Showing posts with label hunting. Show all posts
Showing posts with label hunting. Show all posts

Saturday, November 24, 2018

Even More on Threat Hunting

In response to my post More on Threat Hunting, Rob Lee asked:

[D]o you consider detection through ID’ing/“matching” TTPs not hunting?

To answer this question, we must begin by clarifying "TTPs." Most readers know TTPs to mean tactics, techniques and procedures, defined by David Bianco in his Pyramid of Pain post as:

How cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary goes about accomplishing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir mission, from reconnaissance all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way through data exfiltration and at every step in between.

In case you've forgotten David's pyramid, it looks like this.


It's important to recognize that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pyramid consists of indicators of compromise (IOCs). David uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "indicator" in his original post, but his follow-up post from his time at Sqrrl makes this clear:

There are a wide variety of IoCs ranging from basic file hashes to hacking Tactics, Techniques and Procedures (TTPs). Sqrrl Security Architect, David Bianco, uses a concept called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Pyramid of Pain to categorize IoCs. 

At this point it should be clear that I consider TTPs to be one form of IOC.

In The Practice of Network Security Monitoring, I included cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following workflow:

You can see in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second column that I define hunting as "IOC-free analysis." On page 193 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book I wrote:

Analysis is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process of identifying and validating normal, suspicious, and malicious activity. IOCs expedite this process. Formally, IOCs are manifestations of observable or discernible adversary actions. Informally, IOCs are ways to codify adversary activity so that technical systems can find intruders in digital evidence...

I refer to relying on IOCs to find intruders as IOC-centric analysis, or matching. Analysts match IOCs to evidence to identify suspicious or malicious activity, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n validate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir findings.

Matching is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way to find intruders. More advanced NSM operations also pursue IOC-free analysis, or hunting. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mid-2000s, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Air Force popularized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term hunter-killer in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital world. Security experts performed friendly force projection on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir networks, examining data and sometimes occupying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves in order to find advanced threats. 

Today, NSM professionals like David Bianco and Aaron Wade promote network “hunting trips,” during which a senior investigator with a novel way to detect intruders guides junior analysts through data and systems looking for signs of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary. 

Upon validating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technique (and responding to any enemy actions), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hunters incorporate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new detection method into a CIRT’s IOC-centric operations. (emphasis added)

Let's consider Chris Sanders' blog post titled Threat Hunting for HTTP User Agents as an example of my definition of hunting. 

I will build a "hunting profile" via excerpts (in italics) from his post:

Assumption: "Attackers frequently use HTTP to facilitate malicious network communication."

Hypocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis: If I find an unusual user agent string in HTTP traffic, I may have discovered an attacker.

Question: “Did any system on my network communicate over HTTP using a suspicious or unknown user agent?”

Method: "This question can be answered with a simple aggregation wherein cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user agent field in all HTTP traffic for a set time is analyzed. I’ve done this using Sqrrl Query Language here:

SELECT COUNT(*),user_agent FROM HTTPProxy GROUP BY user_agent ORDER BY COUNT(*) ASC LIMIT 20

This query selects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user_agent field from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HTTPProxy data source and groups and counts all unique entries for that field. The results are sorted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 count, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 least frequent occurrences at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top."

Results: Chris offers advice on how to interpret cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various user agent strings produced by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 query.

This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 critical part: Chris did not say "look for *this user agent*. He offered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader an assumption, a hypocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis, a question, and a method. It is up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defender to investigate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results. This, for me, is true hunting.

If Chris had instead referred users to this list of malware user agents (for example) and said look for "Mazilla/4.0", cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I consider that manual (human) matching. If I created a Snort or Suricata rule to look for that user agent, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I consider that automated (machine) matching.

This is where my threat hunting definition likely diverges from modern practice. Analyst Z sees cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of Chris' hunt and thinks "Chris found user agent XXXX to be malicious, so I should go look for it." Analyst Z queries his or her data and does or does not find evidence of user agent XXXX.

I do not consider analyst Z's actions to be hunting. I consider it matching. There is nothing wrong with this. In fact, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purposes of hunting is to provide new inputs to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 matching process, so that future hunting trips can explore new assumptions, hypocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ses, questions, and methods, and let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machines do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 matching on IOCs already found to be suggestive of adversary activity. This is why I wrote in my 2013 book "Upon validating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technique (and responding to any enemy actions), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hunters incorporate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new detection method into a CIRT’s IOC-centric operations."

