexpected," Security Awareness Bulletin, 3-96, 1996. Richmond, VA: DoD Security Institute.

Here cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compromise of a person with a security clearance.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same spirit, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 earliest reference to "indicator" in a security-specific, detection-oriented context appears in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patent Method and system for reducing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rate of infection of a communications network by a software worm (6 Dec 2002). Stuart Staniford is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lead author; he was later chief scientist at FireEye, although he left before FireEye acquired Mandiant (and me).

While Kevin, et al were publishing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second edition of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir IR book in 2003, I was writing my first book, The Tao of Network Security Monitoring. I began chapter two with a discussion of indicators, inspired by my Air Force intelligence officer training in I&W and Kevin's use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term at Foundstone.

You can find chapter two in its entirety online. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chapter I also used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "indicators of compromise," in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spirit Kevin used it; but again, it was not yet a formal, independent term.

My book was published in 2004, followed by two more in rapid succession.

The term "indicators" didn't really make a splash until 2009, when Mike Cloppert published a series on threat intelligence and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyber kill chain. The most impactful in my opinion was Security Intelligence: Attacking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cyber Kill Chain. Mike wrote:


I remember very much enjoying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se posts, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cyber Kill Chain was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aspect that had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest impact on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security community. Mike does not say "IOC" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post. Where he does say "compromise," he's using it to describe a victimized computer.

The stage is now set for seeing indicators of compromise in a modern context. Drum roll, please!

The first documented appearance of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term indicators of compromise, or IOCs, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modern context, appears in basically two places simultaneously, with ultimate credit going to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same organziation: Mandiant.

The first Mandiant M-Trends report, published on 25 Jan 2010, provides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following description of IOCs on page 9:


The next day, 26 Jan 2010, Matt Frazier published Combat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT by Sharing Indicators of Compromise to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mandiant blog. Matt wrote to introduce an XML-based instantiation of IOCs, which could be read and created using free Mandiant tools.


Note how complicated Matt's IOC example is. It's not a file hash (alone), or a file name (alone), or an IP address, etc. It's a Boolean expression of many elements. You can read in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text that this original IOC definition rejects what some commonly consider "IOCs" to be. Matt wrote:

Historically, compromise data has been exchanged in CSV or PDFs laden with tables of "known bad" malware information - name, size, MD5 hash values and paragraphs of imprecise descriptions... (emphasis added)

On a related note, I looked for early citations of work on defining IOCs, and found a paper by Simson Garfinkel, well-respected forensic analyst. He gave credit to Matt Frazier and Mandiant, writing in 2011:

Frazier (2010) of MANDIANT developed Indicators of Compromise (IOCs), an XML-based language designed to express signatures of malware such as files with a particular MD5 hash value, file length, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existence of particular registry entries. There is a free editor for manipulating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 XML. MANDIANT has a tool that can use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se IOCs to scan for malware and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 so-called “Advanced Persistent Threat.”

Starting in 2010, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 debate was initially about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 format for IOCs, and how to produce and consume cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. We can see in this written evidence from 2010, however, a definition of indicators of compromise and IOCs that contains all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 elements that would be recognized in current usage.

tl;dr Mandiant invented cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term indicators of compromise, or IOCs, in 2010, building off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "indicator," introduced widely in a detection context by Kevin Mandia, no later than his 2003 incident response book.

(1) Yes, a BS, not a BA -- thank you USAFA for 14 mandatory STEM classes.

Sunday, January 14, 2018

Remembering When APT Became Public

Last week I Tweeted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 8th anniversary of Google's blog post about its compromise by Chinese threat actors:

This intrusion made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term APT mainstream. I was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first to associate it with Aurora, in this post 

https://taosecurity.blogspot.com/2010/01/google-v-china.html

My first APT post was a careful reference in 2007, when we all feared being accused of "leaking classified" re China: 

https://taosecurity.blogspot.com/2007/10/air-force-cyberspace-report.html

I should have added cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "publicly" to my original Tweet. There were consultants with years of APT experience involved in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google incident response, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y recognized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work of APT17 at that company and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs. Those consultants honored cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir NDAs and have stayed quiet.

I wrote my original Tweet as a reminder that "APT" was not a popular, recognized term until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google announcement on 12 January 2010. In my Google v China blog post I wrote:

Welcome to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 party, Google. You can use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "advanced persistent threat" (APT) if you want to give this adversary its proper name.

