Showing posts with label redteam. Show all posts
Showing posts with label redteam. Show all posts

Thursday, January 15, 2015

Cass Sunstein on Red Teaming

On January 7, 2015, FBI Director James Comey spoke to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 International Conference on Cyber Security at Fordham University. Part of his remarks addressed controversy over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US government's attribution of North Korea as being responsible for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital attack on Sony Pictures Entertainment.

Near cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of his talk he noted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

We brought in a red team from all across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intelligence community and said, “Let’s hack at this. What else could be explaining this? What ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r explanations might cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re be? What might we be missing? What competing hypocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis might cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re be? Evaluate possible alternatives. What might we be missing?” And we end up in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same place.

I noticed some people in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical security community expressing confusion about this statement. Isn't a red team a bunch of hackers who exploit vulnerabilities to demonstrate defensive flaws?

In this case, "red team" refers to a group performing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actions Director Comey outlined above. Harvard Professor and former government official Cass Sunstein explains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of red team mentioned by Comey in his new book Wiser: Getting Beyond Groupthink to Make Groups Smarter. In this article published by Fortune, Sunstein and co-author Reid Hastie advise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following as one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ways to avoid group think to improve decision making:

Appoint an adversary: Red-teaming

Many groups buy into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept of devil’s advocates, or designating one member to play a “dissenting” role. Unfortunately, evidence for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 efficacy of devil’s advocates is mixed. When people know that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advocate is not sincere, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 method is weak. A much better strategy involves “red-teaming.”

This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same concept as devil’s advocacy, but amplified: In military training, red teams play an adversary role and genuinely try to defeat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 primary team in a simulated mission. In anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r version, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red team is asked to build cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strongest case against a proposal or plan. Versions of both methods are used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military and in many government offices, including NASA’s reviews of mission plans, where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 practice is sometimes called a “murder board.”

Law firms have a long-running tradition of pre-trying cases or testing arguments with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equivalent of red teams. In important cases, some law firms pay attorneys from a separate firm to develop and present a case against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. The method is especially effective in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 legal world, as litigators are naturally combative and accustomed to arguing a position assigned to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m by circumstance. A huge benefit of legal red teaming is that it can helpt clients understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weaknesses of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir side of a case, often leading to settlements that avoid cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 devastating costs of losing at trial.

One size does not fit all, and cost and feasibility issues matter. But in many cases, red teams are worth cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investment. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 private and public sectors, a lot of expensive mistakes can be avoided with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of red teams.

Some critics of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government's attribution statements have ignored cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI took this important step. An article in Reuters, titled In cyberattacks such as Sony strike, Obama turns to 'name and shame', add some color to this action:

The new [name and shame] policy has meant wresting some control of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue from U.S. intelligence agencies, which are traditionally wary of revealing much about what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y know or how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y know it.

Intelligence officers initially wanted more proof of North Korea's involvement before going public, according to one person briefed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 matter. A step that helped build consensus was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creation of a team dedicated to pursuing rival cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ories - none of which panned out.

If you don't trust cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government, you're unlikely to care that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intelligence community (which includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI) red-teamed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attribution case. Nevercá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365less, it's important to understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process involved. The government and IC are unlikely to release additional details, unless and until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y pursue an indictment similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PLA and five individuals from Unit 61398 last year.

Thanks to Augusto Barros for pointing me to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new "Wiser" book.

Monday, February 13, 2012

I Want to Detect and Respond to Intruders But I Don't Know Where to Start!

"I want to detect and respond to intruders but I don't know where to start!" This is a common question. Maybe you have a new security role in an organization, or a new service or business in your current organization, or some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r situation where you want to find and stop attackers. However, you have no idea where to begin. Do you have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data you need? If not, what should you add? What do intrusions look like in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data you collect?

These questions can be tough to answer from a purely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365oretical perspective. I propose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following approach.

First, conduct a tabletop exercise where you simulate adversary actions. At each stage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 imagined attack, consider what evidence an intruder might create while taking actions against your systems. For example, if you are trying to determine how to detect and respond to an attack against a Web server, you're almost certainly going to need Web server logs. If you don't currently have access to those logs, you've just identified a gap that needs to be addressed. I recommend this sort of tabletop exercise first because you will likely identify deficiencies at low cost. Addressing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m might be expensive though.