The term "hunting" is a victim of its own success, with emotional baggage. We defenders have finally found a way to make "blue team" work appealing to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wider security community. Vendors love this new way to market cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir products. "If you're not hunting, are you doing anything useful?" one might ask.

Compared to "I'm threat hunting!" (insert chest beating), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alternative, "I'm matching!" (womp womp), seems sad. 

Nevercá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365less, we must remember that threat hunting methodologies were invented to find adversary activity for which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were no IOCs. Hunting was IOC-free analysis because we didn't know what to look for. Once you know what to look for, you are matching. Both forms of detection require analysis to validate adversary activity, of course. Let's not forget that.

I'm also very thankful, however it's defined or packaged, that people are excited to search for adversary activity in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir environment, whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r via matching or hunting. It's a big step from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mindset of 10 years ago, which had a "prevention works" milieu.

tl;dr Because TTPs are a form of IOC, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n detection via matching IOCs is a form of matching, and not hunting.

Friday, November 23, 2018

More on Threat Hunting

Earlier this week hellor00t asked via Twitter:

Where would you place your security researchers/hunt team?

I replied:

For me, "hunt" is just a form of detection. I don't see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to build a "hunt" team. IR teams detect intruders using two major modes: matching and hunting. Junior people spend more time matching. Senior people spend more time hunting. Both can and should do both functions.

This inspired Rob Lee to blog a response, from which I extract his core argument:

[Hunting] really isn’t, to me, about detecting threats...

Hunting is a hypocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis-led approach to testing your environment for threats. The purpose, to me, is not in finding threats but in determining what gaps you have in your ability to detect and respond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m...

In short, hunting, to me, is a way to assess your security (people, process, and technology) against threats while extending your automation footprint to better be prepared in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future. Or simply stated, it’s incident response without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident that’s done with a purpose and contributes something. 

As background for my answer, I recommend my March 2017 post The Origin of Threat Hunting, which cites my article "Become a Hunter," published in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 July-August 2011 issue of Information Security Magazine. I wrote it in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spring of 2011, when I was director of incident response for GE-CIRT.

For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "hunting," I give credit to briefers from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force and NSA who, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mid-2000s briefed "hunter-killer" missions to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Red Team/Blue Team Symposium at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Johns Hopkins University Applied Physics Lab in Laurel, MD.

As a comment to that post, Tony Sager, who ran NSA VAO at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time I was briefed at ReBl, described hunting thus:

[Hunting] was an active and sustained search for Attackers...

For us, "Hunt" meant a very planned and sustained search, taking advantage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existing infrastructure of Red/Blue Teams and COMSEC Monitoring, as well as intelligence information to guide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 search. 

For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 practice of hunting, as I experienced it, I give credit to our GE-CIRT incident handlers -- David Bianco,  Ken Bradley, Tim Crocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, Tyler Hudak, Bamm Visscher, and Aaron Wade -- who took junior analysts on "hunting trips," starting in 2008-2009.

It is very clear, to me, that hunting has always been associated with detecting an adversary, not "determining what gaps you have in your ability to detect and respond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m," as characterized by Rob.

For me, Rob is describing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job of an enterprise visibility architect, which I described in a 2007 post:

[W]e are stuck with numerous platforms, operating systems, applications, and data (POAD) for which we have zero visibility. 

I suggest that enterprises consider hiring or assigning a new role -- Enterprise Visibility Architect. The role of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EVA is to identify visibility deficiencies in existing and future POAD and design solutions to instrument cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se resources.

A primary reason to hire an enterprise visibility architect is to build visibility in, which I described in several posts, including this one from 2009 titled Build Visibility In. As a proponent of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "monitor first" school, I will always agree that it is important to identify and address visibility gaps.

So where do we go from here?

Tony Sager, as one of my wise men, offers sage advice at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conclusion of his comment:

"Hunt" emerged as part of a unifying mission model for my Group in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Information Assurance Directorate at NSA (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defensive mission) in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mid-late 2000's. But it was also a way to unify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relationship between IA and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SIGINT mission - intelligence as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 driver for Hunting. The marketplace, of course, has now brought its own meaning to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term, but I just wanted to share some history. 