I also Tweeted a similar statement on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same day:

This is horrifying: http://bit.ly/7x7vVW Google admits intellectual property cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft from China; it's called Advanced Persistent Threat, GOOG

I made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 explicit link of China and APT because no one had done that publicly.

This slide from a 2011 briefing I did in Hawaii captures a few historical points:


The Google incident was a watershed, for reasons I blogged on 16 January 2010. I remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS DFIR 2008 event as effectively "APTCon," but beyond Mandiant, Northrup Grumman, and NetWitness, no one was really talking publicly about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT until after Google.

As I noted in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 July 2009 blog post, You Down With APT? (ugh):

Aside from Northrup Grumman, Mandiant, and a few vendors (like NetWitness, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full capture vendors out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re) mentioning APT, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's not much else available. A Google search for "advanced persistent threat" -netwitness -mandiant -Northrop yields 34 results (prior to this blog post). (emphasis added)

Today that search yields 244,000 results.

I would argue we're "past APT." APT was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 buzzword for RSA and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r vendor-centric events from, say, 2011-2015, with 2013 being cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 peak following Mandiant's APT1 report.

The threat hasn't disappeared, but it has changed. I wrote my Tweet to mark a milestone and to note that I played a small part in it.

All my APT posts here are reachable by this APT tag. Also see my 2010 article for Information Security Magazine titled What APT Is, and What It Isn't.

Wednesday, December 23, 2015

A Brief History of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet in Norcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rn Virginia

Earlier today I happened to see a short piece from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bloomberg Businessweek "The Year Ahead: 2016" issue, titled The Best Places to Build Data Centers. The text said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

Cloud leaders including Amazon.com, Microsoft, Google, IBM, and upstart DigitalOcean are spending tens of billions of dollars to construct massive data centers around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world. Microsoft alone puts its total bill at $15 billion. There are two main reasons for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expansion: First, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 companies have to set up more servers near cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest centers of Internet traffic growth. Second, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y increasingly have to wrestle with national data-privacy laws and customer preferences, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r by storing data in a user’s home country, or, in some cases, avoiding doing just that.

The article featured several maps, including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one at left. It notes data centers in "Virginia" because "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Beltway has massive data needs." That may be true, but it does not do justice to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 history of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet in Norcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rn Virginia (NoVA), nor does it explain why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are so many data centers in NoVA. I want to briefly note why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is so much more to this story.

In brief, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are so many data centers in NoVA because, 25 years or so ago, early Internet companies located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 area and also decided to connect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir networks in NoVA. Key players included America Online (AOL), which built its headquarters in Loudoun County in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 early 1990s. About cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time, in 1992, Internet pioneers from several local companies decided to connect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir networks and build what became known as MAE-East. A year later, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Science Foundation awarded a contract designating MAE-East as one of four Network Access Points. Later in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1990s Equinix arrived and contributed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 growth in data center and network connectivity that continues through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 present.

Essentially, NoVA demonstrated real-life "network effects" -- with networks cross-connecting to each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r in Ashburn and Loudoun County, it made sense for new players to gain access to those connections. Companies built data centers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network connections offered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best performance for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir customers. The "Beltway" and its "massive data needs" were not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reason.

If you would like to know more, I recommend reading Andrew Blum's book Tubes: A Journey to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Center of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. Yes, Blum is referring to those "tubes," which he investigates via in-person visits to notable Internet locations and refreshing historical research. Along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way, Blum charts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 growth of NoVA as an Internet hub, in some ways, "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365" Internet hub.

Monday, October 05, 2015

For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PLA, Cyber War is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Battle of Triangle Hill

In June 2011 I wrote a blog post with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ever polite title China's View Is More Important Than Yours. I was frustrated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Western-centric, inward-focused view of many commentators, which put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 center of debates over digital conflict, neglecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possibility that ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r parties could perceive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation differently. I remain concerned that while Western thinkers debate war using Western, especially Clausewitzian, models, Eastern adversaries, including hybrid Eastern-Western cultures, perceive war in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own terms.

I wrote in June 2011:

The Chinese military sees Western culture, particularly American culture, as an assault on China, saying "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 West uses a system of values (democracy, freedom, human rights, etc.) in a long-term attack on socialist countries...