Second, conduct a technical exercise where a third party simulates adversary actions. This is not exactly a pen test but it is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of work a red team conducts. Ask cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red team to carry out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks you previously imagined to determine if you can detect and respond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir activity. This should be a controlled action, not an "anything goes" event. You will see whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence and processes you identified in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first step help you detect and respond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red team activity. This step is more expensive than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous because you are paying for red team attention, and again fixes could be expensive.

Third, you may consider re-engaging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red team to carry out a less restrictive, more imaginative adversary simulation. In this exercise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red team isn't bound by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script you devised previously. See if your improved data and processes are sufficient. If not, work with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red team to devise better detection and response so that you can handle cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir attacks.

At this point you should have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data and processes to deal with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of real-world attacks. Of course some intruders are smart and creative, but you have a chance against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m now given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work you just performed.

Wednesday, August 02, 2006

Analog Penetration Testing

While watching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evening news I saw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story Investigation: U.S. borders perilously porous -- Federal investigators easily pass border checks using fake identification. On Wednesday cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Government Accountability Office (yes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y changed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir name) will release a report on an analog penetration test performed against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US border. What do I mean by that?

[GAO] agents successfully entered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States using fictitious driver's licenses and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r bogus documentation through nine land ports of entry on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 norcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rn and soucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rn borders. CBP [Customs and Border Protection] officers never questioned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 counterfeit documents presented at any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nine crossings.

On three occasions -- in California, Texas, and Arizona -- agents crossed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 border on foot. At two of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se locations -- Texas and Arizona -- CBP allowed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agents entry into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States without asking for or inspecting any identification documents.


This excerpt is from a draft report (.pdf) which will be delivered by GAO to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Senate on Wednesday. Initial reports indicate lawmakers are really upset by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se findings, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation has not improved since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last test in 2003.

What does this tell me? Apparently, decision-makers listen when findings are presented in a simple manner. If CBP fails to prevent people with forged IDs from entering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 country, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it's clear cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not fulfilling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir mandate. Simulating threat activity and discovering that attacks succeed 100% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time is a damning critique of one's security measures. When presented in this manner, it's easy to see what works and what doesn't.

This is why I advocate penetration tests as a means to assess security. If it takes me five minutes to gain access to information you expect to keep private, that's a clear indication your organization has serious security problems. It's performance-based security measurement. Just how well do your people, products, and processes handle a real event?

This sort of thinking is second nature to anyone with military, law enforcement, or fire fighting backgrounds. (I'm sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs -- feel free to name cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m as comments.) These organizations assess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir capability to perform cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir missions by exercising. Sure, you should take inventories, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365orize, and so on, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proof lies in how well you can execute in a near-real-world environment. (Executing in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real world is obviously cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best test, but you don't want to put people's lives on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 line unnecessarily.)

Do you want to know how well your airport screeners detect weapons in luggage? Don't measure your training budget, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 education level of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 personnel, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of steps in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir checklist. Run fake weapons through X-ray machines and see who catches cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

How well is border security inspecting IDs? Don't count increases in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 numbers of agents, measure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir salaries, or inspect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir guidebooks. Send agents across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 border with fake IDs and see if CBP stops cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

How well does your enterprise protect sensitive information from unauthorized access? Don't pretend to assess threats, assign fake risk values, and count cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of packets blocked by your firewall. Hire a pen tester to steal your information.

Repeat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process in 6 months and see if it's more difficult. If yes, your security has improved. If no, your security has degraded. It's really as simple as that. Be careful to ensure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second pen tester is as skilled as, or superior to, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first pen tester.

Tuesday, February 21, 2006

Brief Thoughts on MJR Pen Testing Post

I learned of this post by Marcus Ranum through commentary by Dave Goldsmith. In brief, I agree with much of what MJR says. However, I think pen testers perform a valuable service. I do not think that it is possible for some modern enterprise code to be fully comprehended by any individual or team of developers or security engineers.

If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code cannot be fully understood statically, it must be tested dynamically. A live test will reveal how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system acts when working, and may reveal unanticipated interactions or vulnerabilities. In light of this fact, I think pen testers who unearth cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se flaws perform a valuable service. If it's not tested, it's not a service.

Update: Thanks to Tom's comment below, I changed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attribution to fellow Matasano poster Dave Goldsmith.