In my younger days I might have expressed much more energy and emotion when encountering a different viewpoint. At this point in my career, I'm more comfortable with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r points of view, so long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do not result in harm, or a waste of my taxpayer dollars, or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r clearly negative consequences. I also appreciate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kind words Rob offered toward my point of view.

tl;dr I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 definition and practice of hunting has always been tied to adversaries, and that Rob describes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work of an enterprise visibility architect when he focuses on visibility gaps racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than adversary activity.

Update 1: If in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course of conducting a hunt you identify a visibility or resistance deficiency, that is indeed beneficial. The benefit, however, is derivative. You hunt to find adversaries. Identifying gaps is secondary although welcome.

The same would be true of hunting and discovering misconfigured systems, or previously unidentified assets, or unpatched software, or any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r myriad facts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground that manifest when one applies Clausewitz's directed telescope towards cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir computing environment.

Tuesday, March 14, 2017

The Origin of Threat Hunting

2011 Article "Become a Hunter"
The term "threat hunting" has been popular with marketers from security companies for about five years. Yesterday Anton Chuvakin asked about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 origin of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term.

I appear to have written cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first article describing threat hunting in any meaningful way. It was published in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 July-August 2011 issue of Information Security Magazine and was called "Become a Hunter." I wrote it in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spring of 2011, when I was director of incident response for GE-CIRT. Relevant excerpts include:

"To best counter targeted attacks, one must conduct counter-threat operations (CTOps). In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, defenders must actively hunt intruders in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir enterprise. These intruders can take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form of external threats who maintain persistence or internal threats who abuse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir privileges. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than hoping defenses will repel invaders, or that breaches will be caught by passive alerting mechanisms, CTOps practitioners recognize that defeating intruders requires actively detecting and responding to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. CTOps experts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n feed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lessons learned from finding and removing attackers into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software development lifecycle (SDL) and configuration and IT management processes to reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 likelihood of future incidents...

In addition to performing SOC work, CTOps requires more active, unstructured, and creative thoughts and approaches. One way to characterize this more vigorous approach to detecting and responding to threats is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term “hunting.” In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mid-2000s, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force popularized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term “hunter-killer” for a missions whereby teams of security experts performed “friendly force projection” on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir networks. They combed through data from systems and in some cases occupied cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves in order to find advanced threats. The concept of “hunting” (without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slightly more aggressive term “killing”) is now gaining ground in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 civilian world.

2013 Book "The Practice of NSM"
If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SOC is characterized by a group that reviews alerts for signs of intruder action, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIRT is recognized by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 likelihood that senior analysts are taking junior analysts on “hunting trips.” A senior investigator who has discovered a novel or clever way to possibly detect intruders guides one or more junior analysts through data and systems looking for signs of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy. Upon validating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technique (and responding to any enemy actions), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hunting team should work to incorporate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new detection method into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 repeatable processes used by SOC-type analysts. This idea of developing novel methods, testing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wild, and operationalizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key to fighting modern adversaries."

The "hunting trips" I mentioned were activities that our GE-CIRT incident handlers -- David Bianco,  Ken Bradley, Tim Crocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, Tyler Hudak, Bamm Visscher, and Aaron Wade -- were conducting. Aaron in particular was a driving force for hunting methodology.

I also discussed hunting in chapter 9 of my 2013 book The Practice of Network Security Monitoring, contrasting it with "matching" as seen in figure 9-2. (If you want to save 30% off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book at No Starch, use discount code "NSM101.")

The question remains: from where did I get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "hunt"? My 2011 article stated "In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mid-2000s, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force popularized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term “hunter-killer." My friend Doug Steelman, a veteran of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force, NSA, and Cyber Command, provided a piece of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 puzzle on Twitter. He posted a link to a 2009 presentation by former NSA Vulnerability and Analysis Operations (VAO) chief Tony Sager, a friend of this blog.

July 2009 Presentation by Tony Sager
In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mid-2000s I was attending an annual conference held by NSA called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Red Team/Blue Team Symposium, or ReBl for short. ReBl took place over a week's time at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Johns Hopkins University Applied Physics Lab in Laurel, MD. If you Google for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference you will likely find WikiLeaks emails from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HBGary breach.

It was a mix of classified and unclassified presentations on network defense. During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se presentations I heard cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "APT" for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time. I also likely heard about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "hunt" missions cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force was conducting, in addition to probably hearing Tony Sager's presentation mentioning a "hunt" focus.

That is as far back as I can go, but at least we have a decent understanding where I most likely first heard cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "threat hunting" in use by practitioners. Happy hunting!