Marxist cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory opposes peaceful evolution, which... is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basic Western tactic for subverting socialist countries" (pp 102-3). They believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US is conducting psychological warfare operations against socialism and consider culture as a "frontier" that has extended beyond American shores into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese mainland.

The Chinese cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore consider control of information to be paramount, since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do not trust cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir population to "correctly" interpret American messaging (hence cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Great Firewall of China"). In this sense, China may consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aggressor in an ongoing cyberwar.

Today thanks to a Tweet by Jennifer McArdle I noticed a May 2015 story featuring a translation of a People's Daily article. The English translation is posted as Cybersovereignty Symbolizes National Sovereignty.

I recommend reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole article, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following captures cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spirit of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 message:

Western hostile forces and a small number of “ideological traitors” in our country use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network, and relying on computers, mobile phones and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r such information terminals, maliciously attack our Party, blacken cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 leaders who founded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 New China, vilify our heroes, and arouse mistaken thinking trends of historical nihilism, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ultimate goal of using “universal values” to mislead us, using “constitutional democracy” to throw us into turmoil, use “colour revolutions” to overthrow us, use negative public opinion and rumours to oppose us, and use “de-partification and depoliticization of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military” to upset us.

This article demonstrates that, four years after my first post, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are still elements, at least in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PLA, who believe that China is fighting a cyber war, and that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US started it.

I thought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last line from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PLA Daily article was especially revealing:

Only if we act as we did at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Battle of Triangle Hill, are riveted to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most forward position of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 battlefield and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fight in this ideological struggle, are online “seed machines and propaganda teams”, and arouse hundreds and thousands in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “Red Army”, will we be able to be good shock troops and fresh troops in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 construction of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “Online Great Wall”, and will we be able to endure and vanquish in this protracted, smokeless war.

The Battle of Triangle Hill was an engagement during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Korean War, with Chinese forces fighting American, South Korean, Ethiopian, and Colombian forces. Both sides suffered heavy losses over a protracted engagement, although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese appear to have lost more and viewed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir attrition strategy as worthwhile. It's ominous this PLA editorial writer decided to cite a battle between US and Chinese forces to communicate his point about online conflict, but it should make it easier for American readers to grasp cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 seriousness of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue in Chinese minds.

Tuesday, September 16, 2014

A Brief History of Network Security Monitoring

Last week I was pleased to deliver cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keynote at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first Security Onion Conference in Augusta, GA, organized and hosted by Doug Burks. This was probably my favorite security event of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 year, attended by many fans of Security Onion and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network security monitoring (NSM) community.

Doug asked me to present cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 history of NSM. To convey some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 milestones in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 development of this operational methodology, I developed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se slides (pdf). They are all images, screen captures, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 like, but I promised to post cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image at left is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first slide from a Webinar that Bamm Visscher and I delivered on 4 December 2002, where we presented cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 formal definition of NSM cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time. We defined network security monitoring as

cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection, analysis, and escalation of indications and warnings to detect and respond to intrusions.

You may recognize similarities with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intelligence cycle and John Boyd's Observe - Orient - Decide Act (OODA) loop. That is not an accident.

During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation I noted a few key years and events:

  • 1986: The Cliff Stoll intrusions scare cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government, military, and universities supporting gov and mil research.
  • 1988: Lawrence Livermore National Lab funds three security projects at UC Davis by supporting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Prof Karl Levitt's computer science lab. They include AV software, a "security profile inspector," and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "network security monitor."
  • 1988-1990: Todd Heberlein and colleagues code and write about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSM platform.
  • 1991: While instrumenting a DISA location suffering from excessive bandwidth usage, NSM discovers 80% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clogged link is caused by intruder activity.
  • 1992: Former FBI Director, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n assistant AG, Robert Mueller writes a letter to NIST warning that NSM might not be legal.
  • 1 October 1992: AFCERT founded.
  • 10 September 1993: AFIWC founded.
  • End of 1995: 26 Air Force sites instrumented by NSM.
  • End of 1996: 55 Air Force sites instrumented by NSM.
  • End of 1997: Over 100 Air Force sites instrumented by NSM.
  • 1999: Melissa worm prompts AFCERT to develop dedicated anti-malware team. This signaled a shift from detection of human adversaries interacting with victims to detection of mindless code interacting with victims.
  • 2001: Bamm Visscher deploys SPREG, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 predecessor to Sguil, at our MSSP at Ball Aerospace.
  • 13 July 2001: Using SPREG, one of our analysts detects Code Red, 6 days prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public outbreak. I send a note to a mailing list on 15 July.
  • February 2003: Bamm Visscher recodes and releases Sguil as an open source NSM console.