Sunday, February 12, 2017

Guest Post: Bamm Visscher on Detection

Yesterday my friend Bamm Visscher published a series of Tweets on detection. I thought readers might like to digest it as a lightly edited blog post. Here, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first ever (as far as I can remember) guest post on TaoSecurity Blog. Enjoy.

When you receive new [threat] intel and apply it in your detection environment, keep in mind all three analysis opportunities: RealTime, Batch, and Hunting.

If your initial intelligence analysis produces high context and quality details, it's a ripe candidate for RealTime detection.

If analysts can quickly and accurately process events generated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 [RealTime] signature, it's a good sign cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 indicator should be part of RealTime detection. If an analyst struggles to determine if a [RealTime alert] has detected malicious activity, it's likely NOT appropriate for RealTime detection.

If [cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat] intelligence contains limited context and/or details, try leveraging Batch Analysis with scheduled data reports as a better detection technique. Use Batch Analysis to develop better context (both positive and negative hits) to identify better signatures for RealTime detection.

Hunting is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 soft science of detection, and best done with a team of diverse skills. Intelligence, content development, and detection should all work togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. Don't fear getting skunked on your hunting trips. Keep investing time. The rewards are accumulative. Be sure to pass Hunting rewards into Batch Analysis and RealTime detection operations in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form of improved context.

The biggest mistake organizations make is not placing emphasis outside of RealTime detection, and "shoe-horning" [threat] intelligence into RealTime operations. So called "Atomic Indicators" tend to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest violator of shoe-horning. Atomic indicators are easy to script into signature driven detection devices, but leave an analyst wondering what he is looking at and for.

Do not underestimate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NEGATIVE impact of GOOD [threat] intelligence inappropriately placed into RealTime operations! Mountains of indiscernible events will lead to analyst fatigue and increase cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of good analyst missing a real incident.

Wednesday, June 10, 2015

My Federal Government Security Crash Program

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wake of recent intrusions into government systems, multiple parties have been asking for my recommended courses of action.

In 2007, following public reporting on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2006 State Department breach, I blogged When FISMA BitesInitial Thoughts on Digital Security Hearing. and What Should cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Feds Do. These posts captured my thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government's response to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 State Department intrusion.

The situation cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n mirrors cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current one well: outrage over an intrusion affecting government systems, China suspected as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 culprit, and questions regarding why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government's approach to security does not seem to be working.

Following that breach, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 State Department hired a new CISO who pioneered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "continuous monitoring" program, now called "Continuous Diagnostic Monitoring" (CDM). That CISO eventually left State for DHS, and brought CDM to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government. He is now retired from Federal service, but CDM remains. Years later we're reading about anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r breach at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 State Department, plus cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent OPM intrusions. CDM is not working.

My last post, Continuous Diagnostic Monitoring Does Not Detect Hackers, explained that although CDM is a necessary part of a security program, it should not be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 priority. CDM is at heart a "Find and Fix Flaws Faster" program. We should not prioritize closing and locking doors and windows while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are intruders in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 house. Accordingly, I recommend a "Detect and Respond" strategy first and foremost.

To implement that strategy, I recommend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following, three-phase approach. All phases can run concurrently.

Phase 1: Compromise Assessment: Assuming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government can muster cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 motivation, resources, and authority, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Office of Management and Budget (OMB), or anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r agency such as DHS, should implement a government-wide compromise assessment. The compromise assessment involves deploying teams across government networks to perform point-in-time "hunting" missions to find, and if possible, remove, intruders. I suspect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "remove" part will be more than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se teams can handle, given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of what I expect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will find. Nevercá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365less, simply finding all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruders, or a decent sample, should inspire additional defensive activities, and give authorities a true "score of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game."

Phase 2: Improve Network Visibility: The following five points include actions to gain enhanced, enduring, network-centric visibility on Federal networks. While network-centric approaches are not a panacea, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y represent one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best balances between cost, effectiveness, and minimized disruption to business operations.

1. Accelerate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deployment of Einstein 3A, to instrument all Federal network gateways. Einstein is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 platform to solve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government's network visibility problem, but given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current situation, some visibility is better than no visibility. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inline, "intrusion prevention system" (IPS) nature of Einstein 3A is being used as an excuse for slowly deploying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 platform, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IPS capability should be disabled and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "intrusion detection system" (IDS) mode should be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default. Waiting until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of 2016 is not acceptable. Equivalent technology should have been deployed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 late 1990s.

2. Ensure DHS and US-CERT have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authority to provide centralizing monitoring of all deployed Einstein sensors. I imagine bureaucratic turf battles may have slowed Einstein deployment. "Who can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data" is probably foremost among agency worries. DHS and US-CERT should be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 home for centralized analysis of Einstein data. Monitored agencies should also be given access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, and DHS, US-CERT, and agencies should begin a dialogue on whom should have ultimately responsibility for acting on Einstein discoveries.

3. Ensure DHS and US-CERT are appropriately staffed to operate and utilize Einstein. Collected security data is of marginal value if no one is able to analyze, escalate, and respond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data. DHS and US-CERT should set expectations for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of time that should elapse from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of collection to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of analysis, and staff cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR team to meet those requirements.

4. Conduct hunting operations to identify and remove threat actors already present in Federal networks. Now we arrive at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 heart of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 counter-intrusion operation. The purpose of improving network visibility with Einstein (for lack of an alternative at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moment) is to find intruders and eliminate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. This operation should be conducted in a coordinated manner, not in a whack-a-mole fashion that facilitates adversary persistence. This should be coordinated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "hunt" mission in Phase 1.

5. Collect metrics on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 counter-intrusion campaign and devise follow-on actions based on lessons learned. This operation will teach Federal network owners lessons about adversary campaigns and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unfortunate realities of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir enterprise. They must learn how to improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speed, accuracy, and effectiveness of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir defensive campaign, and how to prioritize countermeasures that have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greatest impact on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opponent. I expect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would begin considering additional detection and response technologies and processes, such as enterprise log management, host-based sweeping, modern inspection platforms with virtual execution and detonation chambers, and related approaches.

Phase 3. Continuous Diagnostic Monitoring, and Related Ongoing Efforts: You may be surprised to see that I am not calling for an end to CDM. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, CDM should not be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus of Federal security measures. It is important to improve Federal security through CDM practices, such that it becomes more difficult for adversaries to gain access to government computers. I am also a fan of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Trusted Internet Connection program, whereby cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government is consolidating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of gateways to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet.

Note: I recommend anyone interested in details on this matter see my latest book, The Practice of Network Security Monitoring, especially chapter 9. In that chapter I describe how to run a network security monitoring operation, based on my experiences since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 late 1990s.

Sunday, April 12, 2015

Please Support OpenNSM Group

Do you believe in finding and removing intruders on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y cause damage? Do you want to support like-minded people? If you answered "yes," I'd like to tell you about a group that shares your views and needs your help.

In August 2014, Jon Schipp started cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Open (-Source) Network Security Monitoring Group (OpenNSM). Jon is a security engineer at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Center for Supercomputing Applications at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 University of Illinois at Urbana-Champaign. In his announcement on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 project's mailing list, Jon wrote:

The idea for this group came from a suggestion in Richard Bejtlich's most recent book, where he mentions it would be nice to see NSM groups spawn up all over much like ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r software user groups and for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same reasons.

Network security monitoring is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection, analysis, and escalation of indications and warnings to detect and respond to intrusions. It is an operational campaign supporting a strategy of identifying and removing intruders before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y accomplish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir mission, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby implementing a policy of minimizing loss due to intrusions. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tactical and tool level, NSM relies on instrumenting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network and applying hunting and matching to find intruders.

Long-time blog readers know that I have developed and advocated NSM since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 late 1990s, when I learned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 practice at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Computer Emergency Response Team (AFCERT).

I am really pleased to see this group holding weekly meetings, which are available live or as recordings at YouTube.

The group is seeking funding and sponsorship to build a NSM laboratory and conduct research projects. They want to give students and active members hands-on experience with NSM tools and tactics to conduct defensive operations. They outline cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir plans for funding in this Google document.

I decided to support this group first as an individual, so I just donated $100 to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cause. If you are a like-minded individual, or perhaps represent an organization or company, please consider donating via GoFundMe to support this OpenNSM group and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir project. You can also follow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m @opennsm and Facebook, and check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir notes at code at GitHub. Thank you!

Friday, January 23, 2015

Is an Alert Review Time of Less than Five Hours Enough?