As I noted in my presentation,. cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purpose of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talk was to share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that NSM has a long history, some of which happened when many practitioners (including myself) were still in school.

This is not a complete history, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. For more information, please see my 2007 post Network Security Monitoring History and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 foreword, written by Todd Heberlein, of my newest book The Practice of Network Security Monitoring.

Finally, I wanted to emphasize that NSM is not just full packet capture or logging full content data. NSM is a process, although my latest book defines seven types of NSM data. One of those data types is full content. You can read about all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first first chapter of my book at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publisher Web site.

Wednesday, July 27, 2011

Noah Shachtman’s Pirates of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISPs

Two posts in one day? I'm on fire! It's easy to blog when something interesting happens, and I can talk about it.

I wanted to mention cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publication of Pirates of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISPs: Tactics for Turning Online Crooks Into International Pariahs by Noah Shachtman, acting in his capacity as a Nonresident Fellow for Foreign Policy in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 21st Century Defense Initiative at The Brookings Institution. I read and commented on an earlier draft, and I think you will find Noah's paper interesting. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 introduction:

Cybercrime today seems like a nearly insoluble problem, much like piracy was centuries ago. There are steps, however, that can be taken to curb cybercrime’s growth—and perhaps begin to marginalize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people behind it.

Some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 methods used to sideline piracy provide a useful, if incomplete, template for how to get it done. Shutting down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 markets for stolen treasure cut off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pirates’ financial lifeblood; similar pushes could be made against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 companies that support online criminals.

Piracy was eventually brought to heel when nations took responsibility for what went on within its borders. Based on this precedent, cybercrime will only begin to be curbed when greater authority—and accountability—is exercised over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 networks that form cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sea on which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se modern pirates sail.


I agree with this. My original comments to Noah emphasized that not all malicious activity on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet is crime, nor is it conducted by criminals. For example, I wince whenever I see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term APT in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same sentence as crime or criminals (never mind seeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "cyber" prefix). As long as you keep Noah's emphasis on true crime in mind while you read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper, I think you will find it compelling. Great work Noah!

Friday, July 27, 2007

Goodbye AIA

A friend from my AFCERT days left a comment indicating that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 33 IOS split into two different squadrons, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 33 NWS (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old AFCERT) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 91 NWS. This prompted me to look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organizational structure of my old Air Force units.

I realized that last month what used to be Air Intelligence Agency is now Air Force Intelligence, Surveillance and Reconnaissance Agency, according to this story. AFISR now works as a field operating agency for AF/A2, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Deputy Chief of Staff for Intelligence, Surveillance and Reconnaissance, Lt. Gen. David A. Deptula. AIA was part of 8th Air Force, but that experiment has been reversed.

It looks like AFISR has lost information operations duties since it's now an "ISR" agency. According to Air Force ISR Agency, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AF/A2 says:

"Air Intelligence Agency was traditionally focused on a particular intelligence discipline, signals intelligence," said General Koziol. "Now we are expanding our capabilities into geo-spatial-intelligence, imagery, human intelligence, and measurement and signature intelligence disciplines. As an integral member of our nation's combat forces, we are focused on integrating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information derived by those capabilities and delivering critical information to combatant commanders and national level decision makers."

That's news to me. I think AIA was doing those missions previously, but Deptula wants a single agency responsible for all of it. He gets that with AFISR. Information operations are now part of Air Force Cyber Command, which apparently will become active this fall.

I have mixed feelings about AIA's fate. Lt. Gen. Deptula is a three-star, which outranks previous top intel generals (who were two-stars). Putting a three-star with ISR responsibilities at HQ AF will probably give ISR greater attention. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word "intel" appears three times in Deptula's bio -- all in relation to his existing job. He's a career F-15 driver, so once again we have a pilot as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force's "top intel guy." This is sad. Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re no good Air Force intel generals available? Hopefully cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new AFISR commander, Maj. Gen. John C. Koziol, will be able to step up when Deptula moves on.

The only saving grace in this situation is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 king of all intel officers continues to be Gen. Michael Hayden, Director of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Central Intelligence Agency.