This week, FireEye released a report titled The Numbers Game: How Many Alerts are too Many to Handle? FireEye hired IDC to survey "over 500 large enterprises in North America, Latin America, Europe, and Asia" and asked director-level and higher IT security practitioners a variety of questions about how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y manage alerts from security tools. In my opinion, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following graphic was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most interesting:


As you can see in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 far right column, 75% of respondents report reviewing critical alerts in "less than 5 hours." I'm not sure if that is really "less than 6 hours," because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next value is "6-12 hours." In any case, is it sufficient for organizations to have this level of performance for critical alerts?

In my last large enterprise job, as director of incident response for General Electric, our CIO demanded 1 hour or less for critical alerts, from time of discovery to time of threat mitigation. This means we had to do more than review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alert; we had to review it and pass it to a business unit in time for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to do something to contain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 affected asset.

The strategy behind this requirement was one of fast detection and response to limit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 damage posed by an intrusion. (Sound familiar?)

Also, is it sufficient to have fast response for only critical alerts? My assessment is no. Alert-centric response, which I call "matching" in The Practice of Network Security Monitoring, is only part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operational campaign model for a high-performing CIRT. The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r part is hunting.

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, it is dangerous to rely on accurate judgement concerning alert rating. It's possible a low or moderate level alert is more important than a critical alert. Who classified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alert? Who wrote it? There are a lot of questions to be answered.

I'm in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process of doing research for my PhD in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 war studies department at King's College London. I'm not sure if my data or research will be able to answer questions like this, but I plan to investigate it.

What do you think?


Monday, December 05, 2011

Become a Hunter

Earlier this year SearchSecurity and TechTarget published a July-August 2011 issue (.pdf) with a focus on targeted threats. Prior to joining Mandiant as CSO I wrote an article for that issue called "Become a Hunter":

IT’S NATURAL FOR members of a technology-centric industry to see technology as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 solution to security problems. In a field dominated by engineers, one can often perceive engineering methods as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer to threats that try to steal, manipulate, or degrade information resources. Unfortunately, threats do not behave like forces of nature. No equation can govern a threat’s behavior, and threats routinely innovate in order to evade and disrupt defensive measures.

Security and IT managers are slowly realizing that technology-centric defense is too easily defeated by threats of all types. Some modern defensive tools and techniques are effective against a subset of threats, but security pros in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trenches consider
cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “self-defending network” concept to be marketing at best and counter-productive at worst. If technology and engineering aren’t cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer to security’s woes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n what is?


Download and read my article starting on page 19 for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer! July-August 2011 issue (.pdf)

Wednesday, July 14, 2010

Gartner on CSIRTs

I know some of you pay attention to what Gartner says, or more probably, your management does. I found this new report How to Build a Computer Security Incident Response Team by Jeffrey Wheatman, Rob McMillan, and Andrew Walls helpful if you need external validation from a source your management is likely to recognize. You need a Gartner account to breach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paywall.

I wanted to provide a few reasons why you might want to buy it and share it:

It is becoming increasingly common for auditors, regulators and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r stakeholders to require organizations to formalize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir responses to security events...

Even smaller organizations with limited legal and regulatory requirements can gain significant benefits in risk mitigation from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 implementation of a basic security incident response team. Following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phased approach outlined in this research will guide clients on how to best assess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir needs and implement a response team that will satisfy all stakeholders...

A competent and adequately resourced CSIRT is an important part of an organization's information security program. Many organizations eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r have nothing in place or follow inconsistent procedures.

In many organizations, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goal is to recover from an incident and get back up and running with minimal attention being paid to evidence collection, analysis or postmortem reporting.

Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 long term, this approach results in more security events, not fewer, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization is unable to discern cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root causes of incidents and incorporate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se lessons learned into improvements in infrastructure and process management.

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, in those instances where an organization's individual experience is part of a broader incident affecting multiple organizations, this approach may result in added legal complexity and
liability.


That should help justify a CIRT. I was glad to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

CSIRT staff will require access to key systems where required, such as capabilities that are normally available via network operations centers (NOCs) or security operations centers (SOCs).

The team will also require dedicated infrastructure, possibly protected from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization, including secure physical facilities, material storage and dedicated
computers, as well as specialized software and hardware.

Redundancy in physical resources and technical systems is required to ensure CSIRT operations when normal facilities and technology are corrupted or unavailable. For example, CSIRT members should be able to access mobile telephones, fixed-line telephones, faxes and, in extreme circumstances, radio communications.


The need for separate infrastructure -- a "technology gap," as my team calls it -- is crucial. How can you defend vulnerable infrastructure using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same vulnerable infrastructure?

More on tools:

The key issue is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CSIRT is likely to require tools in order to perform its function. Since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools will be used in an uncertain operational environment (that is, one that is suspected or confirmed as having been compromised), it is important that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization be able to confidently assert that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools are reliable and preserve evidence in an untainted fashion...

In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology gap can also help a CIRT defend its evidence.

I found this interesting:

A variety of public and commercial organizations provide a range of support services for CSIRTs, including...

FIRST (http://first.org): This membership-based organization provides a support service for CERTs and CSIRTs on a global basis. FIRST members tend to be governmental organizations (for example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. Army CERT — ACERT) and major commercial organizations (for example, GE-CIRT, General Electric's CIRT).


Wow, I guess we made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 big time!

In conclusion, check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Gartner document. It might help you. If anyone wants to post links to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 myriad of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r resources out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re (FIRST, CERT/CC, etc.), link away. I don't feel like hunting down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of a Google search for building an IRT. Thank you.

Monday, December 19, 2005

Defense Seldom Wins Wars

In preparation for my career as an Air Force intelligence officer, I studied history at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Air Force Academy. Since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I have enjoyed lectures produced by The Teaching Company, like Famous Romans. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lessons I have taken from this course is that defense seldom (if ever) wins wars. I was reminded of this lesson when I read Tom Ptacek's post " The Only Defense Is A Good Defense."

Tom is replying to my post where I said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

"I also do not agree [with SANS.edu] that 'knowledge... is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only defense to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 growing threat.' The best defense is a strong offense. That means hunting down and prosecuting threats. No amount of defense can sufficient protect any moderately complex enterprise against determined intruders."

Tom disagrees and says that "Firewalls", "IT and Network Security teams", and "Vulnerability Research" have "done cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most to improve security over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last 5 years." If we consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation to be something like "Risk = Threat X Vulnerability X Asset value", we must realize that Tom's points all address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equation. Applying countermeasures to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability aspect of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation leaves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat component untouched.

When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker is allowed freedom of maneuver, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defender will lose. The side with initiative has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 superior position, unless cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defenses are so unsurmountable that attack is more costly than defense. Let's return to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Famous Romans lecture for a moment. Prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rule of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 emperor Hadrian, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Roman Empire had pursued an expansionist foreign policy. Rome had lost many battles to its neighbors, but those neighbors essentially remained on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defensive. They feared Rome would invade, conquer, and eliminate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m (at worse).

When Hadrian became emperor in 117 AD, he changed Rome's foreign policy. He decided to consolidate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 empire's borders. His most famous action was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 building of Hadrian's Wall, separating England from Scotland. The wall was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ultimate statement of defense, as is sought to keep barbarians separated from Roman cities like London.

In some respects, this ultimate defensive maneuver was a success; London flourished. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 building of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wall signalled weakness to Rome's enemies. Instead of being seen as a statement of strength, barbarians interpreted as a sign cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Romans would not seek to conquer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Rome looked weak, not strong. Within a century Rome would come under increasing barbarian attack, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remaining shell of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 western "empire" was formally overthrown in 476 AD.

Now, you might say that defense can prove superior to offense. You might cite trench warfare of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 late 19th century, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 horror of World War I. In those cases, it is true that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weapons possessed by each side were so horribly destructive that attacks were fruitless and bloody endeavors. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 arrival of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tank and over a million US troops changed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equation. Offensive action eventually won WWI for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 allies.

A particularly clever historian might say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cold War was won by defense. Some argue cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US out-spent, or had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability to out-spend, Soviet Russia. That is true. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r factor was President Reagan's plan to build cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Strategic Defense Initiative (SDI, or "Star Wars.) SDI changed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security situation for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Soviets. The security paradigm of "mutually assured destruction" held that seeking to wipe out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy was a worthless action. Once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy detected missile launches, he could reply with his own volley. Both sets of missiles would wipe out each side's weapons, leaving neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r with an advantage to leverage in a post-exchange world.

SDI altered this nuclear attack outcome. With SDI deployed, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US could potentially preserve some of its weapons for a second round of attacks. This second round gave cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US superiority over its Soviet opponent. Suddenly a nuclear war became "winnable," as insane as that sounds. In this case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, defense was important, but only to preserve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weapons of offense.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final analysis, what makes you feel safer -- a lack of criminals on your street, or iron bars on your windows?